Dell Server SSH Güvenliği ISO 27001 Uyumu Rehberi (2026)

Dell Server SSH güvenliği ISO 27001 uyumu açısından değerlendirildiğinde amaç, yalnızca SSH portunu kapatmak ya da açmak değildir; yönetim erişiminin risk bazlı, izlenebilir ve kanıt üretir şekilde kontrol altına alınmasıdır. Kısa cevap şudur: 15 Mart 2026 bağlamında Dell sunucular için ISO 27001 uyumlu bir SSH yaklaşımı kurmak istiyorsanız önce hangi erişimin iDRAC, hangisinin işletim sistemi düzeyinde olduğunu ayırmalı; ardından named account, least privilege, anahtar yönetimi, şifreleme politikası, ağ kısıtlaması ve log kayıtlarını birlikte standardize etmelisiniz. Bu rehber, denetime hazır ama operasyonu bozmayan bir SSH güvenlik modeli kurmak isteyen ekipler için hazırlandı.

Bu rehber özellikle şu ekipler içindir:

• bilgi güvenliği yöneticileri
• sistem ve altyapı ekipleri
• ISO 27001 hazırlığı yapan BT yöneticileri
• Dell PowerEdge ve iDRAC yöneten operasyon ekipleri

Hızlı Özet

• ISO 27001, SSH için tek bir vendor komutu tarif etmez; risk bazlı erişim kontrolü ve kanıtlanabilir güvenlik bekler.
• Dell tarafında iDRAC SSH erişimi ile işletim sistemi SSH erişimi ayrı risk yüzeyleri olarak ele alınmalıdır.
• En kritik kontroller: named account, ayrıcalık sınırlandırma, SSH key yönetimi, güçlü kriptografi, ağ segmentasyonu ve log izleme.
• SSH gerçekten gerekmiyorsa kapatılmalı; gerekiyorsa bastion veya yönetim ağı ile sınırlandırılmalıdır.
• Denetimde yalnız konfigürasyon ekranı değil, erişim onayı, periyodik gözden geçirme ve olay kaydı da sorulur.
• En iyi sonuç, siber güvenlik değerlendirmesi ile erişim politikası ve teknik sertleştirmeyi birlikte yürütmektir.

İçindekiler

• ISO 27001 Açısından Dell Server SSH Güvenliği Ne Anlama Gelir?
• İlk Olarak Hangi SSH Yüzeyleri Ayrılmalı?
• Minimum Kontrol Seti Nasıl Kurulmalı?
• Denetim Kanıtı İçin Hangi Kayıtlar Tutulmalı?
• En Sık Yapılan Hatalar Nelerdir?
• 30 Günlük Uygulama Planı
• Sık Sorulan Sorular

Görsel: Wikimedia Commons - Technician with laptop working on server rack at NERSC.

ISO 27001 Açısından Dell Server SSH Güvenliği Ne Anlama Gelir?

ISO 27001 açısından konu, “SSH açıksa uyumsuzdur” gibi siyah-beyaz bir yorum değildir. Standardın mantığı, bilgiye ve kritik sistemlere erişimin yalnız doğru kişiler tarafından, doğru gerekçeyle ve izlenebilir şekilde yapılmasını sağlamaktır. Bu nedenle Dell sunucu ortamında SSH güvenliği şu sorularla değerlendirilir:

• SSH erişimi kimlere gerçekten gerekli?
• Erişim iDRAC üzerinden mi, işletim sistemi üzerinden mi yapılıyor?
• Hesaplar kişiye özel mi, yoksa ortak kullanım mı var?
• Şifre yerine anahtar tabanlı veya daha güçlü yöntemler uygulanıyor mu?
• Oturumlar ve yönetim aksiyonları loglanıyor mu?
• Erişim kuralları periyodik gözden geçiriliyor mu?

Kısacası ISO 27001 uyumu, SSH’i tamamen kaldırmak değil; kontrolsüz uzaktan erişimi ortadan kaldırmaktır.

İlk Olarak Hangi SSH Yüzeyleri Ayrılmalı?

Dell ortamlarında en sık yapılan hata, tüm SSH erişimlerini tek başlık altında düşünmektir. Oysa en az iki ayrı yüzey vardır:

1. iDRAC / yönetim düzlemi SSH erişimi
2. İşletim sistemi veya hypervisor düzeyi SSH erişimi

Dell iDRAC dokümantasyonunda Secure Shell erişiminin yönetim işlevleri için kullanılabildiği, SSH anahtarlarının yüklenebildiği ve kriptografi parametrelerinin daraltılabildiği belirtilir. Bu, iDRAC tarafının ayrı bir yönetim yüzeyi olduğunu gösterir. ISO 27001 değerlendirmesinde bu yüzey için ayrı risk kaydı, ayrı yetki modeli ve ayrı log kontrolü tutulması gerekir.

Pratik ayrım şudur:

• iDRAC SSH yalnız altyapı yöneticileri için ve yönetim ağı ile sınırlı olmalı
• işletim sistemi SSH yalnız operasyon ihtiyacı varsa açık kalmalı
• aynı kişi her iki katmanda da sınırsız yetkiyle çalışmamalı

Minimum Kontrol Seti Nasıl Kurulmalı?

Denetime ve operasyona aynı anda hizmet eden minimum SSH kontrol seti şu başlıklardan oluşur:

1. Named account ve rol ayrımı

Ortak admin benzeri hesaplar yerine kişiye atanmış hesaplar kullanılmalı. Dell’in genel sunucu güvenliği anlatımlarında rol tabanlı erişim ve güçlü kimlik doğrulama yaklaşımı öne çıkar. Bu nedenle erişim modelinde kimin hangi yönetim katmanına neden eriştiği net olmalıdır.

2. SSH key ve kimlik doğrulama disiplini

Dell belgelerinde SSH anahtarlarının web arayüzünden yüklenebildiği gösterilir. Bu, özellikle yönetim amaçlı tekrarlı erişimlerde parola bağımlılığını azaltmak için önemlidir. Anahtar kullanımında şu kurallar uygulanmalıdır:

• anahtarlar kişiye özel olmalı
• paylaşılan anahtar kullanılmamalı
• ayrılan personelin anahtarı aynı gün kaldırılmalı
• anahtar rotasyonu ve onayı kayıt altına alınmalı

3. Kriptografi sertleştirmesi

iDRAC tarafında SSH kriptografi yapılandırmasının daraltılabilmesi önemli bir avantajdır. ISO 27001 burada size “şu algoritmayı kullan” demez; ama zayıf seçeneklerin kabul edilmemesi ve riskin azaltılması beklenir. Bu nedenle eski veya gereksiz algoritmalar devre dışı bırakılmalı, güvenlik ekibinin kabul ettiği profil uygulanmalıdır.

4. Ağ kısıtlaması ve bastion yaklaşımı

SSH erişimi internetten ya da geniş kullanıcı ağından erişilebilir olmamalı. En doğru yaklaşım:

• yalnız yönetim VLAN'ı veya jump host üzerinden erişim
• kaynak IP kısıtı
• gerekiyorsa VPN zorunluluğu
• olağan dışı bağlantılar için alarm

5. Log ve inceleme disiplini

Başarılı ve başarısız oturum denemeleri, yetki yükseltme aksiyonları ve konfigürasyon değişiklikleri loglanmalı. Denetimde en çok eksik kalan alan, logların var olması ama kimsenin düzenli incelememesi oluyor.

Denetim Kanıtı İçin Hangi Kayıtlar Tutulmalı?

ISO 27001 denetiminde yalnız teknik ayar ekranı göstermek çoğu zaman yeterli olmaz. Aşağıdaki kanıtlar süreci güçlendirir:

• SSH erişim yetki matrisi
• iDRAC ve işletim sistemi erişim onay kayıtları
• anahtar yükleme, kaldırma ve rotasyon kayıtları
• periyodik erişim gözden geçirme çıktıları
• log saklama ve alarm örnekleri
• uygunsuz erişim için açılmış olay kayıtları

Bu belgeler sayesinde “kontrol tasarlandı mı?” sorusu ile birlikte “gerçekten işletiliyor mu?” sorusuna da cevap verilir.

En Sık Yapılan Hatalar Nelerdir?

En sık görülen hatalar şunlardır:

• SSH’i açıp kapatma kararının risk analizi olmadan verilmesi
• iDRAC ve işletim sistemi erişiminin tek politika altında karıştırılması
• ortak yönetici hesabı kullanılması
• anahtarların kime ait olduğunun takip edilmemesi
• kriptografi ayarlarının varsayılanda bırakılması
• logların toplanıp hiç gözden geçirilmemesi

Özellikle “yalnız iç ağda, o yüzden güvenli” yaklaşımı ISO 27001 denetiminde zayıf kalır. İç ağ erişimi de rol, segment ve log kuralı ile yönetilmelidir.

30 Günlük Uygulama Planı

Gün 1-7

• iDRAC SSH ve OS SSH envanterini çıkarın
• açık erişimleri iş gerekçesine göre sınıflandırın
• ortak hesapları tespit edin

Gün 8-15

• named account modeline geçin
• gereksiz SSH erişimlerini kapatın
• ağ kısıtı ve yönetim VLAN kurallarını uygulayın

Gün 16-23

• SSH key politikasını devreye alın
• güçlü kriptografi profilini standartlaştırın
• log toplama ve alarm kurallarını bağlayın

Gün 24-30

• erişim gözden geçirmesini tamamlayın
• ISO 27001 kanıt setini dokümante edin
• istisna ve onay kayıtlarını merkezi hale getirin

İlgili İçerikler

• Siber Güvenlik Danışmanlığı: KOBİ’ler İçin 2026 Kontrol Listesi
• Active Directory Güvenliği ve Ayrıcalıklı Erişim Yönetimi Rehberi
• E-posta Güvenliği ve Microsoft 365 Hardening Rehberi

LeonX ile Sonraki Adım

Dell sunucularda SSH güvenliğini ISO 27001 ile hizalamak istiyorsanız konu yalnız konfigürasyon değil; erişim yönetişimi, kanıt üretimi ve periyodik gözden geçirmedir. LeonX, teknik sertleştirme ile denetim hazırlığını aynı çerçevede ele alarak güvenlik kontrol boşluklarını daha hızlı kapatmanıza yardımcı olur.

İlgili sayfalar:

• İş ve Yönetim Hizmetleri
• Siber Güvenlik Değerlendirme Hizmeti
• İletişim

Sık Sorulan Sorular

ISO 27001 SSH’i tamamen kapatmayı mı ister?

Hayır. Standardın yaklaşımı risk bazlıdır. SSH gerekli ise kontrollü, sınırlı ve loglanan bir erişim modeli beklenir.

Dell sunucularda iDRAC SSH ile işletim sistemi SSH aynı politika altında yönetilebilir mi?

Tek başlıkta izlenebilir ama aynı risk yüzeyi gibi davranılmamalıdır. iDRAC yönetim düzlemidir; işletim sistemi SSH ise ayrı operasyon ve kanıt gerektirir.

Parola yerine SSH key kullanmak şart mı?

Her ortam için zorunlu tek yöntem değildir; ancak kritik yönetim erişimlerinde kişiye özel anahtar kullanımı ve güçlü kimlik doğrulama, riski ciddi biçimde azaltır.

Denetimde en kritik eksik ne oluyor?

En sık eksik, erişimlerin teknik olarak açık olması değil; kimlerin neden eriştiğinin, ne zaman gözden geçirildiğinin ve logların nasıl izlendiğinin kanıtlanamamasıdır.

Sonuç

Dell Server SSH güvenliği ISO 27001 uyumu, tek bir sertleştirme adımından ibaret değildir. 15 Mart 2026 bağlamında en doğru yaklaşım; iDRAC ile işletim sistemi SSH yüzeylerini ayırmak, named account ve key yönetimini standartlaştırmak, güçlü kriptografi ve ağ kısıtlarını uygulamak ve tüm bunları denetim kanıtı üretecek şekilde işletmektir.

Kaynaklar

• ISO - ISO/IEC 27001 Information security management systems
• ISO - Access control
• Dell - iDRAC Secure Shell (SSH) guidance
• Dell - Uploading SSH keys using the web interface
• Dell - Protect PowerEdge server infrastructure from cyberattacks