Configuration réseau Hyper-V, Best Practices Page 1 sur 3

Les bonnes pratiques de configuration réseau sous Hyper-V et Hyper-V R2.

La configuration réseau sous Hyper-V peut être déconcertante pour ceux qui ont utilisé Virtual Server 2005 R2. Cet article a pour but de présenter
les bonnes pratiques de sa configuration.

Partition parent et Machines virtuelles partageant le même réseau

Hyper-V introduit l'utilisation de nouveaux périphériques virtuels, les "virtual switchs" qui se comportent exactement comme des switchs de
niveaux 2.

On notera que ces Virtual Switchs supportent désormais le VLAN Tagging ce qui permet de mutualiser différents réseaux sur une même carte. Ceci
se révèle particulièrement utile quand on possède beaucoup de VLAN et que l'on ne souhaite pas dédier une carte réseau physique à chacun
d'entre eux.
Il est cependant nécessaire que vos équipements réseau prennent en charge cette fonctionnalité (Trames 802.1.Q)

Pour mieux comprendre le VLAN Tagging, vous pouvez vous référer à cet article du Guvirt.
(Cf. Comprendre le vlan tagging)

Deux cartes réseau, un minimum pour assurer l'isolation et la sécurité de votre environnement
virtualisé.
Il est possible de faire fonctionner Hyper-V avec une seule carte, mais ce n'est pas une configuration souhaitable dans un environnement de
production (Vous risquez de perdre la connectivité à votre partition parent en cas de mauvaise manipulation).

Hyper-V et votre partition parent constituent la fondation de votre environnement virtualisé, il est important d'assurer l'étanchéité de cette
fondation contres toutes intempéries.
Lors de la création d'un réseau externe, Hyper-V va activer le protocole de commutation réseau virtuel sur la carte physique associée et va créer
une nouvelle carte virtuelle dans la partition parent. Cette carte est prévue à l'origine pour permettre la communication avec le host, ce qui va à
l'encontre d'une bonne pratique d'isolation entre la partition parent et nos machines virtuelles.

Isoler la partition parent et les machines virtuelles sur deux réseaux différents n'est pas suffisant...

Dès lors, même si vous utilisez des sous réseaux différents, votre partition parent est potentiellement directement joignable sur le réseau dédié
aux VM (Si elle dispose ou obtiens une adresse IP).

Bien configurer ses cartes réseau.

Pour commencer, renommez vos cartes réseau et identifiez précisément celle qui sera utilisée pour la virtualisation (Champs nom du
périphérique).

Pour Hyper-V (R1)

http://www.guvirt.org/serveurs/106-configuration-reseau-hyper-v-best-practices.html 01.04.2011
Configuration réseau Hyper-V, Best Practices Page 2 sur 3

Ouvrez les propriétés de votre carte réseau dédiée pour les machines virtuelles et désactivez tous les protocoles.
Ceci est une étape clef, en effet, cette carte n'est utilisée que pour fournir un accès réseau aux machines virtuelles, elle ne devrait jamais être
utilisée pour établir directement une connexion avec la partition parent. A ce titre elle n'a nul besoin d'une adresse IP ou du service de partage de
fichiers et d'imprimantes.

La désactivation de tous les protocoles sur la ou les cartes dédiée(s) permet d’éviter un certain nombre de désagréments :

Communication directe entre la partition parent et les machines virtuelles sans passer par le réseau externe (Incompatible avec les bonnes
pratiques d'isolation).
Pollution du DNS : Le serveur hyper-V risque d’enregistrer plusieures adresses (si un DHCP est présent sur le segment). Si le round robin
est activé sur votre DNS, la connexion à votre partition parent se fera alors alternativement sur l’une et l’autre carte.

Lors de la création d'un réseau virtuel dans Hyper-V, veillez à bien identifier la carte sur laquelle vous devez mapper votre Vswitch.
Si vous avez bien désactivé les protocoles réseaux sur votre carte physique dédiée à vos machines virtuelles, la carte virtuelle de la partition parent
créée à l'occasion du virtual swith n'aura pas non plus de protocoles. Si vous le souhaitez, vous pouvez même désactiver cette carte virtuelle.

Pour les plus ardus, le blog de Robert Vierthaler propose une methode par script pour créer un Vswitch externe sans générer cette carte virtuelle.

Une fois cette opération réalisée, vous disposez d'une isolation réseau de vos machines virtuelles et de votre partition parent.

Pour Hyper-V R2

Depuis Hyper-V R2, les développeurs on pris en compte ce besoin d'isolation et il est désormais possible de créer un réseau externe sans qu'il ne
soit connecté à la partition parent par une carte virtuelle. Pour cela il suffit de décocher la case suivante lors de la création du switch virtuel.

Le dessin suivant illustre un exemple de mise en œuvre d'une DMZ virtualisée isolée du réseau d'administration.

Les cartes VM1 et VM2 ne peuvent pas établir de connection avec la partition parent

Dans l’exemple ci-dessus, le réseau VM1 est isolé du réseau d’administration par un FireWall et le Réseau VM2 est quand à lui directement relié à
Internet.

Les protocoles réseaux ayant étés désactivés sur les carte dédiée aux machine virtuelles, celles-ci ne peuvent en aucun cas être utilisée pour
établir une connexion avec la partition parent.
Une fois les réseaux isolés, la sécurité de la partition parent repose sur l’étanchéité de Hyper-V.

Bien qu'à ce jour aucune faille n'aie étée découverte, le risque zéro n'existe pas et concerne tous les éditeurs. (Cf. Virtualisation et sécurité du SI,
les pièges à eviter).
Attention cependant à ne pas tomber dans la paranoïa, c'est à chacun d'évaluer le rapport coûts / risques et de définir les niveaux de sécurité à
atteindre de manière pragmatique.

Activer ou ne pas activer les fonctions des services d’intégration ?

http://www.guvirt.org/serveurs/106-configuration-reseau-hyper-v-best-practices.html 01.04.2011
Configuration réseau Hyper-V, Best Practices Page 3 sur 3

Les services d’intégration sont l'équivalent des VMAdditions de Virtual Server ou des VMWare Tools.
L'installation des services d'intégration doit être effectuée dès que possible pour tirer le meilleur partis des performances de Hyper-V.
En plus d’installer des pilotes optimisés pour la virtualisation, les services d'intégration offrent un certain nombre de fonctions nécessitant une
communication sécurisée entre les machines virtuelles et la partition parent.

Synchronisation de l’horloge
Pilotage de l’arrêt du système (Shutdown)
Echange d’informations systèmes (version d’os etc.)
HeartBeat (Détection de fonctionnement)
Shadow Copy (Utilisation des snapshots)

Si vous êtes dans un environnement très sécurisé ou si vous êtes particulièrement paranoïaque, vous pouvez désactiver ces fonctions pour
améliorer l’isolation de vos machines virtuelles au détriment du management.

Pour aller plus loin...

Installer Hyper-V en mode Core.

L’une des meilleures recommandations concernant la sécurisation d’hyper-v est de l’installer sur une base Windows 2008 Core.

Outre une surface d’attaque réduite, l’empreinte de charge minimale d’une installation Core permet de garantir un maximum de ressources pour
les machines virtuelles et consolide la stabilité de l'ensemble.

En contrepartie, une installation en mode Core est plus difficile à mettre en œuvre et à administrer (de part l’absence des interfaces graphiques et
de la pluparts des assistants de configuration). De plus, il est possible que les outils utilisés pour l’exploitation de votre système d’information ne
soient pas encore compatibles avec une installation en mode Core (ex : Agents de sauvegardes ou de supervision).
La configuration du mode Core sous 2008 R2 est maintenant grandement simplifiée grâce au "Core Configurator". Le Core Configurator est en
réalité un ensemble de scripts PowerShell * organisés dans une interface graphique qui va grandement faciliter la configuration des rôles.
Cet exélent outil est disponible sur CodePlex à l'adresse suivante : http://www.codeplex.com/CoreConfig
*(Powershell n'est pas disponible en mode Core avec 2008 "R1")

Mettre en œuvre Bit Locker.

Dans le cadre de serveurs mis en oeuvre dans des agences, Bitlocker offre une solution de sécurisation des données intérréssante en cas de vol du
serveur (Cf. Sécuriser Hyper-V avec BitLocker)
Si vous souhaitez aller plus loin dans la sécurisation de Hyper-V, vous pouvez vous référer au document suivant :

http://www.guvirt.org/serveurs/106-configuration-reseau-hyper-v-best-practices.html 01.04.2011