Sanal altyapıların güvenliği, kurumsal bilgi varlıklarının korunmasında ve uluslararası standartlara uyum süreçlerinde kritik bir role sahiptir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) denetimlerinde, sanallaştırma katmanının güvenliği en çok incelenen alanlardan biridir. VMware vSphere ortamlarında ISO 27001 uyumluluğunu sağlamak; doğru yetkilendirme, ağ izolasyonu, şifreleme ve sürekli izleme süreçlerinin entegrasyonu ile mümkündür.
Bu rehber, BT yöneticileri ve bilgi güvenliği uzmanları için vSphere ortamlarını ISO 27001 Annex A kontrollerine uygun şekilde sıkılaştırma (hardening) adımlarını açıklamaktadır.
ISO 27001 ve vSphere Güvenliği İlişkisi
ISO 27001 standardı, bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini korumayı amaçlar. vSphere altyapısı, yüzlerce sanal makineyi ve hassas veriyi tek bir fiziksel donanım üzerinde barındırdığı için, bu katmandaki bir güvenlik açığı tüm kurumu etkileyebilir.
vSphere ortamlarında ISO 27001 uyumunu sağlamak için odaklanılması gereken 4 temel alan bulunmaktadır:
- Erişim Kontrolü (Annex A.9 / A.5.15): vCenter ve ESXi hostlara erişimin sınırlandırılması ve rol bazlı yetkilendirme (RBAC) modelinin kurulması.
- Kriptografi ve Şifreleme (Annex A.10 / A.5.14): Sanal disklerin (VM Encryption) ve vMotion trafiğinin şifrelenmesi.
- Ağ Güvenliği ve İzolasyon (Annex A.13 / A.8.20): Yönetim ağlarının (Management Network) ve sanal makine segmentlerinin birbirinden izole edilmesi.
- Loglama ve İzleme (Annex A.12 / A.8.15): Tüm erişim ve sistem olaylarının merkezi bir SIEM sistemine aktarılması.
vSphere Sıkılaştırma (Hardening) Adımları
VMware vSphere altyapınızı ISO 27001 gereksinimlerine uygun hale getirmek için aşağıdaki teknik sıkılaştırma adımlarını uygulayabilirsiniz.
1. ESXi Host Güvenliği ve Secure Boot
Fiziksel sunucularınızın (ESXi) güvenliği, sanallaştırma katmanının temelidir.
- UEFI Secure Boot: ESXi hostlarınızda UEFI Secure Boot özelliğini aktif edin. Bu özellik, yalnızca imzalanmış ve güvenilir kodların (VIBs) yüklenmesini sağlayarak boot aşamasındaki zararlı yazılımları engeller.
- ESXi Shell ve SSH Kapatılması: ESXi hostlar üzerinde SSH ve yerel shell erişimlerini varsayılan olarak kapalı tutun. Yalnızca bakım pencerelerinde geçici olarak açın ve işiniz bittiğinde kapatın.
- Lockdown Mode: ESXi hostları "Normal" veya "Strict" Lockdown Mode'a alın. Bu mod aktifken, hostlara doğrudan erişim engellenir ve tüm yönetim işlemleri yalnızca vCenter üzerinden yapılabilir.
2. vCenter ve Kimlik Doğrulama (Identity Management)
vCenter, tüm sanal altyapının yönetim merkezidir ve en yüksek güvenlik önlemlerine tabi olmalıdır.
- LDAPS ve Çok Faktörlü Doğrulama (MFA): vCenter erişimlerini Active Directory ile entegre ederken mutlaka LDAPS (LDAP over SSL) kullanın. Mümkünse vCenter girişlerinde MFA (Multi-Factor Authentication) uygulayın.
- Rol Bazlı Yetkilendirme (RBAC): Kullanıcılara doğrudan "Administrator" yetkisi vermek yerine, iş ihtiyaçlarına uygun özel roller (Role-Based Access Control) tanımlayın. Detaylı yetkilendirme mimarisi için ISO 27001 için VMware Yetkilendirme Nasıl Yapılır? rehberimizi inceleyebilirsiniz.
3. Ağ İzolasyonu ve Sanal Switch Güvenliği
vSphere ağ mimarisinin güvenliği, veri sızıntılarını ve ağ içi yanal hareketleri (lateral movement) engellemek için tasarlanmalıdır.
- Yönetim Ağının İzolasyonu: vCenter, ESXi ve vMotion yönetim ağlarını, normal kullanıcı ve sanal makine trafiğinden fiziksel veya mantıksal (VLAN) olarak tamamen izole edin. Bu konuda ISO 27001 için VMware Network Isolation Nasıl Yapılır? makalemizden faydalanabilirsiniz.
- Sanal Switch Güvenlik Politikaları: Standart veya Distributed Switch port gruplarında "Promiscuous Mode", "MAC Address Changes" ve "Forged Transmits" politikalarını varsayılan olarak Reject (Reddet) konumuna getirin.
4. Sanal Makine (VM) ve Depolama Güvenliği
Sanal makinelerin ve depolama alanlarının (datastore) şifrelenmesi, veri bütünlüğünü korur.
- VM Encryption ve vSAN Encryption: Hassas veri barındıran sanal makineleri (özellikle veritabanı ve kimlik doğrulama sunucularını) vSphere VM Encryption veya vSAN Encryption kullanarak şifreleyin.
- vMotion Şifreleme: Canlı sanal makine taşıma (vMotion) işlemleri sırasında verilerin ağ üzerinden açık metin olarak gitmesini önlemek için vMotion şifrelemesini "Required" (Zorunlu) olarak ayarlayın.
| Güvenlik Kontrolü | ISO 27001 Maddesi | vSphere Uygulama Yöntemi | Önerilen Durum |
|---|---|---|---|
| Erişim Kontrolü | Annex A.5.15 | vCenter RBAC & LDAPS Entegrasyonu | Zorunlu |
| Sistem Sıkılaştırma | Annex A.8.9 | ESXi Lockdown Mode & Secure Boot | Zorunlu |
| Kriptografi | Annex A.5.14 | VM Encryption & Encrypted vMotion | Kritik |
| Ağ Güvenliği | Annex A.8.20 | Management Network İzolasyonu & VLAN | Zorunlu |
| Log Yönetimi | Annex A.8.15 | Syslog/SIEM Entegrasyonu (vRealize/Wazuh) | Zorunlu |
Sürekli İzleme ve Log Analizi
ISO 27001 uyumluluğunun en önemli şartlarından biri, güvenlik olaylarının sürekli izlenmesi ve kayıt altına alınmasıdır. vCenter ve ESXi hostlar üzerinde gerçekleşen tüm başarılı/başarısız giriş denemeleri, yetki değişiklikleri ve konfigürasyon güncellemeleri anlık olarak merkezi bir Syslog veya SIEM sunucusuna aktarılmalıdır. Bu sayede olası bir güvenlik ihlalinde geriye dönük analiz yapılabilir ve denetimler için gerekli kanıt seti oluşturulabilir.
Profesyonel Destek ve Yönetilen Hizmetler
Sanallaştırma altyapılarının ISO 27001 standartlarına uygun olarak sıkılaştırılması ve sürekli olarak yönetilmesi yüksek teknik uzmanlık gerektirir. Hatalı yapılan bir sıkılaştırma ayarı, kritik iş servislerinde kesintilere yol açabilir.
Ankara ve tüm Türkiye genelindeki kurumlara sunduğumuz Yönetilen Servisler çözümlerimizle, BT altyapınızın performans ve güvenlik dengesini koruyoruz. Altyapınızın ISO 27001 standartlarına tam uyumlu olarak yapılandırılması, güncellenmesi ve 7/24 izlenmesi süreçlerini Yönetilen Sanallaştırma Altyapı Hizmeti kapsamında uzman mühendislerimizle üstleniyoruz.
Sıkça Sorulan Sorular
ESXi Lockdown Mode aktifken hosta nasıl erişilir?
Lockdown Mode aktifken ESXi hosta doğrudan SSH veya vSphere Host Client ile erişilemez. Tüm yönetim işlemleri vCenter üzerinden gerçekleştirilir. Acil durumlarda erişim için yalnızca yetkilendirilmiş "Exception Users" listesindeki kullanıcılar doğrudan bağlanabilir.
Sanal makine şifrelemesi (VM Encryption) performansı etkiler mi?
Modern sunucu işlemcilerinde yer alan donanımsal şifreleme hızlandırıcıları (Intel AES-NI vb.) sayesinde performans etkisi %1-2 gibi oldukça düşük seviyelerdedir. Kritik verilerin güvenliği için bu etki göz ardı edilebilir.
ISO 27001 denetimlerinde vSphere için hangi kanıtlar istenir?
Denetçiler genellikle vCenter kullanıcı listesini, rol tanımlarını, ESXi hostların yama (patch) durumlarını, ağ şemalarını ve logların SIEM sistemine aktarıldığını gösteren konfigürasyon ekran görüntülerini talep ederler.
Sonuç
VMware vSphere altyapınızı ISO 27001 standartlarına uyumlu hale getirmek, yalnızca bir denetim gereksinimi değil, kurumsal verilerinizin siber tehditlere karşı korunmasında hayati bir adımdır. Doğru sıkılaştırma politikaları ve proaktif izleme süreçleri ile sanal altyapınızı geleceğin tehditlerine karşı hazır hale getirebilirsiniz.
Sanal altyapınızın güvenlik analizini gerçekleştirmek ve ISO 27001 uyumlu sıkılaştırma çözümlerimiz hakkında detaylı bilgi almak için bizimle iletişime geçin.
