Sizin için en uygun çözümü birlikte bulalım

vCenter ve ESX Güvenliği?

Merhabalar, vCenter için önerilen güvenlik ayarları şu şekildedir. İlk olarak vCenter üzerinden işlemleri göstermeden eğer kendi network tarafınıza erişiminiz varsa vCenter, ESX ve DiyoVM ip adreslerini bir birleri arasında full erişim izni verin ve diğer tüm ip adreslerinden erişimi kalıcı olarak kapatın eğer ayrı switch ekleyebiliriz derseniz ESX, vCenter ve diyovm sunucularını ayrı bir networke taşıyarak müşterilerin local bağlantılarına karşıda koruma sağlayın.

vCenter üzerinden erişim kısıtlaması nasıl yapılır?

Bu işlemi neden yapıyoruz?
Bu işlem network üzerinden tam yetkisi olan firmalar için vCenter sunucusunu dışarıya kapatmaya yaramaktadır bu işlemi yapmanız bir çok güvenlik açığını kapatacaktır.

1. Adım: vCenter sunucusuna web(ui) üzerinden bağlanın ve aşağıdaki görselde sarı kutucuklar ile işaretlenmiş olan alandaki "Edit..." kısmına tıklayın.

diyovm-vcenter-arayuz

2. Adım: Açılan sekmedeki servislerin yanındaki çentik(Sarı kutu içersine alınmıştır aşağıdaki görselde) kısmına tıklayın. 

diyovm-networkvcenter

Açılan sekme şu şekilde olacaktır,

diyovm-acilansekme

3. Adım: Açılan sekmede üstteki görseldede görüldüğü gibi kırmızı ile işaretlenen tik aktif olarak gelmektedir onu kapatarak "IP List"(Sarı ile işaretlenmiştir yukarıdaki görselde) kısmına,
  • *VMVare ESX IP Adresi
  • *vCenter IP Adresi
  • *DiyoVM API Adresi(Güncel IP Adreslerine erişmek için buraya tıklayınız)[Lütfen tüm ip adreslerine izin verin sistem yük dengesine göre farklı API sunucularını tercih etmesi için yazıldı)
  • Size olan windows sunucu veyatta sabit bir ip adresi(Panellere sorunsuz erişmeniz için)
Başlarında "*" olan kısımları kesinlikle doğru yapınız yoksa sistem doğru çalışmayacaktır.

4. Adım: 3. Aşamada yaptığınız IP List eklemesi olayını tüm servislerde yapın. Özetlemek gerekirse aşağıdaki görseldeki ve onlarında altındaki tüm servislerin yanında çentiğe tıklayarak 3. adımda anlatılan işlemi onlar içinde yapın.

servisler-diyovm



DiyoVM Yazılımının vCenter üzerinde kullanmadığı servisleri nasıl kapatabilirim?

DiyoVM Sistemi gereğince vcenter ve esx sunucularınıza doğrudan kod gönderir veyatta işlem yapar. Ancak vCenter üzerinde standart olarak bir çok port ve servis açık gelmektedir ve diyovm autovm gibi bunları kullanmak zorunda değildir bu yüzden olası açıkları engellemek için bu servisleri devre dışı bırakabilirsiniz.

gerekli-servisler

Yukarıdaki görselde gösterdiğimiz gibi 4 servis yeterli olmaktadır. Diğer servisleri "Edit.." kısmına tıklayarak servisleri kapatıp açabilirsiniz hatalı işlem yapmamaya çalışınız yaparsanızda lütfen diyovm yöneticileri ile iletişim kurun.

vCenter için diğer koruma yöntemlerini nasıl sağlayabilirim(En temelden)?

Bu işlem sonucunda ne olacak & bu ne işe yaramaktadır?
Bu işlemler sonucunda sizin izin verdiğiniz ip adresleri dışında hiç bir ip adresi üzerinden vcenter sunucusuna asla giriş yapılmayacaktır.

vCenter 5480 Portu üzerinden firewall yöntemleri eklenebilir ve en güvenli koruma desek yerinde bir tespit olur. vCenter 5480 portuna girmek için vcenteripadresi:5480 şeklinde giriş yapabilirsiniz.

vCenter 5480 üzerinde istenen kullanıcı adı ve şifre makinanın SSH şifresidir(vcenterin SSH şifresi),

1. Adım: vCenter 5480 e giriş yapın. Açılan sayfada aşağıdada gösterildiği gibi "Firewall" kısmına giriş yapınız(Sarı kutu ile işaretlenmiştir).

diyovm-5480vcenter-anasayfa

2. Adım: Yukarıda sarı kutu içersine alınmış alandan "Add" kısmına tıklayın ve açılan sekmeden aşağıdaki işlemleri uygulayın.

diyovm-firewall-ekle

Yukarıdaki "IP Adress" kısmına sabit ip adresi gireceğiz bu ip adresi ilk olarak ESX ip adresi olsun. Subnet prefix Length kısmına prefix yazın yani 32 yazın.

Action kısmına bu aşama için "Accept" olarak işaretleyin.

Bu işlem ile Firewall kısmına,
  • *VMVare ESX IP Adresi
  • *vCenter IP Adresi
  • *DiyoVM API Adresi(Güncel IP Adreslerine erişmek için buraya tıklayınız)[Lütfen tüm ip adreslerine izin verin sistem yük dengesine göre farklı API sunucularını tercih etmesi için yazıldı)
  • Size olan windows sunucu veyatta sabit bir ip adresi(Panellere sorunsuz erişmeniz için)
Adreslerini ekleyin ve aşağıdaki son işlemi yapın.

diyovm-sonkural

Yukarıdaki şekilde 0.0.0.0/0 üzerinden tüm trafiği dışarıya kapatın.

UYARI: Bu işlem sonucunda yukarıda "Accept" olarak işaretlemediğiniz tüm ip adresleri erişimi kapanacaktır ve bir daha buraya giremeyecektir bu yüzden hata olmadığına emin olun ve "0.0.0.0/0" bloklama kuralı firewall kısmında en altta çalışmalı yoksa üstteki kurallar geçersiz olur. Bu adımda hata yapmamaya özen gösteriniz yoksa kritik sorunlarla karşılaşabilirsiniz.

vCenter Sunucuma bir alt alan adı eklemelimiyim?

Bu işlem sizin kararınıza kalmış bir durumdur ancak wisecp, whmcs veyatta direct api hizmetlerinde durmadan IPv4 güncellemek yerine DNS üzerindende işlem yapılabilir bu yüzden vCenter IP adresini bir subdomain bağlamanız kullanış olarak sizi rahatlatabilir opsiyon olarak cloudflare kullanarakta o alan adına gelecek trafiği firewall kısmından kısıtlayabilirsiniz üstteki maddeleri yaptıysanız bu gereksizdir ancak yinede fazla önlem göz çıkarmaz.

Kurulan DiyoVM Paneli üzerinden nasıl bir güvenlik önlemi alabilirim?

DiyoVM Neredeyse her sürümünde güvenlik güncellemesi gerektiren Apache gibi alt yapı kullanmamaktadır. DiyoVM nginx alt yapısı üzerinde dizayn edilmiştir bu yüzden log4j gibi popüler apache açıkları diyovm üzerinde geçerli olmayacaktır aynı zamanda diyovm üzerinde brute force ataklarını geçersiz kılmak için otomatik blacklist sistemi bulunmaktadır bir ip adresi üzerinden her işlem için zararlı bir trafik gelirse otomatik olarak o ip adresi yasaklı listesine eklenecektir ve bir daha kalkmayacaktır. Ancak yinede diyovm içinde ekstra güvenlik önlemleri alınabilir.
  1. DiyoVM Paneli üzerindeki "Genel Güvenlik Ayarları" kısmından tüm erişimleri maksimum düzeyde kısıtlayın.
  2. DiyoVM Yazılımı hazır güvenilir ve kontrol paneli üzerine kurun(Cyberpanel, directadmin, cpanel, pleskpanel, centospanel vb.)
  3. DiyoVM Yazılımına giriş yapmak için kullandığınız alan adını cloudflare veyatta benzer DNS yönetimi sağlayan sistemler üzerinden vCenter, ESX, Site IP Adresiniz ve API Sunucuları dışına kapatın veyatta rate limit ekleyin.