TOPIC:

Sanallaştırma, mevcut bulunan fiziksel donanımın sanal makineler (virtual machines) yardımıyla çok daha verimli kullanılabilmesini sağlayan, çeşitli yazılım ve donanım bağımlılıklarını ortadan kaldıran, bu sayede de yeni ürün ve servis geliştirme maliyetlerinde büyük tasarruflar sağlayan bir yazılım çözümüdür.

Windows XP, win7, win2003, win2008, Solaris, Linux ve Unix işletim sistemlerinin çeşitli sürümlerini destekleyen bir mimariye sahip olması gerekmektedir. VMware, Citrix XenServer, Microsoft HyperV, Sun Solaris ve Redhat REV sanallaştırma yapılarında genel olarak kullanılan çözümlerdir.

Oluşturulan bu sanal dünyadaki en önemli sorunlardan biri bu yapıların güvenliğinin nasıl sağlanacağıdır. Bu konuyla ilgili güvenlik firmalarının eğilimleri göz ardı edilemeyecek büyüklüğe ulaşmaktadır.

Sistem güvenliği için sunucular üzerine kurulan Antivirüs, Host Firewall, HostIPS, Application Control vb. güvenlik çözümlerinin ajanları bulunmaktadır. Bu ajanlarda sistem üzerinde ciddi performans sorunlarına sebep olabilmektedir. Özellikle yüksek seviyede kullanılan database sunucuları, mail sunucuları, domain controller sunucularında ciddi performans problemleri oluşturabilmektedir. Sistem yöneticileride bu durumda güvenlik ajanlarının durdurulmasını yada sistemden kaldırılması gibi taleplerle karşınıza geliyor olabilir. Bu tarz durumlarda hem sistemin performanslı bir şekilde çalışmasını hemde güvenliğini en üst seviyede sağlayabilmemiz için sanallaştırma güvenliğine ihtiyaç duyulmaktadır.

Sanallaştırma güvenliği yapısında hypervisor katmanına yerleşen filtreler sayesinde gerekli olan bütün korumalar sağlanabilmektedir. Özellikle Vmware 4.1 sürümüyle birlikte güvenlik çözümleri Hypervisor katmanına yerleşebilecek mimarileri oluşturmaya başlamışlardır.

Sanallaştırma Güvenliği Mimarisini incelersek;
resim-1.jpg
Mimariden anlaşılacağı üzere Vmware ortamlarda kullanılan her ESX server için bir virtual appliance oluşturulmakta ve malware taramaları bu makinada gerçekleştirilmektedir.

Firewall, IPS vb. korumalarda yine Hypervisor katmanında sağlanmaktadır. Böylece sanal makinalarda bu işlemler için ekstra bir yük oluşmamakta bu da bize performans kazandırmaktadır.

Hypervisor katmanında işlem yapabilmemiz için Vmware Vshield lisansına sahip olmamız ve Vmware ortamlarımızın en az 4.1 versiyonunda olması gerekmektedir.

resim-2.jpg
Mimariden görülebileceği üzere sanallaştırma güvenliğini yöneteceğimiz bir Security Manager sunucusu olmalıdır. Vmware Vcenter ve Vmware vShield Manager makinalarımız sanal sunucuların yönetildiği merkezi yönetim sunucularıdır. Her bir ESX sunucu üzerinde Hypervisor katmanına yerleşebilmek için bir Filter Driver yüklenmelidir. Bu yükleme sırasında ESX sunucunun restart edilmesi gerekiyor. Bu filter driver sayesinde hypervisor seviyesinde gerekli taramalar ve engellemeler yapılabilmektedir.

Ek olarak her bir ESX host üzerinde çalışacak bir Security Virtual Appliance sanal makinasına ihtiyaç bulunmaktadır. Bu makina bir den fazla oluşturularak yedekli bir yapı kurulabilir. Bu sanal makina ile birlikte antivirüs ve antimalware taramalarını bu sanal sunucu gerçekleştirecek olup gerçek makinalarımız üzerinde herhangi bir antivirus ve antimalware taraması yapılmayacaktır. Böylelikle ciddi anlamda performans sağlamış olacağız.

Sanallaştırma Güvenliğinin Faydaları;
Sanal sunucularda ajan yazılımı kullanmaksızın antivirus ve antimalware denetimi yapabilmesi

Sanal sunucular üzerinde çok büyük miktarda CPU, RAM ve I/O tasarrufu sağlayabilmesi.

Gelişmiş bir IDS/IPS motoru sayesinde ajansız ataklara karşı sanal sunucuların korunması

Stateful Firewall özelliği barındırması sunucuların dış dünya ile iletişimini kontrol altına alabildiği gibi sanal sunucular arasındaki trafik de kontrol altına alınabilmekte

Engellenen saldırıları ve politika uyumluluk durumunu belgeleyen detaylı ve denetlenebilir raporlar sunuyor olması

Application Control özelliği ile sunucular üzerinde sadece istenen uygulamaların çalışmasına izin verilebiliyor olması

Merkezi olarak yönetilen, çok amaçlı bir yazılım aracı yada sanal cihaz ile, birden fazla yazılım istemcisinin uygulama maliyetini ortadan kaldırması

Şüpheli faaliyet ve davranışları tanıyıp,proaktif ve koruyucu önlemler sunabilmesi

Web uygulama güvenliği özelliği SQL Injection ve XSS gibi ataklara karşı koruma sağlanabilmesi

Integrity Monitoring ve Log Inspection özelliklerinin bulunması. Bu özellikler kurumların PCI standardına uyum sağlamasını kolaylaştırıyor.

Yapısındaki security baseline lar sanal sunuculara uygulanarak o sunucu üzerinde kullanılan uygulamalar ve açık olan portlara göre sizlere bir koruma template i oluşturabilmesi

Her sanal sunucuya farklı güvenlik politikalarının kolay ve hızlı bir şekilde uygulanabilmesi

Log Management ürünleriyle tam entegrasyon

Sanallaştırma güvenliğini sağlayan yönetim arabiriminden Fiziksel Makinalarada yükleyeceğimiz ajanımız ile bu sunucularında güvenliğini sağlanabilmesi

Sistemlerin yönetilmesi kısmından bakacak olursak ESXler üzerindeki virtual appliance sayımız kadar ajanımız var diye düşünebiliriz. Birçok sunucudaki ajanların durumunu sürekli takip edebilmemiz gibi problemi ortadan kaldırmaktadır.

Sanal sistemler üzerinde çalışan sistemlerin sahipleri kendi sunucularına bir güvenlik ajanının kurulmasına sıcak bakmamaktadırlar. Performans kaybına sebebiyet verebildikleri için bunu istemezler. Artık sistem sahipleriylede karşı karşıya gelme durumu ortadan kalkmaktadır.