Lorsqu\u2019un h\u00f4te VMware ESXi montre des signes d\u2019intrusion, la priorit\u00e9 est d\u2019emp\u00eacher la propagation tout en maintenant les services en ligne. \u00c9teindre brutalement l\u2019hyperviseur peut bloquer l\u2019activit\u00e9, provoquer des pertes de donn\u00e9es ou interrompre des machines virtuelles critiques.<\/p>\n\n\n\n
Heureusement, il existe des m\u00e9thodes permettant d\u2019isoler un serveur compromis<\/strong> sans stopper l\u2019ensemble du fonctionnement. L\u2019objectif : limiter les risques, contenir l\u2019attaque et pr\u00e9server l\u2019acc\u00e8s aux machines virtuelles saines.<\/p>\n\n\n\n Avant tout, il faut d\u00e9tecter les signes montrant que l\u2019hyperviseur est affect\u00e9 :<\/p>\n\n\n\n Une fois la compromission confirm\u00e9e, l\u2019\u00e9tape suivante est l\u2019isolement contr\u00f4l\u00e9.<\/p>\n\n\n\n L\u2019objectif est de d\u00e9sactiver uniquement la connectivit\u00e9 de l\u2019hyperviseur<\/strong> tout en laissant les machines virtuelles continuer \u00e0 \u00e9mettre et recevoir du trafic.<\/p>\n\n\n\n R\u00e9sultat :<\/p>\n\n\n\n Cette approche coupe le lien administratif sans impacter la production.<\/p>\n\n\n\n Si l\u2019infrastructure utilise vSphere HA ou DRS, une option peu connue permet de bloquer l\u2019h\u00f4te sans arr\u00eater les VM.<\/p>\n\n\n\n Le quarantine mode<\/strong> limite le placement de nouvelles VM sur l\u2019h\u00f4te et r\u00e9duit les interactions avec le cluster, tout en gardant les VM actives.<\/p>\n\n\n\n C\u2019est un confinement doux, adapt\u00e9 en cas de suspicion d\u2019activit\u00e9 malveillante.<\/p>\n\n\n\n Supprimer temporairement la connexion entre vCenter et l\u2019hyperviseur emp\u00eache tout attaquant ayant compromis les API de prendre le contr\u00f4le du cluster.<\/p>\n\n\n\n Cons\u00e9quences :<\/p>\n\n\n\n Utile lorsque l\u2019attaque semble exploit\u00e9e via vCenter.<\/p>\n\n\n\n Si l\u2019\u00e9quipe r\u00e9seau peut intervenir rapidement, l\u2019une des m\u00e9thodes les plus propres consiste \u00e0 basculer le Management Network dans un VLAN isol\u00e9<\/strong>.<\/p>\n\n\n\n Id\u00e9al lorsque l\u2019infrastructure est d\u00e9j\u00e0 segment\u00e9e.<\/p>\n\n\n\n VMware ESXi autorise la d\u00e9sactivation cibl\u00e9e de services critiques susceptibles d\u2019\u00eatre exploit\u00e9s :<\/p>\n\n\n\n En d\u00e9sactivant ces services :<\/p>\n\n\n\n \u00c0 manipuler avec prudence, mais tr\u00e8s efficace en phase d\u2019urgence.<\/p>\n\n\n\n Si l\u2019intrusion semble transiter par un uplink r\u00e9seau sp\u00e9cifique (dans un vSwitch), il est possible de couper uniquement ce lien sans affecter les VM utilisant d\u2019autres uplinks.<\/p>\n\n\n\nIdentifier rapidement un h\u00f4te compromis<\/strong><\/h2>\n\n\n\n
\n
M\u00e9thode n\u00b01 : isoler l\u2019h\u00f4te via sa carte de gestion (pas les VM)<\/strong><\/h2>\n\n\n\n
\u00c9tapes recommand\u00e9es<\/h3>\n\n\n\n
\n
\n
M\u00e9thode n\u00b02 : passer l\u2019h\u00f4te en \u201cquarantine mode\u201d dans un cluster vSphere<\/strong><\/h2>\n\n\n\n
Fonctionnement<\/h3>\n\n\n\n
Utilit\u00e9 en cas d\u2019incident<\/h3>\n\n\n\n
\n
M\u00e9thode n\u00b03 : d\u00e9connecter l\u2019h\u00f4te du vCenter (sans l\u2019\u00e9teindre)<\/strong><\/h2>\n\n\n\n
\u00c9tapes<\/h3>\n\n\n\n
\n
\n
M\u00e9thode n\u00b04 : isoler le trafic de gestion via un VLAN temporaire<\/strong><\/h2>\n\n\n\n
Avantages<\/h3>\n\n\n\n
\n
M\u00e9thode n\u00b05 : neutraliser temporairement les services sensibles de l\u2019hyperviseur<\/strong><\/h2>\n\n\n\n
\n
\n
M\u00e9thode n\u00b06 : conserver les VM en ligne tout en fermant l\u2019uplink probl\u00e9matique<\/strong><\/h2>\n\n\n\n
Exemple :<\/h3>\n\n\n\n