ISO 27001 için Dell iDRAC Güvenliği Nasıl Yapılandırılır? Rehber (2026)

ISO 27001 için Dell iDRAC güvenliği nasıl yapılandırılır sorusunun kısa cevabı şudur: amaç yalnız iDRAC parolasını güçlendirmek değil; yönetim düzlemini ayrı bir risk yüzeyi olarak ele almak, erişimi sınırlamak, değişiklikleri izlemek ve denetimde savunulabilir kanıt üretmektir. Pratikte doğru yaklaşım; iDRAC erişimini ayrı ağda tutmak, named account kullanmak, SSH ve web erişimi için güçlü kriptografi profili uygulamak, lifecycle log ve remote syslog akışını merkezileştirmek ve üretim sistemlerinde plansız değişiklikleri azaltacak kontrollere yönelmektir.

Bu rehber özellikle şu ekipler içindir:

• bilgi güvenliği yöneticileri
• Dell PowerEdge ve iDRAC yöneten sistem ekipleri
• ISO 27001 hazırlığı yapan BT liderleri
• denetim için teknik kanıt seti hazırlamak isteyen operasyon ekipleri

Hızlı Özet

• ISO/IEC 27001, teknik ayar listesinden çok risk bazlı bilgi güvenliği yönetim modeli ister.
• Dell tarafında iDRAC, işletim sisteminden ayrı yönetim düzlemi olduğundan ayrı erişim politikası ile korunmalıdır.
• Minimum güvenlik omurgası; yönetim ağı ayrımı, named account, güçlü kimlik doğrulama, sertifika/TLS, SSH sertleştirmesi, lifecycle log görünürlüğü ve erişim gözden geçirmesidir.
• Dell güvenlik rehberleri; built-in security, SSH erişimi, remote syslog with TLS ve lifecycle log history gibi başlıklarda doğrudan uygulanabilir kontrol yüzeyleri sunar.
• Denetimde yalnız ekran görüntüsü değil; kim erişti, hangi değişiklik yapıldı, hangi log nerede tutuluyor ve ne sıklıkla gözden geçiriliyor sorularının cevabı gerekir.

İçindekiler

• ISO 27001 Açısından iDRAC Güvenliği Ne Anlama Gelir?
• İlk Olarak Hangi Kontroller Ayrılmalı?
• Minimum iDRAC Sertleştirme Seti Nasıl Kurulur?
• Audit ve Denetim İçin Hangi Kanıtlar Tutulmalı?
• En Sık Yapılan Hatalar Nelerdir?
• 30 Günlük Uygulama Planı
• İlgili İçerikler
• LeonX ile Sonraki Adım
• Sık Sorulan Sorular
• Kaynaklar

Görsel: Wikimedia Commons - Server Room.

ISO 27001 Açısından iDRAC Güvenliği Ne Anlama Gelir?

iDRAC, yalnız bir uzaktan erişim aracı değildir. İşletim sistemi kapalı olsa bile donanım seviyesinde görünürlük ve yönetim sağlayabildiği için ayrıcalıklı bir kontrol yüzeyidir. ISO 27001 açısından bu durum kritik üç sonuç üretir:

• iDRAC erişimi sıradan sunucu erişimi gibi yönetilemez
• erişim yetkileri kişiye bağlanabilir olmalıdır
• log, alarm ve gözden geçirme zinciri işletim sistemi katmanından bağımsız ele alınmalıdır

Başka bir deyişle, PowerEdge üzerinde iyi sertleştirilmiş bir işletim sistemi tek başına yeterli değildir. Yönetim düzlemi zayıfsa denetimde gerçek risk orada oluşur.

İlk Olarak Hangi Kontroller Ayrılmalı?

iDRAC güvenliğini kurarken en sık yapılan hata, her şeyi tek ayar ekranı gibi düşünmektir. Oysa en az dört ayrı kontrol katmanı vardır:

1. Ağ erişim katmanı

iDRAC mümkünse kullanıcı ağına açık olmamalıdır. Yönetim VLAN'ı, jump host veya VPN temelli erişim modeli daha savunulabilir yapı kurar. IP filtreleme ve erişim kaynağı sınırlandırması burada temel kontrol olur.

2. Kimlik doğrulama ve yetki katmanı

Ortak root veya admin benzeri hesaplar yerine named account yaklaşımı gerekir. Eğer directory entegrasyonu kullanılıyorsa yetki seviyeleri rol bazlı ayrılmalı ve ayrıcalıklı erişim periyodik gözden geçirilmelidir.

3. Protokol ve kriptografi katmanı

SSH, HTTPS, sertifika, TLS ve desteklenen güvenlik profilleri varsayılan kabul edilmemelidir. Gerekmediğinde servisleri kapatmak, gerektiğinde ise yalnız güvenli profil bırakmak doğru yaklaşımdır.

4. Log ve kanıt katmanı

Lifecycle log, syslog aktarımı, başarısız giriş denemeleri, kullanıcı değişiklikleri ve firmware aksiyonları denetime temel oluşturur. Bu kayıtlar varsa ama düzenli gözden geçirilmiyorsa kontrol yarım kalır.

Minimum iDRAC Sertleştirme Seti Nasıl Kurulur?

Savunulabilir bir iDRAC güvenlik omurgası için aşağıdaki minimum set önerilir:

1. iDRAC erişimini ayrı yönetim ağına alın

İlk karar, iDRAC arayüzünün kimler tarafından ve hangi ağdan erişilebilir olacağıdır. Genel ofis ağına açık kalan yönetim kartları gereksiz risk oluşturur. Yönetim trafiğini ayrıştırmak, ISO 27001 açısından erişim kontrolünü ölçülebilir hale getirir.

Bu noktada İş ve Yönetim Hizmetleri altında yürütülen politika ve risk çerçevesi ile Siber Güvenlik Değerlendirme Hizmeti birlikte düşünülmelidir. Donanım standardı tarafında ise Sunucu Kurulum, Konfigürasyon ve Devreye Alma uygulama kalitesini doğrudan etkiler.

2. Named account ve rol ayrımı kurun

ISO 27001 denetimlerinde ortak hesap kullanımı zayıf nokta üretir. iDRAC yönetici erişimleri kişiye bağlanabilir, onaylı ve rol bazlı olmalıdır. Ayrılan personelin hesabının kaldırılması, yetki değişikliklerinin kaydı ve periyodik erişim gözden geçirmesi burada temel disiplindir.

3. SSH ve web erişimini sertleştirin

Dell belgeleri SSH yönetimi, TLS tabanlı log aktarımı ve yerleşik güvenlik seçenekleri için doğrudan rehber sunar. Bu alanda şu kurallar öne çıkar:

• SSH gerçekten gerekmiyorsa kapatın
• gerekiyorsa yalnız yönetim ağı ve onaylı hesaplarla sınırlayın
• zayıf kriptografi ve eski protokol tercihlerine bağımlı kalmayın
• sertifika yönetimini izlenebilir hale getirin

4. Lifecycle log ve remote syslog akışını aktif edin

iDRAC üzerinde güvenlik yalnız erişim engellemek değildir; olayları daha sonra ispatlayabilmek de gerekir. Lifecycle log geçmişi ve TLS ile korunan remote syslog akışı, başarısız girişler, konfigürasyon değişiklikleri ve bakım aksiyonları için kritik kanıt yüzeyi sağlar.

5. Üretim sistemlerinde plansız değişikliği azaltın

Güvenlik ayarlarını bir kez açıp bırakmak yerine değişiklik disiplini kurulmalıdır. Özellikle üretim sistemlerinde kimin hangi anda neyi değiştirdiğini izlemek ve yetkisiz değişikliği önlemek, teknik sertleştirmenin önemli parçasıdır.

Audit ve Denetim İçin Hangi Kanıtlar Tutulmalı?

Denetimde yalnız ayar ekranı göstermek çoğu zaman zayıf kalır. Daha güçlü kanıt seti şunlardan oluşur:

• iDRAC envanteri ve kritik sistem listesi
• erişim matrisi ve named account listesi
• directory entegrasyonu veya yerel kullanıcı rollerinin kaydı
• sertifika, SSH ve ağ erişim politikalarının yazılı özeti
• lifecycle log örnekleri
• remote syslog veya merkezi log platformuna aktarılan olay örnekleri
• erişim gözden geçirme ve istisna kayıtları

Bu yapı sayesinde “ayar var” seviyesinden “kontrol işletiliyor” seviyesine geçilir.

En Sık Yapılan Hatalar Nelerdir?

iDRAC'ı iç ağda diye serbest bırakmak

“Zaten iç ağda” yaklaşımı, yönetim düzlemi için yeterli savunma değildir. Ağ ayrımı ve kaynak kısıtı olmadan iDRAC gereksiz geniş yüzeye açılır.

Ortak yönetici hesabını sürdürmek

Birden fazla kişinin aynı hesabı kullanması hem audit kalitesini bozar hem de olay sonrası iz sürmeyi zayıflatır.

Logları açıp hiç gözden geçirmemek

Lifecycle log ve syslog akışı varsa ama alarmlar, periyodik review ve sorumluluk modeli yoksa denetim değeri düşer.

Donanım güvenliğini işletim sistemi güvenliğiyle karıştırmak

OS hardening yapılmış olması, iDRAC riskinin yönetildiği anlamına gelmez. İki katman farklı risk yüzeyidir.

30 Günlük Uygulama Planı

Gün 1-7

• PowerEdge ve iDRAC envanterini çıkarın
• hangi sistemlerde iDRAC erişiminin açık olduğunu doğrulayın
• named account dışı hesapları tespit edin

Gün 8-15

• yönetim ağı ayrımını ve kaynak IP sınırlarını uygulayın
• gereksiz SSH erişimlerini kapatın
• rol bazlı yetki modelini netleştirin

Gün 16-23

• lifecycle log ve remote syslog akışını merkezi yapıya bağlayın
• sertifika ve kriptografi profilini gözden geçirin
• erişim değişiklikleri için kayıt standardı oluşturun

Gün 24-30

• erişim gözden geçirmesini tamamlayın
• denetim kanıt setini dokümante edin
• kritik sistemler için sapma ve istisna yönetimini yazılı hale getirin

İlgili İçerikler

• Dell PowerEdge Server ISO 27001 Uyumlu Nasıl Yapılandırılır? Rehber
• Dell Server SSH Güvenliği ISO 27001 Uyumu Rehberi
• Dell PowerEdge Audit Log ISO 27001 Uyumu
• KVKK için Dell Server Loglama Gereksinimleri

LeonX ile Sonraki Adım

ISO 27001 için Dell iDRAC güvenliği, tek cihaz ayarı değil; yönetim düzlemi güvenliği, erişim yönetişimi ve audit kanıtı tasarımıdır. LeonX, İş ve Yönetim Hizmetleri altında özellikle Siber Güvenlik Değerlendirme Hizmeti ile risk ve kontrol çerçevesini, Sunucu Kurulum, Konfigürasyon ve Devreye Alma ile de teknik uygulama standardını aynı projede birleştirir. Mevcut PowerEdge ortamınızı değerlendirmek veya teklif almak için İletişim sayfası üzerinden ilerleyebilirsiniz.

Sık Sorulan Sorular

iDRAC güvenliği neden işletim sistemi güvenliğinden ayrı ele alınmalı?

Çünkü iDRAC, işletim sistemi kapalıyken bile donanım seviyesinde yönetim sağlar ve ayrıcalıklı bir erişim yüzeyidir.

ISO 27001 iDRAC için hangi tek ayarı zorunlu kılar?

Tek bir vendor ayarı zorunlu kılmaz. Ama erişim kontrolü, loglama, kanıt üretimi ve risk azaltımı açısından savunulabilir bir kontrol seti bekler.

SSH tamamen kapatılmalı mı?

Gerekmiyorsa evet. Gerekiyorsa yalnız yönetim ağı, onaylı kullanıcılar ve güçlü güvenlik profili ile sınırlandırılmalıdır.

Remote syslog neden bu kadar önemlidir?

Çünkü yerel log tek başına yeterli değildir. Merkezi toplama ve daha dayanıklı saklama olmadan audit izi zayıflar.

Kaynaklar

• ISO/IEC 27001:2022 - Information security management systems
• Dell - Built in iDRAC and PowerEdge Security
• Dell - Secure Shell (SSH)
• Dell - Remote Syslog with TLS
• Dell - Viewing Lifecycle Log History
• Dell - Protect PowerEdge Server Infrastructure from Cyberattacks
• Wikimedia Commons - Server Room