27 Mart 2012 Salı

Sanallaştırma Güvenliği

VMware vShield Endpoint, VMsafe API ve VMware vCenter ürün ve teknolojileri ile tam entegre olan sanal sunucularda ajan yazılımı kullanmaksızın antivirus ve antimalware denetimi yapabilen sistemler bize sanallaştırma güvenliğini sağlayabilecek çözümlerdir. Bu sayede sanal sunucular üzerinde çok büyük miktarda CPU, RAM ve I/O tasarrufu sağlanıyor.

Yapısında gelişmiş bir IDS/IPS motoruna da sahip olmalıdır. Sunucular sanallaştırma güvenliği çözümleri ile daha güvenli hizmet verme imkanına kavuşuyor.
Web uygulama güvenliği özelliği ile sanallaştırma güvenliği çözümleri SQL Injection ve XSS gibi ataklara karşı koruma sağlayabiliyor olması gerekir.

Stateful Firewall özelliği barındırması sunucuların dış dünya ile iletişimini kontrol altına alabildiği gibi sanal sunucular arasındaki trafik de denetime tabi tutabiliyor olması gerekir.

Application Control özelliği ile sunucular üzerinde sadece istenen uygulamaların çalışmasına izin verilebiliyor.
Sanallaştırma güvenliği çözümleri ajanları ile Integrity Monitoring ve Log Inspection özellikleri aktif edilebiliyor olmalıdır. Bu özellikler kurumların PCI stadardına uyum sağlamasını kolaylaştırıyor.

Windows XP, 7, 2003, 2008, Solaris, Linux ve Unix işletim sistemlerinin çeşitli sürümlerini desteklemesi sanallaştırma güvenliği çözümleri için büyük bir avantaj sağlayabilmektedir.VMware, Citrix XenServer, Microsoft HyperV,Sun Solaris ve Redhat REV sanallaştırma çözümlerini destekliyor olması tercih sebebi olacaktır.

Genellikle sanallaştırma ortamı Vmware kullanılmaktadır. Özellikle Vmware 4.1 versiyonu ile birlikte Hypervisor katmanında gerekli güvenlik korumalarına olanak sağlamaktadır. Vmware ortamlarda kullanılan her ESX server için bir virtual appliance oluşturulmakta ve malware taramaları bu makinada gerçekleştirilmektedir.

Firewall,IPS vb korumalarda yine Hypervisor katmanında sağlanmaktadır.Böylece sanal makinalarımıza bu işlemler için ekstra bir yük oluşmamakta bu da bize performans kazandırmaktadır.
Hypervisor katmanında işlem yapabilmemiz için Vmware Vshield lisansına sahip olmamız ve Vmware ortamlarımızın en az 4.1 versiyonunda olması gerekmektedir.


Genel Mimari

Bu mimariden görebileceğimiz üzere sanallaştırma güvenliğini yöneteceğimiz bir Security Manager sunucumuz olmalıdır. Vmware Vcenter ve Vmware vShield Manager makinalarımız sanal sunucuların yönetildiği merkezi yönetim sunucularıdır. Her bir ESX sunucu üzerinde Hypervisor katmanına yerleşebilmek için bir Filter Driver yüklenmelidir. Bu yükleme sırasında ESX sunucu restart edilmesi gerekiyor.Bu filter driver sayesinde hypervisor seviyesinde gerekli taramalar ve engellemeler yapılabilmektedir.

Ek olarak her bir ESX host üzerinde çalışacak bir Security Virtual Appliance sanal makinasına ihtiyaç bulunmaktadır. Bu makina bir den fazla oluşturularak yedekli bir yapı kurulabilir. Bu sanal makina ile birlikte antivirüs ve antimalware taramalarını bu sanal sunucu gerçekleştirecek olup gerçek makinalarımız üzerinde herhangi bir antivirus ve antimalware taraması yapılmayacaktır. Böylelikle ciddi anlamda performans sağlamış olacağız.
  
Vmware Ortamındaki Yapılandırma

Yapıdan anlaşılacağı üzere herbir ESX üzerinde filter driver ve virtual appliance kurulumları yapılır. Vshield Manager sayesinde de gerekli olan antivirus,antimalware taramaları yapılır. Filter driver ile Firewall,IPS korumaları sağlanacaktır. Sanal sunucuların birbiri ile yaptığı trafikte bile firewall ve IPS özellikleri kullanılabilecektir.

Sanallaştırma güvenliğinin bize sağladığı avantajlar;

Her server üzerine AV,FW,IPS agentları yüklenmesine gerek bulunmamaktadır. Bu sayede hem sistemler üzerine getireceği yükten kurtulmuş oluruz hemde sunucu başına lisanslama durumundan kurtulmuş oluruz.
Sistemlerin yönetilmesi kısmından bakacak olursak ESXler üzerindeki virtual appliance sayımız kadar ajanımız var diye düşünebiliriz. Birçok sunucudaki agentların durumunu sürekli takip edebilmemiz gibi problemi ortadan kaldırmaktadır.

Vmware üzerinde çalışan sistemlerin sahipleri kendi sunucularına bir güvenlik ajanının kurulmasına sıcak bakmamaktadırlar. Performans kaybına sebebiyet verebildikleri için bunu istemezler. Artık sistem sahipleriylede karşı karşıya gelme durumu ortadan kalkmaktadır.
Oluşuturalacak templateler ile her sunucuya ayrı ayrı AV,FW,IPS  ve WAF kuralları uygulanabilecektir. Böylelikle false positive oranları düşürülecektir.

Hiç yorum yok:

Yorum Gönder