Virtual Machine Encryption – Bölüm 1
Merhaba,
Virtual Machine Encryption – Bölüm 1 isimli bu yazımda sizlere VMware vSphere’in bir güvenlik önlemi olan Virtual Machine Encryption hakkında detaylı bilgi vereceğim. Aynı zamanda bu makale serimde bunun uygulamaları hakkında bilgi vereceğim.
Son zamanlarda yaşanan bazı güvenlik zaafiyetlerinden dolayı firmalar oldukça zarar gördü. İşletim sistemleri üzerinde gerekli güvenlik önlemlerini alsanızda, sanallaştırma katmanında da gerekli önemleri almanız gerekir. Ben daha önce Virtual Machine Encryption ile ilgili çeşitli makaleler yazmıştım. Bu yazılarıma aşağıdaki linkten ulaşabilirsiniz.
vSphere 6.5 – VM Encryption Nedir?
Virtual Machine Encryption – Bölüm 1
En çok kullandığımız güvenlik biçimlerinden biride şifrelemedir. Şifreleme sayesinde verileri okunamaz hale getirebilirsiniz. Elbette bunun için bir key yani anahtar kullanılır. Bu key olmadan verileri okuyamazsınız. Bu mimari çerçevesinde birden fazla şifreleme algoritmaları geliştirilmiştir. Buna bağlı olarak çok güçlü şifreleme algoritmaları geliştirilmiştir. Bundan dolayı istenmeyen veri hırsızlığını önlemenizde mümkündür. Şifreleme sayesinde, verileriniz çalınsa bile onu şifrelediğiniz key olmadan okunamaz yani içerisindeki bilgilere ulaşılamaz. vSphere 6.5 ile birlikte Virtual Machine Encryption özelliği gelmiştir. Bu özellik sayesinde sanallaştırma ortamlarında veri sızıntısını önlemek amacı ile virtual machine’i şifreleyebilirsiniz. Bu aslında çok önemli bir yenilik ancak bazı gereksinimlere ihtiyaç duyduğu için çok fazla kullanılamıyor. Elbette bazı kısıtlamalarıda mevcut. Bunları zaten daha önce yazmış olduğum makalelerde belirtmiştim.
Ben bu yazımda VMware altyapısında bulunan virtual machine’in nasıl şifreleneceği konusunda detaylı bilgi vereceğim. VMware ESXi Server üzerinde bulunan bir virtual machine’in üzerinde encryption’i aktif duruma getirdiğinizde o virtual machine üzerinde yer alan VMDK güvenli hale getirilir. Yani şifrelenir. Böylece disk üzerinde IO yapılmadan önce şifrelenmiş olur. Virtual machine ile ilgili diğer dosyalar hassas olmadıkları için şifrelenmez. Bunlara log dosyaları, vmx dosyaları dahildir.
Sanal Makine Güvenliği Nasıl Sağlanır?
Sanallaştırma ortamında güvenlik oldukça önemlidir. Virtual machine üzerinde yer alan bir disk’in farklı bir ortama aktarılması veya farklı bir virtual machine üzerine mount edilmesi gibi durumlarda verilerinizi başka bir ortama veya lokasyona kopyalayabilirler. Zaten virtual machine üzerindeki diski farklı bir yere kopyalayabilyorsanız aklınıza gelen her şeyi yapabilirsiniz. Bu sadece basit bir örnek. Active Directory kullanıcıları eğer vCenter Server’a erişiyor ise cok daha farklı senaryolar ile karşı karşıya kalabilirsiniz.
Bu bahsetmiş olduğum senaryoları eğer ortamınızda bir encryption yok ise karşılaşabilirsiniz. Eğer virtual machine encryption’i aktif hale getirirseniz ortama erişiminiz olsa bile vmdk üzerinde işlem yapmanız zorlaşacaktır.
Daha önceki makalelerimde yazmıştım ama bu yazımda da yinede belirtmek istiyorum.
Virtual Machine Encryption Gereksinimleri Nelerdir?
- Virtual Machine Encryption kullanabilmeniz için öncelike KMS yani Key Management Server kullanmanız gerekiyor.
- Key Management Server ile vCenter Server arasında erişim bulunmalıdır.
Yukarıdaki gereksinimleri sağlıyorsanız bundan sonra yapacağınız işlem aslında vCenter Server ve virtual machine üzerinde olacaktır. Tüm tanımları yaptıktan sonra basit bir şekilde virtual machine üzerinde encyryption’i aktif duruma getirebilirsiniz. Eğer vSphere 6.7 Update 1 ve üzerinde bir sürüm kullanıyorsanız HTML 5 arayüzü üzerinden tüm işlemlerinizi gerçekleştirebilirsiniz. Bu versiyondan eski bir versiyona sahipseniz vSphere Web Client üzerinden işlemlerini gerçekleştirebilirsiniz.
Öncelikle en çok sorulan sorulardan bir tanesi hakkında bilgi vermek istiyorum.
Virtual Machine Encryption ‘ın Performansa Etkisi Nedir?
Virtual Machine Encryption’i aktif duruma getirdiğinizde elbette performans değişiklikleri olacaktır. Burada disk şifrelemesi yapıldığı için ufak miktarlarda latency ile karşılaşabilirsiniz. Aşağıda kaynağını belirteceğim PDF üzerinden sizde inceleyebilirsiniz.
Okuma ve yazma yani Read ve Write işlemlerinde veya throughput işlemlerinde ciddi bir farklılık bulunmuyor. Ancak gündelik operasyonlarda kullandığımız bazı işlemlerde farklılıklar bulunuyor. Örneğin Clone ve Snapshot.
Clone ve Snapshot operasyonlarına baktığımızda VSAN kullanmıyorsanız ortalama %20 gibi değerlerde bir performans kaybının olduğunu görebilirsiniz. Latency’nin yüksek olması performans kaybına yol açacaktır. Elbette kullanmış olduğunuz disk ve storage teknoloji bunda farklılıkları ortaya çıkaracaktır. VSAN’de neden bukadar performans farkı ortaya çıktığını soruyor olabilirsiniz. Bunun için ayrıca bir makale yazmam gerekecek sanırım 🙂
%20 veya %20 ‘den az performans kayıpları açıkcası benim için kabul edilebilen bir şeydir. Çünkü burada performansa odaklanırsanız bu sever güvenlikten ödün vermiş olursunuz. Sırf performans alacağım diye kullanmış olduğunuz ortamın güvenliğini göz ardı etmemeniz gerekir. Çünkü veri sızıntısı olduğunda veya verileriniz şifrelendiğinde kimse size “ama altyapıda performans çok iyiydi” yorumunu yapmaz 🙂
Klasik bir mimari kullanıyorsanız yani server-storage kullanıyorsanız yapacağınız encryption ile VSAN tarafında yapılacak olan encyrption arasında farklılık bulunmaktadır. Bu konu hakkında da kısaca bir bilgilendirme yapmak istiyorum.
Virtual Machine Encryption, virtual machine bazında şifreler. Her virtual machine’in unique yani benzersiz bir key’i (anahtarı) vardır. Şifreleme işlemi I/O virtual machine’den hipervizöre gelirken ve storage katmanına yazılmadan önce gerçekleşir. Bu çok önemli bir ayrıntıdır çünkü bazı kişiler datastore’a veya Storage’a veri yazıldıktan sonra şifreleme yapıldığını sanıyor. Virtual Machine Encryption, storage’dan bağımsızdır. VSAN dahil, desteklenen herhangi bir storage teknolojisi (NFS, iSCSI, FC, vb.) ile çalışacaktır. Ancak VSAN için ufak bir istisna bulunuyor. Biliyorsunuz ki VSAN’da Deduplication ve Compression özelliği bulunuyor. Ben bununla alakalı daha önce aşağıdaki gibi bir makale yazmıştım.
VSAN 6.2 – Deduplication ve Compression
VSAN – Raid 5/6 Erasure Coding
Encryption işlemi çok erken bir aşamada gerçekleştiği için deduplication ve compression işlemi virtual machine encryption için uygun değildir. Bunun için VSAN’da doğrudan datastore şifrelenir yani encrypt edilir. Bu önemli bir ayrıntıdır.
Umarım faydalı olmuştur.
İyi çalışmalar.
Eline sağlık hocam.