VMware ESXi host’u güvence altına almak için yapmamız gereken farklı güvenlik ayarlarına bir göz atmaya çalışacağız. ESXi host güvenli olduğundan emin olmaya çalışacağız. VMware ESXi, kullanıma hazır bir kurulum yaptığınızda bile oldukça güvenlidir. ESXi’yi vCenter Sunucusu aracılığıyla yöneterek veya bu güvenlik ayarlarını ESXi düzeyindeuygulayarak güvenlik ayarlarını daha da geliştirebiliriz.
ESXi host güvenlik, ilk savunma katmanıdır. Bir kilitleme modunu etkinleştirerek ESXi sunucunuza erişimi kısıtlayabilirsiniz. Bu, kimsenin sunucunuzun konsoluna gidip root olarak girememesi avantajına sahiptir.
VMware Secure boot ve TPM 2.0
Sunucularınızı donanım TPM 2.0 dongle cihazlarıyla donatmak ve BIOS’unuzu doğru şekilde yapılandırmaktır. UEFI Güvenli Önyükleme, TPM 2.0 desteği için bir ön koşuldur. UEFI Secure Boot, ESXi Boot Loader’ı kurcalamaya karşı korumakta ve yalnızca imzalı yazılımın yüklenmesini sağlamaktadır.
Yüklü bir TPM 2.0 olan bir ESXi host başlattığınızda, vCenter Sunucusu esxi onay durumunu izler. vSphere İstemcisi, Güvenlik altındaki vCenter Sunucusunun Özet sekmesinde donanım güven durumunu gösterir ve burada iki farklı alarm görebilirsiniz:
Green – Normal status, indicating full trust.
Red – Attestation failed.
TPM, güvenli bir şifreleme işlemcisi için bir standarttır. Özel mikroişlemci, kriptografik anahtarları cihazlara entegre ederek donanımı güvence altına almak için tasarlanmıştır. Güvenilir Bilgi İşlem Grubu (TCG), TPM teknik özelliklerinden sorumludur. TPM donanımı, ölçümleri Platform Yapılandırma Kayıtlarında (PCR’ler) depolar. Bu ölçümler, belleğe yüklenebilecek herhangi bir şeydeki değişiklikleri tespit etmek için kullanılabilir.
Intel TXT, sistem yazılımı ve yönetim uygulamalarının güven kararları vermek için bu ölçümleri kullanabilmesi için yazılım ve platform bileşenlerinin ölçümlerini sağlamak için bir TPM ve kriptografik teknik teknolojisidir. Kullanıcıları, sistem ve/veya BIOS kodunu bozarak veya platformun yapılandırmasını değiştirerek hassas bilgileri çalmaya çalışan yazılım tabanlı saldırılardan korur.
Sunucu BIOS ayarları
Her ESXi host BIOS’unda TPM 2.0 aygıtlarını doğrulamalı ve yapılandırmalısınız, aksi takdirde düzgün çalışmayacaktır. Farklı üreticilerin her BIOS’u farklıdır, bu nedenle izlenmesi gerekenler:
TPM, SHA-256 karmasını kullanacak şekilde ayarlanacaktır
CRB yerine FIFO (first-in, first-out) kullanın
TXT devre dışı bırakılacaktır (şimdilik TXT, TPM 2.0 ile ESXi’de uygulanmamaktadır).
Resim-1
ESXi Shell devre dışı bırakmak, ESXi host korumanın başka bir yoludur. ESXi Shell, ESXi host varsayılan olarak devre dışıdır. Etkinleştirmenizin tek nedeni sorun giderme içindir. Saldırıları azaltmak için her zaman mümkün olduğunca az bağlantı noktasını açık tutmalısınız. Başka bir seçenek de lockdown mode etkinleştirmek olacaktır.
Lockdown mode nedir?
Lockdown modu genellikle kurulumunuza başka bir güvenlik katmanı eklemek için kullanılır. Lockdown modunu etkinleştirirseniz, ESXi’ye yalnızca vCenter Sunucusu aracılığıyla erişilebilir.
Resim-2
Unauthorized access riskini azaltmak için ESXi Shell’i yalnızca sorun giderme için etkinleştirin. ESXi Shell, kilitleme modundan farklı bir şeydir. Bununla birlikte, Esxi kilitleme modunda çalışıyor olsa bile, etkinleştirilmişse ESXi Shell’de oturum açabileceğinizi bilmelisiniz.
Normal veya Strict lockdown modları vardır. ESXi Normal kilitleme modundayken DCUI (doğrudan kontrol Kullanıcı Arayüzü) durdurulmaz. Normal kilitleme modunu DCUI veya vCenter aracılığıyla etkinleştirebilirsiniz.
Resim-3
Lockdown modunu vCenter aracılığıyla etkinleştirmek veya devre dışı bırakmak için vCenter server > Select your host > Configure > Security Profile > Lockdown mode > Edit giriş yapalım.
Resim-4
ESXi Firewall configuration
ESXi’nin sahip olduğu güvenlik duvarı varsayılan olarak etkindir. ESXi host istemcisi aracılığıyla hizmetleri etkinleştirebilir veya devre dışı bırakabilirsiniz. Networking > Firewall Rules Kuralları’na gidebilirsiniz. VMware Host Client’ın ilgili firewall bağlantı noktalarıyla birlikte etkin gelen ve giden bağlantıların bir listesini görüntülediğini göreceksiniz.
Resim-5