ESXI Security Temelleri

Güvenlikten bahsederken genelde ilk akla gelen noktalar network,OS ve uygulamalar olmaktadır, doğal olarak güvenlik uzmanlarının öncelikli hedefi bu ögelerin korunması ve izlenmesi üzerine olmakta. Sanallaştırmanın bu kadar önem kazandığı günümüzde artık saldırganlar hypervisor’ımızı da tehdit etmeye başladılar.  Bu yazımda bazı basit ama önemli olduğunu düşündüğüm güvenlik tüyolarından bahsedeceğim.

ESXI Host:

ESXI hostunuz üzerinde yapabileceğiniz birkaç basit güvenlik önemli vardır. Bunlar sunucuya erişimin sınırlandırılması, firewall kurallarının gözden geçirilmesi ve gereksiz servislerin kapatılması olabilir. ESXI bize uzaktan terminale erişim için iki farklı yol önermektedir. Bu yöntemlerden biri KVM, ILO veya IDRAC yardımıyla sunucuya başlanıp ESXI Shell üzerinden erişebilir veya uzaktan SSH üzerinden erişebiliriz. Eğer kullanmıyorsan SSH’ı mutlaka kapatmanızı öneriyorum ve kullansanız da kullanmazsanız da timeout değerini mümkün olduğunca düşük tutmanız gereklidir.

  • ESXI host KVM yardımıyla bağlanıp F2’e basıp “configuration mode’a” geçelim.
  • Configuration Mode içerisinde “Troubleshooting Mode Options” kısmına gelelim. Buradan SSH ve ESXI Shell’i kapatabiliriz ve her ikisi için timeout değerini ayarlayabiliriz.

ESXI Security - Shell

 

Eğer ESXI hostu bir vCenter’a dâhilse system customization altında “configuration lockdown mode’u” enable edebiliriz. Bu sayede ilgili host’a sadece vCenter üzerinden erişilebilir. Bu özellik eğer fiziksel güvenliğinden şüphe ettiğiniz lokasyonlar için idealdir.

SSH’a mutlaka ihtiyacınız varsa SSH’ın sadece sertifika yüklü kullanıcıları kabul etmesini sağlayabilirsiniz, bu size şifre korumasına göre daha iyi bir güvenlik sağlayacaktır. ESXI’ın üzerinde çalışan servisleri kontrol etmek veya firewall kurallarını değiştirmek için vSphere client ile host’a bağlanalım. Navigasyon barından Configuration ve gelen menülerden “Security Profile’ı” seçelim.

ESXI Security - Security Profile

Buradan hem servisleri hem de firewall kurallarını ayarlayabiliriz, firewall’da portları değiştirmek yerine sadece belli bir ip grubuna izin vermek daha sağlıklı olacaktır. Bu sayede hem mevcut hem de ileride oluşturacağımız entegrasyonlar açısından daha az sorun çıkar. Bunun için firewall kısmında ki “Properties” bağlantısına basalım ve gelen pencerede istediğimiz kuralı seçip “Firewall” tuşuna basalım ve “Only allow connections from the following networks” seçeneğini seçelim.

ESXI Security - Firewall allow

Bu önerilerimin yanında mutlaka ESXI hostlarını AD’e ekleyiniz ve ssh veya vsphere client ile yapılan tüm bağlantıları root yerine kendi domain kullanıcınızla gerçekleştiriniz. Bu konu hakkında daha önce yazdığım yazıya buradan ulaşabilirsiniz.
Host seviyesinde yukarda yazdıklarımın yanında daha ileri seviyelerde vShield,NSX ve Intel TXT gibi güvenlik önemlerini de kullanabilirsiniz. Bunların her biri ayrı bir yazı serisi olduğundan dolayı bu yazımda değinemeyeceğim.

Guest Virtual Machine:

OS seviyesinde ki güvenlik önemleri bizim kapsamımız dışında olduğundan dolayı burada sadece sanallaştırma tarafını ilgilendiren önerilerde bulunacağım.

  • Gereksiz tüm cihazları VM üzerinden kaldırın bu sadece güvenlik için değil aynı zamanda performans içinde uygulanabilecek bir öneridir.
  • VMTools ve VM Hardware’i mümkün olduğunca güncel tutunuz bunlar VM üzerinde ki driverlar olduklarından dolayı aynı şekilde güvenlik ve performansı direk etkilemektedirler.
  • Eğer VMware workstation’dan ESXI’a bir vm kopyaladıysanız beraberinde “unity” bir özelliği beraberinde getirmektedir. Bilinen negatif bir etkisi olmamasına rağmen canlı ortamlarınızda eğer böyle bir VM varsa “Edit Settings->Advanced->Edit Configuration” kısmından “isolation.tools.unity.disable” satırını TRUE olarak ayarlarınız.
  • VM’lere Console üzerinden copy/paste yapabilmemiz ön tanımlı olarak kapalıdır. Bunu mümkünse açmanızı da önermem, kendi çalıştığınız PC’deki clipboard’a bir VM’in erişebilmesinin belli riskleri vardır.
  • Eğer bir kişi veya gruba VM’leri vSphere client ile yönetmeleri için yetki vermeniz gerekiyorsa neye ihtiyaçları olduğunu iyicene öğrenin ve sadece o fonksiyonları tanımlayın. Başka bir tavsiyemse bir klasör yaratıp VM’leri bu klasör üzerinde toplayıp izni klasöre vermenizdir. Böylelikle VM üzerinden yetki almanız veya aynı kişilere başka VM için yetki vermeniz kolaylaşır.

Yukarıda ki önerilerimin çoğunu ve daha fazlasını Vmware’in ESXI hardening guide’ında bulabilirsiniz.

Okuduğunuz için teşekkür ederim.

Bu blog yazısı Emre Bozlak tarafından paylaşılmıştır. Referans vererek istediğiniz gibi kullanabilirsiniz. Eğer bir sorunuz olursa eposta veya sosyal medya hesaplarım üzerinden bana ulaşabilirsiniz. Yazılarımı Twitter'dan @emrebozlak veya RSS üzerinden takip edebilirsiniz.

Leave a comment