Solutions
Use Cases
Blog
en
fr
Prendre RDV
Products
Blogue
Cas d'utilisation
en
fr
Réservez un appel
Virtualisation sécurisée

Sécurisez le matériel
sans perte de performance
grâce à une VM vraiment isolée

YS::Desktop intègre la sécurité dès sa conception, comme une priorité absolue et non comme une simple correction apportée après coup. Découvrez comment nous abordons et surmontons les enjeux clés de la virtualisation sécurisée
La réalité

Une solution pour les organisations qui font de la sécurité une priorité

Chaque fonctionnalité est conçue pour éliminer les vecteurs d’attaque, tout en répondant aux exigences de performance des workloads modernes.

Préallocation statique des ressources

GPU et la mémoire sont attribués de manière statique avant l'exécution, ce qui élimine les transferts de ressources dynamiques que les attaquants exploitent.

CPU dédiés

Les charges de travail de l'hyperviseur et des machines virtuelles s'exécutent sur des cœurs de processeur physiquement séparés avec des hiérarchies de cache isolées.

Chiffrement au niveau matériel

Les données sont chiffrées dès qu'elles quittent le processeur, en utilisant l'hyperviseur comme centre de contrôle pour une protection cohérente.

Perte de performance nulle

Réalisez des gains de vitesse de 2 à 5 % grâce à une allocation de ressources contiguë optimisée et à une fragmentation réduite.

Protection des canaux latéraux

Éliminez les vecteurs d'attaque par canaux secondaires liés à la synchronisation, au cache et à l'alimentation grâce à la sécurité architecturale.

Routage intelligent des données

Sélection automatique entre l'exposition directe au matériel et les buffers d'échange chiffrés en fonction du chemin des données.
Comment ça marche

Une répartition intelligentes des ressources CPU et mémoire pour assurer une isolation totale des VM

Le problème

L’allocation dynamique des ressources expose de nouveaux vecteurs d’attaque

La plupart des plateformes de virtualisation allouent dynamiquement le processeur et la mémoire en fonction de la demande en temps réel. Bien qu'efficace, cela crée des signaux subtils que les attaquants exploitent lors d'attaques par canaux secondaires pour briser l'isolation des machines virtuelles.

Traditionnel : allocation dynamique

Analyse
VM1
VM2
VM3
VM4
Free slot
Les ressources évoluent de manière dynamique → Surface d'attaque
Comment s'y prend KERYS Software

Le problème

YS : :Desktop attribue des CPU et de la mémoire de manière statique à chaque machine virtuelle avant l'exécution. Ces affectations fixes restent inchangées, empêchant ainsi tout déplacement dynamique des ressources qui pourrait être exploité.

YS : :Desktop : allocation statique

Analyse impossible
VM1
VM2
VM3
VM4
Limites fixes → Pas de signaux sur les canaux secondaires

Avantages en matière de sécurité

Isolation renforcée des VM en supprimant les opportunités de fluctuation des ressources
Élimine les canaux de synchronisation, de cache et d'alimentation utilisés par les attaquants
Le comportement prévisible des ressources élimine les canaux secrets

Avantages en termes de performances

Amélioration de 2 à 5 % via des blocs de ressources contigus
Système moins fragmenté et baisse des surcoûts associés
Efficacité optimale du contrôleur de mémoire et un débit stable
CPU dédiés

Traitement distinc pour l'hyperviseur et les machines virtuelles afin de prévenir toute exploitation des canaux auxiliaires

Le problème

Risque de fuite de données liées aux CPU partagés

La virtualisation classique exécute à la fois les processus de l’hyperviseur et ceux des machines virtuelles sur des cœurs de processeur partagés. Cette configuration expose à un risque de fuite de données, notamment via le cache résiduel ou les mécanismes de prédiction de branche. Les attaques par canaux auxiliaires, exploitant ces ressources partagées, peuvent ainsi compromettre la sécurité de l’hyperviseur.
Comment s'y prend KERYS Software

CPU physiquement séparés

YS::Desktop attribue des cœurs CPU spécifiques à chaque machine virtuelle. Ces cœurs peuvent exécuter plusieurs VM de façon séquentielle, avec une stricte séparation temporelle et une purge complète à chaque bascule. Cela élimine tout risque de fuite de données ou de dérive des ressources.
Les autres cœurs sont réservés à l’hyperviseur, garantissant une gestion du système stable et parfaitement isolée.

CPU Core Distribution

Avantages en matière de sécurité

Isolation au niveau matériel avec hiérarchies de cache isolées
Changement de contexte épuré avec flush complet des registres et des caches du processeur
Contrôle de la communication VM - hyperviseur pour empêcher les fuites accidentelles

Avantages en termes de performances

Réduction des frais de préparation et de planification
Latence réduite car les cœurs des hyperviseurs restent prêts en permanence
Impact minimal sur le débit par rapport aux gains de sécurité
Sécurité au niveau du matériel

Chiffrement au niveau matériel pour
une protection complète de vos données
Avec YS::Desktop, les données sont chiffrées dès leur sortie du CPU, qu’elles soient envoyées à la RAM ou le stockage. Le chiffrement est orchestré directement par l’hyperviseur, évitant toute dépendance aux mécanismes de chaque machine virtuelle. Ainsi, les informations sensibles restent invisibles pour le système hôte et les autres environnements,  tout en préservant des performances strictement natives pour les développeurs et les utilisateurs exigeants.

Pourquoi le chiffrement au niveau matériel est important

Le chiffrement au niveau matériel isole le traitement cryptographique du système d'exploitation invité, réduisant ainsi l'exposition aux attaques et aux logiciels malveillants.
Le chiffrement des données au niveau de l'hyperviseur protège toutes les VM de manière cohérente sans dégrader l'expérience utilisateur.
Cette approche permet de maintenir la vitesse du système, évitant ainsi les problèmes de performances courants rencontrés dans les solutions de chiffrement uniquement logicielles.
Routage intelligent des données

Gestion dynamique des données selon le routage pour une sécurité optimisée

Exposition directe au matériel

Pour des appareils tels que GPU et clés USB locales, où les données restent sur la machine et où le débit brut est essentiel, la couche de virtualisation mappe la mémoire de l'appareil directement dans l'espace d'adressage de la machine virtuelle. Cela supprime les traitements superflus et préserve les performances maximales.
GPU
Direct Memory Map
VM

Mode Exchange Buffer

Pour les périphériques de stockage (SSD) et les communications réseau, où les données peuvent quitter l’environnement sécurisé du bureau, YS::Desktop insère des tampons d’échange basés sur la RAM. Ceux-ci appliquent un chiffrement robuste et des opérations de sécurité supplémentaires avant que les données n’atteignent le matériel physique.
SSD
Chiffré
VM
Ce routage sélectif permet aux équipes de sécurité d'appliquer le chiffrement là où cela compte, sans affecter les graphismes, les périphériques ou la productivité des développeurs sur le poste de travail sécurisé.

Prêt pour une sécurité sans compromis ?

YS::Desktop associe allocation statique des ressources, cœurs CPU dédiés et isolation chiffrée par matériel. Quand protection renforcée et performance sont incontournables, c’est la virtualisation qu’il vous faut.
Demander une démoContacter un expert
Aucun engagement requis • Déploiement prêt pour les Grands Groupes
KERYS Software
42, Cours Pierre Vasseur. 91120 Palaiseau
Built for CISOs, Loved by Employees
contact@kerys.software
Personal data protectionLegal mentions
Company
BlogCareerPress
Réseaux sociaux