Blog'a Dön
Hardware & Software

KVKK için VMware Network Isolation Nasıl Yapılır? Rehber (2026)

KVKK için VMware Network Isolation Nasıl Yapılır? Rehber (2026)
KVKK için VMware network isolation yaklaşımını; management network, VM segmentleri, VLAN, distributed switch, firewall zone, logging ve denetim kanıtı açısından açıklayan rehber.
Yayın Tarihi
17 Mayıs 2026
Güncellenme
17 Mayıs 2026
Okuma Süresi
14 dk okuma
Yazar
LeonX Expert Team

KVKK için VMware network isolation yapmak, yalnız her uygulamaya ayrı VLAN vermek değildir. Sağlam model; vCenter ve ESXi management trafiğini, kişisel veri işleyen VM segmentlerini, yedekleme ve replikasyon ağlarını, storage trafiğini, DMZ erişimini ve log/SIEM görünürlüğünü aynı güvenlik mimarisinde ayırır. Kısa cevap şudur: KVKK açısından savunulabilir VMware network isolation, kişisel veriye erişebilen sistemlerin ağ geçişlerini ihtiyaç kadar erişim, izlenebilirlik ve denetlenebilir kanıt ilkeleriyle sınırlandırır.

Bu rehber özellikle şu ekipler içindir:

  • VMware vSphere, vCenter ve ESXi yöneten sistem ekipleri
  • KVKK teknik tedbirlerinden sorumlu BT ve bilgi güvenliği ekipleri
  • VLAN, firewall zone ve sanallaştırma ağı tasarlayan network ekipleri
  • kişisel veri işleyen VM gruplarını diğer sistemlerden ayırmak isteyen kurumlar

Hızlı Özet

  • KVKK Kişisel Veri Güvenliği Rehberi; yetki matrisi, erişim kontrolü, log kayıtları ve ağ güvenliği gibi teknik/idari tedbirleri birlikte ele alır.
  • VMware network isolation, vCenter management, ESXi VMkernel, VM port group, backup, replication, storage ve DMZ segmentlerini ayrı risk sınıfları olarak tasarlamalıdır.
  • Broadcom vSphere dokümanları ve KB içerikleri, VLAN, VMkernel adapter, port group security ve dedicated traffic ayrımının tasarımda kritik olduğunu gösterir.
  • VLAN tek başına yeterli değildir; firewall policy, port group standardı, distributed switch tutarlılığı, loglama ve erişim review birlikte çalışmalıdır.
  • Kişisel veri işleyen VM'ler için en az 5 segment sınıfı önerilir: management, application, database, backup/replication ve monitoring/logging.
  • Denetimde güçlü kanıt seti; segment matrisi, firewall kural listesi, vSwitch/vDS port group çıktıları, log kayıtları ve 90 günlük review çıktısından oluşur.

İçindekiler

KVKK için VMware network isolation rehberi için rack network switch görseli

Görsel: Wikimedia Commons - Dell Powerconnect 2816.

KVKK Açısından VMware Network Isolation Neyi Kapsar?

KVKK tarafında network isolation, kişisel veriye erişebilen sistemleri ağ üzerinde rastgele yan yana tutmamak anlamına gelir. Buradaki amaç yalnız performans veya broadcast alanını küçültmek değildir; kişisel veri işleyen uygulamaların, veritabanlarının, yönetim arayüzlerinin ve yedekleme hedeflerinin gereksiz erişim yollarından ayrılmasıdır.

VMware ortamında network isolation şu sorulara cevap vermelidir:

  • vCenter ve ESXi management ağı kullanıcı ağıyla aynı yerde mi?
  • kişisel veri işleyen VM'ler diğer uygulama VM'lerinden ayrılmış mı?
  • database segmentine sadece gerekli application segmentleri erişebiliyor mu?
  • backup ve replication trafiği kullanıcı veya DMZ ağıyla karışıyor mu?
  • vMotion, storage ve management VMkernel trafiği ayrıştırılmış mı?
  • segmentler arası geçiş firewall veya gateway politikasıyla izleniyor mu?
  • port group ve VLAN standardı tüm hostlarda tutarlı mı?

Bu nedenle VMware KVKK Teknik Tedbirler Rehberi içindeki erişim kontrolü, loglama ve yedekleme başlıkları network isolation ile birlikte okunmalıdır.

Hangi Ağ Segmentleri Ayrılmalı?

Minimum tasarımda her VLAN veya port group ayrı bir iş amacına bağlanmalıdır. Aşağıdaki tablo pratik bir başlangıç modeli sunar.

SegmentAmaçKVKK kontrol değeri
ManagementvCenter, ESXi management, admin erişimiyönetim yüzeyini kullanıcı trafiğinden ayırır
Applicationkişisel veri işleyen uygulama VM'lerierişim yüzeyini iş fonksiyonuna göre sınırlar
Databaseveritabanı VM'leridoğrudan kullanıcı erişimini engeller
Backup/Replicationbackup proxy, repository, replication trafiğiyedek verinin gereksiz ağlardan geçmesini önler
Monitoring/LoggingSIEM, syslog, monitoring collectorolay görünürlüğünü merkezi hale getirir
DMZinternet erişimli veya dışa açık servisleriç veri segmentlerine doğrudan geçişi sınırlar

Bu ayrım yapılmadığında tek bir zayıf uygulama sunucusu, aynı L2/L3 alanda duran daha kritik veri tabanı veya yönetim servislerine gereksiz erişim yolu açabilir. KVKK açısından bu, teknik tedbirin yalnız belge üzerinde kalması riskini doğurur.

VLAN, Port Group ve Distributed Switch Nasıl Tasarlanmalı?

Broadcom'un vSphere networking dokümanları VLAN, port group ve VMkernel adapter ayrımının VMware ağ tasarımında temel olduğunu gösterir. Pratikte şu standartlar belirlenmelidir:

  • her port group açık bir iş amacına sahip olmalı
  • port group adı VLAN ID, ortam ve işlev bilgisini taşımalı
  • management, vMotion, storage ve VM trafiği ayrı VMkernel/port group yapılarıyla ele alınmalı
  • standard switch kullanılan hostlarda port group drift riski düzenli kontrol edilmeli
  • distributed switch kullanılan ortamlarda merkezi politika ve rollback planı belgelenmeli
  • VLAN trunk davranışı fiziksel switch ekibiyle birlikte doğrulanmalı

Port group security ayarları

Broadcom KB 324520, promiscuous mode ayarının port group seviyesinde sanal switch ayarını ezebildiğini açıklar. Broadcom KB 427110 ise forged transmits ve MAC address changes gibi güvenlik politikalarının L2 seviyesinde trafik koruması sağladığını belirtir. Bu nedenle kişisel veri işleyen segmentlerde şu ayarlar bilinçli yönetilmelidir:

  • Promiscuous Mode: varsayılan olarak reject
  • MAC Address Changes: ihtiyaç yoksa reject
  • Forged Transmits: ihtiyaç yoksa reject
  • özel NLB, IDS veya sanal appliance istisnaları: ticket ve risk onayıyla açılmalı

Bu ayarlar tek başına KVKK uyumu sağlamaz; ancak segment izolasyonunu zayıflatabilecek yanlış trafik kabul davranışlarını sınırlar.

Firewall Zone ve Erişim Politikası Nasıl Kurulur?

VLAN, yalnız L2/L3 ayrımı sağlar; erişim kararını tek başına yönetmez. KVKK için güçlü modelde VLAN veya port group tasarımı firewall zone ve erişim kuralıyla tamamlanır.

Önerilen politika mantığı:

  1. kullanıcı ağı doğrudan database segmentine erişmemeli
  2. application segmenti yalnız gerekli database portlarına erişmeli
  3. management segmentine sadece jump host, VPN veya PAM kontrollü erişim açılmalı
  4. backup segmenti yalnız ilgili hypervisor, repository ve yönetim servisleriyle konuşmalı
  5. monitoring/logging segmentine tek yönlü veya kontrollü log akışı tanımlanmalı
  6. DMZ segmentinden iç veri segmentlerine varsayılan erişim kapalı olmalı

Bu mimari İş ve Yönetim Hizmetleri altında yer alan Network Trafik İzleme ve İzolasyon ve VLAN Tasarım ve Yapılandırma Hizmeti ile doğrudan ilişkilidir. Teknik sanallaştırma standardı tarafında Donanım & Yazılım Hizmetleri ve Kurumsal Sanallaştırma Platformları Satış ve Lisanslama hizmetleri de vSphere tasarımını tamamlar.

Loglama ve Denetim Kanıtı Nasıl Hazırlanır?

Network isolation tasarımı denetimde yalnız çizimle savunulmaz. İzleme ve kanıt seti gerekir. KVKK için VMware Audit Log Nasıl Yönetilir? yazısındaki audit log yaklaşımı bu noktada tamamlayıcıdır.

Kanıt setinde şu çıktılar yer almalıdır:

  • VLAN/port group matrisi
  • vDS veya vSS port group export çıktıları
  • firewall zone ve kural listesi
  • management, vMotion, storage ve backup VMkernel ayrımı
  • SIEM üzerinde segmentler arası reddedilen veya izin verilen kritik trafik kayıtları
  • değişiklik ticket'ları ve onay geçmişi
  • son 90 güne ait segment review çıktısı
  • yüksek riskli istisnalar için süreli onay ve kapanış kaydı

Bu akışı merkezi görünürlüğe taşımak için SIEM ve Güvenlik Olay Yönetimi Entegrasyonu kritik destek sağlar.

İlgili İçerikler

Kontrol Listesi

  • vCenter ve ESXi management ağı kullanıcı ağından ayrıldı
  • kişisel veri işleyen VM'ler ayrı application/database segmentlerine taşındı
  • backup, replication, storage ve monitoring trafiği ayrı sınıflandırıldı
  • port group adlandırma ve VLAN ID standardı belgelendi
  • promiscuous mode, MAC address changes ve forged transmits ayarları gözden geçirildi
  • firewall zone kuralları ihtiyaç kadar erişim prensibiyle yazıldı
  • segmentler arası yüksek riskli istisnalar süreli onaya bağlandı
  • SIEM üzerinde kritik segment geçişleri izleniyor
  • son 90 gün için segment review kanıtı hazırlandı
  • değişiklikler rollback planı ve ticket ile yönetiliyor

LeonX ile Sonraki Adım

KVKK için VMware network isolation, yalnız VLAN oluşturma işi değildir; kişisel veri işleyen sistemlerin yönetim, uygulama, database, backup, logging ve DMZ akışlarını kontrollü bir erişim modeline bağlamaktır. LeonX, İş ve Yönetim Hizmetleri altında Network Trafik İzleme ve İzolasyon, VLAN Tasarım ve Yapılandırma Hizmeti ve Siber Güvenlik Değerlendirme Hizmeti ile segmentasyon boşluklarını görünür hale getirir. VMware uygulama tarafında Donanım & Yazılım Hizmetleri ve Kurumsal Sanallaştırma Platformları Satış ve Lisanslama ile tasarımın teknik karşılığı uygulanabilir. Mevcut ortamınızı değerlendirmek veya teklif almak için İletişim sayfasından ilerleyebilirsiniz.

İlgili sayfalar:

Sık Sorulan Sorular

KVKK için VMware network isolation neden önemlidir?

Kişisel veri işleyen VM'lerin kullanıcı, DMZ, backup ve management ağlarıyla gereksiz temasını azaltır. Böylece yetkisiz erişim ve yatay hareket riski düşer.

Sadece VLAN kullanmak yeterli midir?

Hayır. VLAN iyi bir ayrım katmanıdır ancak firewall policy, port group standardı, loglama ve erişim review ile tamamlanmalıdır.

Management network ayrı olmak zorunda mı?

Güçlü tasarımda evet. vCenter ve ESXi management trafiği kullanıcı veya uygulama trafiğiyle aynı segmentte kalmamalıdır.

Backup ve replication ağı neden ayrılmalı?

Yedek veriler de kişisel veri içerebilir. Bu trafiğin kullanıcı veya DMZ ağlarıyla karışması veri sızıntısı ve operasyonel etki riskini artırır.

Denetimde hangi kanıtlar gerekir?

Segment matrisi, port group export çıktıları, firewall kural listesi, SIEM kayıtları, değişiklik ticket'ları ve 90 günlük review çıktısı birlikte güçlü kanıt üretir.

Kaynaklar

İç Link Rotası

Bu konu için ilgili hizmet sayfalarına geçin

Bu yazıyı daha hızlı ticari niyete bağlamak için ana hizmet, ilgili alt hizmet ve teklif akışını aşağıdan takip edebilirsiniz.

Ana Hizmet Sayfası

İş ve Yönetim Hizmetleri

Sayfaya Git

İlgili Alt Hizmet

Network Trafik İzleme ve İzolasyon

Sayfaya Git

Teklif / İletişim

İletişime Geç

Sayfaya Git

Paylaş

Facebook
Twitter
LinkedIn

İlgili Yazılar

Benzer konular hakkında daha fazlasını keşfedin

Dell Server Fan Failure Hatası Nasıl Çözülür?
Hardware & Software
2026-06-02
15 dk okuma

Dell Server Fan Failure Hatası Nasıl Çözülür?

Dell Server Fan Failure hatasını; iDRAC FAN olay kodları, Lifecycle Log, fiziksel fan kontrolü, hava akışı, firmware ve OpenManage izleme akışıyla açıklayan rehber.

Devamını Oku
VMware vSAN Health Error Nasıl Çözülür?
Hardware & Software
2026-06-01
15 dk okuma

VMware vSAN Health Error Nasıl Çözülür?

VMware vSAN Health Error uyarısını; health kategorileri, vSAN Health servisi, disk, network, HCL, resync ve destek loglarıyla sistematik analiz eden rehber.

Devamını Oku
FortiGate Access Control ISO 27001 Uyumu
Hardware & Software
2026-05-25
15 dk okuma

FortiGate Access Control ISO 27001 Uyumu

FortiGate access control ISO 27001 uyumunu; firewall policy, yönetici profilleri, VPN kullanıcı grupları, SoA kanıtı, loglama ve periyodik erişim gözden geçirmesiyle açıklayan rehber.

Devamını Oku

Bültene Abone Olun

En son içgörüler, trendler ve uzman tavsiyeleri doğrudan posta kutunuza gelsin. IT profesyonelleri topluluğumuza katilin.

Gizliliğinize saygı duyuyoruz. İstediğiniz zaman abonelikten çıkabilirsiniz.