Solutions
Use Cases
Blog
en
fr
Prendre RDV
Products
Blogue
Cas d'utilisation
en
fr
Réservez un appel
Virtualisation sécurisée

Une VM vraiment isolée. Sécurisez le matériel  sans perte de performance

YS::Desktop intègre la sécurité dès sa conception, comme une priorité absolue et non comme une simple correction apportée après coup. Découvrez comment nous abordons et surmontons les enjeux clés de la virtualisation sécurisée
La réalité

Pourquoi Security-First Organizations

Chaque fonctionnalité est conçue pour éliminer les vecteurs d’attaque, tout en répondant aux exigences de performance des workloads modernes.

Préallocation statique des ressources

GPU et la mémoire sont attribués de manière statique avant l'exécution, ce qui élimine les transferts de ressources dynamiques que les attaquants exploitent.

CPU dédiés

Les charges de travail de l'hyperviseur et des machines virtuelles s'exécutent sur des cœurs de processeur physiquement séparés avec des hiérarchies de cache isolées.

Chiffrement au niveau matériel

Les données sont chiffrées dès qu'elles quittent le processeur, en utilisant l'hyperviseur comme centre de contrôle pour une protection cohérente.

Perte de performance nulle

Réalisez des gains de vitesse de 2 à 5 % grâce à une allocation de ressources contiguë optimisée et à une fragmentation réduite.

Protection des canaux latéraux

Éliminez les vecteurs d'attaque par canaux secondaires liés à la synchronisation, au cache et à l'alimentation grâce à la sécurité architecturale.

Routage intelligent des données

Sélection automatique entre l'exposition directe au matériel et les buffers d'échange chiffrés en fonction du chemin des données.
Comment ça marche

Allocation des ressources CPU et mémoire pour garantire une isolation totale des VM

Le problème

L'allocation dynamique des ressources crée des vecteurs d'attaque

La plupart des plateformes de virtualisation allouent dynamiquement le processeur et la mémoire en fonction de la demande en temps réel. Bien qu'efficace, cela crée des signaux subtils que les attaquants exploitent lors d'attaques par canaux secondaires pour briser l'isolation des machines virtuelles.

Traditionnel : allocation dynamique

Analyse
VM1
VM2
VM3
VM4
Free slot
Les ressources évoluent de manière dynamique → Surface d'attaque
Comment s'y prend KERYS Software

Le problème

YS : :Desktop attribue des CPU et de la mémoire de manière statique à chaque machine virtuelle avant l'exécution. Ces affectations fixes restent inchangées, empêchant ainsi tout déplacement dynamique des ressources qui pourrait être exploité.

YS : :Desktop : Allocation statique

Analysis not possible
VM1
VM2
VM3
VM4
Limites fixes → Pas de signaux sur les canaux secondaires

Avantages en matière de sécurité

Isolation renforcée des VM en supprimant les opportunités de fluctuation des ressources
Élimine les canaux de synchronisation, de cache et d'alimentation utilisés par les attaquants
Le comportement prévisible des ressources élimine les canaux secrets

Avantages en termes de performances

Amélioration de 2 à 5 % via des blocs de ressources contigus
Système moins fragmenté et baisse des surcoûts associés
Efficacité optimale du contrôleur de mémoire et un débit stable
Dedicated CPU Cores

Traitement séparé pour l'hyperviseur et les machines virtuelles pour empêcher l'exploitation des canaux auxiliaires

Le problème

Risque de fuite de données liés aux CPU partagés

La virtualisation classique exécute à la fois les processus de l’hyperviseur et ceux des machines virtuelles sur des cœurs de processeur partagés. Cette configuration expose à un risque de fuite de données, notamment via le cache résiduel ou les mécanismes de prédiction de branche. Les attaques par canaux auxiliaires, exploitant ces ressources partagées, peuvent ainsi compromettre la sécurité de l’hyperviseur.
Comment s'y prend KERYS Software

CPU physiquement séparés

YS::Desktop allocates specific CPU cores to virtual machines. These cores can run multiple VMs in sequence, with strict temporal separation and a full purge between switch. Eliminating any risk of data leakage or resource drift.
The remaining cores are reserved for the hypervisor, ensuring stable and isolated system management.

CPU Core Distribution

Avantages en matière de sécurité

Isolation au niveau matériel avec hiérarchies de cache isolées
Changement de contexte épuré avec flush complet des registres et des caches du processeur
Contrôle de la communication VM - hyperviseur pour empêcher les fuites accidentelles

Avantages en termes de performances

Réduction des frais de préparation et de planification
Latence réduite car les cœurs des hyperviseurs restent prêts en permanence
Impact minimal sur le débit par rapport aux gains de sécurité
Sécurité au niveau du matériel

Sécurisation de vos données grâce à un chiffrement au niveau matériel
for Complete Protection of your Data
Avec YS::Desktop, les données sont chiffrées dès leur sortie du CPU, qu’elles soient destinées à la RAM ou au stockage. Cette protection repose sur une gestion centralisée par l’hyperviseur, plutôt que sur une approche fragmentée où chaque machine virtuelle agirait de manière autonome. Ainsi, les informations sensibles restent invisibles pour le système hôte et les autres environnements, sans compromettre les performances natives, essentielles pour les développeurs et les utilisateurs exigeants.

Pourquoi le chiffrement au niveau matériel est important

Le chiffrement au niveau matériel isole le traitement cryptographique du système d'exploitation invité, réduisant ainsi l'exposition aux attaques et aux logiciels malveillants.
Le chiffrement des données au niveau de l'hyperviseur protège toutes les VM de manière cohérente sans dégrader l'expérience utilisateur.
Cette approche permet de maintenir la vitesse du système, évitant ainsi les problèmes de performances courants rencontrés dans les solutions de chiffrement uniquement logicielles.
Intelligent Data Routing

Routage intelligent des données : matériel « physique » vs. tampons d’échange"

Exposition directe au matériel

Pour des appareils tels que GPU et clés USB locales, où les données restent sur la machine et où le débit brut est essentiel, la couche de virtualisation mappe la mémoire de l'appareil directement dans l'espace d'adressage de la machine virtuelle. Cela supprime les traitements superflus et préserve les performances maximales.
GPU
Direct Memory Map
VM

Mode Exchange Buffer

Pour les périphériques de stockage (SSD) et les communications réseau, où les données peuvent quitter l’environnement sécurisé du bureau, YS::Desktop insère des tampons d’échange basés sur la RAM. Ceux-ci appliquent un chiffrement robuste et des opérations de sécurité supplémentaires avant que les données n’atteignent le matériel physique.
SSD
Chiffré
VM
Ce routage sélectif permet aux équipes de sécurité d'appliquer le chiffrement là où cela compte, sans affecter les graphismes, les périphériques ou la productivité des développeurs sur le poste de travail sécurisé.

Prêt pour une sécurité sans compromis ?

YS::Desktop associe allocation statique des ressources, cœurs CPU dédiés et isolation chiffrée par matériel. Quand protection renforcée et performance sont incontournables, c’est la virtualisation qu’il vous faut.
Demander une démoContacter un expert
Aucun engagement requis • Déploiement prêt pour les Grands Groupes
KERYS Software
42, Cours Pierre Vasseur. 91120 Palaiseau
Built for CISOs, Loved by Employees
contact@kerys.software
L'entreprise
BlogCarrièrePresseProtection des données personnellesMentions légales
Réseaux sociaux