Sanallaştırma nedir sorularına cevap vermiş olduğumuz çalışmalar içinde Sanallaştırma Platformlarının güvenli olmadığını ve fiziksel platformlara göre daha korumasız bir mimariye sahip olduklarını belirtmiştik.
Odaklanmış olduğumuz çalışmamız içinde ağırlıklı olarak Sunucu Sanallaştırma (Server Virtualization) platformları için örnekler verdik ve artık biliyoruz ki Sanallaştırma Türleri sadece Sunucu Sanallaştırma (Server Virtualization) teknolojisinden oluşmamakta farklı amaçlar için tasarlanmış sanallaştırma türleri de bulunmaktadır.
Sanallaştırma türleri arasında bulunan oturum sanallaştırma belki de sanallaştırma türleri arasında bulunan en güvensiz platformların başında gelmektedir ve güvenli platformlar değillerdir.
Hatırlayalım, Oturum Sanallaştırma (Session Virtualization) türü sanallaştırma teknolojileri arasında en fazla kullanılan çözümdür ve en fazla güvenlik açığına sanallaştırma türüdür.
İster Microsoft’un Terminal Server ya da Remote Desktop Server ürününü kullanalım ve RemoteAPP çözümünü yaygınlaştıralım. İster Citrix ya da Vmware firmalarının üretmiş olduğu XenAPP yada ThinAPP Oturum Sanallaştırma (Session Virtualization) çözümünü kullanalım. Bu sanallaştırma türü sahip olduğu karakteristik özellik nedeniyle güven vermeyen bir sanallaştırma türüdür.
Sahip olduğu mimari gereği ortak sunucu kaynaklarını, ortak işletim sistemi platformunu ve ortak uygulamaları birden fazla kullanıcıya paylaştıran bir mimariye sahiptir.
Tek bir kaynak birden fazla kullanıcıya hizmet etmesi nedeniyle güven vermemekte ve güvenlik sıkılaştırma (Security Hardening) yapılmadığı zaman ciddi zafiyetleri de beraberinde getirmektedir.
Tek bir kullanıcı üzerinde oluşabilecek olan bir zafiyet ya da bir şey olmaz diye vermiş olduğunuz özel bir ayrıcalık bu platformu kullanan bütün kullanıcıları eş zamanlı şekilde etkileyecektir.
Sahip olduğu bu güvenlik zafiyeti nedeniyle bu sanallaştırma türü için özel güvenlik önlemlerinin alınması, güvenlik sıkılaştırma (Security Hardening) yapılmış olması ve eski mimarilerde küme mimarisi içinde yeni teknolojilerde ise collection mimarisinde birden fazla sunucuya iş yüklerinin dağıtılmış olması gerekmektedir.
Tek bir kullanıcı üzerinde farkında olmadan verilen bir ayrıcalık ya da tek bir kullanıcının zehirlenmesi platform üzerinde bulunan bütün kullanıcıların etkilenmesine neden olacak ve hizmet kesintisini de beraberinde getirecektir.
Bu güvenlik zafiyeti bilindiği için Terminal Server ürünü başta olmak üzere Oturum Sanallaştırma (Session Virtualization) türü için birçok güvenlik çözümleri, güvenlik önerileri (Security Hardening) ve ürün üreticilerinin odaklanmış olduğu, önerdiği ürünler ve çözümler bulunmaktadır.
Eski zamanda, RDP erişim port numarasını değiştirerek Terminal Server -ları farklı portlar üzerinden erişim sağlıyorduk ve Security Hardening çalışmalarını basit bir şekilde karşılıyorduk.
Bu çözüm günümüzde de geçerli olsa bile gelişen tehditler sonrası değiştirilmiş RDP port numarası artık saniyeler içinde tespit edilmektedir.
Bu sebepten, bu çözüm güvenlik sıkılaştırma (Security Hardening) çalışmalarında artık dikkate bile alınmamaktadır.
Zaten bu çözüm önerilmediği için Microsoft tarafından Windows Server 2008 ile birlikte kullanmaya başladığımız Remote Desktop Gateway rolü geliştirildi ve genel İnternet ağından Oturum Sanallaştırma (Session Virtualization) sunucularına bağlantı yapmak için bu ürün kullanılması gerektiği, sunucu bağlantılarının merkezi bir güvenlik sunucusu tarafından yapılması sağlandı.
Vmware tarafında Secure Sever bileşeni, Citrix tarafında ise Netscaler ürünü Oturum Sanallaştırma (Session Virtualization) sunucularını korumak için kullanılmaktadır.
Terminal Server mimarisi Remote Desktop Mimarisine geçiş yaparken ciddi bir dönüşüme daha uğramıştı. Terminal Server mimarisi Windows Server 2012 ile birlikte etki alanı üyesi olmayan sunucular üzerine yüklenmemektedir.
Bu zorunluluk Oturum Sanallaştırma (Session Virtualization) türünde ki güvenlik zafiyeti için geliştirilmiş bir çözümdü ve Oturum Sanallaştırma (Session Virtualization) çözümlerinin yerel hesaplar ile çalıştırılması bu değişim sonrasında engellenmişti.
Etki alanı üyesi olan bir Terminal Server artık merkezi olarak etki alanı sunucuları tarafından kullanıcı hesaplarının güvenliği sağlanmakta, oturum açma-kapama zamanları belirlenmekte, Terminal Server için özel tasarlanan Active Directory Group Policy uygulamaları ile Security Hardening işlemleri içinde yer alır güvenlik üst seviyeye çıkartılmaktaydı.
Kimlik yönetimi ve politika yönetimi bu işten sorumlu sunuculara devredilmiş ve Terminal Server üzerinden bu yetkiler alınarak oturumlar üzerinde güvenlik elde edilmişti ve oturum seviyesinde Security Hardening yapılmış olmaktadır.
Bu değişim Terminal Server rolünü kullanan Vmware ve Citrix çözümlerine de etki etmişti ki çünkü bu ürünlerde arka tarafta Terminal Server rolünü kullandıkları için bu sunucular da etki alanı olmadan hizmet edemez duruma gelmişti. Kimlik yönetimi seviyesinde Security Hardening çalışması yapılmış olmaktaydı.
Günümüzde, EMS çözümleri arasında yer alan Remote Desktop Server mimarisi Enterprise Mobility +Security çözümleri ile entegre edilmiş Azure Active Directory Mimarisi, Multi Factor Authentication çözümü ile kullanıcı kimliklerinde tam bir koruma ortamı oluşturmuş Günümüzün ileri düzey saldırılarına karşı kapsamlı, akıllı koruma hizmetini sunmuştu.
2008 de tanışmış olduğumuz ve bugün de kullanmış olduğumuz RemoteAPP uygulamaları da performans ile birlikte güvenliğe de sahip olmamızı sağlayan bir teknolojidir.
RemoteAPP öncesi, Terminal Server üzerinde ki sınırlandırmalar, uygulanan yerel güvenlik politikaları, değiştirilen sistem anahtarları bu çözüm sonrası artık yapılmaz oldu.
RemoteAPP çözümü sonrası uzak kullanıcılarımıza sadece kullanacakları uygulamalara erişmesi sağlanırken güvenlik ve performansı da beraberinde getirdi.
Oturum Sanallaştırma (Session Virtualization) sunucuları Sunucu sanallaştırma rolü gibi kendine münhasır bir mimariye sahip değildir. Yapılandırılmış olduğu işletim sisteminin sahip olduğu mimarinin güvenliği kadar güvenlidir. Microsoft Remote Desktop Server Mimarisinde RemoteAPP çözümleri ile uygulamalar seviyesinde bir karaktere sahip olmaya başlasa bile bir mimari güvenlik söz konusu değildir.
Bu sebepten ötürü güncel, günümüz tehditlerine karşı korunaklı, güvenlik güncelleştirmeleri güncel olan ve Barınmış olduğu platform, işletim sistemi, etki alanı, kullanıcı yapılandırmaları ve çevre güvenlik önlemleri ve günün sonunda kullanıcılarımıza hizmet eden uygulamalar seviyesinde güvenlik sıkılaştırma yapılandırmasını yaptığımız zaman Oturum Sanallaştırma (Session Virtualization) platformları güvenli bir hal alacaktır.
