Dell PowerEdge Server ISO 27001 Uyumlu Nasıl Yapılandırılır? Rehber (2026)

Dell PowerEdge server ISO 27001 uyumlu nasıl yapılandırılır sorusunun kısa cevabı şudur: 21 Mart 2026 bağlamında amaç yalnız birkaç güvenlik ayarını açmak değil; sunucuyu risk bazlı, erişim kontrollü, izlenebilir ve denetime kanıt üretebilir şekilde işletmektir. ISO/IEC 27001 bir ISMS standardı olarak risk yönetimini merkeze koyar; Dell tarafında bu yaklaşım iDRAC erişim kontrolü, Secure Boot, TPM, firmware bütünlüğü, System Lockdown ve merkezi log disiplini ile somutlaşır. Bu rehber, PowerEdge sunucuları denetime daha hazır hale getirmek isteyen ekipler için hazırlandı.

Bu rehber özellikle şu ekipler içindir:

• bilgi güvenliği yöneticileri
• sistem ve altyapı ekipleri
• ISO 27001 hazırlığı yapan BT liderleri
• Dell PowerEdge ve iDRAC yöneten operasyon ekipleri

Hızlı Özet

• ISO 27001, tek bir cihaz ayarı değil; risk bazlı bilgi güvenliği yönetim sistemi yaklaşımı bekler.
• PowerEdge tarafında en kritik ayrım, işletim sistemi ile iDRAC yönetim düzlemini ayrı risk yüzeyleri olarak ele almaktır.
• Minimum yapılandırma seti: rol bazlı erişim, ağ kısıtı, güçlü kimlik doğrulama, Secure Boot, TPM, firmware bütünlüğü ve log görünürlüğüdür.
• Dell iDRAC belgeleri; SSH kriptografi profilleri, public key auth, VLAN kullanımı, IP blocking/filtering ve System Lockdown gibi güvenlik kontrollerini açıkça destekler.
• Denetimde yalnız ayar ekranı değil, kim erişti, ne değişti, ne zaman gözden geçirildi sorularına cevap veren kanıt seti gerekir.
• En iyi sonuç, teknik sertleştirme ile uyum hazırlığını aynı proje planında yürütmektir.

İçindekiler

• ISO 27001 Açısından PowerEdge Yapılandırması Ne Demektir?
• Önce Hangi Güvenlik Katmanları Ayrılmalı?
• Minimum PowerEdge Sertleştirme Seti Nasıl Kurulur?
• Denetim İçin Hangi Kanıtlar Hazır Tutulmalı?
• En Sık Yapılan Yapılandırma Hataları
• 30 Günlük Uygulama Planı
• Sık Sorulan Sorular

Görsel: Wikimedia Commons - Dell PowerEdge servers.

ISO 27001 Açısından PowerEdge Yapılandırması Ne Demektir?

ISO/IEC 27001, bilgi güvenliği yönetim sistemi için gereksinimleri tanımlar ve risk yönetimi, sürekli iyileştirme ve kurumsal kontrol çerçevesini merkeze alır. Bu yüzden PowerEdge sunucuyu ISO 27001 ile hizalamak, “hangi kutucuğu işaretleyelim?” sorusundan daha geniştir. Asıl soru şudur:

• bu sunucu hangi kritik veriyi barındırıyor?
• yönetim erişimi kimlerde?
• güvenli önyükleme ve bütünlük zinciri aktif mi?
• konfigürasyon değişiklikleri izleniyor mu?
• denetimde savunulabilir kanıt üretebiliyor muyuz?

Kısacası ISO 27001 uyumlu PowerEdge yapılandırması, donanım sertleştirmesini erişim yönetişimi ve kayıt disipliniyle birleştiren yaklaşımdır.

Önce Hangi Güvenlik Katmanları Ayrılmalı?

PowerEdge ortamlarında en sık yapılan hata, tüm güvenlik ayarlarını tek blok gibi düşünmektir. Oysa en az dört ayrı katman vardır:

1. iDRAC yönetim düzlemi

iDRAC, işletim sisteminden bağımsız ayrı bir yönetim yüzeyidir. Dell iDRAC güvenlik rehberinde public key authentication, IP blocking, IP range filtering, VLAN kullanım seçenekleri ve System Lockdown gibi başlıklar ayrı güvenlik kontrolleri olarak yer alır. Bu katman için ayrı yetki modeli kurulmalıdır.

2. BIOS/UEFI ve güvenli önyükleme zinciri

Secure Boot ve TPM, yalnız bir “boot” ayarı değildir; sunucunun güven kökünü ve sistem bütünlüğünü etkiler. ISO 27001 açısından bu katman, yetkisiz veya beklenmeyen değişikliklerin önlenmesinde kritik rol oynar.

3. İşletim sistemi ve servis katmanı

Yerel admin hakları, SSH/RDP erişimleri, ajanlar ve uygulama servisleri ikinci savunma hattıdır. ISO uyumlu yapılandırma, yalnız firmware seviyesinde değil OS seviyesinde de least privilege ve log görünürlüğü gerektirir.

4. Log, kanıt ve gözden geçirme katmanı

Bir kontrol uygulanmış olabilir; fakat log yoksa, erişim gözden geçirmesi yapılmıyorsa veya istisnalar kayda alınmıyorsa denetim kalitesi düşer. ISO 27001 burada teknik yapı kadar işletim disiplinini de sorgular.

Minimum PowerEdge Sertleştirme Seti Nasıl Kurulur?

Pratikte savunulabilir bir minimum set aşağıdaki başlıklardan oluşur:

1. Yönetim erişimini ayırın

iDRAC erişimini genel kullanıcı ağından ayırın ve mümkünse yalnız yönetim VLAN'ı, jump host veya VPN üzerinden erişilebilir bırakın. Dell rehberindeki VLAN, IP blocking ve IP range filtering seçenekleri bu katmanda özellikle değerlidir.

2. Güçlü kimlik doğrulama ve named account kullanın

Ortak yönetici hesabı bırakmayın. Public key auth, directory tabanlı kimlik doğrulama ve rol bazlı hesap ayrımı uygulanmalı. Her kritik yönetim erişimi kişiye bağlanabilir olmalıdır.

3. Secure Boot ve TPM durumunu standartlaştırın

Güvenli önyükleme, firmware bütünlüğü ve güven kökü tek tek kontrol edilmelidir. Sunucu filosunda farklı BIOS güvenlik profilleri bırakmak yerine standart profil uygulanmalıdır.

4. System Lockdown kullanın

Dell iDRAC güvenlik belgelerinde geçen System Lockdown Mode, istenmeyen yapılandırma değişikliklerine karşı güçlü bir kontrol katmanıdır. Özellikle üretim sunucularında plan dışı değişiklikleri azaltmak için anlamlıdır.

5. Şifreleme ve protokol profilini daraltın

SSH veya web yönetim arayüzü açık kalacaksa zayıf protokoller, geniş ağ erişimi ve gereksiz servisler kaldırılmalıdır. iDRAC tarafında desteklenen güvenlik profilleri gözden geçirilmeden varsayılan bırakılmamalıdır.

6. Log ve merkezi görünürlük kurun

Başarısız girişler, ayrıcalık değişiklikleri, firmware güncellemeleri, lockdown açma-kapama ve kritik güvenlik ayarları merkezi olarak toplanmalı. Log varsa ama alarm yoksa kontrol zinciri eksik kalır.

Denetim İçin Hangi Kanıtlar Hazır Tutulmalı?

ISO 27001 denetiminde ekran görüntüsü tek başına yeterli değildir. Aşağıdaki kanıtlar çok daha güçlüdür:

• PowerEdge sunucu envanteri ve kritik sistem sınıflandırması
• iDRAC erişim matrisi ve named account listesi
• Secure Boot, TPM ve BIOS güvenlik profili çıktıları
• System Lockdown kullanım prosedürü ve istisna kayıtları
• firmware değişiklik ve onay kayıtları
• merkezi log örnekleri ve alarm senaryoları
• periyodik erişim gözden geçirme kayıtları

Bu set sayesinde “ayar yapıldı” seviyesinden “kontrol işletiliyor” seviyesine geçersiniz.

En Sık Yapılan Yapılandırma Hataları

iDRAC'ı iç ağda diye serbest bırakmak

“Zaten iç ağda” yaklaşımı, ISO 27001 açısından yeterli savunma değildir. Yönetim ağı, kaynak IP kısıtı ve kimlik doğrulama sertleştirmesi birlikte düşünülmelidir.

OS ve iDRAC erişimini aynı hesap mantığıyla yönetmek

Yönetim düzlemi ile işletim sistemi yetkileri aynı risk yüzeyi değildir. Ayrı hesap, ayrı rol ve ayrı gözden geçirme gerekir.

Secure Boot veya TPM'yi tutarsız bırakmak

Sunucu filosunda kimi sistemlerde açık, kiminde kapalı güvenlik profilleri bırakmak denetim ve operasyon açısından zayıflık üretir.

Logları toplamak ama gözden geçirmemek

ISO 27001 uyumunda kayıt tutmak kadar periyodik inceleme ve olay yönetimi de önemlidir.

30 Günlük Uygulama Planı

Gün 1-7

• PowerEdge envanterini ve kritik sunucu sınıflarını çıkarın
• iDRAC erişim yüzeylerini haritalayın
• mevcut Secure Boot, TPM ve yönetim ağı durumunu doğrulayın

Gün 8-15

• named account modeline geçin
• public key, directory auth ve ağ kısıtlarını uygulayın
• gereksiz servisleri ve protokolleri kapatın

Gün 16-23

• üretim sistemlerinde Lockdown yaklaşımını devreye alın
• BIOS/UEFI güvenlik profilini standartlaştırın
• merkezi log ve alarm akışlarını doğrulayın

Gün 24-30

• erişim gözden geçirmesini tamamlayın
• denetim kanıt setini dokümante edin
• istisna, bakım ve firmware değişiklik sürecini yazılı hale getirin

İlgili İçerikler

• Dell Server SSH Güvenliği ISO 27001 Uyumu Rehberi
• KVKK için Dell Server Encryption Nasıl Yapılır?
• Siber Güvenlik Danışmanlığı: KOBİ’ler İçin 2026 Kontrol Listesi

LeonX ile Sonraki Adım

PowerEdge ortamında ISO 27001 ile uyumlu yapılandırma kurmak istiyorsanız konu yalnız BIOS veya iDRAC ayarları değildir; erişim yönetişimi, sertleştirme standardı, log görünürlüğü ve audit kanıtı birlikte ele alınmalıdır. LeonX, teknik uygulama ile denetim hazırlığını aynı çalışma planında birleştirerek PowerEdge altyapılarında güvenlik boşluklarını daha hızlı kapatmanıza yardımcı olur.

İlgili sayfalar:

• Donanım & Yazılım Hizmetleri
• Sunucu Kurulum, Konfigürasyon ve Devreye Alma
• Siber Güvenlik Değerlendirme Hizmeti
• İletişim

Sık Sorulan Sorular

ISO 27001 için PowerEdge'te hangi ayarlar önceliklidir?

İlk öncelik genelde yönetim düzlemi erişimi, Secure Boot/TPM durumu, güçlü kimlik doğrulama, log görünürlüğü ve değişiklik kontrolüdür.

System Lockdown gerçekten gerekli mi?

Her sistemde zorunlu tek cevap olmayabilir; ancak üretim ortamında yetkisiz veya plansız değişikliği azaltmak için güçlü bir kontroldür.

iDRAC ile işletim sistemi erişimi aynı standartta mı yönetilmeli?

Aynı güvenlik politikası şemsiyesi altında olabilir; ama aynı risk yüzeyi gibi ele alınmamalıdır. Ayrı rol ve ayrı gözden geçirme gerekir.

Denetimde en sık hangi eksik görülür?

Teknik ayarların var olması ama kimin neye eriştiğinin, ne zaman gözden geçirildiğinin ve logların nasıl izlendiğinin kanıtlanamaması en sık eksiktir.

Sonuç

Dell PowerEdge server ISO 27001 uyumlu nasıl yapılandırılır sorusunun doğru cevabı, birkaç güvenlik özelliğini açmak değildir. 21 Mart 2026 itibarıyla en sağlam yaklaşım; iDRAC erişim kontrolü, Secure Boot, TPM, System Lockdown, güçlü kimlik doğrulama ve merkezi log görünürlüğünü tek yönetim modeli altında birleştirmektir. Böylece PowerEdge sunucu yalnız daha güvenli değil, aynı zamanda denetime daha hazır hale gelir.

Kaynaklar

• ISO/IEC 27001:2022 - Information security management systems
• Dell iDRAC9 Security Configuration Guide
• Dell Integrated Remote Access Controller Datasheet
• Wikimedia Commons - Dell PowerEdge servers