VCP6-DCV Objective 1.2 – Secure ESXi, vCenter Server, and vSphere Virtual Machines

tarafından 28 Kasım 2015 tarihinde VMware, VMware ESXi, VMware vCenter kategorisine yazıldı.

Merhaba,

Bu bölüm aslında oldukça ilgi çekici. Çünkü normalde de burada anlatacağım bölümleri birçok kişi merak edip soruyor.  Burada anlacağım işlemlerin birçoğunu Web Client üzerinden yapabilirken aynı zamanda SSH üzerinden de yapabilirsiniz. Bunlarında detaylarını anlacağım.

Bu bölümde aşağıdaki başlıkları inceleyeceğiz.

  • Enable/Configure/Disable services in the ESXi firewall
  • Enable Lockdown Mode
  • Configure network security policies
  • Add an ESXi Host to a directory service
  • Apply permissions to ESXi Hosts using Host Profiles
  • Configure virtual machine security policies
  • Create/Manage vCenter Server Security Certificates

İlk olarak ESXi firewall bölümünden başlayıp sıra ile diğerlerini anlatacağım.

Enable/Configure/Disable services in the ESXi firewall:

ESXi üzerinde basit bir firewall bulunmaktadır. Bu basit firewall sayesinde belirli port’ların erişimini kısıtlayabilir veya bazı port’lara belirli IP’lerin erişmesini sağlayabilirsiniz. Aynı bölümde eğer isterseniz ESXi host’a ait servisleride yönetebilirsiniz.

vCenter’a dahil bir ESXi host’un firewall veya servis ayarlarını incelemek ve müdahale etmek için öncelikle vSphere Web Client ile vCenter’a login oluyoruz. Login işleminden sonra sırayla Host and Clusters > Host > Manage > Settings tab’ı altında yer alan Security Profile bölümüne giriş yapıyoruz. Burada yer alan Services bölümünde Edit butonuna bastığımızda karşımıza aşağıdaki gibi bir ekran çıkıyor.

1

Yukarıdaki ekranda ESXi host üzerinde ki servisleri görebiliyoruz. Eğer isterseniz buradaki servislerin durumunu Status bölümünden görebilir ve bu servisleri duruma göre Start, Stop, Restart edebilirsiniz.

Startup Policies bölümünde karşımıza 3 seçenek çıkıyor. Bunlar;

  • Start and stop with host: Eğer bir servisi start duruma getirip daha sonra host’u herhangi bir sebepden dolayı restart ederseniz, host açıldığında servis otomatik olarak başlayacaktır. Manuel olarak servisi başlatmanıza gerek yoktur.
  • Start and stop manually: Eğer bir servisi start duruma getirip daha sonra host’u herhangi bir sebepden dolayı restart ederseniz, host açıldığında servis otomatik olarak başlamayacaktır. Manuel olarak servisi başlatmanız gerekir.
  • Start and stop with port usage: VMware tarafından recommends edilen seçenek budur. Eğer servis’e bağlı bir port open duruma gelirse kendisi otomatik olarak ilgili servisi start edecektir. Eğer port closed duruma gelirse ozamanda buna bağlı servis’i otomatik olarak stop edecektir.

Enable Lockdown Mode:

Lockdown mode özelliği sayesinde ESXi host’a yanlızca vCenter üzerinden erişim sağlıyoruz. Eğer Lockdown mode’u enable duruma getirirseniz ESXi host’a yanlızca vCenter üzerinden erişim sağlayabilirsiniz. SSH’dan veya başka bir yol ile bağlanmanız mümkün olmaz.

vSphere Web Client’a giriş yaptıkdan sonra sırayla Home > Host and Clusters > ESXi host seçilir > Manage > Settings > System altında bulunan Security Profile bölümüne giriş yapılır. Lockdown mode’u editleyeceğimiz için sağ panelde bulunan Edit butonuna basıyoruz.

2

Lockdown Mode 3 tane seçeneği support eder. Bunlar;

Disabled: Lockdown mode disable durumdadır.

Normal: ESXi host’a local console’dan veya vCenter Server üzerinden erişim sağlanabilir.

Strict: ESXi host’a yanlızca vCenter Server üzerinden erişim sağlanabilir. Direct Console UI service’i stop durumdadır.

3

vSphere 6 ile birlikte Lockdown mode’da bazı değişikliklerde oldu. Exception Users diye bir özellik implemente edildi.  User’lar Exception List’e eklenebilir. Buraya eklediğiniz User’ların yetkilerinde herhangi bir kısıtlama olmaz. Ancak burada dikkat etmeniz gereken bir konu var. Exception List’e yanlızca vSphere Web Client üzerinden müdahale edebiliyorsunuz.

4

Alternatif bir yöntem olarak isterseniz Lockdown mode’u Direct Console User Interface (DCUI) üzerinden de enable duruma getirebilirsiniz. Bunun için öncelikle DCUI üzerinde F2 butonuna basıp login oluyoruz. Configure Lockdown Mode seçiyoruz ve Enter ile giriş yapıyoruz. Space bar ‘ı kullanarak Lockdown mode’u enable/disable durumuna getirebilirsiniz. Eğer Cancel etmek istiyorsanız ESC, değişiklikleri onaylayıp çıkmak istiyorsanız Enter butonunu kullanıyoruz.

Configure Network Security Policies:

Network Security Polices ‘i, vSphere Standard Switch (VSS) ve vSphere Distributed Switch (VDS) üzerinde ayarlayabilirsiniz. Tabi isterseniz bu ayarları switch seviyesinde yapar istersenizde portgroup seviyesinde yapabilirsiniz.

5

Network Security Policies bölümünde 3 tane seçenek vardır. Bunlar;

Promiscuous Mode:  Bu policy default olarak Reject durumdadır. Virtual switch üzerinde capturing yeteneğine sahip bir yazılım varsa (ethereal, wireshark gibi) bu modu accept hale getirmemiz gerekiyor. Bu tarz yazılımların çalışabilmesi için bu modun açalışması gerekmektedir.Eğer ki böyle bir ihtiyaç varsa Accept edilmelidir.

MAC address changes : Bu policy default olarak Accept durumdadır. Sanal makine üzerinde bulunan MAC adresi eğer ki kullanıcı tarafından değiştirilirse ilgili sanal makine varsayılan olarak disconnect olur.Bunun sebebi VMkernel üzerinde tanınmayan MAC adresinin switch’e bağlantısına izin yoktur.Eğer ki böyle bir ihtiyaç varsa Accept edilmelidir.

Forged transmits : Bu policy default olarak Accept durumdadır. Bir sanal makine karşı tarafa giderken MAC abc iken xyz ismiyle networkte transfer yapması durumudur.Microsoft cluster ortamlarında oluşturulan sanal nic durumunda karşılaşılabilir ve bu durumda sistemde bu ayarın Accept edilmesi gerekecektir.

Add an ESXi Host to a Directory Service:

ESXi bir host’u domain’e join etmek isteyebilirsiniz. Bu konu ile ilgili daha önce aşağıdaki gibi bir yazı yazmıştım. Ancak ben burada vSphere Web Client üzerinden işlemin nasıl yapılacağını anlatacağım.

vCenter Server Appliance 6 – Join Active Directory

Active Directory Integration for ESXi

6

vSphere Web Client’a login olduktan sonra sırasıyla Home > Host and Clusters > ESXi host’u seçiyoruz > Manage > Settings altında bulunan Authentication Services tab’ına giriş yapıyoruz. Burada karşımıza çıkan Join Domain butonuna basıyoruz. Domain ve Username/Password bilgilerini girdikten sonra OK butonu ile domain’e join oluyoruz. Eğer bir proxy server kullanıyorsanız bunun için Using Proxy Server seçeneğini kullanmanız gerekiyor.

Apply Permissions to ESXi Hosts Using Host Profiles:

Bir ESXi host üzerindeki ayarların aynısını farklı ESXi host’larada uygulayabilirsiniz. Eğer ortamınızda az host var ise kullanmak pek gerekmiyor ancak fazla host var ise oldukça faydalı bir özellik. Host profile’i kullanmak için vSphere Web Client’a login oluyoruz. Home > Host Profiles bölümüne giriş yapıyoruz. Sol panelde bulunan Host Profile ‘i seçiyoruz. Eğer daha önce bir Host Profile oluşturmadıysanız yeni birtane oluşturabilirsiniz. Daha sonra Manage > Settings > Edit Host profile bölümüne giriş yapıyoruz.

7

Security and Services tab’ını genişletiyoruz. Burada Permissions rules isimli folder’ı seçiyoruz ve yukarıda bulunan + butonuna basıyoruz. Hemen sağ tarafında bulunan dropdown menu’den Permission’u seçiyoruz. Next ve Finish ile Host Profile’i kayıt ediyoruz.

Configure Virtual Machine Security Policies

Bir virtual machine üzerindeki güvenliği sağlamak tıpkı fiziksel server’da olduğu gibidir. Operating System üzerindeki patchleri, appliacation’ların update’lerini, Antivirus ile korumayı ve gereksiz servisleri durdurarak güvenliği sağlayabilirsiniz. Tabi bu belirttiklerim en basic olanlar, siz daha farklı şekilde işletim sistemi üzerinde kendi güvenliğinizi sağlayabilirsiniz. Virtual machine’ler ile ilgili spesifik ayarların belirtildiği vSphere Security isimli dökümanı okumanızı öneririm. Aşağıdaki listede Virtual Machine Security Best Practices ‘ler listelenmiştir:

  • Use templates to deploy virtual machines
  • Minimize use of virtual machine console
  • Prevent virtual machines from taking over resources
  • Disable unnecessary functions inside virtual machines
  • Remove unnecessary hardware devices
  • Disable unused display features
  • Disable unexposed features
  • Disable HGFS file transfers
  • Disable copy and past operations between guest operating system and remote console
  • Limiting exposure of sensitive data copied to the Clipboard
  • Restrict users from running commands within a virtual machine
  • Prevent a virtual machine user or process from disconnecting devices
  • Modify guest operating system variable memory limit
  • Prevent guest operating system process from sending configuration messages to the host
  • Avoid using Independent Nonpersistent Disks

Create/Manage vCenter Server Security Certificates:

Sertifika aslında birçok kişinin favori konusudur. vSphere 6 ile birlikte sertifika tarafındada oldukça yenilikler geldi. VMware Certificate Authority (VMCA) özelliği sayesinde her ESXi ve vCenter üzerinde yüklü olan default sertifikaları değiştirebilirsiniz.

VMCA kullanarak 3 farklı yol ile sertifikaları yönetebilirsiniz:

VMCA Default: ESXi ve vCenter ‘lar üzerinde bulunan root sertifikalar VMCA tarafından listelenir. Default olarak root sertifikanın süresi 10 yıl sonra sona erer.

Make VMCA an Intermediate CA: VMCA ile Enterprise sertifikayı veya third party sertifikaları değiştirebilirsiniz.

Do not use the VMCA: VMCA’yı isterseniz tercih etmeyebilirsiniz. Eğer siz vSphere 5.5 ve önceki sürümleri gibi işlemleri manuel olarak yapmak isterseniz bunuda gerçekleştirebilirsiniz. İşlemleri manuel olarak yapabilirsiniz.

vCenter Server sertifikalarını yönetmek için aşağıdaki araçları kullanabilirsiniz.

vSphere Certificate Manager Utility: Buradan isterseniz tüm sertifikaları command line arayüzünü kullanarak değiştirebilirsiniz.

Certificate Management CLI: Sertifikaları dir-cli, certool ve vecs-cli komutları ile yönetebilirsiniz.

vSphere Web Client: Varolan sertifikaları inceleyebilir, expire zamanları ile ilgili bilgi alabilirsiniz.

Umarım faydalı olmuştur.

İyi çalışmalar.

Bu yazı blog üzerinde Tayfun DEĞER tarafından paylaşılmıştır. 2009 yılında açılan blog kısa zaman içerisinde büyük bir izleyici kitlesine sahip olmuştur.Tayfun DEĞER danışmanlık ve eğitimler vermektedir. vExpert 2013-2015, VCP5, VCP5-DT, VCP-Cloud ve MCSE sertifikalarına sahiptir.Twitter 'dan @tayfundeger veya RSS ile sitedeki değişiklikleri takip edebilirsiniz.