Hyper-V için Yenilikçi Yaklaşımlar -1

Microsoft Windows Server 2016 ile birlikte Hyper-V'nin de yeteneklerini geliştirerek sanallaştırma dünyasındaki pazarını gün geçtikçe arttırıyor. Bununla birlikte Microsoft'un ürünü için sunduğu yönetim araçları temel ihtiyacı karşılasa da güvenlik ve kolay yönetim konusunda daha akıllı aynı zamanda kullanışlı çözümlere yeterince odaklandığını göremiyoruz. Belki birçok sistem yöneticisi için sunulan özellikler ve yenilikler yeterli olabilir ancak heterojen bir ortamda birden fazla çözüm ile mücadele etmeniz gerektiğinden bu bakış açısının zaman ve maliyet konusunda çok verimli olduğunu söyleyemeyiz. Daha geniş bir perspektiften ele alındığında Hyper-V ortamlarını hibrit bir çözüm kullanarak daha yenilikçi bir bakış açısı ile yönetimini ve güvenliğini sağlamak ekosistemin tamamına yönelik zaman ve maliyetleri düşürdüğünden bir katma değer olarak bize yansıyacaktır. İşte bu alandaki boşluğu doldurması hasebiyle 5nine software'in 5nine Cloud Security ve 5nine Manager isimli ürünlerinden bahsetmek istiyorum.

Bu yazımızda Hyper-V güvenliği konusunda ilk ve tek çözüm olarak karşımıza çıkan 5nine Cloud Security ürünün özelliklerini genel hatlarıyla anlatmaya çalışacağım.

5nine Cloud Security

Ürün virtual firewall, anti-malware ve intrusion detection işlevlerini bir arada sunan ajansız (agentless) bir çözüm olarak karşımıza çıkıyor. Aslında ürünün öne çıkan bu özelliği hypervisor katmanında geliştirilen patentli bir teknoloji kullanıyor olması ile diğer çözümlerden bu noktada ayrılıyor. Çözüm uzak bağlantı ile bir GUI üzerinden tüm sanallaştırma altyapınınızı yönetebiliyor.

Anti-malware

Geleneksel yaklaşıma göre tipik bir anti-malware çözümünün işlevini yerine getirebilmesi için sanal yada fiziksel makinede bir ajanın (scanning agent) kurulu olması gereksinimi vardır.

agent-based-278x300

Bu basit konsept her nekadar masum gibi gözükse de aslında birçok sorunu beraberinde getirmektedir. Çünkü tamamen yada uçtan uca kontrol edemediğiniz bir ortamda güvenliği sağlamak çok kolay değildir. Bununla birlikte sistem yöneticileri ve hosting sağlayıcılar bir şablon (template) mekanizması ile öntanımlı olarak bazı güvenlik çözümlerini işletim sistemine önceden dahil etme yoluna gitmişlerdir. Fakat sonrasında birilerinin malware korumasını devre dışı bırakmayacağı yada doğrudan sistemden kaldırmayacağının garantisi yoktur. (Özellikle hosting sağlayıcılardan kiralanan sunucularda) Bunlar bir kenara başa çıkılması gereken asıl sorun performans noktasındadır. Sınırlı olan fiziksel donanım kaynaklarını tüm sanal makinelerin paylaşmak zorunda olduğunu düşünürsek yüzlerde sunucunun olduğu bir yapıda verimlilikten bahsetmek oldukça zordur. Geleneksel olarak bir anti-virus yada anti-malware çözümü sanal sistemlerde çok verimli çalışmaz. Çünkü tarama işlemi (scanning process) yoğun I/O ve yüksek CPU kaynağı tüketen bir süreçtir. Bu tekil sunucu bazında düşünüldüğünde gözardı edilebilir ancak yaygın olarak zamanlaşmış tarama mantığını benimsemiş anti-malware uygulamaları eşzamanlı olarak çalıştığında AV-Storm denilen kabul edilemez seviyelerde kaynak tüketebilmektedir. Başka bir senaryoda anti-malware yazılımının sanal sunuculardan dışarıda yani host seviyesinde çalıştırılması da akılcı bir çözüm değildir. Nitekim Microsoft bu hususta host üzerindeki dosya sisteminde sanal makinelerin bulunduğu dizinlerin gözardı edilmesini (exclude) önermektedir. Aynı zamanda VMMS.EXE VMSWP.EXE proseslerini de gözardı edilmesini önermektedir ki bu yapılmadığı zaman sanal makinede bozulmalara (corruption) neden olabilmektedir.

agentless-289x300
Bu alışılagelmiş teknikten farklı olarak hipervizör katmanında (virtualization stack) yapılan inline ve aktif bir tarama işlemi ile gözle görülür bir performans artışı sağlanmaktadır. Bu yapıda kullanılan tarama tekniği bahsi geçen ajansız teknolojidir. Ek fayda olarak son kullanıcıların güvenlik amaçlı önceden kurulan yazılımları kaldırması yada devre dışı bırakması gibi bir seçeneği olmadığı için bu güvenlik önlemlerini atlatması mümkün değildir. Belirtildiği gibi işlemler OS katmanında değil hypervizör katmanında arka planda (virtualization stack level) gerçekleşmektedir. Bu da artan (incremental) tarama yapılabilmesine olanak sağlamaktadır. Burada kullanılan yöntem son taramadan sonra sadece değişen blokların (storage blocks) taranması esasına dayanır. Aşağıdaki grafik OS üzerinde yapılan tipik bir AV taraması ile ajansız (agentless) teknoloji arasındaki performans farkını göstermektedir.
performance-e1479296614355
Bu bakış açısına göre gerçekleşen bir antimalware taramasında sadece tarama zamanından kazanç elde edilmekle kalmaz, aynı zamanda sunucu üzerine binen yük miktarında da inanılmaz bir azalma olarak gözlemlenen bir kazanç elde edilmektedir. Sonuç olarak performans gereksinimlerinin indirgenmesi ile verimlilik sağlanmıştır. Ürün tarama işlemlerinde (scanning engine) Bitdefender, Kaspersky ve ThreatTrack kullanmaktadır.

Firewall

Anti-malware tarama son derece önemlidir ancak bunu kapsamlı bir güvenlik çözümünün sadece bir parçası olarak değerlendirmek daha doğru olur. Diğer önemli ve kritik noktadan birisi de firewall tarafıdır.
Her nekadar windows bütünleşik bir firewall çözümü ile gelse de sadece OS katmanında çalıştığından tek boyutlu bir yapısı vardır, çok katmanlı bir network yapısında yetersiz kalmaktadır. Bu noktada da yine Hyper-V  için özel olarak dizayn edilmiş doğrudan extensible switch'e bağlı yapısı olan bir çözüm beklentilere tam olarak cevap verebilir. Bu özellikleri taşıyan bir firewall Windows Filtering Platform (WFP) kullanımını da desteklediğinden akan vm network trafiği üzerinde inspect, drop, modify, insert gibi fonksiyonların kullanımına da olanak sağlar. Genel olarak  kurulu yazılımlar üzerinde ve sanal network katmanında durumsal paket analizi yapabilmeside beklenir. (stateful packet inspection) Burada aslında daha önemli olan husus binlerde log içinden okunabilir yani anlaşılır ve aksiyon alınabilir nitelikte bir raporlama sunmasıdır.

Intrusion Detection Systems

 
Diğer bir güvenlik mekanizması olarak iyi bir saldırı tespit sistemi (intrusion detection system) ihtiyaç duyulan önemli bir bileşendir. Markette birçok üretici bu alanda donanım temelli ürünler kullansa da Hyper-V ortamları için özel geliştirilmiş, yazılım temelli bir sistem daha fazla katmadeğer sağlayabilir. Çünkü hyper-v katmanında fiziksel, mantıksal ve sanal networkler gibi çok katmanlı bir yapıda, bilinen saldırı yöntemlerini barındıran bir database bulundırması yada bilinmeyen ataklar için sezgisel davranış analizi yapabilmesi gibi işlemleri bütünleşik ele alması ürünü daha ayrıcalıklı kılmaktadır.
Burada bahsedilen virtual firewall, anti-malware ve intrusion detection modullerinin tamamı policy, rule, filter gibi üretilen tüm loglar üzerinde analiz ve denetleme (audit)  yapmaya olanak sağlamaktadır.
Gelecek yazımızda kolay yönetim arabirimine sahip "5nine Manager" ürününden bahsetmeye çalışacağım. Görüşmek üzere.