Merhaba,
vSphere 6.5 ile gelen yenilikleri incelerken Security tarafında yapılan iyileştirmeler/yeniliklerden de bahsetmekte fayda var. Son dönemlerde özellikle güvenlik açıklarından dolayı birçok firma path çıkarıyor. Özellikle sanallaştırma platformlarında security oldukça önemlidir. vSphere 6.5 ile birlikte VMware, security tarafında iyileştirmeler yapmıştır.
vSphere 6.5 ile birlikte VM Encrypiton özelliği gelmiştir. Bu özelliği storage policy’den düzenleyebilir, VMDK ve Virtual machine home dosyalarını (snapshot, vmx vs vs) encrypiton edebilirsiniz. Bunun için işletim sistemi seviyesinde bir düzenlemeye gerek yoktur. Kullanmış olduğunuz virtual machine’in işletim sistemi hiç önemli değildir. Siz ister Linux ister Windows kullanın hiç farketmez. Virtual machine’in işletim sistemine bakılmadığı gibi, virtual machine’in barınmış olduğu datastore’unda bir önemi bulunmamaktadır. ISCSI, FC, VSAN datastore’larında bulunması Encrypiton özelliğinin çalışmamasına sebep olmaz.
Aslında bu Encrypiton özelliği geçtiğimiz yıllardan gelmektedir ancak operasyonel olarak negatif sonuçlara neden olduğu için duyurulmamıştı. vSphere 6.5 ile birlikte artık bu özelliği kullanabileceğiz. Encrypiton işlemi tamamen hypervisor üzerinde gerçekleşmektedir. Virtual disk controller’ına IO talebi geldiğinde kernel storage layer’a bu talebi göndermeden kernel tarafından Encrypiton yapılır. Yukarıda da belirttiğim gibi virtual machine’e ait tüm dosyalar Encrypiton edilir.
Bu özelliğin çeşitli avantajları vardır:
- Encrypiton işlemi tamamen hypervisor seviyesinde yapılır. Virtual machine’in işletim sistemi veya virtual machine’in bulunmuş olduğu datastore bir faktör değildir.
- Encrypiton işlemi bir policy tarafından yönetilir. Bu policy’e dahil tüm virtual machine’ler Guest OS’a bakılmaksızın Encrypiton edilir.
- Encrypiton işlemi virtual machine tarafından yönetilmez. Bundan dolayı bunu monitor etmenizde gerekmez.
- VM Encryption işlemi için AES-NI kullanılır.
Yukarıda Encrypiton işleminin yapılma aşamalarını görebilirsiniz. Buna ek olarak birde vMotion esnasında verinin Encrypiton edilmesi özelliği bulunuyor.
vMotion Encrypiton:
vMotion yapılırken virtual machine bazında Encrypiton özelliğini aktif edebilirsiniz. Bunun için yapmanız gereken oldukça basit. Virtual machine > Edit settings > VM Options bölümüne giriş yaptığınızda karşınıza 3 tane seçenek çıkıyor. Bunlar;
Disabled: vMotion esnasında Encrypiton kullanılmamasını istiyorsanız bu seçeneği seçmelisiniz.
Opportunistic: Source ve destination host eğer encrypted vMotion’ı support ediyor ise vMotion işlemi yapılır. Eğer support edilmiyor ise normal vMotion işlemi yapılır.
Required: Source ve destination host eğer encrypted vMotion’ı support ediyor ise vMotion işlemi yapılır. Eğer support edilmiyor ise vMotion fail eder.
vMotion esnasında random bir key generate edilir. Bir seferliğe mahsus oluşturulan 256-bit key vCenter tarafından oluşturulur. Bu özellik aslında ek bir güvenlik katmanı oluşturuyor ve oldukçada dikkat çekici. Ancak production ortamında bunun kullanılması ne gibi avantajlara-dezavantajlara yol açar onu detaylı olarak tartışmak gerekiyor. Hangi virtual machine’in şifreleneceğini hangisinin şifrelenmeyeceğine karar vermek için sistem admin’lerine iş düşüyor 🙂
Umarım faydalı olmuştur.
İyi çalışmalar.
