Bilgi Teknolojileri dünyasında güvenlik, çok katmanlı bileşenlerden oluştuğu için her bir bileşen özelinde güvenlik önlemlerini alacak olduğumuz çözümler üretmeliyiz.
Bu bazen fiziksel güvenlik çokça mantıksal güvenlik önlemlerinden oluşmaktadır. Hatırlayalım, Güvenlik bir süreç yönetimidir…
Bu çalışmamız için de Sanallaştırma ve Bulut Bilgi İşlem (Cloud) ve Özel Bulut (Private Cloud) özelinde kullanıcı izinlerinin parçalanmasına yönelik önerilerde bulunacağız.
Sanallaştırma, fiziksel platformlara göre daha korumasız ve zafiyet içeren teknolojilerdir. Sanallaştırma özelinde, özel güvenlik önlemleri için de ayrı bir efor gerçekleştirmemiz gerekmektedir.
Sanallaştırma nedir, çok konuştuk ve konuşmaya da devam edeceğiz. Şimdilik bildiğimiz Bilgi Teknolojileri alanında en fazla kullanılan ve en fazla güvenlik açığına da sahip olan teknolojilerdir.
Sunucu Sanallaştırma (Server Virtualization) çözümleri, sahip olduğu Hypervisor mimarisi ve Sanallaştırma türleri özelinde karakteristik bir güvenlik çözümüne sahip olsalar bile bir sanal sunucu (Virtual Machine) günün sonunda vhd, vmdk ve türlerinden oluşan bir dosyadır.
Çalınması ve dönüştürülmesi fiziksel platformlara göre daha kolay dosyalardır ve bu dosyaları korumamız gerekmektedir.
Bu dosyalar, günün sonunda sahip olduğumuz kıymetli veri ‘dir ve her bulut bilgi işlem (Cloud) sağlayıcısına emanet edilmemelidir!
Hyper-V Server ya da Vmware Server yöneticileri. Sunucu Sanallaştırma (Server Virtualization) çözümlerinde Virtualization Admin olarak adlandırılır. Sanallaştırma ortamı içinde Platform Yöneticisidir.
Sunucu Sanallaştırma (Server Virtualization) çözümleri için gerçekleştirilen Güvenlik Sıkılaştırma (Virtualization Security Hardening) işlemlerinde ise aynı yetkilere sahip kullanıcılar Fabric Administrator olarak isimlendirilir. Görevleri sadece sanal makine (Virtual Machine) ve sanal makine bileşenlerini oluşturmaktır.
Daha derinlemesine yapacak olduğumuz güvenlik sıkılaştırma çalışmasında Tenants kullanıcıları da devreye girmektedir. Sanal sunucu (Virtual Machine) oluşturma görevi Fabric Administrator’ den Tenants kullanıcı ve gruplarına aktarılmaktadır.
Fabric Admin ‘in sahip olduğu yetkiler içinde ayrıca parçalanma yapılmakta ve yetkilerin bir kısmı Tenants grubuna aktarılmaktadır.
İlk senaryo içinde Fabric Yöneticileri, Sunucu Sanallaştırma (Server Virtualization) çözümleri için Sanal Veri (Virtual Disk) depolama havuzlarının yönetimi, sanal networklerin (Vlan) oluşturulması, Sanal makine (Virtual Machine) oluşturma ve özelleştirme görevlerine sahiptir.
Aynı zamanda Tenants kullanıcı gruplarının sahip olduğu yetkilere de sahip durumdadır.
İkinci senaryoda ise Tenants kullanıcı grupları için kaynak sağlayıcı durumuna dönüşmektedir. Bu senaryo da Fabric Yöneticisi, Tenants kullanıcı grupları için Private Cloud olarak adlandırılan özel bir havuzu yönetmektedir.
Tenants kullanıcı grupları için, ihtiyaçları çerçevesinde fiziksel ya da sanal veri depolama havuzu, network kartı ya da vlan, fiziksel ya da sanal bellek ayırma işlemleri ve Tenants kullanıcısı için kaynak sağlayıcısı ya da yöneticisi olmaktadır.
Tenants kullanıcısı ise sahip olduğu bu kaynaklar çerçevesinde Özel Bulut (Private Cloud) sahip olmakta ve sanal sunucuları (Virtual Machine) Özel Bulut (Private Cloud)t içinde oluşturmaktadır.
Henüz son kullanıcı tarafına gelmedik! Tekrar hatırlayalım, Güvenlik bir süreç yönetimidir ve çok katmanlı bileşenlerden oluşmaktadır. Kuruluşun büyüklüğü ve veri önemi de senaryolara, ürünlere, çözümlere bire-bir etki etmektedir.
Tenants kullanıcı grupları için de parçalanma söz konusudur.
Tenants kullanıcısı aynı zamanda Self Servie User grubuna sahip olabilmekte ya da bu iki görev için parçalanmalar da yapılmaktadır. Tenants ve Self-Service Kullanıcı yetkilerinin aynı kullanıcı ya da grup üzerinde olduğu senaryolar bulunmakta ve kullanımı da yaygındır.
Bu türden bir güvenlik sıkılaştırma çalışması aynı fiziksel kullanıcının birden fazla mantıksal hesap ile oturum açması ve yetkilerin dağıtılması anlamına gelmektedir.
Güvenlik Sıkılaştırma çalışmalarında çokça görmüş olduğumuz ve kurumların uygulamış olduğu çözümlerdir.
Bu kullanıcı ve gruplar, sanal makineleri (Virtual Machine), Fabric Yöneticisinin sağlamış olduğu havuz içinde ve sahip olduğu kaynaklar sınırında oluşturmakta ve yönetmekten sorumludur.
Tenants ve Self-Service User ayrımı yapılan senaryolar da ise daha az yaygın kullanıma sahip senaryolardır. İşletim sistemi ve uygulama güvenliği Tenants Kullanıcı grubundan alınmakta ve Self Service User kullanıcı gruplarına verilmektedir.
Tenants kullanıcısı Private Cloud (Özel Bulut Bilgi İşlem) üzerinde kaynakların oluşturulması, güvenliği ve sağlık durumundan sorumludur. Selft Service Kullanıcısı işletim sistemi, uygulama ve uygulamanın sahip olduğu platform ve güvenlikten sorumludur.
Veri ve sahip olduğu öneme göre Selft Service Kullanıcı grubunun hakları da parçalanmaktadır.
Selft Service Kullanıcı, işletim sistemi ve uygulama seviyesinde yönetim ve güvenlik haklarına sahip durumdayken başka bir senaryoda bunlarda parçalanmaktadır.
Uygulama ya da Platform Yöneticisi. Dikkat ettiyseniz, henüz veri sahibine gelmedik. Kullanıcının Veriyi Sahiplenmesi ve kullanıcı güvenlik eğitim sürecine henüz gelmedik.
Bizler bu senaryo içinde platform yöneticisi yada sanallaştırma yöneticisi (Virtualization Admin) konumundayız.
Son kullanıcıya teslim edilen bir verinin çalınması durumunda yaşayacak olduklarını ve sorumluluklarını son kullanıcımıza henüz öğretmedik ve zafiyetlerin birçoğu da görev dağılımının son kullanıcı seviyesinde yapılmıyor olmasından kaynaklıdır.
Son kullanıcılar bu zincirde en zayıf halka ve bahsetmiş olduğum güvenlik sıkılaştırma (Virtualization Security Hardening) çalışmaları içinde, son kullanıcılar eğitilmediği zaman bu senaryoların hiçbir tanesi amacına ulaşmayacaktır.
Veri, Özel Bulut (Private Cloud) ya da Sunucu Sanallaştırma (Server Virtualization) platformlarında ya da başka bir bulut bilgi işlem çatısı altında barınabilir ve hizmet edebilir. Fabric Admin, Tenants Admin, Self-Service Admin, Platform Admin isimleri farklı platform çatısı altında farklı isimlerde adlandırılabilir.
Azure Platformunda Subscription olarak ya da başka bir üreticinin Güvenlik Sıkılaştırma çözümlerinde Computing Administrator olarak adlandırıldığı gibi.
Platform seviyesinde Active Directory mimarisi için yapılacak olan Güvenlik Sıkılaştırma çalışmalarında ayrıcalıklı yöneticiler olarak da isimlendirilebilir.
Bu senaryolar içinde hiç konuşmadığımız yedekleme yöneticileri, yedeği alan ve yedeği geri dönecek kullanıcılar özelinde farklı alt kırılma işlemleri de yapılması gerekmektedir. Yedeği saklayacak yönetici de Güvenlik Sıkılaştırma senaryoları içinde bulunmalıdır.
Yedeklenen bir veri canlı bir verinin kopyasıdır ve veri bozulmadığı zamanlarda da geri dönüşü yapılabilir ve kötü amaçlı geri dönülen veri de kıymetli olabilir.
Yedeklenen bir veri, Sunucu Sanallaştırma (Server Virtualization) platformu içinde çalışıyorsa daha esnek geri dönüş senaryolarına sahip olmakta ve farklı platformlar içine çok kolay bir şekilde geri dönülebilmektedir.
Sanallaştırma aslında bir zafiyettir bir güvenlik açığıdır. Güvenlik, ilk başta söylediğimiz gibi bir süreç yönetimidir. Güvenlik Sıkılaştırma işlemlerinde birçok ürün, ürün üreticisi ve teknoloji dahil olabilmektedir.
Bizler, verinin sahibi olarak alınması gerekli olan önlemlerden ve yapılması gerekli olan güvenlik sıkılaştırma çalışmalarına Sanallaştırma (Virtualization) ve Bulut Bilgi İşlem (Cloud) özelinde örnekler verdik.
Günümüzde yerel ve küresel ölçekte birçok bulut bilgi işlem sağlayıcısı bulunmakta ve veri eskiye göre çok daha kolay bir şekilde ortalıkta dolaşmakta çok kolay bir şekilde erişilebilir olmaktadır.
Güvenlik Sıkılaştırma çalışmalarında Veri ‘ye ulaşılana kadar geçen süreçte platform, yetki ve izinlerin iyi tahlil edilmesi zorunludur.
Bir Veri ‘nin barındırılması haricinde veri yaşam süreci içinde ki işlemleri de veri güvenlik süreçlerine ve Güvenlik Sıkılaştırma çalışmalarına eklenmesi gerekmektedir.
