Windows Server 2016 ile birlikte Hyper-V Guarded Fabric Mimarisi ile tanıştık. Bu yeni teknoloji Hyper-V Server sanallaştırma platformu içinde bulunan sanal makinelerinin sahip olduğu güvenlik zafiyetlerini ve sahip olduğumuz riskleri bizlere söyledi.
Hyper-V Guarded Fabric Mimarisi Microsoft tarafından geliştirilen bir çözüm olsa bile bu zafiyet sadece Hyper-V Server sanallaştırma platformları için geçerli değildir. Bu güvenlik zafiyeti Vmware ve XenServer gibi sunucu sanallaştırma platformları içinde geçerlidir.
Bu makalemiz de Hyper-V Guarded Fabric Mimarisinin önemli yapı taşlarından olan Host Guardian Service rolünü tanıyacağız. ihtiyaç duymuş olduğu bileşenleri inceleyeceğiz ve Shielded VM olan sanal makineleri üzerinde nasıl güvenlik kontrolü ve koruma sağladığını öğreneceğiz.
Hyper-V Server Guarded Fabric kavramı ile birlikte bilgi sistemleri sözlüğüne giriş yapan yeni terimleri hatırlayalım. Bu terimler Hyper-V Guarded Fabric Mimarisini oluşturmaktadır.
Hyper-V Guarded Fabric Mimarisinde Hyper-V Server artık Guarded Host demekteyiz korunan sanal makinelere ise Shielded VM terimini kullanmaktayız. Host Guardian Service rolü ise daha önce ki Windows işletim sistemlerinde bulunmayan yeni Windows Server 2016 Rolüdür.
Hyper-V Host Guardian Service Rolü Nedir ?
Windows Server 2016 Host Guardian Service rolü Hyper-V Guarded Fabric Mimarisi içinde önemli bir göreve sahiptir. Shielded VM olarak yapılandırılmış sanal makinelerin sahip olduğu verilerinin çalınmasını engellemek ve sadece yetkili kişilerin erişimini sağlamak için tasarlanmıştır.
Hyper-V Guarded Fabric Mimarisi makalesinde belirttiğimiz gibi, bir sanal makine Vhd, Vhdx ve VM Config ve türevlerini içeren sadece bir dosyadır. Hyper-V Server yada VMware Sanallaştırma teknolojisi olsun, bu her sanallaştırma platformunun temel özelliğidir.
Host Guardian Service rolü özellikle üçüncü firmaların sağladığı Datacenterlar içinde barındırılan Hyper-V Server platformları için önerilmektedir. Gizlilik anlaşmaları yapılmış olsalar bile bu ve benzeri platformlar içinde çalışan Hyper-V Server ‘lar fiziksel olarak başka firmaların erişimine ve müdahalesine açık durumdadır.
Host Guardian Service rolü ile birlikte Hyper-V Server üzerinde fiziksel güvenliğimizi sağlayamasak bile mantıksal güvenliği sağlamış oluyoruz. Sanal makine verilerimizin çalınmasını engelleyemediğimiz durumlarda sanal makine verilerini alan kişi veya kurumların bu verileri kullanamamasını sağlıyoruz.
How a shielded VM is powered on
Yukarıda ki diyagram içinde Shielded VM çalışma prensibi bulunmaktadır. Shielded VM olarak çalışan sanal makinelerimiz ilk açılış sırasında Host Guardian Service ile iletişim kuracaklardır. Shielded VM eğer Host Guardian Service rolü ile iletişim kuramazlarsa açılış işlemleri başarısız olacaktır.
Aynı zamanda Shielded VM ‘ ler Key Protection Services ile iletişim kuramazsa VHX ve Vhdx dosyasının herhangi bir makine üzerine eklenmesi ve içeriği görülmesi engellenmiş olmaktadır.
Hyper-V Host Guardian Service Gereksinimleri?
Host Guardian Service rolü Windows Server 2016 sunucusu üzerinde çalışmaktadır. Daha önceki Windows sunucu işletim sistemleri bu role sahip değildir.
Guarded Host olacak olan Hyper-V Server işletim sisteminin de Windows Server 2016 olması gerekmektedir. Hyper-V Guarded Fabric Mimarisi için ihtiyaç duyulan işletim sistemi Windows Server 2016 ‘ dir. Sanallaştırma platformunda bu koruma yöntemi isteniliyorsa eğer Hyper-V Server platformlarının Windows Server 2016 sürümüne upgrade edilmesi gerekmektedir.
Diğer en önemli gereksinim ise Shielded VM sanal makinelerinin Generation 2 olmaları gerekmektedir. ilk nesil sanal makineler Shielded VM özelliğini desteklememektedir. Hyper-V Server için geliştirilen bir çok yeni özellik Generation 2 sanal makineler için desteklenmektedir. Microsoft, Hyper-V Server 3.0 sürümünden itibaren sanal makinelerin Generation 2 olarak yükseltilmelerini önermektedir. Bütün yeni yetenekler artık Generation 2 sanal makineleri için tasarlanmaktadır.
Her sanal makine Generation 2 olarak çalışmamaktadır ve bu türde olan sanal makineleri Shielded VM olarak çalıştıramazsınız.
Sektörde Generation 1 olarak çalışan bir çok sanal makine bulunmaktadır. Hyper-V Guarded Fabric Mimarisi yeni olsa bile bir çok sanal makine bu güvenlik çözümüne ihtiyaç duymaktadır. Hyper-V Server Key Storage Drive teknolojisi Generation 1 olarak çalışan sanal makineler için geliştirilmiştir. Shielded VM olarak çalıştıramazsak bile sanal makine güvenliğini daha az yetenek ile sağlayabiliriz.
Shielded VM olarak yapılandıracak olduğumuz sanal makine işletim sistemlerinin Windows Server 2016 Datacenter olması gerekmektedir. Standart sürüm de Shielded VM desteklememektedir.
Bilindiği gibi Microsoft, Windows Server 2016 lisanslama modelinde değişim yaptı ve bir takım özellikleri özellikle Güvenlik üzerine tasarlanmış çözümler için Windows Server 2016 Datacenter sürümünü işaret etti. Hyper-V Guarded Fabric Mimarisi içinde çalışan Shielded VM ler ise Windows Server 2016 Datacenter sürümüne ihtiyaç duymaktadır.
TPM trusted attestation yapılandırılması gerçekleştirilecekse eğer Guarded Host sunucularının UEFI 2.3.1 ve TPM 2.0 özelliklerine sahip olmaları gerekmektedir.
Hyper-V Host Guardian Service Tasarımı Nasıl Yapılır?
Hyper-V Guarded Fabric mimarisi uygulandıktan sonra Host Guardian Service ile Guarded Host arasında ki iletişim büyük önem arz etmektedir. Bu iki sunucu arasında ki iletişim de bir problem olduğu zaman Shielded VM olarak çalışan sanal makinelerin açılma süreçleri problemli olacaktır.
Tekrar hatırlatmakta fayda var, denetim işlemleri sadece ilk açılış işleminde olduğu için çalışan sanal makine üzerinde bir etkisi bulunmamaktadır. Host Guardian Server ve Guarded Host sunucularının aynı ağ içinde kurulmaları önerilmektedir.
Host Guardian Service rolü Hyper-V Server Guarded Host üzerinde çalışan Shielded VM ‘ler için anahtarlara sahiptir ve bu özelliği nedeniyle hassas ve kritik bir Windows Server 2016 Sunucu rolüdür. Sahip olduğu hassaslık nedeniyle Host Guardian Service tasarımı için için ayrılmış ayrı bir Etki alanı kurulması önerilmektedir. Bu kurulum modeline ESAE forest demekteyiz ve bu tür kurulum modelini güvenliğin önemli olduğu forestler için ve Host Guardian Service gibi kritik öneme sahip sunucuları barındırmak için çalıştırmaktayız.
ESAE Forest kelimesi Enhanced Security Administrative Environment kelimelerinden oluşmaktadır ve ESAE forest kurulum modeli Active Directory Security Hardening operasyonlarında çokça tercih edilmektedir.
Trust ilişkisi için tek yönlü Active directory Trust ilişkisinin kurulması yeterli olacaktır.
Hyper-V Host Guardian Service Önerileri?
Host Guardian Service yeni bir sunucu rolü ve çok fazla kazanılmış saha tecrübesi bulunmamaktadır. Bu sunucu rolü Windows Server 2016 ile birlikte geliştirilmiş bir güvenlik çözümüdür. Daha önceki sunucu işletim sistemlerinde bulunmamaktadır. Technet ve bağımsız bloglar üzerinde bu teknoloji için sayısız kaynak olmuş olsa bile kurum içi yaygınlaştırma işlemini yapmadan önce az kritik sanal makineleri Shielded VM olarak dönüştürmeniz önerilmektedir.
Host Guardian Service Rolü kurum içinde kullanılmaya başlanıldıktan sonra ve kurum içinde bulunan sanal makineler Shielded VM olarak dönüşümü gerçekleştirilecek ve sonrasın da Host Guardian Service rolü artık çok kritik bir rol olacaktır. Bu Role sahip bir sunucu herhangi bir şekilde bozulursa Shielded VM sanal sunuculara erişim kesilecektir!
Host Guardian Service Kurulumu
Host Guardian Service rolü Grafik ara birimine sahip Windows Server 2016 üzerine kurulabilmektedir. Fakat, Host Guardian Service kurulumu ve kurulum sonrasında ki yapılandırma işlemleri Windows Powershell aracı ile yapılmaktadır. Host Guardian Service herhangi bir grafik ara birimine sahip değildir. Bu sebepten ötürü Windows Core Kurulum modelinin tercih edilmesini önereceğim.
Host Guardian Services rolü, Active Directory Domain Controller sunucu rolü ile uyumlu bir roldür. Guarded Hostlar ile aynı etki alanı içine kurulmasını önermiyorum ama Domain Controller Rolü ile uyumlu rol olduğu için ESAE forest kurulumu yapıldığı zaman kurulan yeni Domain içinde ki Domain Controller üzerine kurulabilir.
Host Guardian Services rolü Hyper-V Guarded Fabric mimarisinde önemli bir role sahiptir ve bu sebepten ötürü en az iki tane olması gerekmektedir. ESAE forest kurulumu yaparsak eğer zaten yeni forest yapımız içinde de iki tane Domain Controller olması gerekmektedir. Host Guardian Service rolü ESAE forest içinde bulunan Additionel Domain Controller üzerine kurulumu yapılabilir. Bu tasarım sonrası gerek ESAE forest için gerekse Host Guardian Service rolü için yedekli bir mimariye sahip olacağız.
