Nasıl Yapılır?

Adım Adım Sunucu Sanallaştırma Güvenliği

Bu makalemizde herhangi bir sanallaştırma ürününden bağımsız olarak sunucu sanallaştırma güvenliği için alınabilecek önlemler sıralanacaktır. Bundan sonra sunucu sanallaştırma kısaca sanallaştırma olarak ifade edilecektir. Sanallaştırma ürünleri mimari olarak iki farklı yapıya sahiptir:

  1. Sadece sanallaştırma fonksiyonlarına sahiptir. Sanallaştırma fonksiyonları sanal makinaların oluşturulması, çalıştırılması gibi işlemleri içerir. Buna örnek olarak Vmware ESXi, Windows Hyper-V, RHEV’i verilebilir.
  2. Fonksiyonel sunucu işletim sistemini üzerine sanallaştırma fonksiyonun eklenmesi ile çalışan sistemlerdir. HTTP sunucusu, DHCP sunucusu gibi fonksiyonlara ek olarak sanal makinaların oluşturulması, çalıştırılması gibi işlemleri içerir. Buna örnek olarak da Windows Hyper-V, Xen, RHEL üzerine kurulmuş KVM verilebilir.

Windows Hyper-V müstakil (stand alone) ve Windows Server Özelliği (Windows Server Feature) olarak iki şekilde kullanılabildiği için her iki kategoriye de dahil edilmiştir. KVM de aynı şekilde RHEV ve RHEL üzerine kurulmuş KVM ile iki kategoriye de dahil edilmiştir.

Fiziksel sistem fiziksel bir donanım(sunucu donanımı) ile işletim sistemini içerir. Burada işletim sistemi yukarıda bahsi geçen 1. Tip ya da 2. Tip sanallaştırma ürününü ifade etmektedir. Sanal sistem ise sanallaştırma ürünü tarafından sanallaştırılan sanal donanım ile işletim sistemine denir. Aşağıda yukarıda anlatılan mimariler gösterilmektedir.

Basit bir şekilde sanallaştırma ile ilgili mimari ve kavramlar incelendikten sonra aşağı yapılması gereken adımlar anlatılmıştır.

  • Sanallaştırma ürünlerinin sürümleri güncel tutulmalı ve bu ürünlerin güvenliği ile ilgili duyurular takip edilmelidir.

Bazı sanallaştırma ürünlerinin güvenlik duyurularını aşağıdaki tabloda verilen adreslerden takip edilebilir.

İlgili ürünlerin güncellemeleri yapılmadığı taktirde sanallaştırma ürününün marka-model-sürüm bilgilerini elde eden birisi ilgili açığı kullanarak sisteme saldırabilir.

  • Sanal ve fiziksel sistemler üzerindeki anormal olaylar tespit edilmelidir.

Birçok sistem belirli aralıklarla benzer davranışlar gösterir. Eğer bu tip davranışlar takip edilip, belirlenebilirse ileride meydana gelebilecek olağan dışı davranışlar merkezi kayıt yönetim sistemi veya izleme sistemleri yardımı ile tespit edilebilir.

  • Tek fiziksel sisteminde üstünde çalışan iki sanal sistemin ağ iletişimi fiziksel ağ üzerinden geçmeyeceği için fiziksel sistemler üzerindeki ağ trafiğine gerekli politikalar uygulanmalıdır.

Fiziksel ağ üzerinde uygulanan güvenlik önlemleri aynı zaman da sanallaştırmanın yapıldığı fiziksel sistemler üzerinde de uygulanmalıdır. Sanal sistemler tarafından üretilen ağ trafiği her zaman fiziksel ağı kullanmadan hedef sanal sisteme ulaşabilir.

  • Sanal sistemin imaj ve anlık görüntülerinin(snapshot) alınması, saklanması ve geri yüklenmesi için politika belirlenmelidir.

Sanal sistemlerin imaj ve anlık görüntüleri güvenli, dışarıdan müdahaleye kapalı ortamlarda saklanmalıdır. Başkalarının erişebildiği ortak alanlarda tutulmamalı ve yetkisiz kişilerden alınan imaj ve anlık görüntüler kullanılmamalıdır. İmaj ve anlık görüntü alma işlemi için prosedür tanımlanmadır. Örnek: Yeni kurulan Windows Server 2012 R2 sanal sisteminin imajını almak için aşağıdaki gibi prosedürler tanımlanmalıdır;

  1. Bütün güncellemeler yüklenir
  2. Sanal sistem üzerindeki tüm kişisel ve gizli veriler silinir.
  3. Sanal sitem üzerine herhangi bir hesap,  özel anahtar veya kullanıcı yetkisi yüklenmez.
  4. Sanal sistem üzerindeki uygulama ve güncellemelerin versiyon bilgileri kaydedilir.
  5. Sanal sistemin özet (hash) bilgisi kaydedilir.
  • Anlık görüntü alırken sanal sistem üzerinde özel veri tutulmamasına dikkat edilmelidir.

Sanal sistem çalışırken anlık görüntü alındığında sanal sistemin bellek ve diskindeki tüm veriler de anlık görüntüye kaydedilmiş olur. Çalışan sistem üzerindeki bellekte o an sistemde çalışan uygulamalar ve özellikle kimlik bilgileri bulunabilir. Bu adreste(4) anlatıldığı şekilde sanal sistemin belleği üzerinden parolalar elde edilebilmektedir. Alınan anlık görüntüler ihtiyaç duyulmadığı taktirde silinmelidir.

  • Sanal sistem imajları içerisinde özel veriler barındırılmamalıdır.

Sadece bellekten değil sanal sisteme ait disk imajları üzerinden de özel veriler elde edilebilir. Yukarıda da belirtildiği gibi, ihtiyaç duyulmadıkça çalışan veya kişisel hesapların aktif olduğu sistemlerin imajları alınmamalıdır.

  • İmajları veya anlık görüntüleri alınan sanal sistemler kullanılmadan önce güncellenmelidir.

İmajların içindeki işletim sistemi ve yazılımlar güncellenmediği taktirde, ortaya çıkan güvenlik açıklarına karşı güvensiz hale gelecektir. Mevcut imaj ve anlık görüntülerin içindeki işletim sistemi, yazılımlar sürüm takibi yapılarak güncel tutulmalıdır.

  • İmaj ve anlık görüntülere sızma ve müdahale engellenmelidir.

İmaj ve anlık görüntülere erişebilen bir kişi imajın içine zararlı yazılım ekleyebilir. Daha sonra bu imaj ve anlık görüntüleri kullanan tüm sistemlere otomatik olarak zararlı yazılım bulaşmış olur. Bu tip saldırıları engellemek için imaj ve anlık görüntüler ile ilgili işler için politika oluşturulmalı ve uygulanmalıdır.

  • Sanallaştırma sistemleri farklı seviyelerde yetkilere sahip yönetim hesapları ile yönetilmelidir.

Sanallaştırma uygulamasını yönetenlere ihtiyaçları ölçüsünde yetki verilmelidir. Sistemi yöneten ve kullanan kullanıcıların yetkileri ayrıştırılmalıdır. Örnek olarak 5 tane sanal sistemden sorumlu bir operatör sadece bu sistemler ile ilgili yetkilere gerektiği kadar(açma, kapama vb) sahip olmalı, fakat gereksiz yetkilere(sistem belleğini arttırma) sahip olmamalıdır.

  • Kimlik doğrulama çok faktörlü (kullanıcı adı/parola + token vb) olmalıdır.

Sanallaştırma yönetim uygulamasına erişim tek faktörlü yerine çok faktörlü güvenlik doğrulamalarına tabi tutulmalıdır. Şifre seçme ile ilgili yapılan araştırmaya göre(5) kullanıcılar ön tanımlı(default) veya basit parolalar kullanmaktadır. Kaba kuvvet (brute force) saldırıları ile tek faktörlü güvenlik doğrulamaları atlatılabilmektedir. Çift faktörlü güvenlik doğrulamalarında özellikle oturum bazlı, yani kimlik doğrulama sırasında oturum süresince geçerli olan, parolaların kullanılmasıyla güvenlik seviyesi yükseltilmiş olur. Ek olarak fiziksel “token”ların kullanması güvenliği artıracaktır. Bunların dışında her sanal sistem için eğer merkezi kimlik doğrulama sistemi mevcut değilse, farklı kullanıcı adı, farklı parola gibi ayrı kimlik doğrulama bilgileri kullanılmalıdır. Farklı sanal sistemlerin kullanıcıları başka sistemlere aynı kimlik bilgileri ile girememelidirler.

  • Fiziksel ve sanal sistemler zaman bilgilerini NTP sunucularından almalıdırlar.

Gereksiz bir detay gibi görünmesine rağmen sanal ve fiziksel sistemlerin zaman senkronizasyonu önemli bir konudur. Farklı sistemlerin kayıtlarının incelerken sistem olayları arasında tutarlı bir ilişki kurabilmek veya mesai saatleri dışındaki vpn erişim kısıtlaması uygulanması vb. için sistemlerin saatlerinin senkronize olması gerekmektedir.

  • Gereksiz donanımlar fiziksel ve sanal sistemlerden kaldırılmalı veya kapatılmalıdır.

Sanal sisteme verilen fiziksel sistemin dosya sistemine erişim yetkisi ihtiyaç kalmadığında kaldırılmalıdır. Sanal sistem verilen bu yetki ile fiziksel sistem üzerinde dosya çalıştırabilir. Gereksiz bir ses kartı ya da ağ kartı sanal sistem için saldırı alanı oluşturabilir.

  • Dosya paylaşımı, fiziksel sistem ile sanal sistem arasında “kopyala  – yapıştır” gibi fiziksel ve sanal sistemler arasındaki etkileşimi kolaylaştıran servisler ihtiyaç duyulmadıkça edilmemelidir.

Birçok sanal sistem misafir araçları (guest tools) ile fiziksel veya diğer sanal sistemlere ait dosya, klasör, kopyala-yapıştır belleği ve diğer servislere kolayca ulaşabilirler. Misafir araçlarına genelde bireysel masaüstü sanallaştırma uygulamalarında ihtiyaç duyulmaktadır. Kurumsal sanallaştırma uygulamalarında sistemler arasındaki izolasyonu güvenlik açısından zayıflatan misafir araçları kaldırılmalıdır. Sadece ilgili sanal sistem sürücüleri yüklenmelidir.

  • Fiziksel sistem üzerindeki güvenlik uyarıları, sistem kayıtları takip edilmelidir.

Fiziksel ve sanal sistemler üzerindeki işletim sistemi ve uygulamalar güvenlik ile ilgili uyarılar verebilir veya tutulan kayıtlar (log) içinden güvenlik ile ilgili bilgiler elde edilebilir. Örnek: 10.1.1.1 ip adresi 10.10.1.1 ip adresine sahip sunucuya rdp ile bağlanmak için 1 gün içerisinde 1000 tane  başarısız kimlik doğrulaması gerçekleştirmiş. Mevcut ise sistem kayıtları ile ilgili basit korelasyonlar oluşturulmalıdır.

  • Fiziksel sistemlere fiziksel erişim kısıtlanmalı ve kontrol altına alınmalıdır.

Fiziksel olarak sisteme erişen biri sistemi yeniden başlatabilir, sisteme ait bellek, disk vb yapıları kopyalayıp değiştirebilir, fiziksel sistemi çalışamaz hale getirip fiziksel ve sanal sistemleri tahrip edebilir. Fiziksel erişimi kimlik doğrulama (parmak izi, kart, iris vb. yöntemler) ile kısıtlamak, kamera sistemleri ile de takip etmek gerekmektedir. Ayrıca fiziksel sistemlerin bulunduğu raflar da kilitli tutulmalıdır.

  • Fiziksel sisteme ait gereksiz ve güvenlik açığı oluşturabilecek servisler (rdp,ntp sunucu,telnet, tftp vb.) kapatılmalıdır.

Örneğin kullanılmadığı halde rdp protokolünde ortaya çıkan bir açık sistem için tehlike oluşturacaktır. Ayrıca tftp, ftp  güvensizdir çok gerekmedikçe kullanılmamalıdır.

  • Fiziksel sistem üzerindeki varsayılan olarak gelen özel anahtar ve sertifikalar yenileri ile değiştirilmelidir.

Yeni kurulan bir fiziksel sistem http, ssh vb iletişimde kullanmak için varsayılan özel anahtar ve sertifikalar ile gelir. Bu özel anahtar ve sertifikalar başkaları tarafından aradaki adam (man in the middle) saldırısı için kullanılabilir.

  • Sanal sistemler silinmeden önce sanal disk dosyaları tamamen imha edilmelidir.

Sanal sistemler içerisinde gizli veriler bulunabilir. Sanal sistemin silinmesi sanal disk içindeki verilerin tamamen silindiği anlamına gelmez. Sanal sistem diskindeki verilerin tamamen imha edilmesi için disk sıfırlanmalıdır(sanal disk dosyaları 0 ile doldurulmalıdır).

  • Fiziksel ve sanal sistemlere ait uygulamaların (Windows rdp, Windows güvenlik duvarı, internet explorer vb.) güvenlik seviyeleri arttırılmalı.

Windows Hyper-V gibi işletim sistemine sahip sanallaştırma sistemlerinde çalışan uygulamalar sanallaştırma sistemi açısından da tehlike oluşturmaktadır. Hyper-V yüklü Windows Server işletim sistemlerinde Internet Explorer ile zararlı yazılım içerebilecek web sayfalarını ziyaret etmek ve buralardan dosya indirmek veya Adobe Flash, Java uygulamalarını çalıştırmak ciddi bir risk oluşturacaktır. Gerek duyulmadıkça bu tip uygulamalar yüklenmemeli veya kaldırılmalı varsa güvenlik ayarları maksimum düzeyde yapılandırılmalıdır.

  • Fiziksel ya da fiziksel sistem üstünde çalışan herhangi bir sanal sisteme sızıldığı taktirde, fiziksel sisteme ve tüm sanal sistemlere sızılmış varsayılmalı ve buna göre adımlar atılmalıdır.

Fiziksel veya sanal sisteme sızılmışsa o fiziksel sistem üzerinde bulunan bütün sanal sistemler ve fiziksel sistem sızmaya maruz kalmış gibi algılanmalı ve buna göre tespit, temizleme ve yeniden kurulum işlemleri gerçekleştirilmelidir. Çünkü fiziksel sistem üzerinde kaynak paylaşımı olduğu için farklı sanal sistemlere sızma ihtimali vardır.

  • Yönetim, veri depolama, kullanıcı vb ağlar birbirinden bağımsız olmalı ve izole edilmelidir.

Yönetim ve veri depolama için kullanılan ağ, kullanıcı ağından ayrı olmadığı taktirde kullanıcılar yönetim ve veri depolama fonksiyonlarına erişebilirler. Kaba kuvvet yolu veya sosyal mühendislik elde ettikleri kullanıcı adı parola vb. bilgiler ile bu fonksiyonlara saldırabilirler. Örnek olarak yönetim için 192.168.254.0/24, veri depolama için 192.158.253.0/24, kullanıcı için 192.168.1.0/24 ağları kullanılabilir. Bahsi edilen ağları birbirinden yalıtmak güvenliği arttıracaktır.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu