6. Security Considerations (Considérations de sécurité)

Les réseaux overlay de virtualisation font face à plusieurs défis de sécurité. Geneve ne fournit pas intrinsèquement de sécurité (telle que le chiffrement ou l'authentification) mais s'appuie sur le réseau sous-jacent ou des mécanismes de sécurité supplémentaires pour la protection.

6.1. Data Confidentiality (Confidentialité des données)

Les paquets Geneve transportent les données des locataires en texte clair. Si le réseau sous-jacent n'est pas fiable, un attaquant ayant accès au réseau sous-jacent peut inspecter le trafic. Pour assurer la confidentialité, Geneve peut être transporté sur IPsec ou DTLS, ou le paquet interne peut être chiffré par le locataire.

6.2. Data Integrity (Intégrité des données)

Sans protection de l'intégrité, un attaquant pourrait modifier l'en-tête Geneve ou la charge utile interne. La somme de contrôle UDP offre une protection limitée contre la corruption accidentelle mais pas contre la modification malveillante. Des protocoles de transport sécurisés (IPsec/DTLS) doivent être utilisés si l'intégrité est requise.

6.3. Authentication (Authentification)

Les points de terminaison du tunnel devraient s'authentifier mutuellement pour empêcher les dispositifs non autorisés d'injecter du trafic dans le réseau overlay. Cela est généralement géré par le plan de contrôle ou en utilisant un protocole de transport sécurisé.

6.4. Replay Protection (Protection contre la relecture)

Un attaquant pourrait capturer des paquets Geneve valides et les rejouer plus tard. Le protocole Geneve standard n'inclut pas de numéros de séquence ou d'horodatages pour empêcher la relecture. Il faut s'appuyer sur des protocoles de couche supérieure (par exemple, TCP) ou des protocoles de transport sécurisés pour la protection contre la relecture.

6.5. Traffic Analysis (Analyse de trafic)

Même avec le chiffrement, un attaquant peut analyser les modèles de trafic (volume, timing) pour déduire des informations. Les en-têtes Geneve (VNI, Options) sont visibles s'ils ne sont pas chiffrés par IPsec, ce qui peut potentiellement divulguer des métadonnées.

6.6. Secure Protocol Negotiation (Négociation de protocole sécurisée)

La négociation des capacités et options Geneve entre les points de terminaison doit être sécurisée pour empêcher les attaques par repli (downgrade attacks). C'est la responsabilité du plan de contrôle.

6.7. Inner Traffic Verification (Vérification du trafic interne)

Le point de terminaison de désencapsulation MUST (DOIT) vérifier que le paquet interne est valide et autorisé pour le VNI donné. Il agit effectivement comme un pare-feu pour le réseau du locataire.

6.8. Option Security (Sécurité des options)

Les options peuvent transporter des informations sensibles. Les points de terminaison MUST s'assurer que les options ne sont traitées que si elles proviennent de sources fiables et que les informations qu'elles contiennent sont traitées de manière sécurisée.