VMware vCenter Server 7.0 Identity Federation

VMware vSphere 7.0 ile birlikte gelen önemli güvenlik özelliklerinden biri de vCenter Server 7.0’nin Microsoft Active Directory Federation Services entegrasyonudur. Bu entegrasyonla birlikte Çok Faktörlü Kimlik Doğrulama (Multifactor Authentication) mümkün hale gelmiştir. Konuyu kapsamlıca anlatabilmek amacıyla sırasıyla aşağıdaki konu başlıklarına değinilecektir:

• Kimlik Doğrulama Nedir? Birden Fazla Doğrulamaya Neden İhtiyaç Duyulur?
• vSphere 7.0 Öncesi vCenter Server Kimlik Doğrulama Seçenekleri Nelerdir?
• vCenter Server 7.0 AD Federasyon Servisleri MFA İçin Nasıl Yapılandırılır?

Günümüz şartlarında bilgiye her zaman, her yerden ve her türlü cihazdan erişim talep edilmektedir. Veriye ya da bir sisteme erişecek olan kişilerin, bu erişim öncesinde kimliklerinin doğrulanması gerekmektedir. Kullanılmakta olan tüm sistemler en az bir kimlik doğrulaması metoduna sahiptirler ve genel olarak kullanıcı adı ve şifre ikilisi kullanılarak bu sistemlere erişilebilir.

Kullanılmakta olan sistemler genel olarak varsayılan kullanıcı isimlerine sahiptirler. Örneğin; bir vSphere ESXi hostun varsayılan kullanıcı adı “root”, vCenter Server’ın varsayılan kullanıcı adı da “administrator@vsphere.local” dir. Dolayısıyla, genel olarak yetkisiz kişilerin kullanıcı adını öğrenmek gibi bir problemleri yoktur, internet üzerinden çok basit bir aramayla bir sistemin varsayılan kullanıcı adı rahatlıkla öğrenilebilir. Bu durumda, sorulması gereken ana soru şudur; tek bir şifre yeterli güvenlik sağlar mı?

Kullanıcılar genel olarak hatırlaması kolay şifreler oluştururlar, şifreler karmaşık değildir. Karmaşık olmayan şifrelerin kırılması artık dakikalar ya da saniyeler seviyesine inmiş durumdadır. Bu durumu zorlaştırmak için genel olarak Password Complexity Policies (Şifre Karmaşıklık Politikaları) kullanılır. Bu yöntemle şifrelerin daha uzun olması, küçük ve büyük yazı karakteri, sayı ve özel karakterler içermesi sağlanabilir. Ancak “Dictionary Attack” yöntemini kullanan şifre kırma yazılımları için bu karmaşık şifreleri de kırmak zor değildir, sadece kırılma süresini biraz uzatmaktadır. Sonuç olarak sadece tek bir kullanıcı adı ve şifre ikilisinden oluşan kimlik doğrulaması yöntemi yeteri kadar güvenli değildir.

Çok Faktörlü Kimlik Doğrulaması bir sisteme giriş için birden fazla doğrulama yöntemi kullanılması anlamına gelmektedir. Bankaların Internet Bankacılığı sistemlerine giriş uygulamaları çok faktörlü kimlik doğrulamasına güzel bir örnektir. Bankanın Internet Şubesi’ne giriş yapılabilmesi için doğru Müşteri Numarası ve Şifre girilmesinin yanısıra, müşterinin bankaya daha önce bildirmiş olduğu cep telefonuna SMS ile gönderilen şifrenin de girilmesi gerekir. Bunlardan biri eksik ya da yanlış ise Internet Şubesi’ne girilemez. (2FA – Two Factor Authentication).

Sanallaştırma altyapılarında kullanılmakta olan, tüm vSphere ESXi hostları ve bu hostlar üzerinde çalışan sanal makineleri merkezi olarak yöneten vCenter Server’a erişim de büyük önem taşımaktadır. vCenter Server’a yetkisiz kişilerin girmesi durumunda sanal makinelerin (bunlara ait verilerin) kötü niyetli kişilerin eline geçmesi ve/veya silinmesi mümkün olabilmektedir. Bu sebeple, vCenter Server için de Çok Faktörlü Kimlik Doğrulaması (Multifactor Authentication) altyapısının kullanılması bir gerekliliktir.

vSphere 7.0 versiyonu öncesinde vCenter Server iki türlü kimlik doğrulama seçeneği kullanabilmekteydi. Bunlar;

• vCenter Server Single Sign-On Authentication
• Two-Factor Authentication

Yönetim platformunun bileşenlerinden biri de Single Sign-On kimlik doğrulama mekanizmasıdır. vCenter Server kurulumu yapıldığında Platform Services Controller’ın bir parçası olarak VMware Dizin Servisi (VMDIR) de kurulmaktadır. Yani vCenter Server’a ait bir iç etki alanı kurulur. Varsayılan Etki Alanı Adı (Domain Name) vsphere.local, varsayılan tam yetkili kullanıcı (Administrator) ise administrator@vsphere.local kullanıcısıdır. Bu kullanıcıyı kullanan sanallaştırma yöneticisi bu iç etki alanı içerisinde kullanıcılar oluşturabilir, gruplar oluşturabilir, kullanıcı ya da gruplara vCenter Server envanter objeleri üzerinde yetkilendirmeler yapabilir.

Not: Şekilde görülen Identity Store VMware Directory Service’ı temsil etmektedir.

1. vSphere Client ya da Web Client tarafından girilen Kullanıcı Adı/Şifre ikilisi SSO’ya gelir.
2. Singe Sign-On kullanıcı adı ve şifre doğrulaması için Identity Source’a sorar. (varsayılan vsphere.local)
3. Eğer doğrulama gerçekleşirse SSO servisi bir SAML token oluşturur ve bunu istemci makineye gönderir.
4. Bu token kullanılarak vCenter Server’a login olunur.

SSO tabanlı kimlik doğrulamasında ikinci yöntem ise vCenter Server’ı MS Active Directory ile ilişkilendirmektir. Böyle bir yapının yukarıda anlatılan yapıdan tek farkı kimlik doğrulamasının LDAP üzerinden Active Directory tarafından yapılmasıdır.

Yukarıda anlatılan iki yöntem de tek faktörlü kimlik doğrulaması sağlamakta olup yeterli güvenliği sağlamamaktadır.

İki faktörlü kimlik doğrulamasında kullanıcı adı/şifre doğrulamasının dışında ikinci bir doğrulama mekanizması kullanılabilmektedir. vSphere 6.5 ve 6.7 tarafından desteklenen ikincil kimlik doğrulama mekanizmaları şunlardır ;

• Smart Card Authentication
• RSA Secure-ID Authentication

Bu kimlik doğrulama yönteminde vSphere/Web Client ile login olunan makinede bir Smart Card Reader bulunur. Smart Card reader içine bir Smart Card takılır. Sistem yöneticisi bu altyapıyı oluşturmak için gerekli PKI bileşenlerini ve smart card sertifikalarını hazırlar. Kullanıcının vCenter Server’a login olabilmesi için hem kullanıcı adı/şifresinin doğru olması hem de sertifika içeren Smart Card’ın takılı olması gerekir. Kullanıcı Smart Card PIN girerek ikinci doğrulamayı tamamlar.

Bu kimlik doğrulama yönteminin uygulanabilmesi için ise RSA firmasının geliştirmiş olduğu RSA Security Manager yazılımın kurulması ve login olacak herkese, üzerinde değişken pin numaraları olan Active Token kartlarının verilmesi gerekmektedir. Bu yöntem de ilave maliyeti olmasının yanısıra bütün altyapıyı tek bir güvenlik ürünü üreticisine bağımlı kılmaktadır.

Çok faktörlü kimlik doğrulama PCI-DSS 3.2 ve NIST800-53 gibi bir takım regülasyon çerçevelerinde artık bir zorunluluk haline gelmiştir. Uyumluluk çerçeveleri, kurumların tüm sistemlerinin aynı güvenlik altyapısını kullanmalarını zorunlu kılar. vSphere 7.0 versiyonu ile birlikte, vCenter Server 7.0 Microsoft Active Directory Federation Service ile entegre edilebilmektedir. Microsoft ADFS, sistem altyapısında kullanılan bütün bileşenlerin kimlik doğrulama hizmetlerini vermekte olan merkezi bir servistir. Bu konfigürasyonda, vCenter Server doğrulama işlemleri için kendi SSO altyapısını kullanmaz, kimlik doğrulama işini ADFS servisine bırakır. Böylece hem vCenter Server kimlik doğrulama işi standard hale getirilmiş olur, hem de ADFS’in desteklediği tüm doğrulama yöntemleri vCenter Server tarafından da desteklenmiş olur.

Microsoft ADFS’i vCenter Server 7.0’a bir external Identity Provider olarak gösterebilmek için Microsoft ADFS en az Windows 2016 R2 üzerine kurulu olmalıdır. ADFS Server üzerinde vCenter Server 7.0 için bir Application Group oluşturulmalı ve ADFS server sertifikası güvenilen bir otorite tarafından imzalanmış olmalıdır. Kısaca bu konfigürasyonu yapabilmek için öncelikle Microsoft tarafında gerekli ön hazırlıklar yapılmalıdır.

Bu ayarların yapılmasının ardından vCenter Server tarafında Microsoft ADFS konfigürasyonu aşağıdaki şekilde gerçekleştirilir:

vCenter Server Microsoft ADFS Entegrasyonu yapıldıktan sonra login operasyonları aşağıda en temel şekliyle gösterildiği gibi gerçekleştirilir:

Bu yapıyla birlikte, sanallaştırma yöneticisi vCenter Server 7.0’a login olmaya çalıştığında Microsoft ADFS’in desteklediği kimlik doğrulama mekanizmasına (ya da mekanizmalarına) yönlendirilir. Kimlik doğrulama gerçekleştiğinde alınan token ile vCenter Server’a giriş sağlanır. Bunu bir kullanıcıdan giriş bilgileri isteyen bir alışveriş sitesine Google, Twitter ya da Facebook hesabı kullanılarak giriş yapılabilmesine benzetmek mümkündür.

Bu makale, vCenter Server 7.0’ın ADFS desteği ile ilgili ana fikri vermeyi amaçlamakta olup daha detaylı bilgiye aşağıdaki linkten erişilebilir ;

https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.authentication.doc/GUID-157188E3-531C-4CC2-BDD4-8BF01EA26BDC.html

Not : Microsoft ADFS servisine ulaşılamaması durumunda vCenter Server SSO kimlik doğrulama görevini üzerine alır ve geleneksel yöntemle kimlik doğrulamasını gerçekleştirir.

Ömer AŞIK

VMware Certified Instructor