ISO 27001 için VMware Yetkilendirme Nasıl Yapılır? Rehber (2026)

ISO 27001 için VMware yetkilendirme kurmak, yalnız birkaç kullanıcıya Administrator rolü verip erişimi sınırlandırdığını varsaymak değildir. Sağlıklı model; kimlik kaynağını güvenli hale getirmek, rol ve privilege setlerini açık ayırmak, propagation davranışını doğru anlamak, çakışan grup üyeliklerini kontrol etmek ve permission değişikliklerini audit iziyle yönetmekten oluşur. Kısa cevap şudur: VMware tarafında ISO 27001 uyumlu yetkilendirme, least privilege, izlenebilir rol değişikliği ve denetlenebilir permission hiyerarşisini birlikte işletmek demektir.

Bu rehber özellikle şu ekipler içindir:

• VMware ve vSphere yöneticileri
• bilgi güvenliği ve uyum ekipleri
• Active Directory ve ayrıcalıklı erişim yöneten sistem ekipleri
• ISO 27001 denetimine hazırlanan BT yöneticileri

Hızlı Özet

• ISO'ya göre ISO/IEC 27001, risk yönetimi temelli bir bilgi güvenliği yönetim sistemi tanımlar; bu yüzden VMware yetkilendirme de yalnız teknik ayar değil, kontrol modeli olarak ele alınmalıdır.
• Broadcom KB 316596, vCenter SSO identity source için LDAPS kullanımının vCenter ile yetkilendirme kaynağı arasındaki LDAP trafiğini şifrelemek için uygun yöntem olduğunu açıkça belirtir.
• Broadcom KB 380445, permission propagation'ın her atama için ayrı tanımlandığını ve child object üzerindeki izinlerin parent'tan gelen izinleri override edebildiğini söyler.
• Broadcom KB 405145, bir kullanıcının aynı anda hem yüksek yetkili hem kısıtlı AD gruplarında yer alması halinde etkili izinlerin beklenenden daha kısıtlı hesaplanabildiğini gösterir.
• Broadcom KB 423205, login kayıtlarının /var/log/audit/sso-events/audit_events.log altında LoginSuccess, LoginFailure ve Logout olaylarıyla tutulduğunu gösterir.
• Broadcom KB 432327, permission ve role değişikliklerinin SIEM'e taşınması gereken temel audit event grupları arasında olduğunu listeler.

İçindekiler

• ISO 27001 Açısından VMware Yetkilendirme Neyi Kapsar?
• Kimlik Kaynağı ve Yetki Modeli Nasıl Kurulmalıdır?
• Permission Propagation ve Rol Hiyerarşisi Nasıl Yönetilir?
• Audit ve Kanıt Seti Nasıl Oluşturulur?
• En Sık Yapılan Hatalar Nelerdir?
• İlgili İçerikler
• Kontrol Listesi
• LeonX ile Sonraki Adım
• Sık Sorulan Sorular
• Kaynaklar

Görsel: Wikimedia Commons - Server Room - DPLA.

ISO 27001 Açısından VMware Yetkilendirme Neyi Kapsar?

ISO'nun resmi tanımına göre ISO/IEC 27001, bilgi güvenliğini risk bazlı bir ISMS yaklaşımıyla ele alır. Bunun pratik karşılığı şudur: VMware yetkilendirme, yalnız kullanıcı ekleme işi değil; kim, hangi nesnede, hangi privilege ile, hangi denetim izi altında işlem yapabilir sorusunun cevabıdır.

VMware tarafında yetkilendirme modeli en az şu katmanları birlikte içermelidir:

• kimlik kaynağı ve oturum açma yöntemi
• role ve privilege tasarımı
• object bazlı permission atamaları
• propagation ve inheritance davranışı
• permission değişikliklerinin merkezi review'u
• login ve yetki değişikliği kayıtlarının saklanması

Bu yüzden İş ve Yönetim Hizmetleri altında sunduğumuz Siber Güvenlik Değerlendirme Hizmeti, VMware yetkilendirmeyi yalnız teknik kurulum değil, denetimde savunulabilir bir kontrol modeli olarak ele almak için doğrudan ilgilidir.

Kimlik Kaynağı ve Yetki Modeli Nasıl Kurulmalıdır?

LDAPS neden ilk adımlardan biridir?

Broadcom KB 316596, vCenter Single Sign-On identity source için LDAP over SSL (LDAPS) kullanımını güvenli ortamlarda uygun yöntem olarak tanımlar. Doküman ayrıca üç kritik noktaya dikkat çeker:

• Domain Controller sertifika zinciri doğru alınmalıdır
• LDAP bağlantısında kullanılan hostname, DC sertifikasının SAN alanında yer almalıdır
• aynı domain için mevcut identity source varsa kaldırılıp yeniden ekleme gerekebilir

Bu detay önemlidir; çünkü zayıf kimlik kaynağı üzerine kurulan yetkilendirme modeli, güçlü rol yapısına rağmen kırılgan kalır.

Rol tasarımı nasıl yapılmalıdır?

ISO 27001 açısından hedef, her işi Administrator rolüyle yapmak değil; göreve özgü minimum privilege setleri tanımlamaktır. Broadcom KB 324539, belirli bir operasyon için yeni rol oluşturma veya mevcut rolü klonlama yaklaşımını açık biçimde gösterir. Bu, pratikte şu modeli destekler:

• günlük operasyon için sınırlı roller
• platform bakımı için ayrı ayrıcalıklı roller
• entegrasyon hesapları için yalnız gereken privilege seti
• denetim ve görüntüleme ihtiyaçları için read-only veya kontrollü özel roller

Bu yapı, Donanım & Yazılım Hizmetleri altındaki Kurumsal Sanallaştırma Platformları Satış ve Lisanslama hizmetiyle de örtüşür; çünkü doğru platform standardı olmadan tutarlı yetki standardı kurulamaz.

Permission Propagation ve Rol Hiyerarşisi Nasıl Yönetilir?

Propagation davranışı neden kritik?

Broadcom KB 380445, permission propagation'ın evrensel değil, her atama için ayrı seçildiğini açıkça söyler. Aynı KB'ye göre:

• child object üzerindeki izinler, parent'tan propagate edilen izinleri override edebilir
• bazı klasörlerde doğrudan izin tanımlanamaz
• sanal makineler aynı anda birden fazla parent yolundan permission etkisi alabilir

Bu şu anlama gelir:

• sadece root veya datacenter seviyesinde rol vermek çoğu zaman yeterli değildir
• inheritance davranışı test edilmeden “kullanıcı yetkili” demek risklidir
• objeye yakın kısıtlı roller, beklenen yüksek yetkiyi fiilen baskılayabilir

AD grup çakışmaları nasıl sorun üretir?

Broadcom KB 405145, kullanıcının aynı anda hem Administrator yetkili hem de Read-Only ya da benzeri kısıtlayıcı gruplarda yer alması halinde vCenter'ın etkili izinleri daha kısıtlı hesaplayabildiğini gösterir. Bu nedenle yetkilendirme kontrolü şu maddeleri içermelidir:

• kullanıcı bazlı değil, grup bazlı tasarım
• çakışan AD grup üyeliklerinin düzenli gözden geçirilmesi
• nesne seviyesinde effective permission doğrulaması
• kritik işlemler için test hesabıyla senaryo doğrulaması

Minimum ayrıcalık, yalnız privilege azaltmak değil; beklenmeyen role precedence sonuçlarını da kontrol etmektir.

Yetki değişiklikleri nasıl izlenmelidir?

Broadcom KB 432327, SIEM'e taşınması gereken audit event'ler arasında şu yetki olaylarını açıkça listeler:

• PermissionAddedEvent
• PermissionUpdatedEvent
• PermissionRemovedEvent
• RoleAddedEvent
• RoleUpdatedEvent
• RoleRemovedEvent

Bu olaylar review altına alınmadığında, kimin ne zaman yetki verdiği veya daralttığı denetimde parçalı görünür. Bu nedenle SIEM ve Güvenlik Olay Yönetimi Entegrasyonu, bu blog konusu için yalnız log toplama değil, yetkilendirme izinin merkezi hale gelmesi açısından da önemlidir.

Audit ve Kanıt Seti Nasıl Oluşturulur?

Login kayıtları neden yetkilendirme konusu sayılır?

Broadcom KB 423205, vCenter 8.0 login olaylarının /var/log/audit/sso-events/audit_events.log içinde tutulduğunu ve en az şu olayları içerdiğini gösterir:

• com.vmware.sso.LoginSuccess
• com.vmware.sso.LoginFailure
• com.vmware.sso.Logout

Yetkilendirme yalnız izin verme değil; bu izinlerin kim tarafından ve hangi oturum davranışıyla kullanıldığını görebilmektir.

Başarısız girişler neden ayrıca izlenmelidir?

Broadcom KB 376043, güncellenmeyen entegrasyon parolalarının sürekli BadUsernameSessionEvent üreterek AD hesaplarını kilitleyebildiğini gösterir. Bu, denetim açısından iki önemli sonuç doğurur:

• başarısız giriş her zaman saldırı değildir; bazen zayıf credential lifecycle yönetimidir
• parola değişiminden sonra entegrasyon hesabı doğrulaması yazılı prosedür olmalıdır

Denetimde hangi kanıtlar daha güçlüdür?

ISO 27001 için VMware yetkilendirme kanıt seti yalnız ekran görüntüsü olmamalıdır. En az şu bileşenler birlikte tutulmalıdır:

• identity source ve LDAPS standardı
• rol matrisi ve privilege açıklamaları
• hangi role hangi grup veya kullanıcı atandığını gösteren kayıt
• permission ve role değişiklikleri için ticket/onay izi
• audit_events.log örnek login success ve failure kayıtları
• SIEM'e yönlenen permission ve role event kategorileri
• çakışan AD grup üyelikleri için review çıktıları
• parola rotasyonu sonrası entegrasyon doğrulama checklist'i

Özellikle son 12 ay içinde yapılmış role review kayıtları ve kritik permission değişikliklerine ait onay geçmişi, denetimde daha savunulabilir görünür.

En Sık Yapılan Hatalar Nelerdir?

Tüm yetkileri tek role toplamak

Operasyonel kolaylık için geniş rol vermek, minimum ayrıcalık yaklaşımını bozar.

Propagation davranışını varsaymak

Parent üzerinde verilen rolün her child objede aynı etkiyi üreteceği varsayımı çoğu ortamda yanlıştır.

AD grup çakışmalarını gözden kaçırmak

Kullanıcının başka bir kısıtlı grupta olması, beklenen yüksek yetkileri bastırabilir.

Login ve permission loglarını ayrı düşünmek

Yetkilendirme izinin anlamlı hale gelmesi için login, role ve permission event'leri birlikte okunmalıdır.

Parola rotasyonu sonrası entegrasyon kontrolünü atlamak

Güncellenmeyen servis hesapları hem erişim kesintisi hem de lockout üretir.

İlgili İçerikler

• VMware vCenter Güvenliği ISO 27001 Uyumu Rehberi
• ISO 27001 VMware Monitoring Nasıl Yapılır?
• VMware ESXi Audit Log ISO 27001 Uyumu Rehberi
• VMware ESXi Hardening Guide ISO 27001 Uyumu Rehberi

Kontrol Listesi

• vCenter identity source yapısı LDAPS ve sertifika doğrulamasıyla gözden geçirildi
• günlük operasyon, ayrıcalıklı bakım ve entegrasyon hesapları ayrıştırıldı
• custom role ve privilege setleri yazılı matrise bağlandı
• permission propagation ve effective permission davranışı test edildi
• AD grup çakışmaları düzenli review kapsamına alındı
• Permission* ve Role* event'leri merkezi log platformuna taşındı
• LoginSuccess, LoginFailure ve Logout kayıtları düzenli inceleniyor
• denetimde sunulacak yetkilendirme kanıt seti hazırlandı

LeonX ile Sonraki Adım

ISO 27001 için VMware yetkilendirme, tek seferlik kullanıcı ekleme işi değildir; kimlik, rol, inheritance, audit ve review disiplinlerinin birlikte işletildiği bir yönetişim tasarımıdır. LeonX, İş ve Yönetim Hizmetleri altında özellikle Siber Güvenlik Değerlendirme Hizmeti ile kontrol boşluklarını görünür hale getirir. Teknik tarafta ise Kurumsal Sanallaştırma Platformları Satış ve Lisanslama ve SIEM ve Güvenlik Olay Yönetimi Entegrasyonu hizmetleriyle daha denetlenebilir bir VMware yetki modeli kurmanıza yardımcı olur. Mevcut ortamınızı değerlendirmek veya teklif almak için İletişim sayfasından ilerleyebilirsiniz.

İlgili sayfalar:

• İş ve Yönetim Hizmetleri
• Siber Güvenlik Değerlendirme Hizmeti
• Kurumsal Sanallaştırma Platformları Satış ve Lisanslama
• İletişim

Sık Sorulan Sorular

VMware yetkilendirme için yalnız Administrator rolünü daraltmak yeterli midir?

Hayır. Kimlik kaynağı, custom role tasarımı, inheritance ve audit birlikte ele alınmalıdır.

Permission propagation neden önemlidir?

Çünkü parent'tan verilen yetki her child objede aynı sonucu üretmez; child izinleri override edebilir.

AD grup çakışmaları gerçekten erişimi bozabilir mi?

Evet. Broadcom'a göre kısıtlayıcı grup atamaları, beklenen yüksek yetkileri bastırabilir.

Denetimde hangi kayıtlar öne çıkar?

Role değişiklikleri, permission atamaları, login success/failure kayıtları ve review ticket'ları en güçlü kanıtlar arasındadır.

Kaynaklar

• ISO/IEC 27001:2022 - Information security management systems
• Broadcom KB 316596 - Configuring a vCenter Single Sign-On Identity Source using LDAP with SSL (LDAPS)
• Broadcom KB 380445 - VCenter Hierarchical Inheritance of Permissions
• Broadcom KB 324539 - Enabling the vCenter Server permissions required to modify virtual machine network settings
• Broadcom KB 405145 - Some vCenter Operations Not Available for AD Users Despite Administrator Role
• Broadcom KB 423205 - How to find vCenter Server login record
• Broadcom KB 432327 - Identifying Audit and security logs to forward to syslog server (SIEM)
• Broadcom KB 376043 - User AD account getting locked out and authentication failure errors are seen in vCenter events
• Wikimedia Commons - Server Room - DPLA