Sanallaştırma Güvenliğine Hazır mısınız?

Sanallaştırma, mevcut bulunan fiziksel donanımın sanal makineler (virtual machines)yardımıyla çok daha verimli kullanılabilmesini sağlayan, çeşitli yazılım ve donanım bağımlılıklarını ortadan kaldıran, bu sayede de yeni ürün ve servis geliştirme maliyetlerinde büyük tasarruflar sağlayan bir yazılım çözümüdür.

Windows XP, win7, win2003, win2008, Solaris, Linux ve Unix işletim sistemlerinin çeşitli sürümlerini destekleyen bir mimariye sahip olması gerekmektedir. VMware, Citrix XenServer, Microsoft HyperV, Sun Solaris ve Redhat REV sanallaştırma yapılarında genel olarak kullanılan çözümlerdir.

Oluşturulan bu sanal dünyadaki en önemli sorunlardan biri bu yapıların güvenliğinin nasıl sağlanacağıdır. Bu konuyla ilgili güvenlik firmalarının eğilimleri göz ardı edilemeyecek büyüklüğe ulaşmaktadır.

Sistem güvenliği için sunucular üzerine kurulan Antivirüs, Host Firewall, HostIPS, Application Control vb. güvenlik çözümlerinin ajanları bulunmaktadır. Bu ajanlarda sistem üzerinde ciddi performans sorunlarına sebep olabilmektedir. Özellikle yüksek seviyede kullanılan database sunucuları, mail sunucuları, domain controller sunucularında ciddi performans problemleri oluşturabilmektedir. Sistem yöneticileride bu durumda güvenlik ajanlarının durdurulmasını yada sistemden kaldırılması gibi taleplerle karşınıza geliyor olabilir. Bu tarz durumlarda hem sistemin performanslı bir şekilde çalışmasını hemde güvenliğini en üst seviyede sağlayabilmemiz için sanallaştırma güvenliğine ihtiyaç duyulmaktadır.

Sanallaştırma güvenliği yapısında hypervisor katmanına yerleşen filtreler sayesinde gerekli olan bütün korumalar sağlanabilmektedir. Özellikle Vmware 4.1 sürümüyle birlikte güvenlik çözümleri Hypervisor katmanına yerleşebilecek mimarileri oluşturmaya başlamışlardır.

Sanallaştırma Güvenliği Mimarisini incelersek;

Mimariden anlaşılacağı üzere Vmware ortamlarda kullanılan her ESX server için bir virtual appliance oluşturulmakta ve malware taramaları bu makinada gerçekleştirilmektedir.

Firewall, IPS vb. korumalarda yine Hypervisor katmanında sağlanmaktadır. Böylece sanal makinalarda bu işlemler için ekstra bir yük oluşmamakta bu da bize performans kazandırmaktadır.

Hypervisor katmanında işlem yapabilmemiz için Vmware Vshield lisansına sahip olmamız ve Vmware ortamlarımızın en az 4.1 versiyonunda olması gerekmektedir.

Mimariden görülebileceği üzere sanallaştırma güvenliğini yöneteceğimiz bir Security Manager sunucusu olmalıdır. Vmware Vcenter ve Vmware vShield Manager makinalarımız sanal sunucuların yönetildiği merkezi yönetim sunucularıdır. Her bir ESX sunucu üzerinde Hypervisor katmanına yerleşebilmek için bir Filter Driver yüklenmelidir. Bu yükleme sırasında ESX sunucunun restart edilmesi gerekiyor. Bu filter driver sayesinde hypervisor seviyesinde gerekli taramalar ve engellemeler yapılabilmektedir.

Ek olarak her bir ESX host üzerinde çalışacak bir Security Virtual Appliance sanal makinasına ihtiyaç bulunmaktadır. Bu makina bir den fazla oluşturularak yedekli bir yapı kurulabilir. Bu sanal makina ile birlikte antivirüs ve antimalware taramalarını bu sanal sunucu gerçekleştirecek olup gerçek makinalarımız üzerinde herhangi bir antivirus ve antimalware taraması yapılmayacaktır. Böylelikle ciddi anlamda performans sağlamış olacağız.

Sanallaştırma Güvenliğinin Faydaları;

  • Sanal sunucularda ajan yazılımı kullanmaksızın antivirus ve antimalware denetimi yapabilmesi
  • Sanal sunucular üzerinde çok büyük miktarda CPU, RAM ve I/O tasarrufu sağlayabilmesi.
  • Gelişmiş bir IDS/IPS motoru sayesinde ajansız ataklara karşı sanal sunucuların korunması
  • Stateful Firewall özelliği barındırması sunucuların dış dünya ile iletişimini kontrol altına alabildiği gibi sanal sunucular arasındaki trafik de kontrol altına alınabilmekte
  • Engellenen saldırıları ve politika uyumluluk durumunu belgeleyen detaylı ve denetlenebilir raporlar sunuyor olması
  • Application Control özelliği ile sunucular üzerinde sadece istenen uygulamaların çalışmasına izin verilebiliyor olması
  • Merkezi olarak yönetilen, çok amaçlı bir yazılım aracı yada sanal cihaz ile, birden fazla yazılım istemcisinin uygulama maliyetini ortadan kaldırması
  • Şüpheli faaliyet ve davranışları tanıyıp,proaktif ve koruyucu önlemler sunabilmesi
  • Web uygulama güvenliği özelliği SQL Injection ve XSS gibi ataklara karşı koruma sağlanabilmesi
  • Integrity Monitoring ve Log Inspection özelliklerinin bulunması. Bu özellikler kurumların PCI standardına uyum sağlamasını kolaylaştırıyor.
  • Yapısındaki security baseline lar sanal sunuculara uygulanarak o sunucu üzerinde kullanılan uygulamalar ve açık olan portlara göre sizlere bir koruma template i oluşturabilmesi
  • Her sanal sunucuya farklı güvenlik politikalarının kolay ve hızlı bir şekilde uygulanabilmesi
  • Log Management ürünleriyle tam entegrasyon
  • Sanallaştırma güvenliğini sağlayan yönetim arabiriminden Fiziksel Makinalarada yükleyeceğimiz ajanımız ile bu sunucularında güvenliğini sağlanabilmesi
  • Sistemlerin yönetilmesi kısmından bakacak olursak ESXler üzerindeki virtual appliance sayımız kadar ajanımız var diye düşünebiliriz. Birçok sunucudaki ajanların durumunu sürekli takip edebilmemiz gibi problemi ortadan kaldırmaktadır.
  • Sanal sistemler üzerinde çalışan sistemlerin sahipleri kendi sunucularına bir güvenlik ajanının kurulmasına sıcak bakmamaktadırlar. Performans kaybına sebebiyet verebildikleri için bunu istemezler. Artık sistem sahipleriylede karşı karşıya gelme durumu ortadan kalkmaktadır.

    TUBITAK

Please follow and like us:

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

eighteen − 3 =