Merhaba Arkadaşlar ,
Bu yazımda sizlere Hyper-V tarafında yapmış olduğumuz güvenlik hatalarından bahsetmek istiyorum .
Günümüzde her sistemin çalışması kadar kurmuş olduğumuz sistemlerinde güvenliği bir o kadar önemli hale gelmiştir.Sanallaştırma altyapılarımızda kullandığımız Hyper-V güvenliği esastır, çünkü hypervizör tüm sanal makinalarımızı ve sanal kaynaklarımızı barındırır.Kötü niyetli şekilde hypervizörünüze sızılması demek sanal altyapılarımızı potansiyel olarak tehlikeye girmesi demektir.
Bu yazımda sizlere sanal ortamlarımızın kötü amaçlı yazılım içermediğinden ve kötü amaçlı tehditlere karşı korunduğundan emin olmak için kaçınmanız gereken temel 8 Hyper-V güvenlik hatasından bahsedeceğim.
HATA – 1 HYPER-V ANA HOSTUNUZDA FARKLI SERVİSLER ÇALIŞTIRMAK
Hyper-V Hostu üzerinde sadece Hyper-V servisi kurulu olmalıdır.Bazı zamanlarda işimizi kolaylaştırmak, kolaya kaçmak için biz sistem yöneticileri Hyper-V hostumuz üzerinde farklı servisleri aktif edebilir ve görevler atayabiliriz.Bu durum kaçınılması gereken ilk hatadır.(Özellikle dışarıya açık bir servisi FTP, Web Server vb.)
HATA – 2 GÜNCELLEŞTİRME İŞLEMLERİNİ ATLAMAK/UNUTMAK
Hypervisor yapılarınızın güncel olduğundan emin olun, güncelleştirmelerinizi zamanlamayı ve planlayı atlamayın veya unutmayın.Microsoft tarafından yayınlanan güvenlik veya düzeltme paketlerini düzenli olarak yaptığınızdan emin olun.
HATA – 3 GÜVENLİK DUVARLARINIZDA HYPERVISOR YAPILARINIZIN KULLANDIĞINDAN DAHA FAZLA PORTU HIZMETE ACMAK
Sadece sanal makinalarınızın ve hypervizör yapınızın kullandığı portları tespit ederek bunları açmanız yeterlidir.En belirgin hatalardan biri RDP servisinin aktif edilmesidir.Güvenlik duvarı tarafında yapmış olduğunuz her değişikliği emin olarak yapmalısınız.Emin değilseniz düzeltmek istediğiniz şeyler daha fazla açığa neden olabilir.Emin değilseniz Ağ Yöneticinize veya emin olan bir kişiye mutlaka danışın.
HATA – 4 GÜVENLİK DUVARININ İZLENMEMESİ
Hypervizör yapıma gelen ve giden trafiği izlemek için sağlam bir güvenlik duvarı şarttır.Gerekli izlemeye aldığınızda ve sisteminizi tanıdığınızda gelen ve giden trafikteki anormalliği hızlıca yorumlayabilirsiniz.
HATA – 5 FİZİKSEL VE SANAL GÜVENLİK DUVARLARINI BİRLİKTE KULLANILMAMASI
Sanal güvenlik duvarı, sanal makineleri hypervizör katmanında korur. Öte yandan fiziksel bir güvenlik duvarı, kendi donanımlarında çalışan cihazlara odaklanır. Ağda bir yerde bir ihlal varsa, fiziksel güvenlik duvarı gelen ve giden trafiği kontrol ederek maruz kalma riskini azaltır. Sanal ve fiziksel güvenlik duvarlarının bir kombinasyonunu kullanmak, donanım cihazlarında fiziksel güvenlik duvarınıza daha iyi yürütülen görevleri ayırırken sanallaştırılmış bir ortamda düşük yoğunluklu görevler atamanıza izin verir.
HATA – 6 ROLE-BASED ERİŞİM KONTROLUNUN KULLANILMAMASI
Belirtmiş olduğum maddelerden en etkili olanlarından biri hypervisor yöneticilerine sadece yapması gerektiği kadar erişim sağlayın fazlasını değil.Örnek vermek gerekirse bir yetki kümesi tanımlayabilirsiniz, makinayı kimin taşıması gerekiyor, sunucuyu kapatması veya kapatmaması, dosya kaldırılması gibi işlemleri sınırlandırabilirsiniz.Ayrıca hypervisor erişimini en aza indirgeyebilmek için de bir politika oluşturmalısınız.
HATA – 7 YENI KURDUGUNUZ HER SANAL MAKINANIN TAM GUVENLIGININ SAGLANMAMASI
Yeni kurmuş olduğunuz sanal makinanızın güvenlik ilkelerini tamamlamadan onu çevrimiçi yaparak ağınıza almayın.Öncelikle güvenlik tarafında gerekli işlemleri yaparak makinanızı network’unuze dahil edin.
HATA – 8 ALARMLARIN OLUŞTURULMAMASI
Güvenlik alarmlarınızı mutlaka yapılandırın.Böylece potansiyel olarak bir tehdit tespit edildiğinde hemen ele alabilirsiniz.İzleme verilerinizde bir terslik var ise oluşturduğunuz alarmlar size proaktif olarak bilgi verir.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs: Hyper-V, Hyper-V Security, Security