ISO 27001 için VMware network isolation, sanallaştırma ortamındaki yönetim, uygulama, veri tabanı, yedekleme, replikasyon, storage ve izleme trafiğini aynı güvenlik mimarisi içinde kontrollü segmentlere ayırmaktır. Kısa cevap şudur: vCenter ve ESXi yönetim yüzeyi kullanıcı ağlarından ayrılmalı, VM port group'ları iş ve risk sınıfına göre tasarlanmalı, segmentler arası geçiş firewall politikasıyla sınırlandırılmalı ve tüm yapı denetimde gösterilebilecek kanıtlarla desteklenmelidir.
Bu rehber özellikle şu ekipler içindir:
- ISO 27001 kontrollerini VMware vSphere ortamına uyarlayan bilgi güvenliği ekipleri
- vCenter, ESXi, distributed switch ve port group yöneten sistem ekipleri
- VLAN, firewall zone ve network segmentation standardı hazırlayan network ekipleri
- SoA, risk işleme planı ve denetim kanıtı hazırlayan yönetişim ekipleri
Hızlı Özet
- ISO/IEC 27001, bilgi varlıklarına yönelik risklerin belirlenmesini, kontrollerin seçilmesini ve kanıtlanabilir biçimde işletilmesini ister.
- VMware network isolation; vCenter management, ESXi management, vMotion, storage, backup, replication, DMZ, monitoring ve VM segmentlerini ayrı risk sınıfları olarak ele almalıdır.
- vSphere tarafında VLAN, VMkernel adapter, port group, distributed switch ve port group security ayarları aynı tasarım standardına bağlanmalıdır.
- VLAN tek başına ISO 27001 için yeterli kanıt değildir; firewall policy, erişim review, loglama, değişiklik kaydı ve istisna yönetimiyle tamamlanmalıdır.
- Promiscuous Mode, MAC Address Changes ve Forged Transmits gibi port group security ayarları gereksiz L2 davranışlarını sınırlamak için standartlaştırılmalıdır.
- Denetimde güçlü kanıt seti; segment matrisi, vDS/port group export çıktıları, firewall kural listesi, SIEM kayıtları, değişiklik ticket'ları ve periyodik review çıktısından oluşur.
İçindekiler
- ISO 27001 Açısından VMware Network Isolation Neyi Kapsar?
- Hangi VMware Ağları Ayrılmalı?
- VLAN, Port Group ve Distributed Switch Standardı Nasıl Kurulmalı?
- Port Group Security ve İstisnalar Nasıl Yönetilmeli?
- Firewall Zone, Loglama ve Denetim Kanıtı Nasıl Hazırlanmalı?
- 90 Günlük Uygulama Planı
- İlgili İçerikler
- Kontrol Listesi
- LeonX ile Sonraki Adım
- Sık Sorulan Sorular
- Kaynaklar
Görsel: Wikimedia Commons - 19-inch rackmount Ethernet switches and patch panels, Dsimic, CC BY-SA 4.0. WebP formatına optimize edilmiştir.
ISO 27001 Açısından VMware Network Isolation Neyi Kapsar?
ISO 27001 tarafında network isolation, yalnız "farklı VLAN kullandık" açıklamasıyla bitmez. Standardın bakış açısı risk temellidir: hangi bilgi varlığı nerede çalışıyor, bu varlığa kim erişebiliyor, hangi ağ yolundan geçiyor, erişim nasıl onaylanıyor, olay oluştuğunda nasıl izleniyor ve tasarım nasıl denetlenebilir hale geliyor?
VMware vSphere ortamında bu soru seti şu teknik başlıklara iner:
- vCenter Server yönetim ağı kullanıcı veya sunucu ağıyla aynı segmentte mi?
- ESXi management VMkernel trafiği ayrı firewall zone içinde mi?
- vMotion, storage, backup ve replication trafiği ayrı VMkernel veya port group yapılarıyla sınırlandırıldı mı?
- kritik uygulama VM'leri, test/dev VM'leri ve DMZ servisleri aynı L2/L3 alanda mı duruyor?
- distributed switch ve standard switch port group ayarları hostlar arasında tutarlı mı?
- segment geçişleri firewall, mikro segmentasyon veya gateway policy ile kayıt altına alınıyor mu?
- geçici istisnalar süreli onay ve kapanış kanıtıyla yönetiliyor mu?
Bu nedenle ISO 27001 için VMware network isolation, İş ve Yönetim Hizmetleri kapsamındaki risk, kontrol ve denetim mantığıyla birlikte tasarlanmalıdır. Uygulama tarafında özellikle Network Trafik İzleme ve İzolasyon hizmeti, segmentlerin teknik ve operasyonel karşılığını netleştirir.
Hangi VMware Ağları Ayrılmalı?
Her ortamın topolojisi farklıdır; ancak ISO 27001 denetiminde savunulabilir bir VMware izolasyon modeli en az aşağıdaki ağ sınıflarını ayrı değerlendirmelidir.
| Ağ sınıfı | Amaç | ISO 27001 kontrol değeri |
|---|---|---|
| vCenter management | vCenter yönetimi, admin erişimi, API kullanımı | yönetim yüzeyini kullanıcı ve uygulama trafiğinden ayırır |
| ESXi management | host yönetimi, lifecycle, temel servisler | hypervisor yönetimini sınırlı yönetici ağlarına bağlar |
| vMotion | canlı taşıma trafiği | hassas bellek içeriğinin genel ağlardan geçmesini önler |
| Storage | iSCSI, NFS, vSAN veya storage erişimi | veri yolu trafiğini uygulama ve kullanıcı ağlarından ayırır |
| Application VM | uygulama sunucuları | iş fonksiyonuna göre erişim yüzeyi oluşturur |
| Database VM | veri tabanı sunucuları | doğrudan kullanıcı erişimini ve yatay hareketi sınırlar |
| Backup/Replication | backup proxy, repository, replication appliance | yedek verinin gereksiz segmentlere karışmasını önler |
| Monitoring/Logging | syslog, SIEM, monitoring collector | merkezi izleme ve olay kanıtı üretir |
| DMZ | dışa açık servisler | iç segmentlere doğrudan varsayılan erişimi engeller |
Bu ayrımı yaparken "her uygulamaya bir VLAN" gibi ezber bir yaklaşım yerine, risk sınıfı ve erişim ihtiyacı esas alınmalıdır. Örneğin aynı uygulamanın web, application ve database katmanları aynı port group içinde tutulursa, firewall kuralı veya loglama kurgusu zayıflar. Buna karşılık aşırı parçalanmış ama belgesiz bir VLAN yapısı da operasyonel karmaşa ve yanlış kural riski üretir.
VMware ağ yapısının temel bileşenlerini tazelemek için VMware Network Yapısı Nasıl Çalışır? yazısı, VLAN uygulama tarafı için de VMware VLAN Konfigürasyonu Nasıl Yapılır? rehberi tamamlayıcıdır.
VLAN, Port Group ve Distributed Switch Standardı Nasıl Kurulmalı?
Broadcom vSphere Networking dokümanları, vSphere ağ tasarımında standard switch, distributed switch, port group, VMkernel adapter ve VLAN ayrımının birlikte ele alınması gerektiğini gösterir. ISO 27001 açısından amaç, bu teknik ayarları denetlenebilir bir standarda bağlamaktır.
Pratik standart şu maddeleri içermelidir:
- Port group adı VLAN ID, ortam, işlev ve güvenlik sınıfını anlaşılır biçimde taşımalı.
- Her port group için iş sahibi, teknik sahibi ve risk sınıfı tanımlanmalı.
- vCenter ve ESXi management trafiği kullanıcı veya genel sunucu port group'larıyla karışmamalı.
- vMotion, storage, backup ve replication VMkernel trafiği ayrı ağlarla planlanmalı.
- Distributed switch kullanılan yapılarda merkezi politika, versiyon takibi ve rollback planı belgelenmeli.
- Standard switch kullanılan hostlarda port group drift kontrolü periyodik yapılmalı.
- Fiziksel switch trunk ve allowed VLAN listesi VMware port group standardıyla eşleştirilmeli.
- Yeni VLAN veya port group açılışı değişiklik ticket'ı, güvenlik onayı ve test kaydıyla işletilmeli.
Bu standart VLAN Tasarım ve Yapılandırma Hizmeti ile doğrudan ilişkilidir. Sanallaştırma platformu tasarımı tarafında Donanım & Yazılım Hizmetleri ve Kurumsal Sanallaştırma Platformları Satış ve Lisanslama hizmetleri, vSphere topolojisinin lisans, kapasite ve mimari boyutunu tamamlar.
Port Group Security ve İstisnalar Nasıl Yönetilmeli?
VMware port group security ayarları, izolasyon modelinin L2 davranışlarını etkiler. Bu ayarlar yanlış bırakıldığında bir sanal appliance, NLB tasarımı veya hatalı VM yapılandırması segment sınırlarını beklenenden daha geçirgen hale getirebilir.
ISO 27001 için önerilen varsayılan yaklaşım:
- Promiscuous Mode: reject
- MAC Address Changes: reject
- Forged Transmits: reject
- istisnalar: sadece belirli port group, belirli süre, ticket, risk onayı ve kapanış kaydıyla allow
Broadcom KB 324520, promiscuous mode ayarının port group seviyesinde sanal switch ayarını ezebileceğini açıklar. Broadcom KB 427110, forged transmits ve MAC address changes ayarlarının Layer 2 trafik davranışı açısından neden önemli olduğunu gösterir. Bu nedenle kritik segmentlerde "varsayılan allow" yerine "kanıtlanmış ihtiyaç kadar allow" modeli kullanılmalıdır.
İstisna yönetimi için basit bir tablo yeterli olabilir:
| İstisna | Gerekçe | Risk | Süre | Kanıt |
|---|---|---|---|---|
| IDS port group için promiscuous mode | trafik analiz ihtiyacı | yüksek görünürlük yetkisi | süreli | ticket, onay, log |
| NLB için forged transmits | uygulama mimarisi | sahte MAC kabul riski | süreli veya mimari karar | tasarım dokümanı, test |
| sanal firewall appliance trunk port | zone geçiş kontrolü | yanlış trunk riski | kalıcı ama review zorunlu | kural seti, change kaydı |
Bu yaklaşım ISO 27001 VMware Monitoring Nasıl Yapılır? yazısındaki izleme mantığıyla birlikte ele alındığında daha güçlü kanıt üretir.
Firewall Zone, Loglama ve Denetim Kanıtı Nasıl Hazırlanmalı?
VLAN ve port group tasarımı segmentleri ayırır; fakat ISO 27001 açısından erişim kararının nasıl verildiği, nasıl kaydedildiği ve nasıl gözden geçirildiği de önemlidir. Bu nedenle VMware network isolation mutlaka firewall zone, loglama ve periyodik review akışıyla tamamlanmalıdır.
Önerilen erişim politikası:
- kullanıcı ağı doğrudan vCenter, ESXi management veya database segmentlerine erişmemeli
- application segmenti yalnız gerekli database portlarına erişmeli
- DMZ segmentinden iç uygulama ve veri segmentlerine varsayılan erişim kapalı olmalı
- backup segmenti sadece ilgili hypervisor, proxy, repository ve yönetim servisleriyle konuşmalı
- monitoring/logging segmentine log akışı kontrollü ve izlenebilir biçimde tanımlanmalı
- management ağına erişim VPN, PAM, jump host veya belirlenmiş admin ağı üzerinden sınırlandırılmalı
- geçici firewall kuralı süreli onayla açılmalı ve kapanış tarihiyle takip edilmeli
Denetim kanıtı için şu çıktılar hazırlanmalıdır:
- segment matrisi ve veri akış diyagramı
- vDS, vSS, port group ve VMkernel export çıktıları
- firewall zone ve kural listesi
- vCenter rol/yetki ve admin erişim listesi
- SIEM üzerinde kritik segment geçişleri için izin/ret logları
- değişiklik ticket'ları, onay geçmişi ve test sonuçları
- yüksek riskli port group security istisnaları
- 90 günlük segment ve firewall review çıktısı
Loglama ve olay görünürlüğünü olgunlaştırmak için SIEM ve Güvenlik Olay Yönetimi Entegrasyonu destekleyici bir katmandır. Denetim perspektifinde ISO 27001 için Dell Server Network Security Nasıl Yapılır? yazısı fiziksel ağ ve sunucu güvenliği tarafını tamamlar.
90 Günlük Uygulama Planı
1-30 gün: Keşif ve risk sınıflandırması
- vCenter, ESXi, vDS/vSS, port group, VMkernel ve VLAN envanteri çıkarılır.
- Hangi VM'lerin kritik bilgi varlığı, kişisel veri, finansal veri veya yönetim sistemi taşıdığı belirlenir.
- Mevcut firewall zone geçişleri ve doğrudan erişimler haritalanır.
- Yönetim ağı, backup ağı, storage ağı ve DMZ için hızlı risk notları hazırlanır.
31-60 gün: Standart ve pilot izolasyon
- Port group adlandırma, VLAN ID, risk sınıfı ve sahiplik standardı yazılır.
- vCenter/ESXi management, vMotion, storage ve backup için hedef segment modeli belirlenir.
- Bir uygulama ailesi üzerinde web, application ve database ayrımı pilot uygulanır.
- Port group security ayarları kritik segmentlerde gözden geçirilir.
61-90 gün: Kanıt, review ve denetim hazırlığı
- Firewall kural setleri ihtiyaç kadar erişim prensibine göre sadeleştirilir.
- SIEM üzerinde kritik segment geçişleri için dashboard veya arama seti hazırlanır.
- İstisna listesi, süreler ve onay sahipleri netleştirilir.
- Segment matrisi, export çıktıları ve değişiklik kayıtları denetim paketi haline getirilir.
Bu plan, teknik değişikliği tek seferlik VLAN projesi olmaktan çıkarır ve ISO 27001'in beklediği sürekli kontrol işletimine yaklaştırır.
İlgili İçerikler
- KVKK için VMware Network Isolation Nasıl Yapılır?
- VMware KVKK Teknik Tedbirler Rehberi
- VMware Network Yapısı Nasıl Çalışır?
- VMware VLAN Konfigürasyonu Nasıl Yapılır?
- VMware Network Not Working Sorunu Nasıl Çözülür?
- ISO 27001 VMware Monitoring Nasıl Yapılır?
Kontrol Listesi
- vCenter management ağı kullanıcı ve uygulama ağlarından ayrıldı
- ESXi management VMkernel trafiği ayrı zone içinde tanımlandı
- vMotion, storage, backup ve replication ağları ayrı sınıflandırıldı
- kritik VM'ler uygulama, veri tabanı, DMZ ve izleme segmentlerine ayrıldı
- port group adlandırma ve VLAN ID standardı belgelendi
- distributed switch rollback planı ve değişiklik akışı hazırlandı
- Promiscuous Mode, MAC Address Changes ve Forged Transmits ayarları gözden geçirildi
- segmentler arası firewall kuralları ihtiyaç kadar erişim prensibine göre yazıldı
- SIEM üzerinde kritik segment geçişleri izleniyor
- istisnalar süreli onay ve kapanış kaydıyla yönetiliyor
- 90 günlük segment review kanıtı hazırlanıyor
LeonX ile Sonraki Adım
ISO 27001 için VMware network isolation, yalnız port group açma veya VLAN taşıma işi değildir; bilgi varlıklarını, erişim yollarını, yönetim yüzeyini, loglama akışını ve denetim kanıtını aynı modelde birleştirir. LeonX, İş ve Yönetim Hizmetleri altında Network Trafik İzleme ve İzolasyon, VLAN Tasarım ve Yapılandırma Hizmeti ve Ağ Güvenlik Politika Yönetimi ile segmentasyon boşluklarını görünür hale getirir.
VMware uygulama ve platform tarafında Donanım & Yazılım Hizmetleri ve Kurumsal Sanallaştırma Platformları Satış ve Lisanslama hizmetleri teknik standardın uygulanmasını destekler. Mevcut vSphere ortamınızı ISO 27001 kontrol diliyle değerlendirmek veya teklif almak için İletişim sayfasından ilerleyebilirsiniz.
İlgili sayfalar:
- İş ve Yönetim Hizmetleri
- Network Trafik İzleme ve İzolasyon
- VLAN Tasarım ve Yapılandırma Hizmeti
- Ağ Güvenlik Politika Yönetimi
- Donanım & Yazılım Hizmetleri
- Kurumsal Sanallaştırma Platformları Satış ve Lisanslama
- SIEM ve Güvenlik Olay Yönetimi Entegrasyonu
- İletişim
Sık Sorulan Sorular
ISO 27001 için VMware network isolation neden önemlidir?
Çünkü vCenter, ESXi, kritik VM'ler, veri tabanları, backup ve DMZ trafiği aynı erişim alanında kaldığında yetkisiz erişim ve yatay hareket riski artar. İzolasyon bu yolları sınırlandırır ve denetimde gösterilebilir kontrol üretir.
VLAN kullanmak ISO 27001 için yeterli midir?
Hayır. VLAN iyi bir ayrım katmanıdır; ancak firewall policy, loglama, erişim review, değişiklik kaydı ve istisna yönetimi olmadan tek başına yeterli kanıt oluşturmaz.
vMotion ağı neden ayrı tutulmalıdır?
vMotion trafiği canlı VM taşıma sürecinde hassas çalışma zamanı verileri taşıyabilir. Bu nedenle kullanıcı veya genel uygulama ağlarıyla karışmaması güçlü bir güvenlik tasarımıdır.
Distributed switch zorunlu mudur?
Her ortam için zorunlu değildir; ancak büyük yapılarda merkezi politika, tutarlılık ve operasyonel kontrol avantajı sağlar. Standard switch kullanılan ortamlarda drift kontrolü daha dikkatli yapılmalıdır.
Port group security ayarları hangi durumda allow yapılır?
IDS, NLB veya sanal firewall gibi özel tasarımlar gerektirdiğinde allow yapılabilir. Bu karar belirli port group, ticket, risk onayı, süre ve kapanış kanıtıyla yönetilmelidir.
Denetim için hangi kanıtlar hazırlanmalıdır?
Segment matrisi, vDS/port group export çıktıları, VMkernel ayrımı, firewall kural listesi, SIEM kayıtları, değişiklik ticket'ları, istisna listesi ve periyodik review çıktıları birlikte hazırlanmalıdır.
Kaynaklar
- ISO - ISO/IEC 27001 Information security management systems
- Broadcom TechDocs - vSphere Networking
- Broadcom KB 304952 - vMotion interface: Creating a VMkernel port
- Broadcom KB 324520 - Configuring promiscuous mode on a virtual switch or port group
- Broadcom KB 427110 - Forged transmits and MAC address changes
- Broadcom KB 312753 - Isolating the network traffic of vSphere Replication
- Broadcom KB 311145 - Understanding network rollback and recovery
- Wikimedia Commons - 19-inch rackmount Ethernet switches and patch panels
