Windows server 2016 ile birlikte Windows server işletim sistemi, onun bir parçası olan sanallaştırma platformu Hyper-V ve sanallaştırma platformu içinde çalışan sanal makineleri için birçok güvenlik çözümleri geldi. Microsoft, Hyper-V ‘nin ilk var oluş gününden itibaren güvenliği her zaman için önde tutmuş, zaman içinde güvenlik açığı oluşturabilecek birçok özelliği iyileştirmeden sanallaştırma platformuna dahil etmemiş ve güvenli duruma getirmeden müşterilerine sunmamıştır. Windows Server 2016 Teknik Lansmanında bahsettiğim gibi Hyper-V ilk var oluş gününden itibaren daha güvenliydi ve bugün, yeni özellikleri ile daha güvenli olmaya devem ediyor.
Fakat, Hyper-V 3.0 ‘dan itibaren kullandığımız Secureboot özelliği, Hyper-V 5.0 ile birlikte gelen Shielded Virtual Machines gibi güvenlik özellikleri Hyper-V Yeteneklerininin Nesillere Göre Uygulanması makalesinde göreceğiniz gibi yeni nesil sanal makineleri için desteklenmektedir. Microsoft daha hızlı, daha güvenli olan yeni nesil sanal makinelerin kullanılmasını önerse ve ilk nesil sanal makinelerin ikinci nesil sanal makinelere yükseltilmesini önerse bile bu yükseltme işlemleri bazı kurumlar için çok fazla mümkün olmuyor. Durum bu şekilde olunca Hyper-V 5.0 sürümüne kadar ilk nesil sanal makinelerinin güvenliğini sağlamamız çok mümkün olmuyor çoğu kez üçüncü firmaların üretmiş olduğu çözümleri kullanıyorduk. Hyper-V 5.0 sürümü ile birlikte Key Storage Drive özelliği geldi ve birinci nesil sanal makinelerinin güvenliğini sağlayabilir duruma geldik.
Key Storage Drive Kullanım Senaryosu videosu içinde KSD, Secureboot, Shielded Virtual Machine ve Windows server 2016 Host Guardian Service (HGS) teknolojilerinin neden kullanılması gerektiğini örnek bir senaryo ile aktardım ve makale sonunda bulunan video içinde paylaştım.
Key Storage Dirve; Nesil 1 sanal makineleri için oluşturulmuş olan bir güvenlik çözümüdür ve Bitlocker anahtarını saklamak için kullanılmaktadır. Virtualized Trusted Platform Module (TPM) kullanılmadan sanal makinenin işletim sisteminin şifrelenme-sine izin vermektedir.
Virtual Machine Generation TPM and KSD
Yukarıda bulunan ekran görüntüsünde Nesil 1 ve Nesil 2 olarak oluşturulmuş iki farklı sanal makineyi görebilmektesiniz. Sol tarafta bulunan Nesil 2 sanal makinesi üzerinde varsayılan değerlerde TPM özelliği aktif olarak gelmekte ve yapılandırmak üzere hazır durumdadır. Sağ tarafta bulunan Nesil 1 sanal makinesi üzerinde ise Key Storage Drive özelliği kapalı durumda ve aktif duruma getirmek üzere beklemektedir.
Encryption Supported for Migration
Windows 8.1, Windows Server 2012 R2 işletim sistemi ve üzeri işletim sistemlerine sahip durumda olan sanal makinelerde bu özelliği aktif duruma getirebilirsiniz.
Key Storage Drive Ide Controller
Key Storage Drive özelliğini aktif duruma getirdikten sonra Hyper-V Manager sanal makinemizin kullanmadığı IDE Controller ‘larına KSD ‘i bağlayacaktır.
Require additional authentication at startup
Hyper-V Host üzerinde Key Storage Drive özelliğini aktif duruma getirmiş olduğumuz sanal makinemiz üzerinde Computer Configuration \ Administrative Templates \ Windows Components \ BitLocker Drive Encryption \ Operating System Drives \ Require additional authentication at startup Yolunu buluyoruz ve bu politikamızı aktif duruma getiriyoruz ve sanal makinemizi yeniden başlatıyoruz.
Diskpart Utilty
Sanal makinemiz üzerinde diskpart aracını açıyoruz ve Key Storage Drive sürücümüzü yapılandırıyoruz. Komutlar aşağıda yazmaktadır.
- list disk
- select disk X
- create partition primary
- format fs=ntfs label=KSD quick
- assign letter=k
Key Storage Drive Disk
Diskpart yapılandırmasından sonra sanal makinemize 42 MB boyutunda bir disk bağlandığını ve disk etiketinin komutlarda belirtmiş olduğumuz KSD nin olduğunu görebilmektesiniz. Disk ‘in içi şimdilik boş durumda. Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools -Restart -Verbose Sanal makinemiz üzerinde yukarıdaki Power Shell komutu ile BitLocker özelliğini yüklüyoruz. Bu komut göreceğiniz gibi yeniden başlatmaya ihtiyaç duymaktadır. Manage-bde -on C: -StartupKey K:\ -UsedSpaceOnly -SkipHardwareTest Sanal makinemiz açıldıktan sonra yukarıdaki komut ile başlangıç anahtarını oluşturuyoruz.
Encryption Operating System Disk
İşlemler tamamlandıktan sonra Key Storage Drive özelliğini aktif duruma getirdiğimiz sanal makinemizin işletim sisteminin şifrelendiğini görebilmektesiniz. Bu işlemden sonra sanal makine açılması gelen güvenlik özelliği nedeniyle biraz olsun yavaşlayacaktır. Key Storage Drive özelliği Windows Server 2016 ile birlikte gelen Nesil 1 Sanal makinelerinin daha güvenli olmasını sağlayan yeni bir teknolojidir. İncelediğimiz gibi bu özellik yapılandırıldığı zaman sanal makineye bir tane disk bağlıyor ve boyutu 42 MB oluyor. Hyper-V nin daha önceki sürümlerinde bunu yapabilir miyiz sorusu akıllara gelebilir. Evet, yapabiliriz. Fakat oluşturacak olduğunuz disk boyutu 42 MB olmayacaktır. Hyper-V üzerinde sanal bir disk oluşturduğumuz zaman bu diskin boyutu en az 1 Gb oluyor. KSD diski fix bir disktir ve 42 Mb olduğu için çok ufak bir alanı kullanmaktadır. Daha önceki Hyper-V sürümlerinde dinamik disk ile bunu yaparsak eğer performans kaybı yaşayacağız. Fix disk olarak yapılandırırsak eğer çok fazla sanal makine üzerinde yaptığımız zaman, alan problemi yaşayacağız. Bu özelliklerden KSD yeni bir özelliktir. Ve en önemli kısım Sanal Makine Sürümlerinin Yükseltilmesi – Virtual Machine Configuration File Format makalesinde bahsetmiş olduğum gibi yeni nesil sanal makinelerin dosya formatları VMRX ve VMRS formatlarındadır ve şifrelidir. Daha önceki Hyper-V sürümlerinde bu özelliği yapılandırmış olsak bile XML dosyası düzenlenebilmekte ve şifreli diskin nerede olduğu bilinmektedir.
Key Storage Drive ‘in kullandığı bu 42 MB boyutundaki disk nerede bir tek Hyper-V Manager bilmektedir. Biraz derinlemesine ararsam bulabilir miyim-bilemiyorum. Sanal makinemiz bir cluster kümesi içinde barınıyorsa veya bir replikasyon partneri bulunuyorsa Encrypt state and virtual machine migration traffic kutusunun işaretli olması gerekmektedir.
KSD özelliği Hyper-V üzerinde bulunan Host’s Isolated Mode özelliğini kullanmaktadır. Bu özelliği kullanabilmeniz için Device Guard Mimairis makalesin içinde bulunan Update 04/01/2017 bölümü temel gereksinim olmuştur. Bu yama yüklenilmediği zaman bu özellik artık çalışmamaktadır.
Key Storage Drive Kullanım Senaryoları için hazırlamış olduğum kısa videoyu izlemenizi öneriyorum. Her ne kadar üretmiş olduğum senaryoyu Hyper-V Fabric Yöneticileri sevmeyecektir ama ben inanıyorum. Siz temiz kalanlarsınız.
