Yine bir güvenlik konusu ile makalemize giriş yapıyoruz. 2025 yılı öncesine kadar Azure tarafında VM create ederken Security Type alanını “Standart” olarak işaretleyip kurulumu tamamlıyorduk. Fakat Standart seçeneği öncesi default olarak karşımıza Trusted Launch virtual machines seçeneği geliyordu. Microsoft güvenlik önlemi almayı artık bizlere bırakmayı değil yavaş yavaş otomatikleştirmeye doğru gidiyor. Artık VM kurulumunu da Securtiy Type Standart olarak bıraksanız bile makine boot edilmeye başlandığında Trusted Launch olarak gelmeye başlayacak.
Trusted Launch özelliği Azure’da ilk olarak 2021 yılında genel kullanıma sunulmuş olsa da Microsoft’un güvenliği varsayılan hale getirme yaklaşımı kapsamında 2024 sonu itibarıyla Generation 2 sanal makineler ve scale set’ler için default olarak etkin şekilde sunulmaya başlanmıştır.
Resim-1
En önemli değişikliklerden birisi de Gen2 VM ve Scale Set’lerde otomatik aktif hale geliyor. Gen2 VM’lerde UEFI tabanlı boot, daha hızlı başlatma ve daha gelişmiş güvenlik özellikleri ile bilgisayar açıldığından itibaren bu özellikler devreye giriyor. Akıllara gelen sorulardan birisi de boot edilmeye başlandığında neleri korumaya başlıyor? Trusted Launch servisi, bilgisayarın boot edilmeye başlandığında Rootkit ve Bootkit saldırılarına karşı güvenlik önlemi sağlıyor ve kullanıcı unutsa bile güvenlik aktif olarak devrede kalıyor. ISO, GDPR, finans regülasyonlarına uyumluluk için kolaylık sağlıyor.
Sadece Gen2 VM’ler değil bahsettiğimiz gibi Scale Set’lerde de güvenlik avantajı sağlıyor. Tüm Instance’lar aynı güvenlik seviyesinde açılış yapıyor ve otomatik scale edilen makinalar bile güvenli halde geliyor. Burada dikkat edilmesi gereken önemli kısımlar, hangi OS’ların desteklendiği ve ortamınızda Custom Image kullanıyorsanız Trusted Launch ile uyumlu olup olmadığını kontrol etmeniz gerekir. Tabi ki akıllara gelen bir diğer soruda, Disable edilebilir mi? Genellikle Disable edilmesi herhangi bir güvenlik avantajı sağlamaz fakat ortamınızda Legacy uygulama varsa ve özel Boot Loader kullanıyorsanız bu durumlarda Disable hale getirilebilir.
Trusted Launch’ın varsayılan olarak gelmesi, Azure’da güvenliğin artık opsiyonel değil, standart hale geldiğini gösterir. Bu yaklaşım, özellikle kurumsal sistemlerde güvenlik risklerini azaltırken, kullanıcı tarafındaki konfigürasyon yükünü de minimize eder.
Bir sonraki Azure makalesinde görüşmek üzere.
Referanslar:
TAGs: azure, azure virtual machine, azure trusted launch virtual machines