Bu yazımızda Windows Server 2016 ile birlikte Hyper-V sanal makinalarımızın güvenliğini sağlamak için geliştirilmiş olan Guarded Fabric Mimarisinden bahsedeceğiz.
Ana hostlarımızı ve diğer sanal makinalarımızı kötü amaçlı yazılımlardan korumanın yanı sıra olası bir veri sızıntısı durumunda sanal makinalarımızı farklı bir host üzerinde çalıştırılmaması içinde gerekli önlemleri almamız gerekir.Günümüzde kullanılan sanal makina platformlarının en belirgin tehlikelerinden biri sanal makina dosyalarım kurum dışına (art niyetli veya yanlışlıkla) çıkarılırsa herhangi bir şifreleme ve güvenlik önlemi yoksa farklı bir sistemde kolaylıkla çalıştırılabilir
Bu tür açıkların önüne geçebilmek için Windows Server 2016 Hyper-v ile “Shielded VM” özelliğini tanıttı. Korumalı Sanal Makina (Shielded VM) sanal bir TPM(güvenilir onaylama)’ye sahip nesil 2 (Windows Server 2012 ve sonrası) sanal makinalar da desteklenir.Bitlocker kullanılarak şifrelenir ve yalnızca onaylı olan ana host üzerinde çalıştırılabilir.
Shielded VM ile korunan sanal yapılar sayesinde bulut servis sağlayıcıları veya kurumsal özel bulut yöneticileri daha güvenli bir ortam sağlamış olurlar.
Guarded Fabric Mimarisi
- 1 Host Guardian Service (HGS)
- 1 veya daha fazla ana host
- Korumalı Sanal Makinalardan oluşur.
Ana hostlarım üzerinde bulunan sanal makinalar ilk start oldukları esnada HGS ile iletişim kuracaklardır.HGS ile Shield VM arasında iletişim sağlanamazsa makina start işlemi başarısız olacaktır. Aynı şekilde sanal makinalarım HGS servisi ile iletişim kuramaz ise farklı bir ana makina üzerine eklenmesi ve içeriğin görüntülenmesi mümkün olmayacaktır.
Örnek olarak Resim – 1’e bakabilirsiniz.
Resim – 1
Guarded Fabric Mimarisinde Onaylama Modları
Shield VM olarak yapılandırılan bir sanal makinanın güvenliği HGS tarafından gerçekleştirilmektedir.Koruma yöntemleri ise aşağıdaki şekildedir.
- TPM-Güvenilir onaylama (TPM-trusted attestation (hardware-based))
- Host key attestation (based on asymmetric key pairs)
Bu yazımda Guarded Fabric Mimarisinin temel olarak ne olduğundan bahsetmeye çalıştım.
Bir sonraki yazımda ise Host Guardian Service gereksinimleri, tasarımı ve kurulumundan bahsedeceğim.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs: Windows Server 2016, Hyper-V, HGS, Guarded Fabric Mimarisi, Host Guardian Service, Shield VM