Hipervizör güvenliği, sanallaştırılmış altyapıyı korumak için kritik bir temeli temsil eder, çünkü hipervizör düzeyinde tek bir uzlaşma potansiyel olarak bu ana bilgisayarda çalışan tüm sanal makineleri açığa çıkarabilir.
Sanallaştırılmış ortamların güvenliği, hipervizörün kendisi, sanal makineler, ağ izolasyonu, erişim kontrolleri ve izleme sistemleri de dahil olmak üzere çoklu katmanlarda kapsamlı sertleştirme önlemlerinin uygulanmasına bağlıdır.
Bu teknik kılavuz, büyük hipervizör platformlarını güvence altına almak, hem acil güvenlik endişelerini hem de gelişen tehditlere karşı uzun vadeli esnekliği ele almak için ayrıntılı uygulama stratejileri ve yapılandırma örnekleri sunmaktadır.
Hipervisör güvenlik temellerini anlamak
Hipervisör güvenliği, ilk dağıtımdan devam eden yönetim ve nihai hizmetten çıkarma boyunca tüm yaşam döngüsü boyunca sanallaştırma yazılımının korunmasını kapsar.
Hipervizör güvenliğinin kritik doğası, hipervizörün kontrolünü ele geçiren saldırganların o hipervizörün altındaki her sanal makineye ve her VM içinde saklanan tüm verilere erişebilmesinden kaynaklanmaktadır.
Bu ayrıcalıklı pozisyon, Hipervizörü 2009 yılından bu yana KVM’de tanımlanan 41 konuk tetiklenebilir CVVE tarafından gösterildiği gibi, hipervizörü sofistike saldırılar için cazip bir hedef haline getiriyor.
Sanal makineler, cihaz emülasyonundaki güvenlik açıkları, paylaşılan donanım önbellekleri, ağ arayüzleri veya doğrudan donanım erişim mekanizmalarında izolasyonlarından potansiyel olarak kaçabilir.
Ek olarak, genellikle kapsamlı öğretim öykünme yeteneklerini ve cihaz modellerini içeren modern hipervizörlerin karmaşıklığı, sistematik olarak ele alınması gereken çok sayıda potansiyel saldırı vektörü oluşturur.
Platforma özgü güvenlik sertleştirme
VMware ortamları ESXI ana bilgisayarları, vCenter sunucusu ve sanal makineler arasında kapsamlı sertleştirme gerektirir.
Temel güvenlik önlemi, VCenter Server aracılığıyla temel hizmetlere erişimi ve yönetim operasyonlarını zorlayan ESXI ana bilgisayarlarında kilitleme modunun etkinleştirilmesini içerir.
ESXI’da normal kilitleme modu yapılandırmak için:
bash# Via ESXi Shell
vim-cmd hostsvc/advopt/update Annotations.WelcomeMessage string "UNAUTHORIZED ACCESS PROHIBITED"
vim-cmd hostsvc/advopt/update Config.HostAgent.plugins.solo.enableMob bool false
vim-cmd hostsvc/advopt/update UserVars.ESXiShellTimeOut long 600
Katı kilitleme modu uygulaması için:
bash# Disable DCUI completely in strict mode
vim-cmd hostsvc/advopt/update DCUI.Access string ""
vim-cmd hostsvc/advopt/update Security.PasswordQualityControl string "similar=deny retry=3 min=disabled,disabled,disabled,disabled,15"
VMware’in Sertleştirme Kontrol Listesi birkaç kritik vurgu konfigürasyonlar. Önyükleme işlemi sırasında yalnızca imzalı kodun yürütülmesini sağlamak için hem ESXI ana bilgisayarlarında hem de sanal makinelerde UEFI güvenli önyükleme etkinleştirilmelidir.
Sorun giderme için gerekli olmadıkça SSH erişimi devre dışı bırakılmalıdır. Etkinleştirildiğinde, oturum zaman aşımı ve sınırlı erişimi içermelidir.
Essential VCenter Server Sertleştirme en az ayrıcalık ilkesi. VCenter’a bağlanan uygulamalar için özel hizmet hesapları oluşturun:
bash# PowerCLI example for creating restricted service account
New-VIRole -Name "BackupServiceRole" -Privilege "Datastore.Browse", "VirtualMachine.State.CreateSnapshot"
New-VIPermission -Entity $datacenter -Principal "DOMAIN\BackupService" -Role "BackupServiceRole"
KVM Güvenlik Uygulaması
KVM Güvenlik Sertleşmesi, performansı korurken konuk tarafından erişilebilir saldırı yüzeyinin azaltılmasına odaklanır.
Google’ın KVM sertleşmesine yaklaşımı, kullanılmayan bileşenlerin kaldırılması da dahil olmak üzere birkaç etkili teknik göstermektedir.modern sanallaştırılmış ortamlarda nadiren ihtiyaç duyulan eski fare sürücüleri ve kesintiye uğrayan kontrolörler gibi.
KVM’yi bölünmüş bir IRQ çip mimarisi ile uygulamak, kesintiye uğratma işlemini kullanıcılara taşıyarak saldırı yüzeyini azaltır:
bash# QEMU command line with split irqchip
qemu-system-x86_64 -machine q35,kernel_irqchip=split \
-cpu host,+vmx \
-enable-kvm \
-device virtio-net-pci,netdev=net0 \
-netdev tap,id=net0,script=/etc/qemu/qemu-ifup
KVM’de bellek güvenliği, yan kanal saldırılarını önlemek için dikkatli bir yapılandırma gerektirir. Rowhammer saldırılarını önlemek için çok kiracılı ortamlarda çekirdek aynı sayfa birleştirme (KSM) devre dışı bırakılmalıdır:
bash# Disable KSM
echo 0 > /sys/kernel/mm/ksm/run
systemctl disable ksm
systemctl disable ksmtuned
Selinux ile SVIRT uygulamak, KVM sanal makineleri için zorunlu erişim kontrolü sağlar:
bash# Configure SELinux for sVirt
setsebool -P virt_use_nfs 1
setsebool -P virt_use_samba 1
getsebool -a | grep virt
Xen Hipervisor Güvenliği
Xen Security, potansiyel olarak savunmasız bileşenleri izole etmek için sürücü alanlarını ve saplama alanlarını kullanır. Aygıt modeli saplama alanları, QEMU işlemlerini DOM0’da çalıştırmak yerine izole alanlara taşıyın:
bash# Xen configuration for stub domains
device_model_stubdomain_override = 1
device_model_stubdomain_seclabel="system_u:system_r:domU_t"
Xen ortamlarında ağ güvenliği, ağ izolasyonu için sürücü alanlarının uygulanmasını gerektirir:
bash# Xen network driver domain configuration
vif = ['bridge=xenbr0,script=vif-bridge']
extra="xencons=tty console=tty1"
disk = ['phy:/dev/vg0/netvm,xvda,w']
Ağ güvenliği ve tecrit
Ağ segmentasyonu, sanallaştırılmış ortamlar için temel bir güvenlik kontrolünü temsil eder. Sanal LAN (VLAN) yapılandırması, farklı güvenlik bölgeleri arasında katman-2 izolasyonu sağlar:
bash# VMware vSphere VLAN configuration
esxcli network vswitch standard portgroup add -p "DMZ_Network" -v "vSwitch0"
esxcli network vswitch standard portgroup set -p "DMZ_Network" --vlan-id 100
KVM ortamları için Open VSWITCH, güvenlik özelliklerine sahip gelişmiş ağ özellikleri sağlar:
bash# Open vSwitch VLAN configuration
ovs-vsctl add-br ovsbr0
ovs-vsctl add-port ovsbr0 vnet0 tag=100
ovs-vsctl set port vnet0 vlan_mode=access
Ağ politikalarının uygulanması, dikkatli güvenlik duvarı yapılandırması gerektirir. ESXI Host Güvenlik Duvarları, Yönetim Arabirimlerine Erişimi Kısıtlamalıdır:
bash# ESXi firewall rule for management access
esxcli network firewall ruleset set --ruleset-id sshServer --enabled false
esxcli network firewall ruleset rule add --ruleset-id sshServer --direction inbound --protocol tcp --porttype dst --portbegin 22 --portend 22
Erişim kontrolü ve kimlik doğrulaması
Çok faktörlü kimlik doğrulama (MFA) uygulaması hipervizör yönetimi için gereklidir arayüzler. Active Directory ile VMware vSphere entegrasyonu merkezi kimlik doğrulama sağlar:
powershell# PowerCLI vCenter SSO configuration
$spec = New-Object VMware.Vim.SsoAdminPrincipalManagementServiceSpec
$spec.Name = "DOMAIN.LOCAL"
$spec.FriendlyName = "Corporate Directory"
$spec.Type = "Microsoft Active Directory"
Get-View $vCenterSSO.ExtensionManager
Rol tabanlı erişim kontrolü uygulaması, minimum gerekli olan özel rollerin tanımlanmasını gerektirir ayrıcalıklar:
bash# vSphere custom role creation
$privileges = @("System.Anonymous", "System.View", "System.Read")
$role = New-VIRole -Name "ReadOnlyOperator" -Privilege $privileges
Hesap kilitleme politikaları kaba kuvvet saldırılarını önler:
bash# ESXi account lockout configuration
vim-cmd hostsvc/advopt/update Security.AccountLockFailures long 5
vim-cmd hostsvc/advopt/update Security.AccountUnlockTime long 900
İzleme ve günlüğe kaydetme
Kapsamlı günlüğü, güvenlik olaylarının ve uyumluluğun tespitini sağlar raporlama. ESXI Syslog yapılandırması günlükleri merkezi koleksiyonculara iletmelidir:
bash# ESXi remote logging configuration
esxcli system syslog config set --loghost="192.168.1.100:514"
esxcli system syslog config set --logdir="/vmfs/volumes/datastore1/logs"
esxcli system syslog reload
SIEM entegrasyonu yapılandırılmış günlük formatları gerektirir. KVM ortamları için, AuditD’yi yapılandırmak ayrıntılı sistem çağrısı izleme sağlar:
bash# Audit rules for KVM monitoring
-w /etc/libvirt/ -p wa -k libvirt_config
-w /var/lib/libvirt/ -p wa -k libvirt_images
-a always,exit -F arch=b64 -S open -S openat -F dir=/var/lib/libvirt -F success=1 -k libvirt_access
Çözüm
Sanallaştırılmış ortamların güvence altına alınması, hipervizör sertleştirme, ağ izolasyonu, erişim kontrolleri ve sürekli izlemeyi ele alan çok katmanlı bir yaklaşım gerektirir.
Platforma özgü uygulamalar VMware vSphere, KVM, Xen ve Hyper-V arasında önemli ölçüde farklılık gösterir; Bununla birlikte, yaygın ilkeler arasında saldırı yüzeylerinin azaltılması, güçlü kimlik doğrulaması uygulanması, mevcut güvenlik yamalarının korunması ve kapsamlı bir günlük oluşturma yer alır.
Kuruluşlar standartlaştırılmış sertleştirme prosedürleri geliştirmeli, düzenli olarak yapılandırmaları denetlemeli ve sanallaştırılmış altyapı için açıkça tasarlanmış olay müdahale yeteneklerini korumalıdır.
Modern hipervismanların karmaşıklığı, gelişmekte olan tehditlere devam eden uyanıklık ve adaptasyon talep ederek güvenliği, sonradan düşünmekten ziyade sanallaştırma mimarisinin ayrılmaz bir parçası haline getirir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!