Hypervisor ortamınızın güvenlik denetlemelerine, güvenlik standartlarına uyumluluğunu kontrol ettiğinizde bir çok açık bulabilirsiniz. Bu açıkların ne olduğunu nasıl kapatılacağı konusunu araştırdığınızda günler,haftalar almaktadır. Runecast Security Compliance sayesinde ortamınızda hangi denetimleri yaptırmak istiyor iseniz onu seçebilir ve sanallaştırma alt yapınızı maximum güvenlik seviyesine getirebilir ve tüm güvenlik açıklarını kapatabilirsiniz.

https://portal.runecast.com/registration

Resim 1

Runecast Security Compliance bölümünden ortamımız için güvenlik profillerini seçebiliriz. Ortamımızı tarayıp analiz eder iken profile üzerinden seçili olan güvenlik şirketlerinin ortam uyumluluğuna göre taramaktadır.

Resim 2

Security Compliance erişim için, Runecast dashboard sayfamıza giriş yaptıktan sonra Settings > Security Compliance bölümünden erişebilirsiniz.

Resim  3

Ortamınız da denetlemek istemediğiniz var ise edit tıklayıp, check kaldırabilirsiniz.

Resim 4

VMware Security Hardening Guides

Security Hardening Guides, VMware ürünlerinin güvenli bir şekilde nasıl dağıtılacağı ve çalıştırılacağı konusunda rehberlik sağlamaktadır. VSphere için kılavuzlar, kılavuz sınıflandırma ve risk değerlendirmesine olanak tanıyan zengin meta verilerle, kullanımı kolay bir elektronik tablo biçiminde sağlanır.

DISA STIG

DISA, ABD Savunma Bakanlığı’nın (DoD) bir parçasıdır. Savunma Bakanlığı için çalışan tüm enstitülere ve bireylere BT ve iletişim desteği sağlayan bir savaş destek ajansıdır. DISA, savunma ile ilgili bilgilerin organize edilmesi, iletilmesi ve yönetilmesinin BT ve teknolojik yönlerini denetlemektedir.

Bu STIG yönergelerini içerir. Bu kılavuzlar, bir kuruluşun güvenlik yazılımlarını ve sistemlerini nasıl ele alması ve yönetmesi gerektiğini özetlemektedir.

PCI DSS

E-ticaret pazarının milyarlarca dolar hacme ulaşmasında, bu dev sistemin sorunsuz çalışmasını sağlayan perde arkası faktörlerin payı büyük. Bunlardan biri olan PCI DSS (Ödeme Kartları Sektörü Veri Güvenliği Standartları) nedir ve e-ticaret siteleri için neden önemlidir gibi soruların yanıtlarını birlikte inceleyelim.

Ödeme Kartları Sektörü Veri Güvenliği Standartları Konseyi, 2006 yılında MasterCard, Visa, American Express, Discover ve JCB International tarafından bir konsorsiyum olarak kuruldu. Küresel olarak ödemelerin güvenliğini sağlamak için sektörel standartlar belirleyen konsey, zaman içerisinde değişen trendler doğrultusunda e-tüccarlar, bankalar, ödeme operatörleri, servis ve teknoloji sağlayıcılarından aldığı geri bildirimlerle mevcut standartlarI mümkün kılan kurum olarak dikkat çekiyor.

PCI DSS standartları uyumuna sahip bir kuruluş tarafından işlenen ödemelerde, müşteriye dair tüm bilgiler (kart bilgileri başta olmak üzere) en yeni teknolojiler ve yaklaşımlarla korunur.

Günümüzde bir dijital ödemenin güvenirliliğinden bahsetmek için ödemenin tüm aşamalarında rol alan kuruluşların PCI Veri Güvenliği Standartları (DSS) ile uyum sertifikasına sahip olmaları gereklidir. Yalnızca ödeme hizmeti sağlayan şirketler değil, finans kuruluşları, üye iş yerleri, kart bilgileri saklayan, işleyen ve aktaran tüm kurumların kuruluşların Ödeme Kartları Sektörü Veri Güvenliği Standartları’na (DSS) uyması bir zorunluluktur. Programın kurucusu kart şirketleri, tüm iş ortaklarından PCI Veri Güvenliği Standartları (DSS) uyumunu düzenli aralıklarla belgelemelerini bekler.

HIPAA

Sağlık Sigortası Taşınabilirliği ve 1996 tarihli Sorumluluk Yasası (HIPAA) gerekli ABD Bakanlığı Sekreteri Sağlık ve İnsan Hizmetleri (HHS) gizliliği koruyan düzenlemeler geliştirmek ve belirli sağlık bilgilerinin güvenliği için bu gerekliliği yerine getirmek, HHS ne yayınladı genellikle HIPAA Gizliliği olarak bilinmektedir.

BSI IT-Grundschutz

Alman BT Temel Koruması (IT-Grundschutz) standardı oluşturuldu.Alman Federal Dairesi tarafından Bilgi Güvenliği (BSI) bir ses olarak ve sürdürülebilir bilgi güvenliği yönetim sistem’dir (BGYS). IT-Grundschutz teknik, organizasyonel, altyapı ve personel yönleri eşit ölçüde hizmet sunmaktadır.

CISC CSC

Etkili Siber Savunma İnternet Güvenliği Kritik Güvenlik Kontrolleri Merkezi yayını olan en iyi uygulama için bilgisayar güvenliği’dir . Proje, ABD savunma sanayi üssündeki kuruluşların yaşadığı aşırı veri kayıplarına yanıt olarak 2008 yılının başlarında başlatıldı. Yayın ilk olarak SANS Enstitüsü tarafından geliştirilmiştir. Mülkiyet daha sonra 2013 yılında Council on Cyber ​​Security’ye (CCS) ve ardından 2015 yılında Center for Internet Security’ye (CIS) aktarıldı. Başlangıçta Consensus Audit Guidelines olarak biliniyordu ve aynı zamanda CIS CSC, CIS olarak da bilinmektedir.

NIST

Ulusal Standartlar ve Teknoloji Enstitüsü ( NIST ) fiziksel bilimler laboratuarı ve olmayan bir düzenleyici kuruluşudur. Misyonu, yeniliği ve endüstriyel rekabeti teşvik etmektir. NIST’in faaliyetleri, nano ölçekli bilim ve teknoloji, mühendislik, bilgi teknolojisi , nötron araştırması, malzeme ölçümü ve fiziksel ölçümü içeren laboratuvar programları şeklinde düzenlenmiştir. 1901-1988 yılları arasında ajans, Ulusal Standartlar Bürosu adını almıştır.

GDPR

Genel Veri Koruma Yönetmeliği (GDPR) (EU) 2016/679 1 Nisan 2019 tarihinde Wayback Machine sitesinde arşivlenmiştir.Avrupa Birliği hukukunda, tüm Avrupa Birliği ve Avrupa Ekonomik Alanı içerisinde yer alan bireyler için veri koruma ve gizliliğine ilişkin bir yönetmeliktir. GDPR öncelikle bireylere kendi kişisel bilgilerini kontrol altına almalarını ve AB içerisindeki şirketlerin bu yönetmeliklerle uyumlu hale getirilmesini amaçlamaktadır.

Kişisel verileri işleten tarafların veri koruma ilkelerini uygulamak için gerekli teknik ve kurumsal önlemleri alması gerekmektedir. Kişisel verilerin ele alındığı iş süreçleri, veri koruma ilkeleri göz önünde bulundurularak tasarlanıp yapılmalı ve verileri korumak için önlemler alınmalıdır. Hiçbir kişisel veri, yönetmelikte belirtildiği şekilde yapılmadığı veya ilgili kişiden (kişisel veri sahibinden) açık bir onay almadığı sürece işlenemez. İlgili kişi bu izni istediği zaman iptal etme hakkına sahiptir.

Ortamımızda kurulu olan Runecast uygulamasından Security Compliance bölümünü kontrol ettiğimizde, örneğin bir sorun olarak esxi sunucumuzun ssh portu açık ve bunu bize kapatmamızı önermektedir. Özellikle büyük yapılarda bu şekilde güvenlik açıklarınızı minumum seviyeye indirebilir, hypervisor ortamınızı sağlıklı halde çalıştırabilirsiniz.

Resim 5

Runecast ekibine ulaşmak için buradan ulaşabilirsiniz.