Yazılım tanımlı veri merkezlerinin güvenliği nasıl sağlanır?

Yazılım tanımlı veri merkezinizin (SDDC) güvenli ve verimli operasyonlar için bir temel olmasını istiyorsanız, yamalamadan hesap ayrıcalıklarına ve şifrelemeye kadar her şey güvenlik mimarinizin bir parçası olmalı.

Yazılım tanımlı veri merkezine geçmek, esnek kaynak yönetimi ve uygulama provizyonu sağlarken, titizlikle ele alınmadığı takdirde organizasyonunuzun bilgi güvenliğini daha karmaşık hale getirebilir. Güvenlik stratejinizi geliştirirken, yazılım katmanı güvenlik açıklarını, rol erişim özelliklerini ve depolama şifrelemesini göz önünde bulundurmanızı tavsiye ederiz.

Organizasyonların yazılım tanımlı bir mimari oluşturmasına olanak tanıyan soyutlama katmanı, geleneksel ve fiziksel veri merkezine kıyasla altyapınıza bir karmaşıklık katmanı daha ekler. Siber güvenliğin temel denklemi, karmaşıklık arttıkça güvenlik açığı olasılığının da artması olduğundan, yazılım tanımlı veri merkezlerinde güvenlik en önemli önceliklerden birisi olmalıdır.

Artan güvenlik risklerinin ortaya koyduğu tehditleri azaltmanın en iyi yolu, yazılım tanımlı veri merkezinizin (SDDC) tüm katmanlarını (işletim sistemleri, hiper yönetici belleği ve sanal sunucular) yama yönetimi stratejisine dahil etmektir. SDDC güvenliğini desteklemek için, kuruluşların güncelleme çerçevesinde mümkün olan en kısa sürede mevcut yamaları uygulaması gerekir. Ayrıca, BT departmanının yama ve sürüm güncellemelerini düzenli olarak kontrol edecek uygulamalara sahip olması hayati önem taşıyor.

Siber korsanlar yeni yamaların ne zaman hazır olduğunu bildiğinden, bilinen güvenlik açıklarını içeren yama uygulanmamış sistemleri kolayca belirleyebilir ve güvenlik açıklarından olabildiğince çabuk faydalanırlar.

Kullanıcı hesaplarındaki gizli tehlike

SDDC güvenliğini tehdit eden bir diğer yaygın risk ise Unix kök veya Windows yönetici gibi ayrıcalıklı hesaplardan geliyor. Bu hesaplar ele geçirilebilir ve bir siber suçlunun sistemlerinizde serbestçe dolaşmasına neden olabilir. Bunu önlemenin bir yolu, güvenli parola kullanımını ve mümkün olan her yerde çok faktörlü kimlik doğrulamasını zorunlu kılmaktır.

Kullanıcı hesaplarını güvenlik ihlallerine karşı korumanın iki ana adımından bahsedebiliriz. İlki, yalnızca SDDC altyapısı için kimlik doğrulama hizmetleri sağlayan özel bir Active Directory oluşturmak. Belirli izinleri almak için hipervizörleri, yönetim sunucularını ve diğer düşük seviyeli altyapı bileşenlerini bu seviyede bir etki alanına katmalısınız. Active Directory tabanlı kimlik doğrulamanın kullanılması, yazılım tanımlı veri tabanında ayrıcalıklı hesap kullanımını denetlemeyi kolaylaştırabilir.

İkinci adım ise SSDC altyapısının tamamı için tek bir hizmet hesabına sahip olmak yerine, tek amaçlı hizmet hesapları kullanmak. Buradaki amaç işinizi olduğundan daha da zorlaştırmak değil, hesabınızın siz fark etmeden siber korsanların işini kolaylaştırmasını engellemek. Zira bir hizmet hesabı birden fazla amaç için kullanıldığında, bu hesap herhangi bir görev için gerekenden daha fazla ayrıcalık kazanmaya başlar. Bu muazzam bir tehlikedir çünkü hesabın güvenliğinin ihlal edilmesi, siber korsanların eline her kapıyı açan bir anahtar verecektir.

Aynı ayrıcalık karşıtı ilkeyi yönetici hesaplarına uyarlamak da mümkün. BT ekibine sınırsız yönetim erişimi vermek yerine, her bir ayrıcalıklı hesabın kapsamını sınırlamak için rol tabanlı erişim kontrolleri kullanılabilir. BT personelinin üst düzey yönetim izinlerine ihtiyacı olduğu durumlar için gerekli tüm ayrıcalıkları tek bir hesaba vermek yerine bir dizi az ayrıcalıklı hesap oluşturmanızı tavsiye ederiz.

Bir SSDC güvenlik bileşeni olarak depolama

SSDC’de depolama kaynakları bir yazılım tarafından yönetilir ve depolamaya erişim güvenlik için olası riskler barındırır. Bir saldırgan, almış olabileceğiniz tüm diğer önlemlere rağmen depolama alanınıza sınırsız erişim elde edebilir. Ancak kimlik doğrulama ve şifreleme mekanizmalarıyla bu riski büyük ölçüde ortadan kaldırabilmek mümkün.

iSCSI depolamanın çift yönlü kimlik doğrulaması gerektirdiğinden emin olmak gerekiyor. Sistem, iSCSI hedefini bağlamadan önce ana bilgisayar kimlik doğrulamasını zorunlu tutmalı. Aynı zamanda, ana bilgisayarlar hileli bağlantıları önlemek için bir Challenge-Handshake Kimlik Doğrulama Protokolü kullanmalı.

Duran ve hareket halindeki veriler için de şifreleme katmanları uygulanmalı. Duran verilerin korunması, depolama biriminin şifrelenmesi anlamına gelir. Eğer birim sanal sabit diskler içeriyorsa, sanal disklerin içeriğinin şifrelenmesi gerekir. Hareket halindeki verileri korumak için ise özel bir ağ kesimi, sanal yerel alan ağı veya IPsec şifrelemesi kullanılabilir.

Cisco SDDC ile dijital dönüşümünüzü hızlandırın

Netaş tarafından sunulan Cisco yazılım tanımlı veri merkezi (SDDC) çözümleri, yeni ve çok çeşitli BT ortamlarında ağ, depolama ve bilgi işlem gibi eskiden silo halinde tutulan kaynakların yönetimini kolaylaştıran amaca dayalı altyapılar sağlıyor.

Cisco’nun yazılım tanımlı veri merkezi (SDDC) çözümleri, daha az zamanda, düşük maliyetle ve az kaynakla daha fazlasını elde etmek için gereken otomasyonu ve verimliliği sağlıyor. Ayrıca uygulama katmanını fiziksel altyapıdan kurtararak, altyapının azami kullanımı ve verimliliği ile uygulamaların her yerde barındırılmasına olanak tanıyor.

Yazılım tanımlı veri merkezinin tek bir platformdan merkezi yönetilmesine olanak tanıyan Cisco SDDC çözümleri, Veri merkezi, bulut ve çoklu ortamlar genelinde sorunsuz iş yükü mobilitesi sağlıyor. Tüm cihazlarda ve uygulamalarda güvenlik profillerini yapay zekayla otomasyona bağlayan çözüm, güvenlik politikalarının tüm ortamlarda tutarlılık gösterdiğinden emin oluyor. Tüm bunlar düşük toplam sahip olma maliyeti ve gelişmiş maliyet kontrolleriyle birleşerek, Cisco SDDC çözümlerini dijital dönüşümünü hızlandırmak isteyen organizasyonlar için ideal seçenek haline getiriyor.

Özel, hibrit veya çoklu bulut fark etmeksizin tüm ortamları bulut düzeyinde hıza ve çevikliğe ulaştıran Cisco SDDC çözümleri üç ana üründen oluşuyor:

• Cisco ACI: ağ segmentasyonunu, güvenliğini ve kontrolünü iyileştirmek için tutarlı ilke tabanlı otomasyon kullanan, bulut tabanlı ve yazılım tanımlı Cisco ACI, sıfır kesintili ağ yapısı için temel oluşturuyor. Veri merkezi otomasyonunu kolaylaştırarak uygulama çevikliğini artıran Cisco ACI, organizasyonların yüksek düzeyde kullanılabilir ve kendi kendini optimize eden ağlara sahip olmasını sağlıyor, ağ operasyonlarını hızlandırıyor ve üstün uygulama deneyimleri sunuyor.
• Cisco Intersight: Bir hizmet olarak yazılım (SaaS) ürünü olan Cisco Intersight, bilgi işlem altyapılarının ve uygulamaların veri merkezi, uç noktalar ve bulutlar genelinde yönetimini, otomasyonunu ve optimizasyonunu gerçekleştiriyor. Cisco Intersight, sunuculardan kapsayıcılara, uygulamalardan altyapıya kadar her şey üzerinde tam kontrol sağlayan tek bir platform.
• Cisco Secure Workload: Cisco Secure Workload, uygulamaların nerede barındırıldığından bağımsız olarak dağıtılan iş yükü düzeyinde güvenlik duvarları kullanarak tüm altyapıyı korur. Secure Workload, güvenliği uygulamalara yaklaştırarak hem uygulamaları hem de verileri sıfır güven çerçevesiyle korur; iş yükü davranış anormalliklerini, güvenlik açıklarını ve risklerini belirleyerek riskleri proaktif olarak azaltır.