VBS ve HVCI Nedir ve her iki teknoloji ne için kullanılır?
Bu blog yazısında, Microsoft VBS’yi Windows’ta Hyper-V Sanal Bilgisayar Arayüzü (HVCI) ile entegre etmenin faydalarını paylaşacağız. Ayrıca, sanallaştırma özellikli güvenli kullanıcı kimlik doğrulaması, hassas sanal makinelere güvenli erişim ve kullanıcı kimliğine dayalı olarak sanal kaynaklar üzerinde daha ayrıntılı kontrol dahil olmak üzere VBS ve HVCI entegrasyonu için kullanım senaryolarını inceleyeceğiz. Bunlar, BT yöneticileri için hayatı kolaylaştırmak ve saldırı yüzeylerini azaltmak için bu iki teknolojinin nasıl birleştirilebileceğinin sadece birkaç örneğidir.
Sanal makinelerin veya VM’lerin güvenliğine giriş
Günümüzde sanal makineler birçok durumda ana bilgisayar işletim sistemlerinin yerine kullanılmaktadır. VPS’nin birçok hizmette sunulduğu buluta bakın. Bu nedenle, sanal makineler (VM) veya virtual machines (VM), ana makineler kadar ilgili verileri işleyebildikleri için siber saldırıların hedefi haline geldi.
Sanal makinelerin güvenliğini sağlamak için bazı temel ipuçlarını burada bulabilirsiniz:
Her sanal makine için benzersiz ve güçlü parolalar kullanın
Artık ağınızdaki her sanal makine için güçlü parolalar kullanmak her zamankinden daha fazla gerekli. İdeal olarak, her sanal makinenin farklı bir parolası olmalıdır, ancak çok sayıda makineniz varsa bu daha zor olabilir. Güçlü parolalar, güvenli bir bilgi işlem ortamının temelidir. Sanal makineye ve onda depolanan hassas bilgilere erişimi kontrol ederler.
Parola yönetimi araçları, tüm hassas hesaplarınız için güçlü parolalarınız olduğundan emin olmanıza yardımcı olabilir. Ayrıca, gerektiğinde kolayca bulunabilmeleri için bunları düzenlemenize ve saklamanıza yardımcı olabilirler. Kurumsal düzeyde bir VPN hizmeti kullanıyorsanız, yerleşik parola güvenliği özelliklerine sahip olma olasılığı yüksektir. Değilse, şifrelerinizi yönetmenize yardımcı olacak üçüncü taraf araçlarına bakın.
Ağ bağlantı noktalarını engelleyin
Sanal makinelerin ağ üzerinde hassas verileri barındırması muhtemeldir, bu nedenle bu verilere yalnızca yetkili kullanıcıların erişebildiğinden emin olmalısınız. Bunu yapmanın en kolay yollarından biri, hassas verileri barındıran bağlantı noktalarına erişimi kısıtlamak için sanal bağlantı noktası engellemeyi kullanmaktır. Bu, kötü amaçlı yazılımların sanal makine içindeki verilere erişmesini önlemenin etkili bir yolu olabilir. Çoğu modern ağ bağlantı noktası izleme aracı bunu sizin için yapabilir; bu, sanal makinelere yönelik saldırıları önlemek için şiddetle tavsiye edilir.
Tüm sanal makinelerinizin en güncel ağ bağlantı noktası ayarlarına sahip olduğundan emin olun. Artık kullanılmayan eski sistemleriniz varsa ağ bağlantı noktalarınızı kapatmayı düşünün. Bağlantı noktası güvenlik ayarları, erişimi tamamen engellemek veya belirli IP adreslerinden erişime izin vermek için değiştirilebilir. Bu, özellikle bilgisayar korsanlarının hangi bağlantı noktalarını hedeflediğini bilmiyorsanız, bilgisayar korsanlarının hassas verilere erişmesini önlemenin etkili bir yolu olabilir.
Sanal makine sarmalayıcısını kullanın
Sanal makine sarma, sanal makineleri kötü amaçlı yazılım, fidye yazılımı, veri ihlalleri ve kurcalama gibi saldırılara karşı korumak için tasarlanmış bir güvenlik tekniğidir. Bir sanal makine sarıldığında, ana sunucu ve sanal makine, ağdaki diğer ana bilgisayarların bunlara erişmesini engelleyen bir tür karantinaya alınır.
Bu, sanal makineleri ağın geri kalanından izole ederek siber saldırılara karşı korumanın harika bir yoludur. Ayrıca, virüs bulaşmışsa bir sanal makineyi tamamen kapatmanıza ve ağın geri kalanından karantinaya almanıza olanak tanır. Saldırılara karşı koruma sağlayan birkaç ticari ürün vardır. Ancak birçok kuruluş, kendi bünyesinde geliştirdikleri sanal makine sarmalayıcı yazılımlarını da kullanır.
Yazılımı güncel tutun
Bir sanal makineye çok sayıda eski yazılım yüklemeniz gerekebilir, ancak en son sürüme sahip olduğunuzdan emin olun. Bu, özellikle artık satıcı tarafından desteklenmeyen eski bir yazılım kullanıyorsanız geçerlidir.
Bilgisayar korsanları her zaman istismar etmek için güvenlik açıkları arar ve birçoğu en son açıklardan haberdardır. Bu, güncellenmemiş eski yazılımı çok çekici bir hedef haline getirir. En son yamaları ve güncellemeleri yükleyerek tüm yazılımlarınızı güncel tuttuğunuzdan emin olun. Bu, yazılımınızın istismar edilme olasılığını azaltmanın iyi bir yoludur. Test amacıyla eski yazılımları çalıştırmanız gerekiyorsa, ağınızın geri kalanına yayılmasını önlemek için onu ayrı bir sanal makinede yalıtmayı düşünün.
VM’de ne sakladığınıza dikkat edin
Birçok kuruluş, sanal makineleri yalnızca test ve geliştirme amaçlarından daha fazlası için kullandıklarının farkına varıyor. Bunları üretim amaçlı da kullanırlar. Her şeyi sanal bir makinede depolamak cazip gelse de bu iyi bir fikir değil.
Kuruluşunuzun bir noktada bir ihlal yaşaması muhtemeldir, bu nedenle sanal bir makinede ne depoladığınız şeyler konusunda seçici olun. Saldırıya uğrama olasılığı olduğundan, bir VM’de barındırılan hassas verilere dikkat edin. Her şeyi sanal bir makinede saklama alışkanlığına girmek kolaydır. Bu, hassas verileri tek bir yerde merkezileştirmenin harika bir yolu olabilir. Ancak bu yöntemi kötüye kullanmamaya dikkat etmelisiniz.
Kötü amaçlı yazılım önleme aracı yükleyin
Kötü amaçlı yazılım önleme araçları, birçok saldırıyı sanal makinelerinize ulaşmadan engellemenin iyi bir yoludur. Bu araçlar, korumasız bağlantı noktalarından veya sanal makine güvenlik açıklarından yararlanmaya çalışan kötü amaçlı yazılımlardan gelen saldırıları önlemeye yardımcı olabilir.
Sanal makine ortamınıza tam olarak entegre edilmiş bir kötü amaçlı yazılım önleme aracı arayın. Bu, ağınızı güvenli hale getirmenizi ve sanal makinelerinizi saldırılara karşı korumanızı kolaylaştırır. Bir sanal makineye saldırı yapıldıktan sonra bu güvenlik önlemlerini uygulamamalısınız. Bunu yapmak, atı alanın Üsküdar’ı geçtikten sonra veya at kaçtıktan sonra ahırın kapısını kapatmak gibidir. Bir saldırı meydana gelmeden önce önlem almak çok daha iyidir.
Yedekleme yapmayı unutmayın
Son olarak, sanal makinelerin bir yedeğini veya anlık görüntüsünü almanız gerekir. Bu şekilde, bir makinenin güvenliği ihlal edilirse, onu önceki durumuna kolayca geri yükleyebilirsiniz. Ayrıca, önceki bir sürümde tanıtılan verilere başvurmanız gerekebileceğinden, sanal makinelerin eski kopyalarını kaydetmek de iyi bir fikirdir. Ayrıca, en son sürümde bir şeyler düzgün çalışmıyorsa, zaman zaman sanal makinenin önceki bir sürümüne geri dönmek isteyebilirsiniz.
Sanal makineleri yedeklemenin çeşitli farklı yolları vardır, hipervizörlerin kendileri bile bunun için özelliklere sahiptir. Seçeceğiniz yöntem, ortamınızın boyutuna, depolanan verilerin türüne ve bütçenize bağlı olacaktır. Ucuz ve kullanımı kolay birkaç bulut tabanlı yedekleme hizmeti vardır, bu nedenle bu hizmetleri göz önünde bulundurmalısınız. İyi bir yedekleme politikası oluşturmak için bir protokolü takip etmek anlamına gelse bile, daha geleneksel yerel yedekleme yöntemleri de vardır.
Microsoft’un VBS’si nedir?
Sanallaştırma Tabanlı Güvenlik veya Virtualization-Based Security (VBS), kuruluşların isteğe bağlı kullanıcı kimliği ve erişim yönetiminden yararlanarak sanal makinelerdeki kritik kaynakları ve hassas verileri korumasını sağlayan bir özelliktir.
Daha basit bir ifadeyle, VBS, kullanıcıların Active Directory (AD) kimliklerine göre kimliklerini doğrulayarak bir VM’deki hassas bilgilerin güvenliğini sağlamanıza olanak tanır. Bu, sanal makinede oturum açmak için kullanıcı adı ve parola kombinasyonu yerine kullanıcının AD kimlik bilgilerinin kullanıldığı anlamına gelir.
VBS, sanal makineyi fiziksel ana bilgisayardan yalıtır ve sanal makinenin ana bilgisayarın donanımına, ağ arabirimlerine, Hyper-V ana bilgisayarının kendisine veya ana bilgisayarın bağlı olduğu ağa erişimi olmamasını sağlar. Bu, kritik altyapıyı VM’lerdeki kötü amaçlı etkinliklerden korumak için VBS’den yararlanılabileceği anlamına gelir. VBS ayrıca, bir çalışanın kuruluştan ayrılması veya kötü niyetli etkinlikten şüphelenilmesi durumunda kuruluşların VM’lere erişimi iptal etmesine olanak tanır.
HVCI nedir?
Hyper-V Virtual Computer Interface (HVCI), Hyper-V düğümlerinde barındırılan sanal makinelere güvenli uzaktan erişim için kullanılır. HVCI, Windows Server ana bilgisayarına yüklenen bir yazılım arabirimidir. Uzak kullanıcıların kimliğini doğrulamak ve AD’deki kimliklerine göre VM’ye güvenli erişim sağlamak için VBS ile birlikte kullanılabilir.
HVCI, Hyper-V’nin bir özelliği değildir; ana bilgisayar işletim sisteminin Hyper-V sanal anahtarı dışında bir ağ protokolü kullanarak bir VM’ye bağlanmasına izin veren Windows’ta yerleşik bir özelliktir. HVCI, VM’lere bağlanmak için iki yoldan biriyle kullanılabilir:
- Bir Uzaktan Erişim Hizmeti (RAS) bağdaştırıcısı ve bir VPN bağlantısı kullanımı.
- Bir geçiş adaptörü ve doğrudan bağlantı kullanımı.
Windows’ta VBS ve HVCI’yi entegre etmenin avantajları
Bu makalede daha önce tartıştığımız gibi, VBS ve HVCI iki farklı özelliktir. Ancak birlikte kullanıldıklarında benzersiz güvenlik avantajları sağlarlar. Bu avantajlardan bazıları şunlardır:
- Sanallaştırma ile etkinleştirilen güvenli kullanıcı kimlik doğrulaması: Bu, Windows’ta VBS ve HVCI’yi entegre etmenin en önemli avantajıdır. Bu özellik, kuruluşların, kullanıcılarının kimlik bilgilerini AD kimlik bilgilerine göre doğrulamasını ve hassas verilerine güvenli erişim sağlamasını sağlar.
- Hassas sanal makinelere güvenli erişime izin verir: VBS, kuruluşların erişimlerini yalnızca kimliği doğrulanmış kullanıcılarla sınırlayarak hassas sanal makinelerin güvenliğini sağlamasını sağlar. Bu, yalnızca gerekli izinlere sahip AD kullanıcılarının hassas sanal makinelere erişebileceği anlamına gelir.
- Kullanıcı kimliğine dayalı olarak sanal kaynaklar üzerinde daha ayrıntılı denetim: Windows’ta VBS ve HVCI ile kuruluşlar, AD kullanıcı kimliğine göre belirli sanal makinelere erişim izni verebilir. Örneğin, bir satış ekibi, üzerinde çalıştıkları anlaşmalarla ilgili verileri içeren belirli bir sanal makineye erişebilir. Benzer şekilde, bir İK ekibi, farklı bir sanal makinede İK ile ilgili verilere erişebilir.
Artık Microsoft’un VBS ve HVCI teknolojisi ve ne için kullanabileceğiniz hakkında daha fazla şey biliyorsunuz…