Merhaba, bu yazımda sizlere vSphere 7 Versiyonda TPM 2.0 Kullanımı konusundan bahsedeceğim. TPM’in gereksinimlerini, BIOS/UEFI ayarlarını, ESXi konfigürasyonunu ve sanal makinelerde vTPM kullanımını anlatacağım. Ayrıca, potansiyel sorunlar ve püf noktaları hakkında teknik bilgilendirme yapacağım.
TPM 2.0 Nedir?
Trusted Platform Module (TPM) 2.0, cihazlara entegre edilen özel bir kriptografik yongadır. Donanım düzeyinde güvenlik sağlamak amacıyla tasarlanmıştır ve sistem içerisinde kriptografik anahtarları ve önyükleme ölçümlerini güvenli biçimde depolar. TPM yongası, Platform Configuration Register (PCR) adı verilen kayıtlar aracılığıyla sistemin firmware/önyükleme bileşenlerindeki değişiklikleri tespit edebilecek ölçümler tutar.
TPM 2.0, TPM 1.2’nin yerini alan güncel sürümdür ve daha güçlü algoritmalar (ör. SHA-256 tabanlı ölçümler) destekler. Özellikle TPM 2.0, güvenli önyükleme (Secure Boot) ile çalışarak hipervizörün veya işletim sisteminin sadece güvenilir, imzalı kodla başlatıldığını donanım düzeyinde doğrulamaya yardımcı olur. Bu sayede TPM, bir sunucunun beklenmedik veya yetkisiz bir şekilde değiştirilmediğine dair merkezi yönetime (ör. vCenter Server’a) kriptografik kanıt sunabilir – bu işleme attestation (doğrulama) denir.
Güvenlik avantajları
TPM 2.0’ın sağladığı başlıca güvenlik avantajları şunlardır:
Donanım Güven Kökü
TPM, anakarta bağlı ayrı bir donanım olarak çalıştığı için şifreleme anahtarlarını ve kritik verileri yazılımdan izole şekilde saklar. Bu donanım tabanlı güven kökü, yazılımsal saldırılara karşı koruma sağlar. Örneğin, BitLocker gibi disk şifreleme teknolojileri anahtarlarını TPM içinde tutarak sistem açılışında otomatik ve güvenli bir şekilde kilit açabilir.
Platform Bütünlüğü Doğrulaması
TPM 2.0, sistem açılış sürecindeki bileşenlerin (UEFI firmware, önyükleyici, hipervizör gibi) kriptografik özetlerini PCR kayıtlarında depolar. vCenter Server, TPM’de saklanan bu “bilinen güvenilir” önyükleme ölçümlerini ESXi sunucusunun raporladığı mevcut değerlerle karşılaştırarak herhangi bir sapma olup olmadığını denetler. Bu mekanizma sayesinde TPM, işletim sisteminin veya hipervizörün güvenli önyükleme ile başlatıldığını ve kurcalanmadığını doğrulayarak olası kötü niyetli değişiklikleri tespit etmeye yardımcı olur.
Güvenli Anahtar Yönetimi
TPM, yalnızca kendisinde kullanılabilecek şekilde anahtarlar üretir ve saklar. Örneğin ESXi sunucuları, bir TPM varsa kendi yapılandırma bilgilerinin şifrelenmesinde TPM destekli anahtarlar kullanabilir. Bu sayede sunucu yapılandırma verilerinin bütünlüğü ve gizliliği TPM ile korunur (TPM, bu anahtarı kendi içinde “mühürleyerek” saklar). TPM ayrıca rasgele sayı üretimi ve dijital imza gibi kriptografik işlemleri donanımda gerçekleştirebilir.
Fiziksel ve sanal TPM farkları
Fiziksel TPM, sunucu anakartına takılı gerçek bir donanım çipidir ve her bir sunucu için benzersizdir. vSphere ESXi, fiziksel TPM 2.0 yongasını kullanarak yukarıda bahsedilen host güvenlik doğrulamasını (attestation) gerçekleştirir ve hipervizör seviyesinde güvenliği artırır. Sanal TPM (vTPM) ise bir sanal makineye eklenebilen, yazılımsal olarak emüle edilen TPM 2.0 aygıtıdır. vTPM, adından “TPM” ifadesini paylaşsa da fiziksel TPM donanımına doğrudan bağlı değildir; ESXi üzerinde çalışan sanal makineler, fiziksel TPM’e erişemez.
Her bir VM kendi izole vTPM aygıtına sahip olabilir ve işletim sistemi bu vTPM’yi tıpkı gerçek bir TPM 2.0 cihazı gibi görür. Bir iş yükünün fiziksel TPM ile yapabileceği hemen her şey (ör. BitLocker ile disk şifreleme, Device Guard/Credential Guard özelliklerinin kullanımı vb.) vTPM ile de mümkün hale gelir.
Özetle, fiziksel TPM hipervizörün güvenliği ve sunucu donanım bütünlüğü için kullanılırken, vTPM ise sanal makine içindeki işletim sisteminin TPM gerektiren özelliklerini kullanabilmesi için tasarlanmıştır.
TPM 2.0 İçin Gereksinimler
vSphere 7 ortamında TPM 2.0’ı etkinleştirebilmek için hem yazılım uyumluluğu hem de donanım tarafında belirli gereksinimlerin karşılanması gerekir.
vSphere Sürüm Uyumluluğu
- vSphere 7 (ESXi 7.x ve vCenter Server 7.x) sürümü, TPM 2.0 desteğini doğal olarak içerir ve bu sürümle birlikte TPM tabanlı host attestation özelliği kullanılabilir durumdadır. (TPM 2.0 desteği vSphere 6.7 ile tanıtılmıştır, vSphere 7.0 ise bu desteği tüm yeni nesil sistemlerde sürdürür.)
- vCenter Server 6.7 ve üzeri, TPM 2.0’lı ESXi hostların durumunu takip edebilir.
- Daha eski vSphere sürümlerinde (6.5 ve öncesi) TPM 2.0 cihazları algılansa bile kullanılmaz veya raporlanmaz. Bu nedenle TPM entegrasyonu için vSphere 7’ye yükseltme yapmış olmak önemlidir.
UEFI ve Secure Boot Desteği
ESXi hostunun UEFI modunda kurulmuş ve Güvenli Önyükleme (Secure Boot) özelliğinin etkin olması gerekir. UEFI Secure Boot, ESXi önyükleyicisinin ve çekirdeğinin dijital imzalarını donanım seviyesinde doğrulayarak çalışmasına izin verir ve TPM 2.0 desteği için bir önkoşuldur. VMware belgelerine göre UEFI Secure Boot, TPM 2.0’ın ESXi üzerinde tam işlevsellikle kullanılabilmesi için etkinleştirilmelidir.
Eğer Secure Boot devre dışıysa, TPM 2.0’ın sunduğu attestation mekanizması çalışmaz ve vCenter üzerinde TPM ile ilgili “not supported” /“unattested” gibi uyarılar görülebilir. Kısacası, sistem BIOS/UEFI ayarlarında Legacy BIOS yerine UEFI boot modu seçilmeli ve Secure Boot “Enabled” durumda olmalıdır.
Donanım/Firmware Gereksinimleri
Sunucu anakartı TPM 2.0 uyumlu olmalıdır ve üzerinde bir TPM 2.0 modülü takılı olmalıdır. Birçok modern sunucu TPM 2.0 modülü desteğiyle gelir ya da opsiyonel modül olarak takılabilir. Satın alma aşamasında sunucunun TPM 2.0 çipiyle birlikte sipariş edilmesi veya sonradan takılabiliyorsa üretici onaylı TPM 2.0 modülünün temin edilmesi önerilir. TPM genellikle anakart üzerindeki özel bir yuva veya lehimli bir bileşen şeklinde bulunur ve sonradan yükseltmesi sınırlı olabilir, bu yüzden doğru TPM versiyonuna sahip olmak kritiktir.
İşlemci tarafında ise özel bir gereksinim olmamakla birlikte, Intel ve AMD’nin yeni platformları TPM 2.0’ı desteklemektedir (TPM 2.0 yongası hem Intel hem AMD tabanlı sunucularda bulunabilir. Bazı işlemciler firmware tabanlı TPM (fTPM veya Intel PTT) özelliği sunsa da, VMware ortamında genellikle donanım modülü şeklindeki TPM tercih edilir. Özetle, ESXi hostunuzun yer aldığı fiziksel sunucunun VMware HCL (Hardware Compatibility List)’inde TPM 2.0 destekli olarak sertifikalandırılmış olması gerekir.
BIOS/UEFI Yapılandırma Ayarları
TPM 2.0’ın düzgün çalışması için sunucu BIOS/UEFI arayüzünde ilgili güvenlik ayarlarının doğru yapılandırılması çok önemlidir. BIOS/UEFI’de aşağıdaki ayarlar kontrol edilmelidir.
TPM Etkinleştirme
TPM cihazı BIOS’ta Enabled/Açık olmalıdır (bazı BIOS’larda “TPM Security” veya “Security Device Support” şeklinde bir seçenek bulunur). Ayrıca TPM Activation (Etkinleştirme) seçeneği varsa “Activate/Etkin” konumda olmalıdır. TPM’nin devre dışı bırakılmış veya kapalı olmadığından emin olun. Örneğin, Dell sunucularda “TPM Security” ayarı “On” olmalıdır.
TPM Sürümü Seçimi
Anakart hem TPM 1.2 hem 2.0 destekliyorsa TPM 2.0 modunun seçili olduğundan emin olun. Modern sistemlerde varsayılan olarak TPM 2,0 gelir; ancak aygıtın TPM 2.0 modunda çalıştığı BIOS ekranında doğrulanmalıdır.
PCR Bank Algoritması
BIOS’ta TPM için hangi hash algoritmalarının kullanılacağı seçilebiliyorsa SHA-256 PCR Bank’inin etkin olduğundan emin olun.
- ESXi, TPM 2.0’ın SHA-256 tabanlı PCR desteğine ihtiyaç duyar.
- Eğer TPM sadece SHA-1 modunda kalmışsa ESXi üzerinde TPM sürücüsü yüklenmeyebilir.
- Loglarda bu durumda “TPM 2 SHA-256 PCR bank not found to be active” uyarısı görülebilir ve TPM sürücüsü başarısız olur.
- Bu nedenle UEFI arayüzünde TPM’nin SHA-256 kullanacak şekilde yapılandırılması gerekir.
TPM Arayüz Modu
Bazı BIOS’lar TPM 2.0 için iki arayüz modu sunar: FIFO (First-In, First-Out) ve CRB (Command Response Buffer). VMware ESXi, TPM 2.0 ile FIFO (ISM) arayüz modunu kullanmayı tercih eder; bu nedenle eğer seçenek mevcutsa TPM arayüzü FIFO/ISM modunda olmalıdır. CRB modunda ESXi uyumsuzluk yaşayabilir.
Intel TXT Ayarı
Intel’in Trusted Execution Technology (TXT) özelliği, TPM 1.2 ile güvenli önyükleme ölçümleri için kullanılıyordu ancak TPM 2.0 ile ESXi tarafında TXT başlangıçta desteklenmemiştir. vSphere 6.7 U1 ile TPM 2.0 + TXT desteği gelmiş olsa da, birçok senaryoda TPM 2.0 kullanırken BIOS’ta Intel TXT’yi Devre Dışı (Disabled) bırakmak önerilir.
(Configuring TPM 2.0 on a 6.7 ESXi host – VMware vSphere Blog). TXT aktifken bazı sistemlerde ESXi loglarında TPM hataları görülebildiği rapor edilmiştir.
Bu nedenle, özellikle TPM 2.0 kurulumu ilk kez yapılıyorsa, TXT kapatılarak ilerlenmesi tavsiye edilir.
Secure Boot
Yukarıda belirtildiği gibi BIOS’ta UEFI Secure Boot etkinleştirilmelidir. BIOS içinde genelde Secure Boot’u açma kapama seçeneği vardır; Secure Boot = Enabled/Aktif olacak şekilde ayarlanıp UEFI modda başlatılmalıdır.
TPM Hierarchy
Bazı sistemlerde “TPM Hierarchy” veya benzer isimde bir ayar bulunabilir. Bu ayar TPM’nin sahiplik ve hiyerarşi özelliklerinin etkin olup olmadığını belirler. TPM Hierarchy mutlaka Enable durumda olmalıdır; aksi halde ESXi TPM’nin Endorsement Key (EK) oluşturmasına izin vermeyebilir. Örneğin, TPM hiyerarşisi devre dışı ise ESXi üzerinde “Endorsement Key creation failed” hatası alınabilir. Dolayısıyla bu ayarın da etkin olduğundan emin olun.
Gereksinimleri karşılandığınızda, vSphere 7 ortamınız TPM 2.0’ı desteklemeye hazır hale gelecektir. Özetle: UEFI + Secure Boot etkin bir ESXi 7 host, donanımında TPM 2.0 yongası takılı ve BIOS ayarları uygun şekilde yapılmış olmalıdır. Ayrıca hostun üretici firmware’inin (BIOS’unun) ve TPM aygıtının mümkünse en güncel sürümlere güncellendiği de doğrulanmalıdır.
TPM 2.0’ı Etkinleştirme Adımları
TPM 2.0’ı vSphere ortamında etkinleştirmek, hem fiziksel sunucu tarafındaki ayarları yapmayı hem de ESXi/vCenter tarafında kontrolleri içerir. Adım adım süreç aşağıdaki gibi özetlenebilir:
Sunucuda TPM desteğini açma (BIOS Ayarları)
- İlk adım olarak fiziksel sunucu üzerinde TPM desteğini etkinleştirin.
- Sunucuyu yeniden başlatıp firmware ayarlarına (BIOS/UEFI arayüzüne) girin.
- TPM modülünü bulun ve Enabled konumuna getirin, ardından Activate edin (varsa).
- Ardından Secure Boot özelliğini aktif edin (BIOS’ta Güvenli Önyükleme ayarını “Enabled” yapın.
- Yukarıda “Gereksinimler” bölümünde listelenen tüm TPM ilgili BIOS opsiyonlarının (SHA-256, FIFO vs.) doğru değerlere ayarlı olduğunu tekrar kontrol edin.
- Değişiklikleri kaydedip BIOS’tan çıkın. Sunucu UEFI + Secure Boot modunda ESXi işletim sistemiyle önyüklenmeye başlayacaktır.
ESXi üzerinde TPM 2.0 tanıma ve yapılandırma
ESXi 7.x hostunuz TPM etkin biçimde önyükleme yaptığında, hipervizör açılış sürecinde TPM 2.0 yongasını algılayacak ve ona ait sürücü/modülleri yükleyecektir. ESXi, TPM içindeki PCR ölçümlerini alıp kayıt altına alır ve Secure Boot’un başarılı olduğuna dair TPM’den onay alır (vSphere 6.7 – ESXi and TPM 2.0 – VMware vSphere Blog).
ESXi host konsolunda doğrudan bir “TPM etkin” mesajı görmeseniz bile, vCenter ile bağlantı kurduğunda TPM doğrulama bilgileri iletilecektir. ESXi tarafında doğrulama için elle ek bir ayar yapılmasına gerek yoktur; gerekli tüm işlemler önyükleme sırasında otomatik yürütülür. Ancak doğrulama amaçlı birkaç kontrol yapabilirsiniz.
ESXi üzerinde /var/log/boot.gz ve vmkernel.log günlüklerini inceleyerek TPM ile ilgili girişler olup olmadığına bakın. Örneğin, başarılı bir TPM init işlemi logunda TPM aygıtının bulunduğu, FIFO modunda olduğu ve “tpmdriver loaded successfully” gibi satırlar görülebilir.
ESXi yönetim arayüzünde (DCUI) veya Host Client’ta Security/Güvenlik ile ilgili bir bölüm varsa TPM’in algılandığını belirten bilgiler bulunabilir. ESXi 7’de doğrudan DCUI’da TPM durumu gösterilmez ancak “Host Configuration” altında TPM ile şifrelenmiş gibi bir ibare olabiliyor.
İsterseniz esxcli komutunu kullanarak TPM durumunu alabilirsiniz.
- Örneğin esxcli system settings encryption get komutu, host encryption (TPM destekli) durumunu gösterebilir; TPM varsa TPM KMS gibi parametrelerin değer aldığı görülecektir.
- Benzer şekilde esxcli hardware trustedboot get komutu (ESXi 8+ da olabilir) TPM’nin etkin olduğuna dair bilgiler verebilir.
ESXi host başarılı biçimde TPM 2.0 ile başlatıldıysa, artık bu hostun güvenlik durumu vCenter’a rapor edilebilir haldedir.
vCenter Server’da TPM yönetimi ve doğrulama
TPM 2.0 etkinleştirilmiş ESXi hostunu bir vCenter Server 7 instance’ı ile yönetiyorsanız, vCenter üzerinden hostun TPM durumunu gözlemleyebilirsiniz.
- vSphere Client (HTML5 arayüz) ile vCenter’a bağlanıp ilgili hostu görüntüleyin.
- Host> Monitor (İzleme) > Security (Güvenlik) sekmesine gidildiğinde, listelenen hostların Attestation (Doğrulama) durumları ve mesajları görülür.
- TPM düzgün çalışıyorsa ve Secure Boot açıksa, attestation durumu Passed/Güvenilir ya da yeşil durumda olacaktır.
- Hostun güvenilirlik durumu ayrıca hostun Summary/Özet sayfasında “Trusted Platform Module” veya “TPM” ile ilgili bir bilgi satırı olarak da belirtilebilir. Örneğin, “TPM 2.0: Attached, Secure Boot: Enabled, Attestation: Passed” gibi bir özet bilgi görülebilir.
- vCenter Server, TPM’li hostlardan aldığı ölçümler ile kendi veritabanındaki bilinen imzaları karşılaştırarak bir güven değerlendirmesi yapar.
- Bu sayede herhangi bir hostta beklenmedik bir değişiklik olduğunda attestation durumu Failed (Başarısız) olarak görünecek ve vCenter bir alarm üretecektir.
Sistem yöneticileri vCenter üzerinde Alarmlar bölümünde “Host TPM attestation alarm” gibi uyarıları takip edebilir ve gerekli önlemleri alabilir. Özetle, vCenter ortamında TPM yönetimi büyük ölçüde bu attestation bilgilerini izlemek ve ilgili politikaları uygulamakla ilgilidir. Ayrıca vCenter üzerinden Key Provider konfigürasyonu yaparak TPM ile ilişkili ek özellikler de yönetebilir.
Not: Eğer TPM modülü, ESXi host vCenter’a eklendikten sonra takıldı veya etkinleştirildiyse, vCenter’da hostun TPM durumu ilk başta hatalı görünebilir (örneğin “TPM device not found” ya da attestation hatası). Bu durumda, aşağıda “Potansiyel Sorunlar” kısmında belirtildiği gibi hostu vCenter’dan Disconnect edip tekrar Reconnect yapmak gerekebilir. Bu işlem, vCenter’ın host için TPM kimlik anahtarını yeniden almasını ve attestation sürecini sıfırlamasını sağlar.
Sanal TPM (vTPM) Kullanımı
TPM 2.0 yalnızca fiziksel sunucunun güvenliği için değil, sanal makinelerin içinde de kullanılabilir. Sanal TPM (vTPM), vSphere 6.7 ile tanıtılan ve vSphere 7 ile daha da kullanışlı hale gelen bir özelliktir. vTPM sayesinde bir sanal makine, sanki fiziksel bir TPM çipi varmış gibi, sanal TPM aygıtına sahip olabilir. Bu da işletim sisteminin TPM gerektiren güvenlik özelliklerini kullanmasına olanak tanır. Örneğin, Windows 10/11 üzerindeki BitLocker şifrelemesi, Credential Guard, Device Guard veya Linux üzerindeki benzer mekanizmalar vTPM sayesinde etkin bir şekilde kullanılabilir hale gelir. Aşağıda vTPM kullanımına dair temel noktalar ve adımları açıkladım.
vTPM için Gereksinimler
Bir sanal makinede TPM aygıtı ekleyebilmek için ortamda VMware vCenter Server bulunmalıdır (vTPM özelliği, VM şifreleme altyapısını kullandığından yalnızca vCenter yönetiminde etkinleşir. Ayrıca vCenter üzerinde bir Key Provider (Anahtar Sağlayıcı) yapılandırması gereklidir.
Bu, vSphere 7.0 Update 2 itibariyle sunulan Native Key Provider (NKP) olabilir ya da harici bir KMS (Key Management Server) entegre edilerek sağlanabilir. vSphere 7 Update 2 ve sonrası, harici KMS olmaksızın yerleşik bir anahtar sağlayıcı oluşturup kullanmaya olanak tanır. Bu anahtar sağlayıcı etkinleştirilip “Default” olarak işaretlendikten sonra, vTPM ekleme opsiyonu kullanılabilir hale gelir.
Unutulmamalıdır ki vTPM’ler, VMware’in VM Encryption (VM Şifreleme) altyapısını “arka planda” kullanır; bu da ESXi ve vCenter’ın, VM’in konfigürasyon dosyalarını korumak için bir şifreleme anahtarı kullanması demektir.
Tüm vSphere 7 sürümleri (Essentials, Standard, Enterprise vs.) vTPM ve Native Key Provider kullanımına lisans olarak izin verir, ek bir lisanslama kısıtı yoktur. Ancak, eğer tam disk şifreleme gibi ilave şifreleme özelliklerini de kullanmayı planlıyorsanız (vSAN encryption, VM disk encryption vs.), bunlar üst paket lisanslar gerektirebilir.
vTPM’i etkinleştirme (VM ayarları)
- vTPM kullanmak istediğiniz sanal makinenin donanım uyumluluk düzeyi (virtual hardware version) 14 veya üzeri olmalıdır (ESXi 6.7 ve sonrası ile uyumlu).
- vSphere Client ile vCenter’a bağlanıp ilgili VM’in Edit Settings (Ayarları Düzenle) menüsüne girin.
- Add New Device> Trusted Platform Module seçeneğini seçerek sanal makineye bir TPM 2.0 aygıtı ekleyin.
- Bu işlemi yaparken, eğer daha önce bir anahtar sağlayıcı tanımlamadıysanız vCenter uyarı verebilir ya da TPM ekleme seçeneği pasif görünebilir. Bu durumda önce yukarıda bahsedilen Key Provider’ı oluşturmalısınız.
- Başarılı bir şekilde vTPM eklendiğinde VM’in yapılandırmasında Trusted Platform Module aygıtı listelenecektir. Ardından VM’i başlattığınızda işletim sistemi düzeyinde TPM 2.0 mevcut olarak algılanacaktır.
Not: vTPM eklenen bir VM, vCenter’da “Encrypted” ibaresiyle görünebilir; bu VM’in tüm disklerinin şifrelenmiş olduğu anlamına gelmez, ancak vTPM nedeniyle VM yapılandırmasının şifreli olduğu anlamına gelir. Örneğin, vTPM eklemek, VM’nin VMDK disk dosyalarını otomatik olarak şifrelemez – disk şifrelemesi isteniyorsa ayrıca bir şifreleme politikası uygulanmalıdır. Ancak vTPM eklendiğinde VM’in swap dosyaları ve. nvram gibi konfigürasyon dosyaları varsayılan olarak şifreli olacaktır.
Sanal makine işletim sistemi ayarları
- vTPM eklenen bir VM’in UEFI firmware kullanacak şekilde yapılandırılması önerilir. Zaten Windows 11 gibi modern işletim sistemleri hem UEFI hem de Secure Boot ve TPM 2.0 gerektirir. Bu nedenle VM’nin Boot Options kısmından firmware tipi EFI olarak seçilmeli ve Secure Boot etkinleştirilmelidir.
- vSphere, VM’e TPM eklerken genelde Secure Boot’u otomatik açmaz, bunu elle yapmak gerekir. Örneğin Windows 11 kurulumu yapacaksanız: VM donanım ayarlarında CPU’nun UEFI+Secure Boot ile başlatılması, en az 2 vCPU ve 4GB RAM verilmesi ve Trusted Platform Module aygıtının eklenmesi gereklidir. Bu şekilde kurulum sırasında Windows 11, TPM 2.0 gereksinimini karşılayacak ve desteklenen bir ortam olarak kurulacaktır.
- Benzer şekilde Windows 10/Server 2016+ gibi sistemlerde Device Guard veya Credential Guard gibi özellikleri açmak için de vTPM + Secure Boot kombinasyonuna ihtiyaç duyulur (örneğin Device Guard, sanal TPM olmadan çalışmaz). Linux sistemlerde çoğu dağıtım TPM gerektirmese de istenirse vTPM eklenerek tpm2-tools gibi araçlarla TPM fonksiyonları kullanılabilir; VMware, birçok popüler Linux dağıtımı için de vTPM aygıtının eklenmesini desteklemektedir.
Güvenlik avantajları (vTPM)
- vTPM kullanımı, sanal makinelerin güvenlik seviyesini fiziksel dünyadakine yaklaştırır. Her VM kendi izole TPM aygıtına sahip olduğundan, bir VM içindeki TPM anahtarları ve ölçümleri başka bir VM tarafından görülemez veya paylaşılamaz. Bu, özellikle çok kiracılı ortamlarda veya farklı güvenlik seviyesindeki uygulamaların aynı host üzerinde çalıştığı durumlarda önemlidir.
- vTPM ile bir VM, BitLocker ile disk şifreleyebilir ve şifreleme anahtarını TPM’de tutarak yalnızca TPM mevcutken (yani VM yetkili hypervisor üzerinde çalışırken) açılabilir hale getirebilir. Bu, VM dosyalarının çalınması durumunda bile (örn. birinin VM’nin kopyasını alması) TPM anahtarı olmadan verilerin açılamamasını sağlar.
- Ayrıca TPM gerektiren yazılımlar (örneğin belirli sertifika saklama çözümleri veya lisans koruma mekanizmaları) sanal makine içinde sorunsuz çalışabilir. VMware’in sağladığı vTPM, donanım TPM 2.0 spesifikasyonuna tam uyumlu çalıştığı için işletim sistemi ve uygulamalar bu TPM’nin sanal olduğunu genellikle anlamaz; TPM’nin tüm komut setini destekler. Örneğin, bir VM içindeki Windows 11, vTPM sayesinde tam destekli bir kurulum olarak çalışır ve Microsoft tarafından desteklenir.
Sınırlamalar
vTPM kullanırken dikkat edilmesi gereken bazı noktalar da vardır. Birincisi, vTPM eklemek için vCenter + Key Provider şart olduğu için, tek başına bir ESXi host üzerinde (vCenter olmadan) vTPM kullanılamaz. Eğer vCenter devre dışı kalırsa mevcut çalışan VM’ler etkilenmez ancak yeni bir VM’e TPM eklenemez veya mevcut bir VM farklı bir ortama taşınırken anahtarlar olmadığı için sorun yaşanabilir.
Bu yüzden, vCenter yedeklemesi ve özellikle Native Key Provider yedek anahtarının export edilerek güvenli bir yerde saklanması kritik önem taşır – aksi takdirde vCenter kaybedilirse TPM içindeki anahtarlar da erişilemez hale gelebilir. İkinci olarak, bir sanal makineye TPM eklendiğinde, vSphere bu VM’in vMotion ve Fault Tolerance trafiğini şifreli hale getirir (otomatik olarak). Bu, cluster içinde TPM’li VM’lerin güvenli bir şekilde taşınabilmesini sağlar ancak ortamda vMotion kullanılıyorsa tüm ilgili hostların aynı key provider’a erişimi olması gerektiğini de gösterir.
Üçüncü olarak, yedekleme ve klonlama işlemlerinde de bazı kısıtlar olabilir: vTPM’li bir VM’i klonladığınızda vSphere 7’de TPM de birebir klonlanır (VMware vSphere 8 ile klonlama esnasında TPM’i sıfırlama seçeneği gelmiştir) Bu, test ve yedekleme senaryolarında dikkat isteyen bir durumdur. Örneğin, TPM klonlandığı için klon VM ve asıl VM aynı anahtarlara sahip olacaktır; bu istenmeyen bir durumsa vTPM cihazını klonlama sonrası kaldırıp yeniden eklemek gerekebilir. Son olarak, vTPM performans açısından bir dezavantaj getirmez – TPM aygıtı düşük I/O gerektiren bir bileşendir ve konuk işletim sistemi TPM’ye nadiren erişir, bu nedenle TPM eklemek CPU veya bellek tüketimini fark edilebilir düzeyde artırmaz. Sadece VM önyükleme sürelerinde çok hafif bir artış olabilir ve eğer VM tamamen şifrelenirse swap dosyalarının da şifrelenmesi nedeniyle yoğun bellek aşımında minimal bir CPU yükü artışı olabilir.
Potansiyel Sorunlar ve Çözümleri
TPM 2.0’ı etkinleştirirken veya kullandıktan sonra karşılaşılabilecek bazı yaygın sorunlar ve bunların çözümleri aşağıda listelenmiştir:
TPM 2.0 cihazı algılanmıyor / attestation durumu “N/A”
vCenter’da hostun Attestation durumu “N/A” olarak görünüyorsa veya “TPM device not found” gibi bir uyarı alıyorsanız, bu genellikle TPM’nin etkin olmadığı ya da Secure Boot’un kapalı olduğu anlamına gelir. Çözüm olarak öncelikle BIOS ayarlarını yeniden gözden geçirin: TPM’in açık ve etkin, Secure Boot’un enabled olduğundan emin olun. Eğer değişiklik yaptıysanız, hostu yeniden başlatıp ESXi’nin UEFI modda başlatıldığını doğrulayın. Dell sunucular için yayınlanan kılavuzlar, bu tip bir hatada TPM ve Secure Boot’un BIOS’tan etkinleştirilmesi gerektiğini belirtir.
Gerekirse vCenter üzerinde hostu bakıma alıp (Maintenance Mode), iDRAC/ILO gibi arayüzden TPM Security ve Secure Boot ayarlarını aktifleştirin, ardından hostu yeniden başlatın ve vCenter’a Disconnect/Reconnect yapın)). Bu işlemlerden sonra vCenter’daki attestation mesajı “Passed” olarak güncellenecektir. Eğer hala TPM algılanmıyorsa, TPM modülünün doğru takıldığını, BIOS firmware’inin güncel olduğunu ve ESXi’nin desteklenen bir sürüm olduğunu tekrar kontrol edin.
“Host TPM attestation alarm” uyarısı
vCenter, TPM’li bir hostta güvenlik beklendiği halde durumu doğrulayamazsa alarm üretebilir. “TPM 2.0 device detected but a connection cannot be established” şeklinde bir hata mesajı, TPM’nin var olduğunu ancak vCenter’ın onunla güven ilişkisi kuramadığını gösterir. Bu genellikle host eklendikten sonra TPM’nin devreye sokulması durumunda ortaya çıkar.
VMware belgelerine göre çözümü, ilgili hostu vCenter Server’dan ayırıp yeniden eklemektir. Hostu vCenter’dan Disconnect edin, birkaç saniye sonra Connect ederek tekrar bağlayın (gerekirse hostu tamamen envanterden çıkarıp yeniden Add Host ile eklemek de bir yöntemdir). Bu sayede vCenter, TPM’nin Endorsement Key (EK) ve diğer kimlik bilgilerini yeniden alarak attestation sürecini sıfırlar. Alarm daha sonra temizlenir (gerekirse Reset to Green yapılabilir)
“Unable to provision Endorsement Key on TPM 2.0 device: … failed” hatası
Bu hata, ESXi host açılırken TPM’nin EK oluşturamaması anlamına gelir ve genellikle TPM hiyerarşisinin kapalı olduğu veya TPM’nin henüz sahiplik almadığı durumlarda görülür. Çözüm olarak sunucu BIOS/UEFI arayüzünde TPM Hierarchy veya ilgili ayarı Enable duruma getirin. Başka bir sebep ise TPM’nin daha önce başka bir sistemde kullanılmış ve temizlenmesi gerekmesidir; TPM modülünüzde Clear TPM gibi bir seçenek varsa bunu uygulayıp yeniden başlatın, sonrasında otomatik olarak EK oluşturulacaktır. Bu işlem sonrasında hata mesajı kaybolmalıdır.
TPM 2.0 firmware güncelleme gerekliliği
Bazı durumlarda TPM 2.0 modülleri için üretici firmware güncellemeleri yayınlanır (örneğin TPM’nin güvenli rastgele sayı üreteci veya RSA algoritması ile ilgili önceki yıllarda keşfedilen bir zafiyet için). Eğer sunucunuzun üreticisi TPM firmware güncellemesi öneriyorsa, bunu planlı bir bakım sürecinde uygulayın.
Dikkat Edilmesi Gerekenler
TPM firmware’ini güncellemek bazen TPM içeriğini sıfırlayabilir, bu nedenle mümkünse önce TPM’de tutulan anahtarları (ör. host configuration key) yedekleyin veya not edin. VMware vCenter, eğer TPM kullanılarak host yapılandırma şifrelemesi yapıldıysa (vSphere 7.0 U2 itibariyle bu otomatik gerçekleşir), bir “TPM Encryption Recovery Key Backup” alarmı göstererek yöneticiden bir kurtarma anahtarı almasını ister.
Bu uyarıyı göz ardı etmeyin; vCenter’ın rehberliğinde ilgili komutu çalıştırarak (veya GUI’de) host şifreleme kurtarma anahtarını yedekleyin. TPM modülü değiştirilir veya sıfırlanırsa, bu anahtar olmadan host yapılandırma verilerine erişiminizi kaybedebilirsiniz. TPM firmware güncellemesi yaparken bazı üretici spesifik yan etkiler de olabilir:
Örneğin Lenovo, Secure Boot açıkken TPM firmware güncellemesinin ESXi hostlarında PSOD hatasına yol açabileceğini belirtmiştir. Bu gibi durumlarda güncelleme öncesi Secure Boot’u geçici olarak kapatmak gerekebilir. Güncelleme sonrasında TPM’yi tekrar etkinleştirip Secure Boot’u açarak hostu normal duruma döndürmelisiniz.
VM’lerde TPM ile ilgili sorunlar
Sanal TPM kullanırken de karşılaşılabilecek bazı durumlar vardır. Örneğin, bir sanal makineye “Trusted Platform Module” ekleme seçeneğini göremiyorsanız, muhtemelen bir anahtar sağlayıcı tanımlanmamıştır veya uyumluluk ayarlarında eksiklik vardır. Bu durumda vCenter’da Key Providers bölümünden bir Native Key Provider oluşturup etkinleştirin ve varsayılan olarak atayın. Eğer NKP oluştururken “Yalnızca TPM korumalı hostlarla kullan” seçeneğini işaretlediyseniz ve hostlarınızda fiziksel TPM yoksa, vTPM desteği gelmeyecektir
Bu ayarı işaretlediyseniz ya hostlara TPM takın ya da NKP’yi silip yeniden oluşturarak bu sefer kutuyu işaretlemeyin (bu kutu, yalnızca tüm ESXi host’larınız TPM 2.0’a sahipse önerilir) Bir diğer potansiyel sorun, Windows 11 VM’lerinin açılışta TPM hatası vermesi olabilir; bu genellikle Secure Boot’un kapalı olmasından kaynaklanır. Çözüm: VM ayarlarından Secure Boot’u etkinleştirin ve firmware’ini EFI yapın, bu şekilde hem TPM hem Secure Boot gereksinimi karşılanacaktır.
Son olarak, vTPM’li VM’lerin yedeklenmesi konusunda, kullandığınız yedekleme yazılımının (Veeam, VMware Data Protection vs.) şifreli VM’leri desteklediğinden emin olun. Çoğu modern yedekleme yazılımı vCenter’dan gerekli anahtarları alarak vTPM’li VM’leri yedekleyebilir. Yine de, test amaçlı bir geri yükleme yaparak VM’in sorunsuz açıldığını doğrulamak en iyi pratiktir.
En İyi Uygulamalar
TPM 2.0, VMware vSphere 7 ortamlarında güvenliği bir üst seviyeye çıkarmak için güçlü bir araçtır. Doğru şekilde yapılandırıldığında TPM 2.0, hipervizörün güvenli şekilde önyüklediğini donanım güvencesi ile doğrular ve merkezi yönetim biriminize (vCenter) sunucularınızın güvenilirliği hakkında değerli bilgiler sağlar. Ayrıca sanal TPM desteği ile, sanal makinelerinizin de modern güvenlik özelliklerinden faydalanabilmesini mümkün kılar. Sonuç olarak, bir sistem yöneticisi olarak TPM 2.0’ı etkin şekilde kullanmak, altyapınızın güvenliğini ve bütünlüğünü artıracak önemli bir adımdır.
TPM 2.0’ı planlı ve tutarlı bir şekilde devreye alın
Birden fazla ESXi hostunun bulunduğu ortamlarda, tüm uygun hostlara TPM modülü takın ve hepsinde benzer BIOS ayarlarıyla Secure Boot+TPM’i etkinleştirin. Ortamdaki hostlardan bazılarının TPM’li bazılarının TPM’siz olması, güvenlik politikalarını tutarsız hale getirebilir. Mümkünse cluster içerisindeki tüm sunucular aynı güvenlik seviyesinde olmalıdır.
Secure Boot’u daima TPM ile kullanın
TPM 2.0’ın tam anlamıyla fayda sağlaması için Secure Boot’un açık olması gerekir. Bu ikili, birbirini tamamlayan güvenlik mekanizmalarıdır – Secure Boot imzasız kod çalıştırılmasını engeller, TPM ise Secure Boot’un gerçekten devrede olduğunu doğrular. Bu nedenle, güvenlik gereksinimleri yüksek bir vSphere ortamında her iki özelliği de aktif tutmak en iyi uygulamadır.
Firmware ve yazılımları güncel tutun
Sunucu BIOS/UEFI firmware’ini ve TPM 2.0 modülünün firmware’ini üretici tavsiyelerine göre güncel tutun. Ayrıca ESXi işletim sisteminizi de mümkün olduğunda son güncelleme/patch seviyesinde çalıştırın (vSphere 7 Update’leri TPM ve vTPM konusunda iyileştirmeler içerebilir). Yeni güncellemeler, bilinen güvenlik açıklarını kapatacağı için TPM ile daha güvenli bir ortam sunar.
Anahtar yedeklemelerini ihmal etmeyin
Eğer vSphere Native Key Provider kullanıyorsanız, bu anahtar sağlayıcının yedeğini mutlaka dışa aktarın ve güvenli bir yerde saklayın. Aynı şekilde, vCenter bir Kurtarma Anahtarı Yedekleme isteği (TPM Encryption Recovery Key) veriyorsa, bunu komut satırından alarak güvenli biçimde yedekleyin. Bu yedekler, TPM arızası veya vCenter yenilemesi gibi durumlarda sanal makine ve hostlarınızı kurtarabilmenizi sağlar.
TPM alarm ve loglarını düzenli izleyin
vCenter’daki Security sekmesini ve alarm listesini periyodik olarak kontrol edin. Herhangi bir host için TPM attestation alarmı oluşmuşsa bunun nedenini araştırın (örneğin yakın zamanda bir BIOS ayarı mı değişti, bir donanım mı eklendi?). Attestation başarısızlıkları, altında yatan bir güvenlik riski olabileceği için göz ardı edilmemelidir. Ayrıca ESXi loglarında TPM ile ilgili tekrar eden uyarılar varsa (PCR bank uyarıları vb.), bunlar üretici dokümanlarına göre ele alınmalıdır.
Sanal TPM kullanımında en iyi uygulamalar
Yalnızca gerektiğinde VM’lere TPM ekleyin – örneğin, Windows 11 veya BitLocker kullanacak sunucular gibi. vTPM ekledikten sonra, ilgili VM’in Kurtarma Anahtarlarını (BitLocker recovery key vb.) uygun şekilde yedekleyin; çünkü TPM içinde saklanan anahtarlar kaybolursa (örneğin TPM cihazı kaldırılırsa) bu kurtarma anahtarlarına ihtiyacınız olacak.
Klonlama veya çoğaltma yaparken TPM’li VM’lerde dikkatli olun; mümkünse vSphere 8 ortamına geçerek TPM klonlama politikalarını (copy vs replace) kullanın ya da vSphere 7’de klonladıktan sonra yeni makinede TPM’i sıfırlayıp yeniden ekleyin.
Donanım güvenlik entegrasyonunu ilerletme
Çok yüksek güvenlik gerektiren ortamlarda VMware’in vSphere Trust Authority gibi gelişmiş özelliklerini değerlendirin. vSphere Trust Authority, ayrı bir Attestation Node havuzu kullanarak, yalnızca güvenilirliği TPM ile doğrulanmış ESXi host’larının kritik VM’leri çalıştırmasına izin veren bir mimari sunar. Bu, güven kökünü vCenter dışındaki bağımsız bir güven yönetici katmanına taşıyarak güvenliği artırır.
Son olarak, ortamınızda TPM 2.0’ı etkinleştirme sürecini dokümante etmeniz gerekmektedir. Hangi sunucuda hangi TPM modülünün bulunduğunu, BIOS ayarlarının ne şekilde yapıldığını ve olası bir TPM değişimi/arıza durumunda izlenecek adımları önceden belirlemeniz gerekir. VMware’in ve donanım üreticinizin TPM ile ilgili yayınladığı teknik makaleleri ve KB kaynaklarını incelemeniz gerekir.
Özetle, TPM 2.0’ın doğru kurulum ve yönetimi, vSphere 7 ortamınızda güvenlik duvarının bir parçası olacak ve iç huzur sağlayacaktır. Güvenlik süreklilik gerektirir, bu nedenle TPM gibi güvenlik teknolojilerini etkinleştirdikten sonra da düzenli gözlem ve bakım yapmayı ihmal etmemelisiniz. Bu yazımda sizlere vSphere 7 Versiyonda TPM 2.0 Kullanımı konusundan bahsettim. Faydalı olması dileğiyle.
