ISO 27001 için Dell server network security yapmak, sunucunun Ethernet kablosunu doğru switch portuna takmaktan çok daha geniş bir kontroldür. Sağlam model; iDRAC yönetim düzlemini üretim trafiğinden ayırmayı, VLAN ve yönetim ağı standardını kurmayı, kullanılmayan ağ arayüzlerini kapatmayı, IP filtering ve IP blocking gibi kontrolleri değerlendirmeyi, güvenli protokolleri zorunlu kılmayı ve tüm erişim izini denetimde gösterilebilir loglarla desteklemeyi gerektirir.
Bu rehber, Dell PowerEdge sunucularını ISO 27001 denetimine hazırlayan sistem, ağ ve bilgi güvenliği ekipleri için hazırlanmıştır. Amaç, vendor ayar listesini kopyalamak değil; Dell server network security kontrollerini risk, operasyon ve kanıt diliyle uygulanabilir hale getirmektir.
Hızlı Özet
- ISO/IEC 27001, bilgi güvenliğini bilgi sistemleri, süreçler ve yönetim kontrolleriyle birlikte ele alan bir ISMS yaklaşımı ister.
- Dell iDRAC10 Security Configuration Guide, network security için kullanılmayan ağ arayüzlerinin devre dışı bırakılmasını ve iDRAC NIC seçiminde
Dedicatedyaklaşımını önerir. - Aynı Dell dokümanı, iDRAC VLAN kullanımını, USB yönetim portunun kapatılmasını, pass-through durumunun devre dışı bırakılmasını, IP blocking ve IP filtering kontrollerini network security yapılandırmasının parçası olarak listeler.
- iDRAC yönetim ağı, üretim LAN, yedekleme ağı, storage ağı ve hypervisor management ağı ayrı güvenlik bölgeleri olarak tasarlanmalıdır.
- ISO 27001 denetiminde güçlü kanıt; network segmentasyon matrisi, iDRAC ayar export'u, firewall policy, log çıktısı, zafiyet tarama sonucu ve periyodik review kaydını birlikte içerir.
- LeonX tarafında bu çalışma Donanım ve Yazılım Çözümleri, Ağ Güvenliği, Firewall ve IPS/IDS Çözümleri ve Siber Güvenlik Değerlendirme Hizmeti ile doğrudan ilişkilidir.
İçindekiler
- Dell Server Network Security ISO 27001 Açısından Neyi Kapsar?
- iDRAC Yönetim Ağı Nasıl Ayrılmalı?
- VLAN, Segmentasyon ve Firewall Policy Nasıl Tasarlanmalı?
- iDRAC Network Security Ayarları Nasıl Sertleştirilmeli?
- Loglama, Zafiyet Taraması ve SIEM Kanıtı Nasıl Kurulur?
- 90 Günlük Uygulama Planı
- İlgili İçerikler
- LeonX ile Sonraki Adım
- Sık Sorulan Sorular
- Kaynaklar
Görsel: Wikimedia Commons - Cable Management Dell 1950. WebP olarak optimize edilmiştir.
Dell Server Network Security ISO 27001 Açısından Neyi Kapsar?
Dell server network security, ISO 27001 açısından yalnız “sunucu internete açık mı?” sorusundan ibaret değildir. PowerEdge sunucuda en az beş ayrı ağ yüzeyi düşünülmelidir:
- iDRAC ve out-of-band yönetim ağı
- işletim sistemi veya hypervisor management ağı
- üretim uygulama trafiği
- yedekleme ve replikasyon trafiği
- storage, vMotion, cluster veya interconnect trafiği
Bu yüzeyler aynı VLAN'da, aynı firewall policy altında veya aynı yönetici grubuyla kontrol ediliyorsa saldırı yüzeyi büyür. ISO 27001 açısından beklenen yaklaşım, her ağ yüzeyinin iş ihtiyacı ve risk seviyesine göre ayrılmasıdır. Böylece yönetim düzlemi ele geçirildiğinde üretim trafiğine, uygulama trafiği ele geçirildiğinde ise donanım yönetimine doğrudan geçiş engellenir.
Denetimde cevaplanması gereken sorular:
- iDRAC hangi VLAN veya management network içinde?
- iDRAC erişimi hangi kaynak IP'lerden mümkün?
- üretim ağı ile yönetim ağı arasında firewall policy var mı?
- IPMI, SNMP, SSH, HTTPS ve Redfish gibi protokoller gerçekten gerekli mi?
- kullanılmayan port, servis veya pass-through özellikleri kapatıldı mı?
- network erişim logları SIEM veya merkezi log platformunda görülebiliyor mu?
iDRAC Yönetim Ağı Nasıl Ayrılmalı?
Dell iDRAC, işletim sisteminden bağımsız bir yönetim düzlemidir. Bu yüzden iDRAC erişimini normal kullanıcı LAN'ı veya üretim uygulama ağıyla aynı güvenlik bölgesine koymak zayıf tasarımdır.
Güçlü başlangıç modeli:
| Bileşen | Önerilen yaklaşım | Neden önemli? |
|---|---|---|
| iDRAC NIC | dedicated management port veya ayrı yönetim VLAN'ı | OS trafiğinden bağımsız kontrol sağlar |
| yönetim VLAN'ı | yalnız admin jump host ve izleme sistemleri erişir | lateral hareket riskini düşürür |
| firewall policy | kaynak IP, hedef IP ve port bazlı dar kural | geniş erişimi engeller |
| DNS/NTP | güvenilir iç servisler | zaman ve isim çözümleme tutarlılığı sağlar |
| VPN erişimi | doğrudan iDRAC'a değil, bastion/jump host'a | ayrıcalıklı erişim izini güçlendirir |
Dell'in iDRAC10 Security Configuration Guide içindeki network security bölümünde, güvenlik iyi uygulaması olarak kullanılmayan network arayüzlerinin devre dışı bırakılması önerilir. Aynı bölümde iDRAC NIC seçimi için dedicated yaklaşımı, VLAN kullanımını ve IP filtering/blocking kontrollerini network security yapılandırmasının parçası olarak ele alır.
Bu konu ISO 27001 için Dell Server Yetkilendirme Nasıl Yapılır? yazısıyla birlikte düşünülmelidir. Network segmentasyonu doğru olsa bile, iDRAC üzerinde ortak admin hesabı veya sınırsız rol kullanımı varsa kontrol eksik kalır.
VLAN, Segmentasyon ve Firewall Policy Nasıl Tasarlanmalı?
Dell server network security için VLAN tasarımı, sunucunun tüm portlarını aynı ağa bağlama kolaylığına bırakılmamalıdır. Özellikle sanallaştırma ve veri merkezi ortamlarında ağ yüzeyleri ayrılmalıdır.
Örnek segmentasyon modeli:
| Ağ bölgesi | İçerik | Güvenlik hedefi |
|---|---|---|
MGMT-OOB | iDRAC, out-of-band management | donanım yönetimini izole etmek |
MGMT-HOST | ESXi, Hyper-V, Linux veya Windows management | OS/hypervisor yönetimini sınırlamak |
PROD-APP | uygulama trafiği | kullanıcı ve uygulama erişimini yönetmek |
BACKUP | backup agent ve repository trafiği | yedekleme yüzeyini üretimden ayırmak |
STORAGE | iSCSI, NFS, FC gateway veya storage network | veri trafiğini yetkisiz erişimden ayırmak |
MONITORING | log, SNMP, Redfish, health check | izleme erişimini kontrollü tutmak |
Firewall policy yazarken şu prensipler kullanılmalıdır:
- iDRAC'a erişim yalnız jump host, izleme platformu ve yetkili admin subnetlerinden gelmeli
- üretim uygulama ağı iDRAC'a doğrudan erişmemeli
- backup ağı yalnız gerekli portlarla backup repository ve sunucular arasında çalışmalı
- storage ağı kullanıcı subnetlerine açılmamalı
- SNMP, Redfish, SSH ve HTTPS erişimleri ayrı servis olarak izlenmeli
- geçici bakım erişimlerine bitiş tarihi ve ticket referansı eklenmeli
Bu noktada Ağ Güvenliği, Firewall ve IPS/IDS Çözümleri, Dell server network güvenliğinin firewall, IDS/IPS ve segmentasyon tarafını uygulamaya taşır. Yönetişim tarafında Ağ Güvenlik Politika Yönetimi, kuralların iş sahibi, risk ve review tarihiyle yönetilmesini sağlar.
iDRAC Network Security Ayarları Nasıl Sertleştirilmeli?
iDRAC network security sertleştirmesi, yalnız VLAN ID girmek değildir. Dell dokümanlarındaki network security başlıkları, yönetim yüzeyinin daraltılmasını ve gereksiz erişim yollarının kapatılmasını öne çıkarır.
Minimum kontrol listesi:
1. Kullanılmayan network arayüzlerini kapatın
iDRAC üzerinde kullanılmayan arayüzler, USB management port veya pass-through özellikleri açık kalmamalıdır. Gerekmeyen her yol, denetimde açıklanması gereken ek saldırı yüzeyi üretir.
2. Dedicated NIC ve VLAN standardı oluşturun
Mümkünse iDRAC dedicated port üzerinden, ayrı yönetim VLAN'ında çalışmalıdır. Paylaşımlı LOM kullanılıyorsa bu kararın teknik gerekçesi, risk kabulü ve firewall kısıtları ayrıca belgelenmelidir.
3. IP blocking ve IP filtering değerlendirin
Dell iDRAC network security yapılandırmasında IP blocking ve IP filtering kontrolleri yer alır. Bunlar, özellikle yönetim arayüzüne başarısız giriş denemeleri ve yetkisiz kaynak erişimleri için ek savunma katmanı sağlar.
4. Güvenli protokolleri zorunlu kılın
HTTPS, TLS, SSH, Redfish, SNMP ve IPMI gibi protokollerin kullanım amacı net olmalıdır. Gerekmeyen protokol kapatılmalı; kullanılan protokoller için güçlü kimlik doğrulama, güvenli transport ve loglama uygulanmalıdır. Dell'in TLS 1.3 ile ilgili iDRAC9 içeriği, iDRAC yönetim bağlantısının şifreli kanal üzerinden korunmasının neden önemli olduğunu açıklar.
5. Auto discovery ve yönetim kolaylıklarını sınırlayın
Auto discovery gibi kolaylaştırıcı özellikler operasyonu hızlandırabilir; ancak ISO 27001 açısından gereksiz keşif ve otomatik kayıt davranışları risk oluşturabilir. Kullanılıyorsa yalnız kontrollü DNS veya yönetim ağı senaryosunda tutulmalıdır.
Loglama, Zafiyet Taraması ve SIEM Kanıtı Nasıl Kurulur?
Network security kontrolü denetimde yalnız diyagramla kanıtlanmaz. Log, tarama ve review çıktısı gerekir.
Toplanması gereken kanıtlar:
- iDRAC network ayar export'u
- VLAN ve switch port eşleşmesi
- firewall policy export'u
- iDRAC login ve başarısız login logları
- IP blocking veya IP filtering olayları
- SNMP/Redfish/SSH/HTTPS erişim logları
- zafiyet taraması sonucu
- remediation ve istisna kayıtları
- son 90 güne ait erişim review çıktısı
Dell iDRAC10 dokümantasyonunda network vulnerability scanning başlığı, iDRAC'ın güvenlik yaşam döngüsü içinde zafiyet taramasının yer aldığını gösterir. Kurum tarafında bu, tarama çıktısının SIEM veya ticket sürecine bağlanması ve zafiyetlerin risk seviyesine göre kapatılması anlamına gelir.
SIEM ve Güvenlik Olay Yönetimi Entegrasyonu, iDRAC ve sunucu yönetim ağından gelen olayları merkezi görünürlük ve alarm modeline taşır. Bu akış Dell PowerEdge Audit Log ISO 27001 Uyumu yazısındaki audit log yaklaşımıyla birlikte ele alınmalıdır.
90 Günlük Uygulama Planı
Gün 1-15: Envanter ve rol ayrımı
- tüm Dell PowerEdge sunucuları ve iDRAC IP'lerini listeleyin
- iDRAC dedicated/shared NIC durumunu belirleyin
- VLAN, switch port, firewall zone ve owner bilgilerini çıkarın
- üretim, yönetim, backup, storage ve izleme ağlarını sınıflandırın
Gün 16-35: Segmentasyon ve erişim kısıtı
- iDRAC erişimini yönetim VLAN'ına taşıyın
- jump host veya bastion dışındaki kaynak erişimlerini kapatın
- firewall policy'leri kaynak, hedef ve servis seviyesinde daraltın
- geçici bakım erişimleri için süre ve onay kaydı ekleyin
Gün 36-60: iDRAC sertleştirme
- kullanılmayan arayüz ve protokolleri kapatın
- IP blocking ve IP filtering kontrollerini test edin
- TLS/HTTPS sertifika standardını gözden geçirin
- SNMP ve Redfish erişimini yalnız izleme sistemleriyle sınırlandırın
Gün 61-90: Kanıt ve denetim paketi
- network security ayar export'u alın
- SIEM üzerinde iDRAC ve firewall loglarının geldiğini doğrulayın
- zafiyet taraması ve remediation kayıtlarını dosyalayın
- segmentasyon matrisi ve erişim review raporunu ISO 27001 kanıt setine ekleyin
İlgili İçerikler
- ISO 27001 için Dell Server Yetkilendirme Nasıl Yapılır?
- Dell Server SSH Güvenliği ISO 27001 Uyumu Rehberi
- Dell PowerEdge Audit Log ISO 27001 Uyumu
- Dell PowerEdge Server ISO 27001 Uyumlu Nasıl Yapılandırılır?
Kontrol Listesi
- iDRAC yönetim ağı üretim ağından ayrıldı
- iDRAC dedicated NIC veya ayrı VLAN standardı belgelendi
- kullanılmayan network arayüzleri ve pass-through yolları kapatıldı
- IP filtering ve IP blocking kontrolleri değerlendirildi
- SNMP, Redfish, SSH ve HTTPS erişimleri kaynak bazlı sınırlandı
- firewall policy matrisi owner, amaç ve review tarihiyle tamamlandı
- iDRAC ve firewall logları SIEM veya merkezi log platformunda doğrulandı
- zafiyet taraması ve remediation kayıtları denetim dosyasına eklendi
LeonX ile Sonraki Adım
ISO 27001 için Dell server network security, iDRAC ayarları, VLAN tasarımı, firewall policy, izleme ve denetim kanıtlarının birlikte yönetilmesini gerektirir. LeonX, Donanım ve Yazılım Çözümleri kapsamında Ağ Güvenliği, Firewall ve IPS/IDS Çözümleri, Router, Switch ve Firewall Kurulum Hizmeti ve SIEM ve Güvenlik Olay Yönetimi Entegrasyonu ile teknik uygulamayı güçlendirir. Yönetişim tarafında İş ve Yönetim Hizmetleri, Ağ Güvenlik Politika Yönetimi ve Siber Güvenlik Değerlendirme Hizmeti ile ISO 27001 kanıt zincirini netleştirir. Mevcut Dell server ağ mimarinizi değerlendirmek veya teklif almak için İletişim sayfasından ilerleyebilirsiniz.
İlgili sayfalar:
- Donanım ve Yazılım Çözümleri
- Ağ Güvenliği, Firewall ve IPS/IDS Çözümleri
- İş ve Yönetim Hizmetleri
- Ağ Güvenlik Politika Yönetimi
- İletişim
Sık Sorulan Sorular
Dell server network security ISO 27001 için nereden başlar?
İlk adım iDRAC yönetim ağını, işletim sistemi yönetim ağını, üretim trafiğini, yedekleme ve storage ağlarını ayrı güvenlik bölgeleri olarak envantere almaktır.
iDRAC üretim ağıyla aynı VLAN'da kalabilir mi?
Teknik olarak çalışabilir; ancak ISO 27001 açısından risklidir. Yönetim düzleminin ayrı VLAN, firewall policy ve kaynak IP kısıtıyla korunması daha güçlü yaklaşımdır.
IP filtering ve IP blocking zorunlu mu?
Her ortamda aynı şekilde zorunlu değildir; ancak iDRAC yönetim arayüzünü daraltmak ve yetkisiz kaynakları sınırlamak için güçlü ek kontrollerdir.
SNMP ve Redfish kapatılmalı mı?
Kullanılmıyorsa kapatılmalıdır. Kullanılıyorsa yalnız izleme sistemlerinden erişilebilir olmalı, kimlik doğrulama ve loglama standardı uygulanmalıdır.
Denetimde en güçlü kanıt nedir?
Segmentasyon matrisi, iDRAC network ayar export'u, firewall policy export'u, SIEM log örnekleri, zafiyet tarama çıktısı ve erişim review raporu birlikte en güçlü kanıt setini oluşturur.
Sonuç
ISO 27001 için Dell server network security, iDRAC yönetim düzlemini izole etmek, sunucu ağlarını işlevlerine göre segmentlere ayırmak, gereksiz protokolleri kapatmak, erişimi kaynak bazlı sınırlamak ve tüm bu kontrolleri log ve review kanıtıyla desteklemek anlamına gelir. Bu yaklaşım, PowerEdge ortamını yalnız teknik olarak daha güvenli hale getirmez; denetimde savunulabilir bir kontrol modeli de üretir.
Kaynaklar
- ISO - ISO/IEC 27001 Information Security Management Systems
- Dell - iDRAC10 Network Security Configuration
- Dell - iDRAC10 Network Vulnerability Scanning
- Dell Technologies Info Hub - Improved iDRAC9 Security using TLS 1.3
- Dell - PowerEdge Cyber-Resilient, Secure Servers
- Wikimedia Commons - Cable Management Dell 1950
