ISO 27001 Annex A server güvenliği, Dell PowerEdge üzerinde yalnız birkaç BIOS veya iDRAC ayarı açmak değildir. Asıl amaç; sunucu varlığını envantere bağlamak, ayrıcalıklı erişimi kişiye izlenebilir hale getirmek, güvenli önyükleme zincirini doğrulamak, değişiklikleri kontrol altında tutmak ve denetimde gösterilebilir kanıt üretmektir. Kısa cevap şudur: Dell PowerEdge için savunulabilir Annex A yaklaşımı; iDRAC yönetim düzlemi, Secure Boot, System Lockdown, firmware güncelleme disiplini, merkezi loglama ve fiziksel erişim kontrollerini tek bir risk tedavi planında birleştirir.
Bu rehber özellikle şu ekipler içindir:
- ISO 27001 denetimine hazırlanan bilgi güvenliği ekipleri
- Dell PowerEdge ve iDRAC yöneten sistem yöneticileri
- Annex A kontrollerini teknik sunucu ayarlarına çevirmek isteyen BT liderleri
- denetim kanıtı, erişim matrisi ve değişiklik kayıtlarını düzenlemek isteyen operasyon ekipleri
Hızlı Özet
- ISO, ISO/IEC 27001:2022 standardını bilgi güvenliği yönetim sistemi gereksinimleri olarak tanımlar ve risk yönetimini merkeze koyar.
- Annex A, PowerEdge için tek başına “checklist” değil; risk değerlendirmesi ve Statement of Applicability ile ilişkilendirilecek kontrol havuzudur.
- PowerEdge tarafında en kritik yüzeyler iDRAC, BIOS/UEFI, işletim sistemi, firmware, fiziksel erişim ve merkezi loglamadır.
- Dell iDRAC10 güvenlik rehberi, Secure Boot etkin olduğunda UEFI bileşenlerinin sertifika zinciriyle doğrulandığını açıklar.
- Dell iDRAC9 System Lockdown içeriği, üretimde plan dışı firmware ve kritik konfigürasyon değişikliklerini azaltmaya odaklanır.
- Denetim için ekran görüntüsünden çok; envanter, erişim matrisi, log örnekleri, change kaydı ve periyodik gözden geçirme kanıtı gerekir.
İçindekiler
- Annex A Server Güvenliği Ne Anlama Gelir?
- PowerEdge İçin Kontrol Eşlemesi Nasıl Yapılır?
- iDRAC ve Ayrıcalıklı Erişim Nasıl Yönetilmeli?
- Secure Boot, Firmware ve System Lockdown Nasıl Konumlanır?
- Loglama ve Kanıt Seti Nasıl Hazırlanır?
- 30 Günlük Uygulama Planı
- İlgili İçerikler
- LeonX ile Sonraki Adım
- Sık Sorulan Sorular
- Kaynaklar
Görsel: Wikimedia Commons - Servers in a Rack, Abigor. WebP olarak optimize edilmiştir.
Annex A Server Güvenliği Ne Anlama Gelir?
ISO/IEC 27001, bilgi güvenliği yönetim sistemi için gereksinimleri tanımlar. ISO'nun açıklamasına göre standart, kuruluşların bilgi güvenliği risklerini yönetecek bir sistemi kurmasını, işletmesini, sürdürmesini ve sürekli iyileştirmesini hedefler. Bu nedenle Annex A server güvenliği, ürün ayarlarından önce risk tedavi mantığıyla başlar.
Dell PowerEdge ortamında bu mantık şu sorulara çevrilir:
- bu sunucu hangi kritik iş sürecini destekliyor?
- iDRAC yönetim erişimi kimlerde ve hangi ağdan mümkün?
- Secure Boot, TPM, firmware ve BIOS profili standart mı?
- plan dışı değişiklikleri engelleyen veya izleyen kontrol var mı?
- başarısız giriş, firmware değişikliği ve yetki güncellemesi loglanıyor mu?
- denetçi istediğinde hangi kanıtlar 1 iş günü içinde gösterilebilir?
Bu sorulara net cevap yoksa Annex A kapsamındaki teknik kontroller kağıt üzerinde kalır.
PowerEdge İçin Kontrol Eşlemesi Nasıl Yapılır?
PowerEdge sunucu güvenliğini Annex A ile eşleştirirken kontrol adlarını ezberlemekten çok kontrol amacını teknik yüzeye bağlamak gerekir.
| Annex A odağı | PowerEdge karşılığı | Kanıt örneği |
|---|---|---|
| Varlık envanteri | PowerEdge seri numarası, rolü, lokasyonu, kritikliği | CMDB kaydı ve etiketleme standardı |
| Erişim kontrolü | iDRAC, OS admin, jump host, VPN, MFA | Erişim matrisi ve onay kayıtları |
| Ayrıcalıklı erişim | iDRAC admin, root, local admin, hypervisor admin | Named account listesi ve review çıktısı |
| Konfigürasyon yönetimi | BIOS/UEFI, Secure Boot, TPM, firmware baseline | Standart profil ve sapma listesi |
| Loglama ve izleme | iDRAC lifecycle log, syslog, SIEM alarmı | Log örnekleri ve alarm kuralı |
| Fiziksel güvenlik | rack erişimi, data center giriş yetkisi | giriş kaydı ve ziyaretçi prosedürü |
| Değişiklik yönetimi | firmware update, BIOS değişikliği, parça değişimi | change kaydı ve rollback planı |
Bu tablo denetimde “Annex A var mı?” sorusunu “hangi risk için hangi teknik kontrol uygulanıyor?” seviyesine taşır.
iDRAC ve Ayrıcalıklı Erişim Nasıl Yönetilmeli?
iDRAC, işletim sistemi kapalıyken bile sunucuyu yönetebildiği için ayrıcalıklı bir güvenlik yüzeyidir. Bu nedenle iDRAC erişimi normal kullanıcı ağına açık bırakılmamalı, ayrı yönetim VLAN'ı veya jump host üzerinden sınırlandırılmalıdır.
Minimum model şunları içermelidir:
- ortak
adminhesabının kapatılması veya yalnız acil durum hesabı olarak kasaya alınması - named account ve rol bazlı yetki ayrımı
- MFA veya merkezi kimlik doğrulama entegrasyonu
- kaynak IP, VPN veya jump host sınırı
- başarısız giriş ve yetki değişikliği loglarının SIEM'e aktarılması
- 90 günde bir erişim gözden geçirmesi
Bu alan, LeonX tarafında İş ve Yönetim Hizmetleri kapsamındaki Siber Güvenlik Değerlendirme Hizmeti ile risk ve kontrol çerçevesine bağlanır. Teknik uygulama tarafında ise Donanım ve Yazılım Çözümleri altında Sunucu Kurulum, Konfigürasyon ve Devreye Alma doğrudan ilgili hizmettir.
Secure Boot, Firmware ve System Lockdown Nasıl Konumlanır?
Dell iDRAC10 güvenlik rehberi, UEFI Secure Boot etkin olduğunda boot zincirindeki bileşenlerin belirli sertifikalara göre doğrulandığını ve imzasız UEFI sürücülerin yüklenmesini engellediğini açıklar. PowerEdge için bu, Annex A tarafında konfigürasyon yönetimi ve değişiklik kontrolüyle doğrudan ilişkilidir.
Savunulabilir yapı için şu yaklaşım kullanılmalıdır:
- Secure Boot durumu tüm kritik sunucularda standartlaştırılmalı
- desteklenmeyen sürücü veya firmware ihtiyacı varsa istisna kaydı açılmalı
- firmware baseline ve güncelleme takvimi tanımlanmalı
- BIOS/UEFI ayarları değişiklik yönetimi dışına çıkarılmamalı
- üretim sistemlerinde Dell System Lockdown uygun senaryolarda değerlendirilmelidir
Dell Technologies Info Hub, System Lockdown yaklaşımını Protect, Detect and Recover mimarisinin parçası olarak konumlandırır ve üretim ortamlarında firmware ile kritik sunucu ayarlarında plan dışı değişiklikleri azaltmaya odaklandığını belirtir. Bu kontrol, özellikle denetimde “konfigürasyon sapması nasıl engelleniyor?” sorusuna güçlü cevap üretir.
Loglama ve Kanıt Seti Nasıl Hazırlanır?
Annex A denetiminde en zayıf noktalardan biri, ayarın var olup işletildiğinin kanıtlanamamasıdır. Bu nedenle PowerEdge güvenliği için loglama yalnız teknik izleme değil, audit kanıtı üretme aracıdır.
Hazır tutulması gereken minimum kanıt seti:
- PowerEdge envanteri ve kritik sistem sınıflandırması
- iDRAC erişim matrisi ve ayrıcalıklı kullanıcı listesi
- Secure Boot, TPM, BIOS profili ve firmware baseline çıktıları
- System Lockdown uygulanıyorsa kapsam ve istisna kayıtları
- lifecycle log, remote syslog veya SIEM olay örnekleri
- firmware update change kayıtları ve rollback planları
- fiziksel erişim veya data center giriş kayıtları
- erişim gözden geçirme tutanakları
Bu set, “kontrol var” seviyesinden “kontrol işletiliyor ve izleniyor” seviyesine geçiş sağlar.
30 Günlük Uygulama Planı
Gün 1-7
- PowerEdge envanterini çıkarın.
- Kritik sunucuları iş süreci ve veri sınıfına göre etiketleyin.
- iDRAC erişim yüzeyini, kullanıcıları ve ağ kaynaklarını listeleyin.
Gün 8-15
- yönetim ağı ayrımı ve jump host modelini netleştirin.
- ortak hesapları tespit edip named account modeline geçin.
- Secure Boot, TPM, BIOS ve firmware durumunu raporlayın.
Gün 16-23
- merkezi log akışını ve SIEM alarmını doğrulayın.
- firmware ve BIOS değişikliklerini change sürecine bağlayın.
- System Lockdown için üretim kapsamı ve istisna sürecini belirleyin.
Gün 24-30
- erişim gözden geçirmesini tamamlayın.
- Annex A eşleştirme tablosunu ve kanıt klasörünü güncelleyin.
- sapma, risk kabulü ve iyileştirme aksiyonlarını yönetime raporlayın.
İlgili İçerikler
- Dell PowerEdge Server ISO 27001 Uyumlu Nasıl Yapılandırılır? Rehber
- ISO 27001 için Dell iDRAC Güvenliği Nasıl Yapılandırılır?
- Dell Server SSH Güvenliği ISO 27001 Uyumu Rehberi
- Dell PowerEdge Audit Log ISO 27001 Uyumu
LeonX ile Sonraki Adım
ISO 27001 Annex A kontrollerini Dell PowerEdge sunucu güvenliğine uygulamak, teknik sertleştirme ile denetim kanıtını aynı plana bağlamayı gerektirir. LeonX, İş ve Yönetim Hizmetleri ve Siber Güvenlik Değerlendirme Hizmeti ile kontrol eşlemesini oluşturur; Donanım ve Yazılım Çözümleri ve Sunucu Kurulum, Konfigürasyon ve Devreye Alma ile PowerEdge tarafındaki uygulama standardını netleştirir. Ortamınızı değerlendirmek veya teklif almak için İletişim sayfasından ilerleyebilirsiniz.
İlgili sayfalar:
- İş ve Yönetim Hizmetleri
- Siber Güvenlik Değerlendirme Hizmeti
- Donanım ve Yazılım Çözümleri
- Sunucu Kurulum, Konfigürasyon ve Devreye Alma
- İletişim
Sık Sorulan Sorular
Annex A kontrollerinin tamamı PowerEdge üzerinde mi uygulanır?
Hayır. Annex A kontrolleri risk tedavi sürecinde değerlendirilir. PowerEdge üzerinde teknik karşılığı olan kontroller uygulanır; kapsam dışı veya alternatif kontrolle karşılanan başlıklar Statement of Applicability içinde gerekçelendirilmelidir.
Secure Boot tek başına ISO 27001 uyumu sağlar mı?
Hayır. Secure Boot önemli bir teknik kontroldür; ancak ISO 27001 uyumu için erişim yönetimi, loglama, değişiklik yönetimi, fiziksel güvenlik ve risk değerlendirmesiyle birlikte ele alınmalıdır.
iDRAC logları denetim için yeterli mi?
Tek başına yeterli değildir. iDRAC lifecycle log değerli bir kaynaktır; fakat merkezi loglama, alarm, periyodik inceleme ve erişim gözden geçirme kayıtlarıyla desteklenmelidir.
PowerEdge ortamında ilk nereden başlanmalı?
İlk adım envanterdir. Hangi PowerEdge sunucuların kritik olduğu, iDRAC erişiminin kimlerde bulunduğu ve mevcut Secure Boot/firmware durumunun ne olduğu bilinmeden sağlıklı Annex A eşlemesi yapılamaz.
