Hyper-V Server Guarded Fabric Mimarisi

Sanallaştırma teknolojilerinin gelişmesi ile birlikte sunucular ve uygulamalar üzerinde zafiyetleri arttı. Hyper-V Server ve Vmware sunucu sanallaştırma platformları kullanırken farkında olmadan güvenlik risklerine sahip olduk.

Windows Server 2016 yenilikleri arasında bulunan Hyper-V Guarded Fabric mimarisi oluşan bu güvenlik açıklarını kapatmak için geliştirildi. Bu teknoloji sonrası Hyper-V Server artık Guarded Host olarak anılmaktadır.

Sunucular, kurum içi bir ortamda çalıştıklarında, sunucuların sorumluları genellikle onların güvenliklerini sağlamak için de sorumludur.  Çoğu zaman, güvenlik duvarları ve devriye gezen güvenlik görevlileri ile birlikte, sunucular güvenli bir fiziksel veri merkezinde, güvenli odalar içinde barınırlar.

Biz bu odalara veri merkezleri ve datacenter olarak adlandırmak-tayız.

Ayrıca kuruluşlar, sunucu sabit disklerini şifrelemek için Güvenilen Platform Modülleri’ni (TPM, Bitlocker Encryption) gibi teknolojileri kullanabilir ve bu çözümler ile korunaklı bölge içinde barınan sunucuların veri merkezi içinde de güvenli bir şekilde barınmasını gerçekleştirebilirler.

Fakat, günümüzde yaygınlaşan sunucu sanallaştırma ortamlarında aynı korumaları sağlamamız zordur ve Windows Server 2016 Guarded Fabric kavramından önce pek mümkün değildi. Hyper-V Guarded Fabric makale serisinde Windows Server 2016 ile birlikte gelmiş olan yeni bir kavramı inceleyeceğiz ve Host Guardian Service Rolü tasarımı ve önemini inceleyeceğiz.

Bu güne kadar, sanallaştırma teknolojilerinin sağlamış olduğu avantajları konuştuk ve bunları kullandık. Sanallaştırma ortamları avantajlı oldukları kadar bir güvenlik açığına sahip teknolojilerdir. Hyper-V Server olsun VMware Sunucu Sanallaştırma platformu olsun, bu güvenlik açığı platform bağımsız oluşmaktadır. Özellikle üçüncü firmaların sağlamış olduğu Datacenter içinde sunucularımız varsa.

Bu makale göz yumduğumuz, belki de farkında olmadığımız güvenlik risklerine nasıl çözümler üreteceğimizi ve sanallaştırma platformlarının nasıl daha güvenli duruma getirileceğini konuşacağız.

Bu makale içinde odaklanacak olduğumuz konu Windows Server 2016 işletim sisteminin yeni özelliği olan Hyper-V Guarded Fabric kavramını, avantajlarını paylaşacağız.

Guarded Fabric Mimarisi Nedir?

Guarded Fabric Mimarisi, Windows Server 2016 ile birlikte Hyper-V sanal makinelerinin tehlikeye düşmesini engellemek için geliştirmiş yeni bir teknolojidir. Sanal Platformların korunmasına yardımcı olmak, sanal makine verilerinin çalınmasını ve yetkisiz kişiler tarafından kullanılmasını engellemek için tasarlanmıştır.

Unutmayalım, bir sanal makine Vhd, Vhdx ve VM Config ve türevlerini içeren sadece bir dosyadır. Hyper-V Server yade VMware  Sanallaştırma teknolojisi olsun. Bu her sanallaştırma platformunun temel özelliğidir. Ayrıca, bulut tabanlı sanal makineler içinde bu tehlikeler bulunmakta ve onlarda güvenlik önlemlerine ihtiyaç duymaktadır.

Hyper-V Guarded Fabric çözümü ile Yönetici tarafından Güvenilen Onaylama (Active Directory Based Admin Trusted) ve TPM güvenilir onaylama (TPM-trusted attestation) arasındaki farkları inceleyeceğiz ve Windows Server 2016 ile birlikte gelen Key Protection Server rolü hakkında bilgiler aktaracağız.

Hyper-V Guarded Fabric kavramı Shielded VM özelliğine sahip sanal makineleri  güvenli bir ortam içinde barındırmak ve çalıştırmak için geliştirilmiştir. Windows Server 2016 ile birlikte kullanılmaya başlayan yeni bir güvenlik teknolojidir.

Virtualization Fabric DesignHatırlayalım, bir sanal makine sadece bir dosyadır ve bu sanal makinenin dosyaları bir organizasyon içinden çıkarsa  bu sanal makine aynı özelliklere sahip başka bir sanallaştırma platformu üzerinde çalıştırılabilir.

Biliyoruz ki, çalınan sadece sanal makine dosyaları değil. Çalınan sanal makinenin içinde bulunan kurum verileridir. Sanallaştırma teknolojisinin yaygınlaşması ile birlikte bu risk gün yüzüne çıkmış ve Hyper-V Guarded Fabric kavramı oluşmuştur.

Çünkü, geleneksel yöntemde, korunaklı bir sistem odası içinde bulunan fiziksel bir sunucuyu çalmak neredeyse imkansızdır.

Hyper-V Guarded Fabric kavramı Windows Server 2016 ile birlikte konuşulmaya başlanmış olsa bile Windows Server 2012 ile birlikte bu güvenlik açığı hakkın da bizlere ip ucu vermişti.

System Center Virtual Machine manager yardımıyla Virtulization Fabric mimarilerin önemini ve alınması gerekli olan çözümleri gün yüzüne çıkartmıştı. Depolama ve ağ birimlerinde oluşabilecek arıza ve saldırılar için Virtulization Fabric mimarileri bu gün çok fazla konuşmaya başladığımız Private Cloud kurulumları ve Tenants seviyesinde güvenlik delegasyonlarını konuşmaya başlamıştık.

8 Mart 2012 tarihinde gerçekleştirmiş olduğum Virtual Machine Manager Yenilikleri konu başlıklı seminer içinde Tenants User ve Cloud Oluşturulması bölümlerinde bu mimari hakkında bilgiler aktarmış, oluşabilecek risklerden bahsetmiştim.

Sanal makineler, Sanallaştırma platformunu yöneten bir uzman tarafından sadece bir sanal makine olsa bile, o sanal makinenin sahibi için çok kritik bir sunucudur. Active Directory ortamını yöneten kişi için Domain Controller sunucusunun önemini, Veri ambarı yöneticisi için SQL Serverin önemini tartışmamız yersizdir.

Fakat, sanal makinenin sahibi tarafından, sanallaştırma platformunun yöneten kişiye sanal makinenin önemi, kritik seviyesi aktarılmadığı sürece Sanallaştırma Platformunun yöneticisi tarafından o sanal makine sadece bir dosya olmaktan başka bir şey ifade etmeyecektir.

Bu nedenle, etki alanı denetleyicileri, hassas dosya sunucuları ve İnsan Kaynakları bilgileri gibi yüksek değerli varlıkları korumak en önceliklidir ve sanallaştırma platformu yöneticilerine bu bilgiler sunucu sahipleri tarafından özellikle belirtilmelidir.

Fabric ve Tenants terimleri ile Windows Server 2012 işletim sistemi ile tanıştık. Hyper-V Guarded Fabric , shielded VM ve Guarded Host terimleri ile Windows Server 2016 ile birlikte tanışmış durumdayız.

Windows Server 2016 ile birlikte Fabric Mimarisinin güvenliği üst seviyeye çıkartılmak istenildiği zaman Guarded Fabric Mimarisinden konuşmamız gerekmektedir. Hyper-V Server artık Guarded Host olarak anılmalı üzerinde çalışan sanal makineler ise Shielded VMs olarak isimlendirilmektedir.

Shielded VM olarak adlandıracak olduğumuz korunaklı sanal makineler, TPM’ye sahip, BitLocker Sürücü Şifrelemesi kullanılarak şifrelenen ve yalnızca sağlıklı ve onaylanmış Guarded Host üzerinde çalışabilmektedir. Shielded VM yapılandırması için ayrı bir makale hazırlıyorum ama şimdiden bilmeniz gerekli olan en önemli gereksinim Shielded VM olarak yapılandırılacak olan bir sanal makinenin Hyper-V Server üzerinde Generation 2 olarak yapılandırılmış ve Windows Server 2012 sonrasına sahip olması gerekmektedir.

Hyper-V Guarded Fabric Çözümünde Onay Modları

Hyper-V Guarded Fabric Çözümünde Shielded VM olarak yapılandırılan bir sanal makinenin korumasını Host Guardian Service gerçekleştirmektedir. Host Guardian Service iki farklı koruma yöntemi sağlamaktadır.

• Yönetici tarafından güvenilir onaylama (Admin-trusted attestation)
• TPM-güvenilir onaylama (TPM-trusted attestation)

TPM-güvenilir onaylama daha güçlü koruma sağlayan moddur. Hyper-V Server makinelerinin UEFI 2.3.1 ve TPM 2.0 özelliklerine sahip olmasını ister. Hyper-V Server olarak kullanılan bir sunucu bu özelliklere sahip değilse Yönetici tarafından güvenilen onaylamayı (Admin-trusted attestation) kullanmalısınız.

Yeni bir donanım edindiğinizde TPM-güvenilir onayına geçmeye karar verirseniz, bunu Host Guardian Service  üzerinde onaylama modelini değiştirerek hiç bir kesintiye uğramadan, kolayca yapabilirsiniz.

[/fusion_text]

Yönetici tarafından güvenilir onaylama, TPM 2.0’ın mevcut olmadığı mevcut ana makine donanımını desteklemeyi amaçlamaktadır. Göreceli olarak az yapılandırma adımları gerektirir ve Sanallaştırma platformunu destekleyen sıradan bir sunucu donanımı ile uyumludur. Bu onaylama yönteminde ki amaç onaylama, dinlenme ve geçiş aşamasında Shielded VM verilerini korumak için tasarlanmıştır.

Yönetici tarafından güvenilen (Active Directory tabanlı) onaylama, basitleştirilmiş bir dağıtım ve daha az yapılandırmaya sahiptir ve çoğu kuruluştaki mevcut donanımla çalışabilir. TPM-trusted attestation koruma yöntemine göre daha zayıf olduğu bilinmektedir.

Donanım bazlı bir koruma olmadığı için fiziksel sunucunun ilk açılışı sırasında ihtiyaç duyulan önyükleme veya zorunlu CI ilkesi mevcut değildir ve donanım bazlı korumayı sağlayamamaktadır.

Admin-trusted attestation yapılandırmasında Shielded VM barındıran Hyper-V Guarded Host sunucularının daha önceden belirlenmiş bir Active Directory güvenlik grubuna üye yapılmalı ve Host Guardian Service tarafından onaylanmalıdır.

Admin-trusted attestation için asgari koşullar şunlardır:

• Windows Server 2016 gerektiren bir Host Guardian Service
• Shielded VM için Windows Server 2016 işletim sistemine sahip Hyper-V Server yani Guarded Host ana bilgisayarı

Yönetici tarafından güvenilen onaylama kullanılırken, korunan sunucu şifreli bir REST API’si yoluyla Host Guardian Service  üzerine bir istek gönderir. Süreçteki adımlar şunlardır:

• Shielded VM ‘i çalıştırmaya başlarsınız.
• Shielded VM Onay istemci ve tasdik protokolünü başlatır.
• Ana makine bir Kerberos servis bileti sunar.
• Host Guardian Service , Active Directory üzerinde oluşturulan grup üyeliğini doğrular.
• Host Guardian Service şifrelenmiş bir onay belgesi yayınlar.
• Shielded VM başarılı bir şekilde açılır.

Aksi durumda Shielded VM açılmayacaktır.

Yönetici tarafından güvenilen onaylama yapılandırmak için yalnızca iki sunucuya gereksiniminiz vardır. Shielded VM barındıran Windows Server 2016 işletim sistemi üzerine yüklenmiş Hyper-V Rolü. Bu sunucuya Guarded Host (Hyper-V Server) demekteyiz. Guarded Host ların onay mekanizmasını sağlayacak olan ise Windows Server 2016 üzerinde çalışan Host Guardian Service rolü.

Guarded Host ve Host Guardian Service yüksek kullanılabilirlik sunmamasına rağmen, size az düzeyde inşa edilmesi için yeterlidir. Tasarım bölümünde Host Guardian Service sunucularının yapılandırma örneklerini inceleyebilirsiniz.

TPM güvenilir onaylama (TPM trusted attestation)

TPM-güvenilir onaylama, mümkün olan en güçlü korumayı sunar ve daha fazla yapılandırma adımları içerir. Ana bilgisayarın donanım ve belleğini, Güvenli Önyükleme etkinleştirilmiş olarak TPM 2.0 ve UEFI 2.3.1’i içermesi gerekmektedir.

Yeni nesil sunucular bu özelliklere sahip olmuş olsa bile eski nesil sunucular bu özelliğe sahip olamadığı için bu özellik kullanılamayacaktır.

TPM-güvenilir onaylama önerilir çünkü sistemin donanım düzeyinde güvenliğini sağlar ve şirketlerin ve kamu kuruluşlarının barındırma ihtiyaçları için özel olarak tasarlanmıştır.

Bununla birlikte, TPM’ye güvenilen tasdik kurulumu ve yapılandırması daha karmaşıktır. Her Hyper-V Server TPM’sini koruyucu hizmete kaydettirmeniz zorunludur.

Her TPM, kaldırılamaz veya değiştirilemeyen benzersiz bir Donanım tabanlı Endorsement Key (Onaylama Anahtarı) kullanır. Bu, Üretim zamanında TPM’ye enjekte edilen asimetrik bir anahtardır.

TPM-trusted attestation yapılandırması Device Guard özelliği ile birleştirilmektedir ve bu iki güvenlik çözümü sonrasında entegre edilmiş, bütünleşik güvenliği bizlere sunmaktadır.

Endorsement Key Pub olarak adlandırılan (Public Key) ortak anahtar ve Endorsement Key Priv olarak anılan (Private Key) özel anahtar. TPM üreticisi, bir Endorsement Key Cert adı verilen public ve private olmak üzere benzersiz sertifika verebilir.

TPM-güvenilir tasdik için, Guarded Hostların sahip olduğu TPM 2.0’inin Endorsement Key alınmalı ve HGS’deki yetkili sunucular listesine eklenmelidir.
Her ana bilgisayarda, Endorsement Key Pub ve Endorsement Key Cert’i içeren bir XML dosyası oluşturmaktadır. Daha sonra bu dosyayı HGS sunucunuza kopyalayıp Guarded Hostların Onaylama Hizmeti ile yetkilendirmektedir.

Key Protection Services

KPS, Host Guardian Server Windows Hizmeti rolünün bir parçası olarak çalışan iki hizmetten biridir. KPS, onaylanmış (veya sağlıklı) Hyper-V ana bilgisayarlarında Shielded VMs olarak çalışan sanal makinelerin kilidini açmak ve çalıştırmak için gereken aktarım anahtarlarını sağlar.

KPS, Host Guardian Server rolünü yüklediğinizde otomatik olarak yüklenir. KPS ‘nin ek yapılandırması yalnızca bir TPM-güvenilir onaylamasını yapılandırırken gereklidir. TPM-trusted attestation bölümünde bahsettiğimiz ek yapılandırma gereksinimi bu bölümde ortaya çıkmaktadır.