Protéger une VM KVM contenant des données sensibles

Le
Olivier
--000000000000299ed105a3b4d041
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

Bonjour,

Ici ou là, on peut lire des procédures ou tuto conseillant de con=
signer ses
données sensibles (clés privées, mot de passe, PKI ) et a=
pplications
associées sur une machine dédiée, hors réseau, éte=
inte quand elle n'est pas
utilisée.

Pourtant utiliser des VM est très pratique et économique.

Qui a déjà conservé des données sensibles dans une VM K=
VM ?
Quelles mesures particulières a-t-il prises pour protéger ses don=
nées ?
Comment sauvegarder ?

Parmi les mesures qui me viennent à l'esprit:

- mot de passe pour protéger le lancement de la VM (est-ce que ça=
existe ?)
- mot de passe pour le chiffrement du disque de la VM
- suppression ou configuration spéciale de sshd ou plus géné=
ralement du
réseau

Slts

--000000000000299ed105a3b4d041
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

<div dir="ltr"><div>Bonjour,</div><div><br></div><div>Ici ou là, on =
peut lire des
procédures ou tuto conseillant de consigner ses données sensibles=
(clés
privées, mot de passe, PKI ) et applications associées sur une=

machine dédiée, hors réseau, éteinte quand elle n&#39;e=
st pas utilisée.</div><div><br></div><div>Pourtant utiliser des VM est=
très pratique et économique.</div><div><br></div><div>Qui a d=
jà conservé des données sensibles dans une VM KVM ?</div>=
<div>Quelles mesures particulières a-t-il prises pour protéger se=
s données ?</div><div>Comment sauvegarder ?<br></div><div><br></div><d=
iv>Parmi les mesures qui me viennent à l&#39;esprit:</div><div><br></d=
iv><div>- mot de passe pour protéger le lancement de la VM (est-ce que=
ça existe ?)</div><div>- mot de passe pour le chiffrement du disque d=
e la VM</div><div>- suppression ou configuration spéciale de sshd ou p=
lus généralement du réseau</div><div><br></div><div>Slts</di=
v></div>

--000000000000299ed105a3b4d041--
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
NoSpam
Le #26543754
Le 20/04/2020 à 10:37, Olivier a écrit :
Bonjour,

Bonjour
Ici ou là, on peut lire des procédures ou tuto conseillant de
consigner ses données sensibles (clés privées, mot de passe, PKI ...)
et applications associées sur une machine dédiée, hors réseau, éteinte
quand elle n'est pas utilisée.

Si la machine est hors réseau et éteinte -je suppose un réseau privé
d'entreprise- le 1er problème est l'accès physique au serveur host afin
de ne pas avoir accès aux disques, le second l'accès distant (ssh, RDP,
VNC, TV, AyDesk, ...)
Le premier problème se règle en protégeant l'accès à la salle serveur.
Pour le second, une solution est le reverse ssh.
Pourtant utiliser des VM est très pratique et économique.
Qui a déjà conservé des données sensibles dans une VM KVM ?

Si données sensibles sont des données de santé _accessibles de
l'extérieur_ il faut héberger chez un hébergeur agréé et la BDD ne doit
PAS être sur la VM de l'application et doit être isolée de l'extérieur.
Quelles mesures particulières a-t-il prises pour protéger ses données ?
Comment sauvegarder ?

Si c'est du LVM on doit pouvoir faire dd+tar machine éteinte. Si elle
est up, les outils habituels
Parmi les mesures qui me viennent à l'esprit:
- mot de passe pour protéger le lancement de la VM (est-ce que ça
existe ?)
- mot de passe pour le chiffrement du disque de la VM
- suppression ou configuration spéciale de sshd ou plus généralement
du réseau

chiffrement du disque + reverse ssh (qui au passage peut également être
utilisé pour faire passer d'autres protocoles et être utilisé sur des
machines Windows).
Le problème premier est l'humain. Combien de systèmes tournent avec les
mêmes mots de passe depuis des années alors que le personnel a été
renouvelé x fois ! :(
--
Daniel
Olivier
Le #26544068
--00000000000062c7d805a3e0d889
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Bonjour,
Merci à tous pour ces réponses très utiles.
À la lumière de celles-ci, je pense créer une VM avec un dis que chiffré.
Le mot de passe demandé lors de "l'activation" du disque me suffira po ur
protéger les données qu'il contient.
Slts
--00000000000062c7d805a3e0d889
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
--00000000000062c7d805a3e0d889--
Publicité
Poster une réponse
Anonyme