Dijital ekonomi ve dönüşümün sıkça konuşulduğu bu günlerde tartışmasız BT yöneticilerinin ajandasında güvenlik çözümleri önemli bir başlık olarak yer almaktadır. Bununla birlikte dijital verinin her geçen gün daha fazla değerlenmesi ile de güvenlik konusu gelecek dönemlerde de popülerliğini koruyacağa benzemektedir.

VMware, vSphere 6.5 sürümünde SECURE DATA, SECURE INFRASTRUCTURE ve SECURE ACCESS sloganları ile yaptığı duyuruda güvenlik konusunda altyapılara önemli kabiliyetler kazandırmıştır.

anasec

[Enhanced Logging] vSphere 6 ve daha alt sürümlerde sanal makinede herhangi bir değişiklik yapıldığında yalnızca değişiklik yapan kullanıcıya dair aşağıdaki gibi mesaj alıyorduk. Bu log’un yapılan değişiklik hakkında detay bilgi vermemesi bence önemli bir eksiklikti.

10

Yeni sürümde kimin bu değişikliği gerçekleştirdiği bilgisinin yanında ne ve ne zaman yaptığı gibi birçok önemli bilgiye de erişebilmekteyiz. Aşağıdaki ekran görüntüsünde görüleceği üzere Mike Foley kullanıcısı ilgili sanal makineyi PCI standartlarına uyan bir vSwitch’ten, PCI standartı dışındaki güvensiz bir vSwitch üzerine taşımıştır.

11

Log Insight entegrasyonu ile sanallaştırma ortamında belirlediğimiz güvenlik standartlarının dışına çıkıldığında IT yöneticilerini bilgilendirecek uyarı mekanizmaları tanımlanarak anında müdahale edilmesi de sağlanabilmektedir.

[VM Encryption] ile hypervisor seviyesinde sanal makine bazında şifreleme yapabilmek artık mümkün. VM içerisindeki I/O disk katmanına gönderilmeden önce kernel’daki bir modül tarafından şifrelenmektedir. Şifreleme özelliği ise Storage Policies ile tanımlanabilmektedir.

  • İlgili sanal makineyevmenc ait VM Home (VMX, snapshot, vs.) ve VMDK dosyalarının tümü bu sayede şifrelenmektedir.
  • Şifreleme hypervisor seviyesinde yapıldığı için tüm misafir işletim sistemlerinde desteklenmektedir ve işletim sistemi üzerinde ek bir ayar gereksinimi bulunmamaktadır.
  • Misafir işletim sistemi tarafından şifreleme anahtarlarına erişim engellenmiştir.
  • vMotion desteği ile daha güvenli mobilite sunulmaktadır.
  • Key Managemet Server’ın yönetiminin güvenlik ekipleri tarafından yapılması tavsiye edilmektedir ve standart VM admin için “No Cryptography Administrator” adında yeni bir role getirilmiştir.

[Secure Boot] UEFI sayesinde yetkilendirilmemiş vSphere bileşenlerinin yüklenmesinin önüne geçilerek imajların tahrip edilmediğinden emin olmak mümkün hale getirilmiş. Dosya sisteminin bütünlüğü ve açılış süreci bu özellik sayesinde doğrulanarak daha güvenli hale gelmiştir.

Bu özelliği aktif hale getirmek için UEFI Secure Boot Firmware destekleyen bir sunucuya sahip olmak gerekmektedir. Önyükleme süresince her VIB (vSphere Installation Bundle) doğrulanmaktadır.Bu doğrulamalar sırasında olası bir kusur ile karşılaşılırsa ESXi güvenlik nedeniyle açılmayacaktır.

vmenc1

Virtual Machine Secure Boot’ u aktif etmek arayüzden yapılabilmektedir. Fakat bunun için sanal makinenin EFI firmware ile konfigüre edilmesi gerekmektedir.

UI üzerinden bu özelliğin aktif edilmesi durumunda sanal makineye sadece imzalanmış sürücüler yüklenebilecektir.

Son olarak sanal makineler için secure boot özelliği Windows ve Linux işletim sistemleri tarafından desteklenmektedir.