VMware Araçlar ile Güvenlik – Security with VMware Tools

VMware vSphere, UEFI Güvenli Önyükleme, Sanallaştırma Tabanlı Güvenlik (Microsoft Device Guard ve Credential Guard etkinleştir), vTPM, şifreli vMotion, VM şifrelemesi, vSAN şifrelemesi ve daha fazlasıyla misafir işletim sistemlerinin güvenliğini artırmak için bir dizi araçlar sunar.

Güvenlik bir süreç ve zihniyettir ve saldırganın bakış açısını göz önünde bulundurmamız gereken her şeyi güvence altına almak için gereklidir. Saldırgan kimdir? Kötü amaçlı yazılım veya başka yollarla kuruluşunuzun ağına erişen biri olabilir. Ayrıca, kötü niyetli bir çalışan, şantaj yapılan bir çalışan veya hatta kuruluşun kaynaklarına erişmeye devam eden eski bir çalışan olabilecek bir “içeriden kaynaklanan tehdit” olarak bilinen şey olabilir. Düşünülmesi gereken ikinci soru şudur: Saldırgan ne ister? Sanal bir makinede güvence altına alınan verilere erişmek istiyor olabilirler. Ayrıca, bir diğerine erişmeye çalışmak için bir sanal makine kullanmaya çalışıyor olabilirler.

Bir saldırgan kuruluşunuzun ortamında ne kadar uzun süre çalışırsa, VMware Carbon Black gibi araçlar, vRealize Log Insight gibi ürünlerden günlük incelemeleri ve alarmlar tarafından ya da yalnızca anormal davranışa benziyor diye uyarı verir. Bundan kaçınmak için, bir saldırgan tüm sanal makineyi dışarı atmayı (“özellikle tehlikeli bir konumdan gizlice geri çekilmeyi”) seçebilir. Bu, sanallaştırılmış Microsoft Active Directory etki alanı denetleyicileri söz konusu olduğunda özellikle yaygın bir hedeftir. Saldırgan, sanal makinenin bir kopyasını, kendi keşif veya kilitleme korkusu olmadan şifreleri kırmaya ve kırmaya çalışabilecekleri kendi altyapısına alabilir. Bir saldırgan, kuruluşunuzun ortamında ne kadar uzun süre çalışırsa, VMware Carbon Black gibi araçlarla, vRealize Log Insight gibi ürünlerden günlük incelemeleri ve alarmlar tarafından ya da sadece anormal davranışa benzeyen meraklı bir yönetici tarafından keşfedilir.

Bunun hakkında ne yapabiliriz? VCenter Sunucusu rol tabanlı erişim denetimini, örneğin VM’leri klonlama ve şifrelerini çözme haklarına sahip olanları sınırlamaya yardımcı olmak için kullanabiliriz. VMware Tools’un ilgi çekici bazı seçenekleri de vardır.

VMware Tools 11.1.0 dikkate alınarak yazılmıştır. CLI komutlarını gösterir ve aşağıdaki yürütülebilir dosyaları kullanabilirsiniz:

C: \ Program Dosyaları \ VMware \ VMware Tools \ VMwareToolboxCmd.exe (Windows)

/ usr / bin / vmware-toolbox-cmd (Linux, open-vm-tools paketlerini kullanarak)

Örnekler; Windows yürütülebilir dosyasına başvurur, ancak bunu Linux komutuyla değiştirebilir ve aynı parametreleri kullanabilirsiniz.

Bu seçeneklerin birçoğu vSphere Client uygulamasından da yapılandırılabilir. Ancak, yalıtım eklemek için çalışıyorsanız, bunları konuk işletim sistemi düzeyinde ayarlamak bu denetimleri güçlendirir. VSphere altyapısına erişim sağlayan bir saldırgan bunları yeniden etkinleştirebilir, ancak konuk işletim sisteminde devre dışı bırakılması onlar için daha zor olabilir.

Zaman Senkronizasyonunu Sağlayın

Zaman senkronizasyonu güvenlik için çok önemlidir. Şifreleme işlemleri, diğer ana bilgisayarlara bağlanmak için doğru zamana ihtiyaç duyar ve doğru zaman, günlüklerde doğru zaman damgaları anlamına gelir; bu, bir ihlal olması durumunda tanılama ve zaman çizelgeleri geliştirme için önemlidir. Konuk işletim sistemi saatini ESXi ana bilgisayarlarıyla senkronize etmemek, bunun yerine VM’lerin NTP veya diğer zaman kaynakları ile senkronize olmasına izin vermek en iyi uygulama olarak kabul edilir. N + 1 yedekliliğini sağlamak için en az dört NTP kaynağı kullanmak da en iyi uygulama olarak kabul edilir (üç kaynak minimumdur, artı yedeklilik için bir ekstradır). Asla iki kaynak yapılandırmayın, çünkü hangisinin doğru olduğunu söyleyemezsiniz!

Misafir senkronizasyonunda zaman senkronizasyonunun devre dışı bırakıldığından emin olmak için şu komutu kullanın:

VMware Araçlarındaki Güncelleştirmeleri Denetleme

Diğer yazılımları güncellemek gibi VMware Tools uygulamasını güncel tutmak önemlidir. Sorunlar düzeltildi, iyileştirmeler yapıldı ve özellikler eklendi. vSphere Administrators, VMware Tools yükseltme işlemini altyapının kendisinden etkileyebilir ve bu da büyük bir zaman çizelgesi olabilir. Bununla birlikte, bunu yapmak, sanal makinelere yürütülebilir dosyaları altyapının kendisinden yükledikleri anlamına gelir ve bu bir VM veya uygulama yöneticisinin kontrol etmek isteyebileceği bir şey olabilir. Benzer şekilde, vSphere Administrators, ilgi çekici olabilecek veya olmayabilecek bazı VMware Tools özelliklerini denetleyebilir.

Kuruluşunuzun vSphere altyapısı (örneğin ayrı bir sistem yönetim aracı kullanarak) aracılığıyla olmayan VMware Tools’u güncellemek ve yapılandırmak için resmi bir yolu varsa, bu altyapı özelliklerini devre dışı bırakmayı düşünmelisiniz.

Sanal Makinenin Özelleştirilmesini Önleme

Bir VM’yi klonlamayı ve buna bir özelleştirme belirtimi uygulamayı düşündüğünüzde hem insan hatası hem de saldırganlar için bazı ilginç fırsatlar vardır. Özelleştirme özellikleri, yönetici parolalarını değiştirmenize, ağ ayarlarını sıfırlamanıza, etki alanı üyeliğini değiştirmenize ve hatta birisi ilk kez oturum açtığında komutları bir kez çalışacak şekilde ayarlamanıza olanak tanır. VMware Araçları, özelleştirmeyi devre dışı bırakmanıza izin verir ve birisinin bir şablondan dağıtıldıktan sonra birinin ortamınızda veya kendi ortamlarında özelleştirmeler uygulayamaması için genel olarak devre dışı bırakmak iyi bir fikirdir.

AppInfo ile Sunulan Kontrol Bilgileri

Appinfo, VMware Tools aracılığıyla uygulama keşfi yapmak için bir yöntemdir. Çalışan işlemler hakkında bilgi almanın harika bir yoludur ve vRealize Operations Manager gibi araçlar bir ortamı izlemeye yardımcı olmak için kullanır (vSphere Cloud Community blog’un bunu kullanma konusunda bir yayını vardır). Yürütülebilir dosyaların sürümlerini de döndürebileceğinden, yama durumunu değerlendirmek için de kullanabilirsiniz, yani VM’nin kendisine erişimi olması gerekmeyen bir saldırganın erişim kazanmak için hangi açıklardan yararlanacağını belirlemesi daha kolay olabilir. Kullanmıyorsanız devre dışı bırakmayı düşünün.

Misafir İşlemlerini Devre Dışı Bırak (Invoke-VMScript)

Konuk İşlemleri vSphere içinde güçlü bir yönetim yeteneğidir; burada vSphere Yöneticisi altyapının kendisinden konuk işletim sistemiyle etkileşim kurmak için PowerCLI cmdlet Invoke-VMScript’i kullanabilir. Invoke-VMScript bunu uygulamak için konuk kimlik doğrulamasını kullanır, bu nedenle onu kullanmaya çalışan birinin ana bilgisayara erişimi olan bir hesabı bilmesi gerekir (yine de etki alanına katılmış misafirleri düşünün). Kuruluşların genellikle yönetilen konuk işletim sistemlerine geçici komutlar vermenin bir yolu vardır ve bu durumda bu özelliği aşağıdaki komutla devre dışı bırakmayı düşünebilirsiniz:

Kurulu Modülleri Düşünün

VMware Tools, VMware Workstation, Fusion, ESXi ve VMware Cloud’da VM’ler çalıştıran geniş bir VMware müşterileri topluluğuna hizmet etmek içindir ve yetenekler her yerde farklıdır. Örneğin, İş İstasyonu Hizmet Bulma özelliklerini kullanmaz ve ESXi paylaşılan klasörleri uygulamaz. Bununla başa çıkmaya yardımcı olmak için VMware Tools geliştiricileri, müşterilerin yükledikleri şeyler hakkında ayrıntılı bilgi alabilmeleri için bir çok aracı modüler hale getirmiştir.

VSphere’de performans nedenleriyle paravirtualized aygıt sürücülerini (vmxnet3 ve pvscsi) şiddetle tavsiye ederiz ve diğer sürücüler size güvenlik için çok fazla ödün vermeden daha iyi hale getiren başka işlevler sunar. Bununla birlikte, bu özellikleri kullanmıyorsanız Service Discovery, AppDefense, Shared Folders ve benzerleri gibi diğer modüller gerekli olmayabilir (VMCI bileşeninin kendisi, sürüm raporlaması, Araçlar durumu vb. Dahil olmak üzere hipervizörden misafir iletişimini işleyen şeydir. bu yüzden kurulu olarak bırakmak iyi bir fikirdir). Özellikleri kesinlikle VMware Tools Installer GUI’den veya sessiz kurulum için komut satırı bayraklarından özelleştirebilirsiniz.

Yükleme için varsayılanları kabul etmek kötü mü? Hayır. Müşterilerin bir çoğunun bu ayrıntı düzeyiyle uğraşmasına gerek yoktur ve VMware Tools’u zamanında güncel tutun.

KAYNAK

Exit mobile version