Bilgi güvenliği yönetim sistemlerinin (BGYS) küresel standardı olan ISO 27001, kurumsal verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini korumak için sıkı denetimler ve kontroller öngörmektedir. Bu kontrollerin en kritik ayaklarından birini, sistemlerde gerçekleşen tüm olayların izlenmesi ve kayıt altına alınması (loglama) oluşturur. ISO 27001:2022 Ek-A kontrolleri arasında yer alan A.8.15 (Olay Günlüğü - Logging) ve A.8.16 (İzleme - Monitoring) maddeleri, organizasyonların sistem aktivitelerini kaydetmesini, analiz etmesini ve log bütünlüğünü korumasını zorunlu kılar.
Kurumsal IT altyapılarının merkezinde yer alan sanallaştırma katmanı, siber saldırganlar için en öncelikli hedeflerden biridir. VMware vSphere (ESXi hostlar ve vCenter Server) ortamlarında gerçekleştirilen yetkisiz erişimler, sanal makine silme işlemleri veya konfigürasyon değişiklikleri, tüm iş süreçlerinin durmasına neden olabilecek kadar büyük riskler taşır. Bu nedenle, VMware altyapısının ISO 27001 standartlarına uygun olarak loglanması, hem yasal uyum hem de operasyonel güvenlik açısından hayati önem taşımaktadır. Bu rehberde, VMware ortamlarında ISO 27001 uyumlu bir loglama mimarisinin nasıl kurulacağını adım adım ele alacağız.
ISO 27001 Loglama Kontrolleri ve VMware Gereksinimleri
ISO 27001 uyumluluğu için VMware ortamında loglama altyapısı tasarlarken, standardın temel beklentilerini karşılamak gerekir. Bu beklentiler şu şekildedir:
- Kapsamlı Kayıt: Kimin, ne zaman, hangi cihazdan, hangi işlemi gerçekleştirdiği (User, Timestamp, Source IP, Action) net olarak kaydedilmelidir.
- Log Bütünlüğü ve Koruma (Tamper-proofing): Log kayıtlarının yetkisiz kişiler tarafından silinmesi veya değiştirilmesi engellenmelidir. Bu amaçla loglar, yerel diskler yerine merkezi bir log sunucusuna (Syslog/SIEM) gerçek zamanlı olarak aktarılmalıdır.
- Erişim Kontrolü: Log kayıtlarına erişim sadece yetkili güvenlik analistleri ile sınırlandırılmalıdır.
- Yedekleme ve Saklama Süresi: Loglar, yasal gereksinimler ve kurumsal politikalara uygun olarak (genellikle en az 1 veya 2 yıl) güvenli bir şekilde arşivlenmelidir.
Adım Adım VMware ESXi Host Log Yapılandırması
VMware ESXi hostlar, varsayılan olarak logları kendi yerel disklerinde (scratch partition) tutar. Ancak bu durum, disk arızalarında veya siber saldırılarda logların kaybolmasına neden olur. ISO 27001 uyumu için ESXi hostların loglarını merkezi bir Syslog veya SIEM sunucusuna aktarması gerekir.
1. Syslog Sunucusu Tanımlama
ESXi host üzerinde merkezi log sunucusu tanımlamak için vSphere Client veya CLI kullanılabilir.
vSphere Client ile Yapılandırma:
- vSphere Client'a giriş yapın ve ilgili ESXi hostu seçin.
- Configure (Yapılandır) sekmesine gelin ve System altındaki Advanced System Settings (Gelişmiş Sistem Ayarları) seçeneğine tıklayın.
- Sağ üst köşedeki Edit (Düzenle) butonuna tıklayın ve arama kutusuna
Syslog.global.logHostyazın. - Değer alanına Syslog sunucunuzun IP adresini veya FQDN bilgisini protokol ve port ile birlikte girin (Örn:
udp://192.168.10.50:514veyassl://siem.sirket.local:1514). - Değişiklikleri kaydedin.
2. Güvenlik Duvarı (Firewall) Ayarlarının Düzenlenmesi
ESXi hostun dışarıya syslog trafiği gönderebilmesi için yerel firewall kurallarında syslog portunun açılması gerekir.
- ESXi host seçiliyken Configure -> System -> Firewall sekmesine gidin.
- Edit butonuna tıklayarak firewall kurallarını düzenleyin.
- rabbitmq veya syslog kuralını bulun ve yanındaki kutucuğu işaretleyerek trafiğe izin verin.
3. Syslog Servisinin Yeniden Başlatılması
Yapılandırmanın aktif olması için syslog servisinin yeniden başlatılması gerekir.
- ESXi host üzerinde Configure -> System -> Services (Servisler) sekmesine gidin.
- Syslog servisini seçin ve Restart (Yeniden Başlat) seçeneğine tıklayın.
- Servisin başlangıç politikasını "Start and stop with host" (Host ile birlikte başlat ve durdur) olarak ayarlayın.
vCenter Server Loglama ve Olay Yönetimi
vCenter Server, sanal altyapının yönetim merkezidir. vCenter üzerinde gerçekleşen kullanıcı girişleri, rol tanımlamaları, VM oluşturma/silme gibi kritik aktivitelerin loglanması ISO 27001 denetimlerinin en çok üzerinde durduğu konulardan biridir.
vCenter Server Appliance (VCSA) loglarını merkezi SIEM sistemine yönlendirmek için:
- vCenter Server Management Interface (VAMI) arayüzüne port 5480 üzerinden giriş yapın (Örn:
https://vcenter.sirket.local:5480). - Sol menüden Syslog sekmesine tıklayın.
- Configure veya Edit seçeneğine tıklayarak yeni bir syslog hedefi (SIEM/Syslog sunucusu) ekleyin.
- Sunucu adresi, protokol (TLS/TCP/UDP) ve port bilgilerini girerek yapılandırmayı tamamlayın. ISO 27001 uyumluluğunda logların şifreli iletilmesi için TLS (SSL) protokolünün kullanılması şiddetle tavsiye edilir.
Log Bütünlüğü ve SIEM Entegrasyonu
Toplanan VMware loglarının anlamlandırılması, korelasyon kurallarına tabi tutulması ve siber güvenlik olaylarının anında tespit edilmesi için bir SIEM (Security Information and Event Management) entegrasyonu şarttır. SIEM sistemi, ESXi ve vCenter'dan gelen logları analiz ederek şu durumlarda anında alarm üretmelidir:
- vCenter veya ESXi hostlara yönelik başarısız oturum açma denemeleri (Brute Force saldırı sinyalleri).
- Sanal makinelerin yetkisiz silinmesi, durdurulması veya klonlanması.
- Kullanıcı yetkilerinin yükseltilmesi (Privilege Escalation) veya yeni yönetici hesabı oluşturulması.
- ESXi host güvenlik duvarı kurallarının değiştirilmesi.
Kurumunuzda ISO 27001 standartlarına tam uyumlu, siber tehditleri gerçek zamanlı tespit eden ve yasal olarak doğrulanabilir bir loglama yapısı kurmak için SIEM ve Güvenlik Olay Yönetimi Entegrasyonu hizmetlerimizden faydalanabilirsiniz.
Ayrıca, sanallaştırma katmanınızın genel güvenlik sıkılaştırmasını yapmak, sanal makinelerinizi ve ağınızı izole etmek için VMware, Hyper-V ve Proxmox Kurulum Hizmeti çözümlerimizi inceleyebilirsiniz.
Bilgi güvenliği süreçlerinizi, yasal uyumluluk adımlarınızı ve IT altyapı yatırımlarınızı ISO 27001 standartlarına göre uçtan uca planlamak için İş ve Yönetim Danışmanlığı hizmetlerimiz kapsamında uzmanlarımızla çalışabilirsiniz.
Sanallaştırma ve bilgi güvenliği altyapınızı güçlendirecek diğer teknik rehberlerimizi inceleyebilirsiniz:
- ESXi host düzeyinde detaylı denetim kayıtları için: VMware ESXi Audit Log ve ISO 27001 Uyumu
- Sanal altyapı izleme ve performans takibi için: ISO 27001 VMware İzleme Yöntemleri
- vCenter yönetim katmanının güvenliği için: vCenter Güvenliği ve ISO 27001 Uyumu
- Sanallaştırma katmanında erişim yetkilendirmesi için: ISO 27001 VMware Yetkilendirme Standartları
- ESXi host sıkılaştırma adımları için: VMware ESXi Hardening Guide ve ISO 27001
- Sanal makinelerin disk şifreleme gereksinimleri için: VMware Datastore Şifreleme ve ISO 27001
- Ağ seviyesinde sanal izolasyon teknikleri için: ISO 27001 VMware Network Isolation
- KVKK kapsamında sanal ortamlarda loglama gereksinimleri için: KVKK için VMware Loglama Nasıl Yapılır?
- 5651 sayılı kanun kapsamındaki loglama yükümlülükleri için: 5651 Loglama Nedir, Kimler İçin Zorunludur?
- SIEM, Syslog ve yasal loglama mimarileri için: SIEM, Syslog ve 5651 Doğru Mimari Tasarımı
VMware sanallaştırma altyapınızı ISO 27001 ve KVKK standartlarına tam uyumlu hale getirmek, merkezi loglama ve SIEM sistemlerinizi entegre etmek için Ankara'daki uzman teknik ekibimizle dilediğiniz zaman iletişime geçebilirsiniz.
Sıkça Sorulan Sorular
ISO 27001 denetimlerinde VMware loglarının yerel diskte tutulması kabul edilir mi?
Hayır, kabul edilmez. ISO 27001 denetçileri, log bütünlüğünün korunmasını (tamper-proofing) şart koşar. Logların yerel diskte tutulması durumunda, yetkili bir yönetici veya sisteme sızan bir saldırgan kendi izlerini silmek için logları kolayca değiştirebilir veya silebilir. Bu nedenle logların gerçek zamanlı olarak merkezi ve yetkisiz erişime kapalı bir Syslog/SIEM sunucusuna aktarılması zorunludur.
VMware vCenter syslog aktarımında hangi protokol tercih edilmelidir?
ISO 27001 standartları gereği, ağ üzerinden iletilen hassas verilerin şifrelenmesi önerilir. Log kayıtları kullanıcı adları, IP adresleri ve sistem detayları gibi hassas bilgiler içerdiğinden, UDP veya şifresiz TCP yerine TLS (SSL) protokolü üzerinden şifreli olarak merkezi log sunucusuna iletilmelidir.
VMware loglarının saklama süresi ne kadar olmalıdır?
ISO 27001 standardı doğrudan spesifik bir süre belirtmez; saklama süresinin yasal gereksinimlere ve kurumsal risk analizine göre belirlenmesini ister. Türkiye'deki yasal mevzuatlar (örneğin 5651 sayılı kanun ve KVKK yönergeleri) göz önüne alındığında, log kayıtlarının geriye dönük olarak en az 2 yıl boyunca güvenli ve zaman damgalı bir şekilde saklanması gerekmektedir.
Sonuç
VMware vSphere ortamlarında ISO 27001 uyumlu bir loglama altyapısı kurmak, sadece yasal bir gerekliliği yerine getirmekle kalmaz, aynı zamanda kurumsal siber savunma hattınızın en önemli halkasını oluşturur. ESXi hostların ve vCenter Server'ın merkezi bir SIEM sistemine şifreli protokollerle bağlanması, zaman damgalı imzalama süreçlerinin işletilmesi ve siber olayların gerçek zamanlı izlenmesi, sanal altyapınızı gelebilecek tehditlere karşı korur. Doğru yapılandırılmış bir loglama mimarisi, denetimlerden başarıyla geçmenizi sağlarken operasyonel sürekliliğinizi de güvence altına alır.

