Blog'a Dön
Business Management

ISO 27001 için VMware Access Control Nasıl Yapılır? Rehber (2026)

ISO 27001 için VMware Access Control Nasıl Yapılır? Rehber (2026)
ISO 27001 için VMware access control modelini; kimlik kaynağı, rol matrisi, permission inheritance, ayrıcalıklı erişim, log kanıtı ve periyodik review yaklaşımıyla açıklayan pratik rehber.
Yayın Tarihi
09 Mayıs 2026
Güncellenme
09 Mayıs 2026
Okuma Süresi
14 dk okuma
Yazar
LeonX Expert Team

ISO 27001 için VMware access control kurmak, vCenter üzerinde birkaç yönetici grubu tanımlayıp erişim listesini kapatmak değildir. Sağlam model; kimlik kaynağını doğrulamak, rollerin hangi iş ihtiyacına hizmet ettiğini belgelemek, permission inheritance davranışını test etmek, ayrıcalıklı erişimi onay akışına bağlamak ve denetimde gösterilebilir log kanıtı üretmekle oluşur. Kısa cevap şudur: VMware access control, teknik yetkilendirme ayarlarından çok daha geniş bir erişim yönetişimi disiplinidir.

Bu rehber özellikle şu ekipler için hazırlandı:

  • ISO 27001 denetimine hazırlanan BT ve bilgi güvenliği ekipleri
  • VMware vSphere, vCenter ve ESXi ortamlarını yöneten sistem ekipleri
  • Active Directory, grup üyelikleri ve ayrıcalıklı erişim süreçlerinden sorumlu yöneticiler
  • sanallaştırma ortamında erişim risklerini azaltmak isteyen karar vericiler

Hızlı Özet

  • ISO/IEC 27001, bilgi güvenliğini risk temelli ISMS yaklaşımıyla ele alır; bu nedenle VMware access control yalnız teknik rol ataması değil, risk azaltan bir kontrol modeli olarak tasarlanmalıdır.
  • Broadcom KB 316596, vCenter SSO identity source tarafında LDAPS kullanımının LDAP trafiğini şifrelemek için uygun yöntem olduğunu belirtir.
  • Broadcom KB 380445, permission propagation davranışının her permission ataması için ayrı yönetildiğini ve child object üzerindeki izinlerin parent'tan gelen izinleri override edebildiğini açıklar.
  • Broadcom KB 405145, çakışan AD grup üyeliklerinin vCenter effective permission sonucunu beklenenden daha kısıtlı hale getirebildiğini gösterir.
  • Broadcom KB 423205, vCenter login kayıtlarının LoginSuccess, LoginFailure ve Logout olaylarıyla takip edilebildiğini gösterir.
  • Broadcom KB 432327, Permission* ve Role* event'lerinin SIEM'e taşınması gereken temel audit kategorileri arasında olduğunu listeler.

İçindekiler

ISO 27001 için VMware access control rehberi görseli

Görsel: Wikimedia Commons - IBM Portable Modular Data Center 3.

ISO 27001 Açısından VMware Access Control Neyi Kapsar?

ISO'nun resmi tanımına göre ISO/IEC 27001, kuruluşların bilgi güvenliği risklerini sistematik biçimde yönetmesi için bir ISMS standardıdır. VMware ortamında bunun pratik karşılığı, erişimin sadece "kim giriş yapabilir" sorusuyla sınırlı kalmamasıdır. Denetimde savunulabilir erişim modeli şu soruları birlikte cevaplamalıdır:

  • kimlik nereden doğrulanıyor?
  • kullanıcı hangi grup üzerinden yetki alıyor?
  • bu grup hangi role bağlı?
  • rol hangi privilege setlerini içeriyor?
  • permission hangi vCenter nesnesine ve hangi propagation davranışıyla verilmiş?
  • erişim değişikliği hangi talep, onay ve log iziyle kanıtlanıyor?

Bu yüzden İş ve Yönetim Hizmetleri altında konumlanan Siber Güvenlik Değerlendirme Hizmeti, VMware access control çalışmasını yalnız ekran ayarı değil, denetlenebilir kontrol tasarımı olarak ele alır.

Access Control Modeli Nasıl Tasarlanır?

Kapsamı netleştirin

İlk adım, vCenter envanterindeki erişim sınırlarını iş kritikliğiyle eşleştirmektir. Datacenter, cluster, host, datastore, network ve VM klasörleri aynı risk seviyesinde değildir. ISO 27001 açısından güçlü model, her nesneyi aynı rol setiyle yönetmek yerine erişim ihtiyacını iş yükü kritikliğiyle birleştirir.

Pratikte dört erişim katmanı yeterli başlangıç sağlar:

KatmanAmaçÖrnek kontrol
Platform yönetimivCenter, cluster ve host yönetimisınırlı sayıda ayrıcalıklı grup
OperasyonVM açma, kapama, konsol ve temel bakımgörev bazlı custom role
Gözlemdenetim, izleme ve raporlamaread-only veya daraltılmış role
Entegrasyonyedekleme, izleme, otomasyon, SIEMservis hesabı ve minimum privilege

Kimlik kaynağını güvenli hale getirin

Broadcom KB 316596, vCenter SSO identity source yapılandırmasında LDAP over SSL (LDAPS) kullanımını şifreli LDAP trafiği için doğru yöntem olarak açıklar. Dokümanda Domain Controller sertifika zinciri, LDAP bağlantı hostname'i ve sertifika SAN eşleşmesi gibi ayrıntılar özellikle vurgulanır.

Bu nokta önemlidir; çünkü zayıf kimlik kaynağı üzerine kurulan access control modeli, rol matrisi ne kadar düzgün olursa olsun güvenilir sayılmaz. VMware tarafında ilk kontrol, Active Directory gruplarını vCenter'a bağlamadan önce kimlik doğrulama kanalının ve sertifika zincirinin doğrulanmasıdır.

vCenter Rol ve Permission Yapısı Nasıl Kurulur?

Role design kullanıcıdan değil görevden başlamalıdır

ISO 27001 uyumlu yaklaşımda kişilere özel rol çoğaltmak yerine görev bazlı rol kataloğu oluşturulur. Örneğin:

  • VM-Operator: VM açma, kapama ve konsol erişimi
  • VM-Network-Change: belirli network değişiklikleri
  • Backup-Service: yedekleme yazılımının ihtiyaç duyduğu sınırlı privilege seti
  • Security-ReadOnly: güvenlik ve denetim ekibinin inceleme ihtiyacı
  • BreakGlass-Admin: acil durumda kullanılan, izlenen ve süreli ayrıcalıklı erişim

Bu tasarım, Donanım & Yazılım Hizmetleri kapsamındaki Kurumsal Sanallaştırma Platformları Satış ve Lisanslama çalışmalarıyla da ilişkilidir. Platform standardı netleşmeden rol standardını sürdürülebilir hale getirmek zordur.

Permission inheritance varsayılmamalıdır

Broadcom KB 380445, permission propagation'ın her atama için ayrı belirlendiğini açıklar. Ayrıca child object üzerindeki doğrudan izinlerin parent'tan gelen izinleri override edebileceğini belirtir. Bu, VMware access control için kritik bir tasarım uyarısıdır.

Yanlış varsayım şudur: "Datacenter seviyesinde rol verdim, altındaki her nesnede beklediğim sonuç oluşur." Doğru yaklaşım ise şudur:

  • permission atamasının hangi nesnede başladığını kaydedin
  • propagation seçiminin açık veya kapalı olduğunu belgeleyin
  • child object üzerinde doğrudan permission olup olmadığını kontrol edin
  • beklenen yetkiyi representative kullanıcı hesabıyla test edin
  • yılda en az bir kez effective permission review çıktısı üretin

Daha teknik yetkilendirme ayrıntıları için ISO 27001 için VMware Yetkilendirme Nasıl Yapılır? yazısı, role ve permission davranışını daha dar bir teknik açıdan ele alır.

Ayrıcalıklı Erişim ve Servis Hesapları Nasıl Yönetilir?

Administrator rolü istisna olmalıdır

Administrator rolü günlük operasyon rolü değil, kontrollü ayrıcalıklı erişim rolü olarak görülmelidir. Sağlıklı modelde bu role doğrudan kullanıcı eklemek yerine, erişim şu koşullara bağlanır:

  • talep ve onay kaydı
  • süre sınırı
  • erişim nedeni
  • oturum ve işlem logu
  • review sonrası yetkinin geri alınması

Break-glass hesapları da aynı disipline tabidir. Bu hesaplar kilitli kalmamalı, fakat normal operasyon için kullanılmamalıdır. Her kullanım olay bazında incelenmeli ve denetim kanıt setine eklenmelidir.

AD grup çakışmaları kontrol edilmelidir

Broadcom KB 405145, bir kullanıcının aynı anda hem yüksek yetkili hem kısıtlayıcı AD gruplarında bulunması halinde vCenter operasyonlarının beklenenden farklı davranabileceğini gösterir. Bu nedenle access control review yalnız "kim admin grubunda" sorusuyla sınırlı kalmamalıdır.

Review sırasında şu kontroller yapılmalıdır:

  • kullanıcıların birden fazla operasyon grubunda gereksiz üyeliği var mı?
  • read-only grup üyeliği ayrıcalıklı role ile çakışıyor mu?
  • eski proje veya geçici erişim grupları hâlâ aktif mi?
  • servis hesapları insan kullanıcı gruplarına yanlışlıkla eklenmiş mi?

Servis hesapları ayrı yaşam döngüsüne sahip olmalıdır

Yedekleme, monitoring, otomasyon ve SIEM entegrasyonları için kullanılan hesaplar kişisel kullanıcı hesaplarından ayrılmalıdır. Her servis hesabı için şu bilgiler tutulmalıdır:

  • sahibi olan ekip
  • erişim amacı
  • kullanılan role ve privilege seti
  • parola veya secret rotasyon periyodu
  • son doğrulama tarihi
  • devre dışı bırakma prosedürü

VMware ortamının izleme tarafı için ISO 27001 VMware Monitoring Nasıl Yapılır? yazısı, olay görünürlüğünü access control modelinin devamı olarak ele alır.

Log, Review ve Denetim Kanıtı Nasıl Hazırlanır?

Login ve permission event'leri birlikte izlenmelidir

Broadcom KB 423205, vCenter login kayıtlarının /var/log/audit/sso-events/audit_events.log altında LoginSuccess, LoginFailure ve Logout olaylarıyla izlenebildiğini gösterir. Broadcom KB 432327 ise PermissionAddedEvent, PermissionUpdatedEvent, PermissionRemovedEvent, RoleAddedEvent, RoleUpdatedEvent ve RoleRemovedEvent gibi olayları SIEM'e gönderilmesi gereken audit event'ler arasında listeler.

Bu nedenle SIEM ve Güvenlik Olay Yönetimi Entegrasyonu, access control denetiminin tamamlayıcı parçasıdır. Sadece log toplamak yeterli değildir; permission ve role değişiklikleri alarm, review ve kanıt üretim sürecine bağlanmalıdır.

Kanıt seti ekran görüntüsünden ibaret olmamalıdır

Denetimde daha güçlü duran kanıt seti şu bileşenlerden oluşur:

  • vCenter identity source ve LDAPS yapılandırma standardı
  • rol kataloğu ve privilege matrisi
  • AD grup üyelik review çıktısı
  • permission inheritance test sonuçları
  • ayrıcalıklı erişim talep ve onay kayıtları
  • servis hesabı envanteri ve secret rotasyon kaydı
  • LoginSuccess, LoginFailure ve Logout örnekleri
  • Permission* ve Role* event'lerinin SIEM korelasyon çıktıları
  • son 12 ay içindeki erişim review raporları

Log denetimi tarafında ayrıntı için VMware ESXi Audit Log ISO 27001 Uyumu Rehberi ve genel vCenter güvenlik çerçevesi için VMware vCenter Güvenliği ISO 27001 Uyumu Rehberi yazıları tamamlayıcı kaynaklardır.

Uygulama Kontrol Listesi

  • vCenter identity source için LDAPS ve sertifika zinciri doğrulandı
  • platform, operasyon, gözlem ve entegrasyon rolleri ayrıştırıldı
  • Administrator rolü günlük operasyon dışında bırakıldı
  • custom role kataloğu privilege matrisiyle belgelendi
  • permission propagation davranışı kritik nesnelerde test edildi
  • çakışan AD grup üyelikleri review kapsamına alındı
  • servis hesapları insan kullanıcı hesaplarından ayrıldı
  • break-glass erişim için süreli kullanım ve inceleme süreci tanımlandı
  • login, role ve permission event'leri SIEM'e taşındı
  • son 12 aya ait erişim review kanıtları denetim klasörüne eklendi

İlgili İçerikler

LeonX ile Sonraki Adım

ISO 27001 için VMware access control, doğru rol adlarını seçmekten ibaret değildir. Kimlik kaynağı, AD grup tasarımı, permission inheritance, ayrıcalıklı erişim, servis hesabı yaşam döngüsü ve log kanıtı aynı kontrol modelinde birleşmelidir. LeonX, İş ve Yönetim Hizmetleri altında Siber Güvenlik Değerlendirme Hizmeti ile erişim risklerini görünür hale getirir. Teknik uygulama tarafında Kurumsal Sanallaştırma Platformları Satış ve Lisanslama ve SIEM ve Güvenlik Olay Yönetimi Entegrasyonu hizmetleriyle denetlenebilir VMware erişim mimarisi kurulmasına destek olur. Mevcut ortamınızı değerlendirmek veya teklif almak için İletişim sayfasından ilerleyebilirsiniz.

İlgili sayfalar:

Sık Sorulan Sorular

ISO 27001 için VMware access control nereden başlamalıdır?

Önce identity source ve AD grup yapısı doğrulanmalıdır. Ardından rol kataloğu, permission inheritance ve log kanıtı birlikte tasarlanmalıdır.

vCenter Administrator rolünü sınırlamak yeterli midir?

Hayır. Administrator rolünü sınırlamak önemlidir, fakat servis hesapları, AD grup çakışmaları, permission propagation ve review kayıtları da kontrol modeline dahil edilmelidir.

Permission inheritance neden denetim riski oluşturur?

Çünkü parent object üzerinde verilen yetkinin child object üzerinde beklenen sonucu üretmesi garanti değildir. Child object üzerindeki doğrudan permission, parent'tan gelen yetkiyi değiştirebilir.

Servis hesapları neden ayrı yönetilmelidir?

Servis hesapları genellikle yedekleme, izleme ve otomasyon gibi kesintiye hassas işlerde kullanılır. Sahiplik, privilege seti ve secret rotasyonu belgelenmezse hem erişim riski hem operasyon kesintisi doğar.

VMware access control için hangi loglar izlenmelidir?

Login success, login failure, logout, permission added, permission updated, permission removed, role added, role updated ve role removed event'leri merkezi loglama kapsamına alınmalıdır.

Kaynaklar

İç Link Rotası

Bu konu için ilgili hizmet sayfalarına geçin

Bu yazıyı daha hızlı ticari niyete bağlamak için ana hizmet, ilgili alt hizmet ve teklif akışını aşağıdan takip edebilirsiniz.

Ana Hizmet Sayfası

İş ve Yönetim Hizmetleri

Sayfaya Git

İlgili Alt Hizmet

Siber Güvenlik Değerlendirme Hizmeti

Sayfaya Git

Teklif / İletişim

İletişime Geç

Sayfaya Git

Paylaş

Facebook
Twitter
LinkedIn

İlgili Yazılar

Benzer konular hakkında daha fazlasını keşfedin

ISO 27001 için VMware Yetkilendirme Nasıl Yapılır? Rehber (2026)
Business Management
2026-05-02
14 dk okuma

ISO 27001 için VMware Yetkilendirme Nasıl Yapılır? Rehber (2026)

ISO 27001 için VMware yetkilendirme modelini; LDAPS, rol tasarımı, permission propagation, audit event takibi ve denetim kanıt seti yaklaşımıyla açıklayan rehber.

Devamını Oku
Fortinet ile Zero Trust Network Architecture Nasıl Kurgulanır? Rehber (2026)
Business Management
2026-04-22
14 dk okuma

Fortinet ile Zero Trust Network Architecture Nasıl Kurgulanır? Rehber (2026)

Fortinet ile Zero Trust Network Architecture kurulumunu; FortiGate trust broker mantığı, EMS, posture tag, access proxy, SSL VPN geçişi ve mimari sınırlarla açıklayan rehber.

Devamını Oku
VMware vCenter Güvenliği ISO 27001 Uyumu Rehberi (2026)
Business Management
2026-04-21
14 dk okuma

VMware vCenter Güvenliği ISO 27001 Uyumu Rehberi (2026)

VMware vCenter güvenliğini ISO 27001 açısından; SSO/LDAPS, rol bazlı yetki, sertifika yönetimi, login kayıtları ve SIEM odaklı audit yaklaşımıyla açıklayan rehber.

Devamını Oku

Bültene Abone Olun

En son içgörüler, trendler ve uzman tavsiyeleri doğrudan posta kutunuza gelsin. IT profesyonelleri topluluğumuza katilin.

Gizliliğinize saygı duyuyoruz. İstediğiniz zaman abonelikten çıkabilirsiniz.