Kritik bir sanal ağ cihazı

Hangi bulut sağlayıcısından hangi hizmeti alırsanız alın, ilgili servis(ler)in üzerinde koştuğu altyapısal bileşenler sanal olarak size adanmaktadır. Dilerseniz örnek bir güvenlik duvarı kurulumundan yola çıkarak, fiziksel ve mantıksal düzlemler arasındaki gizemli bağlantıları anlamaya çalışalım.

Virtual Network Appliance

Senaryomuzda sanallaştırma ortamı olarak VMware, güvenlik duvarı olarak pfSense kullanacağız. Bu kurguyu tercih etmemizin nedeni, kendi özel ağlarında çalışan KOBİ güvenlik departmanları için oldukça ilginç ve düşük maliyetli bir çözüm olmasıdır. Tabii ki burada detaylandırılan fikirler ve kavramlar tüm bulut platformlarına, bazı isimlendirme farklılıklarıyla da olsa, rahatlıkla uygulanabilir.

Kapsam tanımı

Temel hedefimiz, sanal ortamlardaki yazılımsal yapılandırma öğelerinin fiziksel altyapıdaki donanım bileşenlerine nasıl bağlı olduğunu vurgulamaktır. Topolojiyi netleştirmek ve rollerin ayrılığı ilkelerinin uygulanabileceği etki alanlarını ortaya çıkarmak için katmanlı bir mimari kullanacağız.

Sanal veya gerçek anahtarların nasıl yapılandırıldığı, pfSense'in VMware üzerinde sanal bir ağ cihazı olarak nasıl kurulduğu gibi ayrıntılar bu makalenin kapsamı dışındadır. Ama elbette, tüm bunları adım adım tarif eden harika bir rehber bulabilirsiniz: Netgate Docs

Katmanlı mimari

İletişim ağlarını yönetmek aslında tamamen katmanlı mimariyi doğru anlamakla ilgilidir. OSI veya TCP/IP modellerine aşina olanlar için, aşağıdaki şema kavramların aşırı basitleştirilmesi gibi görünebilir. Ancak meselelerin fazlaca içinde olmadan Internet paketlerinin gerçekte nasıl bir rota çizdiğini hissetmeye çalışanlar için muhtemelen son derece aydınlatıcı olacaktır.

Virtual Firewall Setup

20-30 yıl önce kablolama düzenini takip etmek kurumlar için çok önemliydi. (Doğrusunu süylemek gerekirse, Internet servis sağlayıcıları için hala çok önemlidir) Fakat iş yüklerini buluta taşıyan firmalar için birçok ağ fonksiyonunun sanallaştığını ve yazılımsal yöntemlerle yönetilmesi gereken, kabloya pek de benzemeyen, yepyeni nesnelerin ortaya çıktığını kabul etmeliyiz.

Neyse ki, kullanılan protokollerin çekirdeği hemen hemen hiç değişmedi. Ancak doğru protokolü doğru konfigürasyon öğesinde kullanabilmek ve olası sorun giderme süreçlerini hızlandırmak adına katmanlı mimariyi kendi topolojimizde görselleştirmemiz gerekir. Her ne kadar yukarıdaki şema yeterince detaylı açıklamalar içerse de, aşağıdaki hususlar makaledeki bütünlüğü bu anlamda pekiştirecektir:

  1. LACP, sırasıyla sunucu ve istemci anahtarlarında VM NIC 1&2 ve 3&4 için etkinleştirilir.
  2. İlgili anahtarlarda farklı sunucu ve istemci zonları için sanal ağlar (VLAN'lar) oluşturulur.
  3. VLAN etiketleme hem iç hem de dış anahtarlar arası bağlantılarda etkinleştirilir. Sanal güvenlik duvarına bağlanacak arayüzler için de özel gruplar oluşturularak VLAN etiketlemesi yapılabilir ve her VLAN farklı alt arayüzler kullanılarak karşılanabilir.
  4. Arayüz atamaları ve VLAN'lar arası yönlendirme güvenlik duvarında, yani sanal ağ cihazında yapılır.
  5. Tanımlanan güvenlik duvarı kurallarıyla tüm istemci ve/veya sunucu bölgeleri arasındaki trafik kontrol altına alınır.

Önemli çıkarımlar

Böylesine basit bir kullanım senaryosunun üzerinden geçtikten sonra bulut görevimize geri dönüp, daha geniş bir perspektiften bakacak olursak:

  • Paylaşılan sorumluluk modelini iyi anlamalıyız.
  • Altyapıyı oluşturan fiziksel bileşenleri inceleyip, kullandığımız hizmetlere ilişkin mantıksal sınırlamalar hakkında detaylı bilgi edinmeliyiz.
  • Sanal ağ kırılımlarımızı kurumsal bilgi güvenliği politikalarımızla ve ulusal/küresel erişimimizle uyumlandırarak kurgulamalıyız.
  • Birbiriyle çakışmayan ve rahatlıkla yönetilebilecek bir IP adresleme şeması uygulamalıyız.
  • Aksini yapmak için geçerli bir nedenimiz yoksa, durum bilgisinin korunduğu erişim denetim kurallarını tercih etmeliyiz.