Tags: , , , , , | Categories: Güvenlik, Sanal Sunucu Posted by Editorial on 13.06.2014 18:39 | Yorumlar (0)

Bu yazının orjinalini ve tam metnini http://www.bilgiguvenligi.gov.tr/sanallastirma-guvenligi/21-adimda-sunucu-sanallastirma-guvenligi.html adresinde bulabilirsiniz.

Bu yazıda herhangi bir sanallaştırma ürününden bağımsız olarak sunucu sanallaştırma güvenliği için alınabilecek önlemler sıralanacaktır. Bundan sonra sunucu sanallaştırma kısaca sanallaştırma olarak ifade edilecektir. Sanallaştırma ürünleri mimari olarak iki farklı yapıya sahiptir:

Sadece sanallaştırma fonksiyonlarına sahiptir. Sanallaştırma fonksiyonları sanal makinaların oluşturulması, çalıştırılması gibi işlemleri içerir. Buna örnek olarak Vmware ESXi, Windows Hyper-V, RHEV’i verilebilir.

Fonksiyonel sunucu işletim sistemini üzerine sanallaştırma fonksiyonun eklenmesi ile çalışan sistemlerdir. HTTP sunucusu, DHCP sunucusu gibi fonksiyonlara ek olarak sanal makinaların oluşturulması, çalıştırılması gibi işlemleri içerir. Buna örnek olarak da Windows Hyper-V, Xen, RHEL üzerine kurulmuş KVM verilebilir.

Windows Hyper-V müstakil (stand alone) ve Windows Server Özelliği (Windows Server Feature) olarak iki şekilde kullanılabildiği için her iki kategoriye de dahil edilmiştir. KVM de aynı şekilde RHEV ve RHEL üzerine kurulmuş KVM ile iki kategoriye de dahil edilmiştir.

Fiziksel sistem fiziksel bir donanım(sunucu donanımı) ile işletim sistemini içerir. Burada işletim sistemi yukarıda bahsi geçen 1. Tip ya da 2. Tip sanallaştırma ürününü ifade etmektedir. Sanal sistem ise sanallaştırma ürünü tarafından sanallaştırılan sanal donanım ile işletim sistemine denir. Aşağıda yukarıda anlatılan mimariler gösterilmektedir.

  1. Sanallaştırma ürünlerinin sürümleri güncel tutulmalı ve bu ürünlerin güvenliği ile ilgili duyurular takip edilmelidir.
  2. Sanal ve fiziksel sistemler üzerindeki anormal olaylar tespit edilmelidir.
  3. Tek fiziksel sisteminde üstünde çalışan iki sanal sistemin ağ iletişimi fiziksel ağ üzerinden geçmeyeceği için fiziksel sistemler üzerindeki ağ trafiğine gerekli politikalar uygulanmalıdır.
  4. Sanal sistemin imaj ve anlık görüntülerinin(snapshot) alınması, saklanması ve geri yüklenmesi için politika belirlenmelidir.
  5. Anlık görüntü alırken sanal sistem üzerinde özel veri tutulmamasına dikkat edilmelidir.
  6. Sanal sistem imajları içerisinde özel veriler barındırılmamalıdır.
  7. İmajları veya anlık görüntüleri alınan sanal sistemler kullanılmadan önce güncellenmelidir.
  8. İmaj ve anlık görüntülere sızma ve müdahale engellenmelidir.
  9. Sanallaştırma sistemleri farklı seviyelerde yetkilere sahip yönetim hesapları ile yönetilmelidir.
  10. Kimlik doğrulama çok faktörlü (kullanıcı adı/parola + token vb) olmalıdır.
  11. Fiziksel ve sanal sistemler zaman bilgilerini NTP sunucularından almalıdırlar.
  12. Gereksiz donanımlar fiziksel ve sanal sistemlerden kaldırılmalı veya kapatılmalıdır.
  13. Dosya paylaşımı, fiziksel sistem ile sanal sistem arasında “kopyala  - yapıştır” gibi fiziksel ve sanal sistemler arasındaki etkileşimi kolaylaştıran servisler ihtiyaç duyulmadıkça edilmemelidir.
  14. Fiziksel sistem üzerindeki güvenlik uyarıları, sistem kayıtları takip edilmelidir.
  15. Fiziksel sistemlere fiziksel erişim kısıtlanmalı ve kontrol altına alınmalıdır.
  16. Fiziksel sisteme ait gereksiz ve güvenlik açığı oluşturabilecek servisler (rdp,ntp sunucu,telnet, tftp vb.) kapatılmalıdır.
  17. Fiziksel sistem üzerindeki varsayılan olarak gelen özel anahtar ve sertifikalar yenileri ile değiştirilmelidir.
  18. Sanal sistemler silinmeden önce sanal disk dosyaları tamamen imha edilmelidir.
  19. Fiziksel ve sanal sistemlere ait uygulamaların (Windows rdp, Windows güvenlik duvarı, internet explorer vb.) güvenlik seviyeleri arttırılmalı.
  20. Fiziksel ya da fiziksel sistem üstünde çalışan herhangi bir sanal sisteme sızıldığı taktirde, fiziksel sisteme ve tüm sanal sistemlere sızılmış varsayılmalı ve buna göre adımlar atılmalıdır.
  21. Yönetim, veri depolama, kullanıcı vb ağlar birbirinden bağımsız olmalı ve izole edilmelidir.

Yorum ekle




biuquote
  • Yorum
  • Canlı önizleme
Loading