FortiGate access control ISO 27001 uyumu, yalnız firewall kuralı yazmak değildir. Doğru yaklaşım; kimin hangi ağa, hangi servisle, hangi kimlik doğrulama yöntemiyle, hangi süre ve hangi log kanıtıyla eriştiğini yönetilebilir hale getirmektir. FortiGate üzerinde firewall policy, yönetici profilleri, VPN kullanıcı grupları, local-in policy, loglama ve değişiklik onayı birlikte tasarlanmadığında ISO 27001 denetiminde teknik kontrol var görünür ama kanıt zinciri zayıf kalır.
Bu rehber, FortiGate kullanan ağ ve güvenlik ekipleri için ISO 27001 access control beklentilerini teknik FortiOS kontrollerine çevirmek amacıyla hazırlandı. Hukuki veya belgelendirme yorumu için kurumunuzun ISO 27001 danışmanı ve denetim kapsamı dikkate alınmalıdır.
Hızlı Özet
- ISO/IEC 27001, bilgi güvenliğini insan, süreç ve teknolojiyle birlikte ele alan bir ISMS yaklaşımı ister; FortiGate bu modelde ağ erişim kontrolünün teknik kanıt üreticilerinden biridir.
- Fortinet dokümantasyonunda firewall policy, trafiğin FortiGate üzerinden geçmesi için eşleşmesi gereken temel kontrol noktasıdır; kaynak, hedef, servis, interface ve güvenlik profili bu kararın parçasıdır.
- Yönetici access profile modeli, FortiGate yöneticilerinin ne görebileceğini ve ne değiştirebileceğini sınırlamak için kullanılmalıdır.
- Varsayılan
adminhesabı, super_admin yetkisi, uzaktan yönetim erişimi ve CLI izinleri ISO 27001 tarafında ayrı kontrol edilmelidir. - Denetimde güçlü kanıt için policy matrisi, admin rol listesi, VPN grup eşleşmesi, değişiklik kaydı, log çıktısı ve periyodik erişim gözden geçirme sonucu birlikte tutulmalıdır.
- FortiGate access control çalışması, Ağ Güvenlik Politika Yönetimi ile yönetişim, Router, Switch ve Firewall Kurulum Hizmeti ile teknik uygulama tarafında ele alınmalıdır.
İçindekiler
- ISO 27001 Açısından FortiGate Access Control Ne Demektir?
- FortiGate Üzerinde Erişim Kontrol Katmanları Nelerdir?
- Firewall Policy ISO 27001 Kanıtına Nasıl Çevrilir?
- Yönetici Yetkileri ve Admin Profile Nasıl Tasarlanmalı?
- VPN, Kullanıcı Grupları ve MFA Nasıl Bağlanmalı?
- Loglama ve Erişim Gözden Geçirme Nasıl Yapılır?
- 90 Günlük Uygulama Planı
- İlgili İçerikler
- LeonX ile Sonraki Adım
- Sık Sorulan Sorular
- Kaynaklar
Görsel: Wikimedia Commons - The Gathering 2019 - Switch, server and firewall. WebP olarak optimize edilmiştir.
ISO 27001 Açısından FortiGate Access Control Ne Demektir?
ISO 27001 tarafında access control, bilgi varlıklarına erişimin iş ihtiyacı ve güvenlik gereksinimleriyle uyumlu şekilde sınırlandırılmasıdır. FortiGate bu gereksinimi tek başına kapatmaz; ancak ağ geçişleri, yönetim erişimi, VPN oturumları, güvenlik profilleri ve log kayıtları açısından kritik teknik kanıt üretir.
FortiGate access control çalışması şu sorulara cevap vermelidir:
- hangi kullanıcı veya sistem hangi ağa erişebilir?
- erişim hangi FortiGate policy ID üzerinden geçer?
- servis ve port kapsamı gerçekten gerekli olanla sınırlı mı?
- yönetici hesabı hangi FortiOS alanlarını değiştirebilir?
- uzak erişim için MFA, grup ve süre kontrolü uygulanıyor mu?
- erişim değişiklikleri onay ve log kaydıyla izleniyor mu?
- periyodik erişim gözden geçirmesi yapılıyor mu?
ISO 27001 denetiminde “FortiGate var” cümlesi yeterli değildir. Denetçi genellikle politika, risk, uygulanmış kontrol ve kanıt arasındaki zinciri görmek ister. Bu yüzden FortiGate kural tabanı, ISMS dokümanları ve Statement of Applicability ile uyumlu okunmalıdır.
FortiGate Üzerinde Erişim Kontrol Katmanları Nelerdir?
FortiGate üzerinde access control birden fazla katmandan oluşur:
| Katman | FortiGate karşılığı | ISO 27001 açısından kanıt |
|---|---|---|
| ağ geçiş kontrolü | firewall policy, policy order, source/destination/service | erişim matrisi, policy export, risk gerekçesi |
| yönetim erişimi | administrator accounts, admin profiles, trusted hosts | yönetici rol listesi, yetki matrisi, MFA kaydı |
| CLI ve konfigürasyon yetkisi | access profile permissions, CLI command access | değişiklik yetkisi ayrımı, read/write kapsamı |
| uzak kullanıcı erişimi | SSL VPN, IPsec VPN, kullanıcı grupları | VPN grup eşleşmesi, MFA, oturum logları |
| cihaz yönetim düzlemi | local-in policy, management interface, admin services | yönetim yüzeyi kısıtı, kaynak IP listesi |
| izleme ve denetim | event logs, traffic logs, FortiAnalyzer veya SIEM | log saklama, alarm, review ve rapor çıktısı |
Bu katmanlar ayrı ayrı doğru görünebilir ama birlikte yönetilmezse açık üretir. Örneğin firewall policy dar olabilir; fakat FortiGate yönetim arayüzü geniş IP aralığından erişilebilir durumda kalırsa access control standardı zayıflar. Benzer şekilde VPN kullanıcıları doğru grupta olabilir; ama eski hesaplar kapatılmıyorsa erişim yaşam döngüsü eksik kalır.
Firewall Policy ISO 27001 Kanıtına Nasıl Çevrilir?
Fortinet dokümantasyonunda firewall policy, FortiGate üzerinden geçen trafiği yöneten ana kontrol noktasıdır. Trafiğin geçmesi için policy ile eşleşmesi gerekir; eşleşme interface, kaynak, hedef, servis ve ilgili diğer parametrelerle değerlendirilir.
ISO 27001 için firewall policy şu şekilde kanıta çevrilmelidir:
- iş ihtiyacı yazılır: örneğin finans uygulaması yalnız finans subnetinden ERP sunucusuna erişecek.
- risk ve onay kaydı tutulur: neden gerekli, kim onayladı, ne kadar süre geçerli?
- FortiGate policy oluşturulur: source, destination, service, schedule ve security profile dar tutulur.
- loglama açılır: accept ve gerektiğinde deny kayıtları merkezi platforma gönderilir.
- review tarihi atanır: yüksek riskli policy için 30 veya 90 günlük gözden geçirme yapılır.
Pratik policy matrisi:
| Policy tipi | Güçlü yaklaşım | Denetimde gösterilecek kanıt |
|---|---|---|
| kullanıcıdan sunucuya | kullanıcı grubu + hedef uygulama + gerekli port | policy export, grup üyeliği, uygulama sahibi onayı |
| şubeden merkeze | şube subneti + belirli servisler | VPN/policy eşleşmesi, route, log örneği |
| yönetim erişimi | jump host veya yönetim subneti | trusted host, local-in policy, admin log |
| geçici tedarikçi erişimi | süreli hesap + MFA + dar hedef | başlangıç/bitiş tarihi, ticket, log çıktısı |
| internet çıkışı | kategori, uygulama ve kullanıcı grubu bazlı kontrol | web filter/application log, policy ID |
Bu çalışma Fortinet Firewall Nasıl Çalışır? yazısındaki policy match ve session mantığıyla birlikte okunmalıdır. ISO 27001 kanıtı üretmek için yalnız kural adını değil, trafiğin gerçekten hangi policy ID ile geçtiğini de gösterebilmek gerekir.
Yönetici Yetkileri ve Admin Profile Nasıl Tasarlanmalı?
Fortinet dokümantasyonu, administrator profile modelinin yöneticinin FortiGate üzerinde ne göreceğini ve neyi değiştirebileceğini belirlediğini açıklar. Bu model ISO 27001 için görev ayrılığı ve en az ayrıcalık prensibinin teknik karşılığıdır.
Önerilen rol ayrımı:
FGT-SuperAdmin: yalnız iki veya üç yetkili kişi, break-glass prosedürüyleFGT-Network-Admin: routing, interface ve policy yönetimiFGT-Security-Admin: security profile, VPN, log ve alarm yönetimiFGT-ReadOnly-Auditor: denetim ve inceleme için salt okunur erişimFGT-External-Support: süreli, kaynak IP kısıtlı ve onaylı erişim
Fortinet permissions dokümanında read/write/no access yaklaşımı ve CLI komut erişimlerinin profile göre değişebileceği anlatılır. Bu nedenle ISO 27001 denetimi için admin profile sadece isim olarak değil, gerçek izin kapsamıyla belgelenmelidir.
Yönetici erişiminde minimum kontroller:
- varsayılan
adminhesabını koruma veya kurumsal standarda göre devreden çıkarma planı - tüm yönetici hesaplarında MFA
- trusted host veya yönetim ağı kısıtı
- bireysel hesap zorunluluğu, ortak admin hesabı kullanmama
- super_admin sayısını sınırlama
- konfigürasyon yedeği alma yetkisini ayrı kontrol etme
- yönetici login ve config change loglarını merkezi sisteme aktarma
VPN, Kullanıcı Grupları ve MFA Nasıl Bağlanmalı?
FortiGate access control ISO 27001 uyumu, yalnız iç ağ policy'leriyle sınırlı değildir. SSL VPN, IPsec VPN, SAML, LDAP, RADIUS ve yerel kullanıcı grupları aynı erişim matrisiyle yönetilmelidir.
Uzak erişim için temel model:
- her departman veya görev için ayrı kullanıcı grubu
- her grup için ayrı VPN portalı veya policy kapsamı
- MFA zorunluluğu
- cihaz veya posture kontrolü uygulanabiliyorsa ayrıca değerlendirme
- süreli tedarikçi erişimi
- eski kullanıcıların kapatılması için HR/IT offboarding bağlantısı
Bu konu FortiGate SSL VPN Kurulumu yazısıyla doğrudan ilişkilidir. SSL VPN kurulduktan sonra asıl ISO 27001 sorusu şudur: kullanıcı yalnız ihtiyacı olan kaynağa mı erişiyor, yoksa VPN bağlantısı tüm iç ağı mı açıyor?
Loglama ve Erişim Gözden Geçirme Nasıl Yapılır?
Access control denetiminde loglama, yalnız olay sonrası inceleme için değil kontrolün çalıştığını göstermek için de gerekir. FortiGate tarafında en az şu kayıtlar izlenmelidir:
- başarılı ve başarısız yönetici girişleri
- yönetici konfigürasyon değişiklikleri
- VPN login/logout ve MFA başarısızlıkları
- policy accept/deny kayıtları
- local-in policy eşleşmeleri
- yüksek riskli rule hit count değişimleri
- devre dışı bırakılan veya süresi biten erişimler
Bu akış için SIEM ve Güvenlik Olay Yönetimi Entegrasyonu, FortiGate loglarını merkezi alarm, korelasyon ve saklama disiplinine bağlar. Operasyonel tarafta erişim gözden geçirme en az şu çıktıları üretmelidir:
- aktif yönetici hesapları listesi
- super_admin ve write yetkili hesaplar
- VPN kullanıcı grupları ve üyeleri
- geçici erişimlerin kapanma durumu
- son 90 günde kullanılmayan kurallar
- iş sahibi olmayan firewall policy'leri
- yüksek riskli any/any veya geniş servis kuralları
Denetimde güçlü dosya, yalnız ekran görüntüsü değildir. Policy export, ticket onayı, değişiklik kaydı, log çıktısı ve review sonucu aynı klasörde tutulduğunda access control kanıtı daha savunulabilir hale gelir.
90 Günlük Uygulama Planı
Gün 1-15: Envanter ve kapsam
- FortiGate cihazlarını, VDOM'ları ve yönetim IP'lerini listeleyin
- tüm admin hesaplarını ve access profile eşleşmelerini çıkarın
- firewall policy tablosunu owner, amaç ve review tarihiyle eşleştirin
- VPN kullanıcı gruplarını ve kimlik kaynağını doğrulayın
Gün 16-35: Yetki ve yönetim yüzeyi
- super_admin kullanıcılarını azaltın
- read-only, network admin, security admin ve auditor profillerini ayırın
- trusted host ve yönetim ağı kısıtlarını uygulayın
- kullanılmayan admin hesaplarını kapatın
- MFA eksiklerini proje maddesine bağlayın
Gün 36-60: Policy standardizasyonu
- any/any, wide service ve süresiz tedarikçi erişimlerini işaretleyin
- kritik uygulamalar için source, destination ve service kapsamını daraltın
- geçici policy'lere bitiş tarihi ve review sahibi ekleyin
- policy değişikliklerini ticket ve onay akışına bağlayın
Gün 61-90: Kanıt ve denetim paketi
- FortiGate policy export ve admin profile export alın
- SIEM veya FortiAnalyzer üzerinde örnek log araması yapın
- VPN grup üyeliklerini HR/IT kayıtlarıyla karşılaştırın
- Statement of Applicability için FortiGate kontrol eşlemesini yazın
- uygunsuzlukları düzeltici aksiyon planına bağlayın
İlgili İçerikler
- Fortinet Firewall Nasıl Çalışır?
- FortiGate SSL VPN Kurulumu
- FortiGate SSL Inspection Nedir ve Nasıl Planlanır?
- Siber Güvenlik Danışmanlığı: KOBİ’ler İçin 2026 Kontrol Listesi
Kontrol Listesi
- FortiGate admin hesapları ve access profile eşleşmeleri çıkarıldı
- super_admin kullanıcıları minimum sayıya indirildi
- yönetim erişimi trusted host veya yönetim ağıyla sınırlandı
- firewall policy matrisi owner, amaç, risk ve review tarihiyle tamamlandı
- VPN kullanıcı grupları iş rolüyle eşleştirildi
- MFA eksikleri kapatıldı veya düzeltici aksiyona bağlandı
- FortiGate logları SIEM veya FortiAnalyzer üzerinde doğrulandı
- ISO 27001 SoA için FortiGate kontrol kanıtları dosyalandı
LeonX ile Sonraki Adım
FortiGate access control ISO 27001 uyumu, cihaz üstünde birkaç kural oluşturmaktan daha geniş bir yönetişim işidir. LeonX, İş ve Yönetim Hizmetleri kapsamında Ağ Güvenlik Politika Yönetimi ve Siber Güvenlik Değerlendirme Hizmeti ile policy, yetki ve review modelini netleştirir. Teknik tarafta Donanım ve Yazılım Çözümleri, Router, Switch ve Firewall Kurulum Hizmeti ve SIEM ve Güvenlik Olay Yönetimi Entegrasyonu ile FortiGate kontrollerini uygulanabilir ve denetlenebilir hale getirir. Mevcut FortiGate yapınızı değerlendirmek veya teklif almak için İletişim sayfasından ilerleyebilirsiniz.
İlgili sayfalar:
- İş ve Yönetim Hizmetleri
- Ağ Güvenlik Politika Yönetimi
- Donanım ve Yazılım Çözümleri
- Router, Switch ve Firewall Kurulum Hizmeti
- İletişim
Sık Sorulan Sorular
FortiGate ISO 27001 uyumu tek başına sağlar mı?
Hayır. FortiGate ağ erişim kontrolü için güçlü teknik kanıt üretir; ancak ISO 27001 uyumu politika, risk değerlendirmesi, SoA, erişim review ve düzeltici aksiyonlarla birlikte yönetilmelidir.
Firewall policy export denetim için yeterli mi?
Tek başına yeterli değildir. Policy export; iş sahibi, onay kaydı, risk gerekçesi, log çıktısı ve review sonucu ile birlikte anlamlı kanıta dönüşür.
FortiGate admin profile neden önemlidir?
Admin profile, yöneticinin FortiGate üzerinde neyi görebileceğini ve değiştirebileceğini belirler. En az ayrıcalık ve görev ayrılığı için kritik kontroldür.
VPN kullanıcı grupları ISO 27001 açısından nasıl değerlendirilmeli?
Her VPN grubu iş rolü, erişilen kaynaklar, MFA durumu ve offboarding süreciyle birlikte değerlendirilmelidir. Tüm iç ağa açık tek VPN grubu zayıf tasarımdır.
FortiGate logları nerede saklanmalı?
Küçük yapılarda FortiAnalyzer yeterli olabilir; daha geniş yapılarda SIEM korelasyonu, merkezi saklama ve alarm üretimi tercih edilmelidir. Kritik olan logun aranabilir, bütünlüğü korunmuş ve review sürecine bağlı olmasıdır.
Sonuç
FortiGate access control ISO 27001 uyumu, firewall policy, yönetici yetkisi, VPN grupları, MFA, loglama ve periyodik erişim review süreçlerinin tek modelde yönetilmesiyle güçlenir. Sağlam yaklaşım, FortiGate kural tabanını yalnız teknik konfigürasyon olarak değil; risk, iş ihtiyacı, onay ve denetim kanıtı üreten bir kontrol sistemi olarak ele almaktır.
