Blog'a Dön
Sanallaştırma

VMware vSphere Hardening Guide: Detaylı Güvenlik ve Sıkılaştırma Rehberi

VMware vSphere Hardening Guide: Detaylı Güvenlik ve Sıkılaştırma Rehberi
Kurumsal sanallaştırma altyapılarının güvenliğini sağlamak için VMware vSphere Hardening Guide kılavuzunu temel alarak ESXi, vCenter ve sanal makineleri adım adım nasıl sıkılaştıracağınızı inceliyoruz.
Yayın Tarihi
11 Temmuz 2026
Güncellenme
11 Temmuz 2026
Okuma Süresi
9 dk okuma
Yazar
LeonX Team

Kurumsal BT altyapılarının temel taşı haline gelen sanallaştırma teknolojileri, operasyonel esneklik ve kaynak verimliliği sağlarken aynı zamanda siber saldırganlar için de oldukça cazip bir hedef haline gelmiştir. Sanallaştırma katmanında meydana gelebilecek tek bir güvenlik açığı, üzerinde çalışan yüzlerce sanal makinenin (VM) ve dolayısıyla kritik kurumsal verilerin tamamının tehlikeye girmesine yol açabilir. Bu nedenle, dünya genelinde en yaygın kullanılan sanallaştırma platformu olan VMware vSphere altyapılarının güvenlik standartlarına uygun olarak sıkılaştırılması (hardening) hayati bir zorunluluktur.

VMware, bu ihtiyacı karşılamak amacıyla her vSphere sürümü için resmi bir güvenlik kılavuzu olan VMware vSphere Hardening Guide (yeni adıyla vSphere Security Configuration Guide) yayınlamaktadır. Bu kılavuz; ESXi hostları, vCenter Server ve sanal makineler için uygulanması gereken en iyi güvenlik pratiklerini ve teknik yapılandırma adımlarını içerir. Bu yazımızda, vSphere altyapınızı siber tehditlere karşı korumak ve ISO 27001 gibi bilgi güvenliği standartlarına uyumlu hale getirmek için uygulamanız gereken temel sıkılaştırma adımlarını detaylı olarak ele alacağız.

1. ESXi Host Sıkılaştırma Adımları

ESXi, sanal makinelerin doğrudan üzerinde çalıştığı hipervizör katmanıdır. Bu katmanın güvenliği, tüm sanallaştırma mimarisinin temelini oluşturur.

A. SSH ve ESXi Shell Erişimlerinin Sınırlandırılması

ESXi hostlarına doğrudan SSH veya yerel ESXi Shell üzerinden erişim sağlamak, saldırganların kaba kuvvet (brute-force) saldırıları düzenlemesi veya komut satırı yetkilerini kötüye kullanması için büyük bir risk oluşturur.

  • Öneri: SSH ve ESXi Shell servisleri varsayılan olarak kapalı tutulmalıdır. Bu servislere sadece bakım veya acil müdahale durumlarında geçici olarak izin verilmeli ve işlem bittiğinde servisler derhal durdurulmalıdır.
  • Yapılandırma: vSphere Client üzerinden ESXi hostunuza gelin, Configure > System > Services menüsünden SSH servisini durdurun ve başlangıç politikasını Start and stop manually olarak ayarlayın.

B. Lockdown Mode (Kilitlenme Modu) Aktifleştirilmesi

Lockdown Mode, ESXi hostlarına doğrudan erişimi tamamen engelleyerek tüm yönetimsel işlemlerin sadece vCenter Server üzerinden yapılmasını zorunlu kılan mükemmel bir güvenlik özelliğidir.

  • Normal Lockdown Mode: Host yönetimi sadece vCenter Server üzerinden yapılabilir. Yerel konsol (DCUI) erişimi sadece yetkilendirilmiş kullanıcılar (Exception Users) için açık kalır.
  • Strict Lockdown Mode: DCUI servisi de tamamen durdurulur. Host yönetimi sadece vCenter Server üzerinden gerçekleştirilebilir. vCenter bağlantısı koptuğunda hosta doğrudan erişim imkansız hale gelir.
  • Öneri: Kurumsal ortamlarda en azından Normal Lockdown Mode aktifleştirilmelidir.

C. NTP Zaman Senkronizasyonunun Sağlanması

ESXi hostlarının saatlerinin doğru ve senkronize olması, güvenlik loglarının bütünlüğü ve olay analizi süreçleri için kritiktir. Tüm hostlar ortak ve güvenilir bir NTP sunucusuna bağlanmalıdır.


2. vCenter Server Sıkılaştırma Adımları

vCenter Server, tüm vSphere altyapısının merkezi yönetim beynidir. vCenter'ın ele geçirilmesi, tüm sanal altyapının kontrolünün saldırgana geçmesi anlamına gelir.

A. Rol Tabanlı Erişim Kontrolü (RBAC) ve Active Directory Entegrasyonu

vCenter üzerinde varsayılan "Administrator" yetkisinin herkese verilmesi en sık yapılan güvenlik hatalarından biridir.

  • Öneri: vCenter Server, kurumsal Active Directory (AD) veya LDAP dizin servisleriyle entegre edilmelidir. Kullanıcılara sadece görev tanımlarına uygun minimum yetkiler (Least Privilege) atanmalıdır. Örneğin, sadece yedekleme yapan bir kullanıcıya "Backup Administrator" rolü tanımlanmalı, sanal makine silme veya network değiştirme yetkisi verilmemelidir. Bu konuda detaylı bilgi için ISO 27001 VMware Yetkilendirme ve Erişim Kontrolü rehberimizi inceleyebilirsiniz.

B. vCenter Single Sign-On (SSO) Güvenliği

vCenter SSO şifre politikaları (parola karmaşıklığı, minimum uzunluk, hatalı giriş denemesi sonrası hesap kilitleme süresi vb.) kurumsal güvenlik politikalarına uygun olarak sıkılaştırılmalıdır.

C. vCenter Backup ve Güncelleme Yönetimi

vCenter Server Appliance (VCSA) düzenli olarak yedeklenmeli ve işletim sistemi düzeyindeki güvenlik yamaları (patch management) aksatılmadan uygulanmalıdır. vCenter güncellemelerini güvenle planlamak için Yönetilen Sanallaştırma Altyapı Hizmeti çözümlerimizden yararlanabilirsiniz.


3. Sanal Makine (VM) Sıkılaştırma Adımları

Sanal makinelerin kendi içlerindeki işletim sistemleri kadar, vSphere katmanındaki VM donanım ve yapılandırma parametreleri de güvenlik açıklarına neden olabilir.

A. Güvenli Önyükleme (Secure Boot) Aktifleştirilmesi

Secure Boot, sanal makine başlatılırken sadece dijital olarak imzalanmış ve güvenilir işletim sistemi çekirdeklerinin (kernel) ve sürücülerinin yüklenmesini garanti eder. Bu sayede, bootkit ve rootkit gibi zararlı yazılımların işletim sistemi açılmadan önce devreye girmesi engellenir.

  • Yapılandırma: VM kapatılmalı, Edit Settings > VM Options > Boot Options altından Firmware tipi EFI olarak seçilmeli ve Secure Boot seçeneği işaretlenmelidir.

B. VM Konsol Kopyala-Yapıştır Özelliğinin Kapatılması

Varsayılan olarak, vSphere Client konsolu üzerinden sanal makine işletim sistemine metin kopyalama ve yapıştırma işlemleri açık olabilir. Bu durum, hassas verilerin (şifreler, konfigürasyonlar) yetkisiz kişilerce dışarı sızdırılması riskini taşır.

  • Yapılandırma: VM gelişmiş parametrelerine (Advanced Parameters) şu satırlar eklenerek bu özellikler devre dışı bırakılmalıdır:
    • isolation.tools.copy.disable = TRUE
    • isolation.tools.paste.disable = TRUE

C. Kullanılmayan Sanal Donanımların Kaldırılması

Sanal makineler üzerinde aktif olarak kullanılmayan disket sürücü (floppy), CD/DVD-ROM, seri port (serial port) ve paralel port gibi sanal donanımlar kaldırılmalıdır. Bu donanımlar, saldırganlar için potansiyel birer sızma noktası oluşturabilir.


4. Ağ ve Depolama Güvenliği (vSphere Network & Storage)

Sanal switchler (vSwitch) ve veri depolama alanları (Datastore), vSphere altyapısının veri iletim ve saklama katmanlarıdır.

A. Sanal Switch Güvenlik Politikaları (Security Policies)

Standart veya Distributed sanal switchler üzerinde yer alan port gruplarında (Port Groups) şu üç temel güvenlik politikası varsayılan olarak reddedilmelidir:

  1. Promiscuous Mode (Karışık Mod): Reject olarak ayarlanmalıdır. Aksi takdirde, aynı switch üzerindeki bir VM, diğer tüm VM'lerin ağ trafiğini dinleyebilir (sniffing).
  2. MAC Address Changes (MAC Adresi Değişiklikleri): Reject olarak ayarlanmalıdır. VM içerisindeki işletim sisteminin, vSphere tarafında tanımlanan MAC adresini değiştirmesi engellenir.
  3. Forged Transmits (Sahte İletimler): Reject olarak ayarlanmalıdır. VM'in sahte kaynak MAC adresleriyle paket göndermesi (MAC spoofing) engellenir.

Ağ trafiğinizi izole etmek ve siber güvenlik standartlarına uygun bir network kurgulamak için Network Trafik İzleme ve İzolasyon çözümlerimizi inceleyebilirsiniz.

B. Depolama Şifrelemesi (vSAN Encryption & VM Encryption)

Kritik verilerin saklandığı datastore alanları, fiziksel disk hırsızlığına veya yetkisiz erişimlere karşı şifrelenmelidir. vSAN altyapılarında vSAN Encryption veya sanal makine bazlı VM Encryption özellikleri kullanılarak durağan veriler (data-at-rest) kriptografik olarak güvence altına alınmalıdır.


vSphere Hardening Kontrol Listesi (Quick Checklist)

Yapılandırma AlanıSıkılaştırma Parametresi / İşlemiÖnerilen DeğerISO 27001 Uyumu
ESXi HostSSH Servisi DurumuStopped (Manuel Başlatma)Evet
ESXi HostLockdown ModeEnabled (Normal veya Strict)Evet
ESXi HostNTP Zaman SenkronizasyonuEnabled (Ortak NTP Sunucusu)Evet
vCenterActive Directory EntegrasyonuEnabled (LDAP/AD SSO)Evet
vCenterRol Tabanlı Yetkilendirme (RBAC)En Düşük Yetki İlkesi (Least Privilege)Evet
Sanal MakineEFI Secure BootEnabledEvet
Sanal MakineKopyala-Yapıştır (Copy-Paste)Disabled (Gelişmiş Parametreler)Evet
Sanal SwitchPromiscuous ModeRejectEvet
Sanal SwitchMAC Address ChangesRejectEvet
Sanal SwitchForged TransmitsRejectEvet

Altyapı Güvenliği ve Profesyonel Yönetim

vSphere altyapılarını sıkılaştırmak, sadece bir kez yapılıp bırakılacak bir işlem değildir. Yeni sanal makineler oluşturuldukça, ESXi hostları eklendikçe ve vSphere sürümleri güncellendikçe bu güvenlik kontrollerinin düzenli olarak denetlenmesi ve otomatikleştirilmesi gerekir.

  • Güvenlik Açığı ve Yama Yönetimi: Sanallaştırma ortamınızdaki zafiyetleri tespit etmek ve en güncel güvenlik yamalarını (patch) sistemlerinize uygulamak için Güvenlik Açığı Tarama ve Hardening Yönetimi hizmetlerimizden yararlanabilirsiniz.
  • VMware vSphere Kurulum ve Lisanslama: vSphere ortamınızı en başından itibaren en iyi güvenlik pratiklerine ve mimari standartlara uygun olarak kurmak için VMware, Hyper-V ve Proxmox Kurulum Hizmeti uzmanlığımızdan faydalanabilirsiniz.
  • Kurumsal BT Danışmanlığı: BT altyapınızı uluslararası standartlara (ISO 27001, KVKK) tam uyumlu hale getirmek ve teknoloji yol haritanızı çizmek için İş ve Yönetim Danışmanlığı hizmetlerimiz kapsamında Ankara'daki uzman kadromuzla çalışabilirsiniz.

Bilgi güvenliği, siber güvenlik ve sanallaştırma altyapı yönetimi süreçlerinizi güçlendirecek diğer rehberlerimizi de inceleyebilirsiniz:

VMware vSphere altyapınızı siber tehditlere karşı korumak, vSphere Hardening Guide standartlarını sistemlerinize uygulamak ve bilgi güvenliği uyumluluk süreçlerinizi tamamlamak için Ankara'daki uzman mühendis kadromuzla dilediğiniz zaman iletişime geçebilirsiniz.

Sıkça Sorulan Sorular

vSphere Hardening Guide adımlarını uygulamak performansı etkiler mi?

Sıkılaştırma adımlarının çok büyük bir kısmı (SSH kapatılması, kopyala-yapıştır engellenmesi, vSwitch güvenlik politikaları vb.) sistem performansı üzerinde hiçbir olumsuz etki yaratmaz. Aksine, gereksiz servislerin durdurulması host üzerindeki kaynak tüketimini azaltabilir. Sadece sanal makine şifreleme (VM Encryption) veya depolama şifrelemesi (vSAN Encryption) işlemleri, CPU üzerinde ek bir kriptografik yük oluşturabilir; ancak modern işlemcilerdeki donanımsal şifreleme hızlandırma (AES-NI) sayesinde bu etki de minimum düzeydedir.

Lockdown Mode aktifken vCenter Server çökerse ESXi hostlara nasıl erişirim?

Normal Lockdown Mode aktifken, vCenter Server çöktüğünde ESXi hostlara doğrudan web arayüzü (Host Client) üzerinden erişilemez. Ancak yerel konsol (DCUI) üzerinden doğrudan erişim sağlayarak Lockdown Mode'u devre dışı bırakabilir veya geçici olarak SSH servisini açabilirsiniz. Strict Lockdown Mode aktifken ise DCUI de kapalı olduğu için doğrudan erişim tamamen engellenir. Bu durumda, vCenter Server'ı kurtarmak tek seçenektir. Bu nedenle kurumsal ortamlarda genellikle Normal Lockdown Mode tercih edilir.

Secure Boot aktifleştirildiğinde mevcut sanal makineler açılmama sorunu yaşar mı?

Eğer sanal makine içerisindeki işletim sistemi (örneğin eski bir Linux dağıtımı veya özel bir kernel) dijital olarak imzalanmamış sürücüler içeriyorsa, Secure Boot aktifleştirildikten sonra işletim sistemi açılışta hata verebilir ve boot etmeyebilir. Bu nedenle, Secure Boot özelliğini canlı ortama uygulamadan önce mutlaka test ortamında veya yedekli sanal makineler üzerinde denemeniz önerilir.

Sonuç

VMware vSphere Hardening Guide, kurumsal sanallaştırma altyapılarının siber saldırılara karşı korunmasında en güvenilir ve kapsamlı başvuru kaynağıdır. ESXi hostlarının sıkılaştırılması, vCenter erişimlerinin sınırlandırılması, sanal switch güvenlik politikalarının uygulanması ve sanal makinelerin güvenli hale getirilmesi, bilgi güvenliği süreçlerinizin en kritik halkalarını oluşturur. Doğru yapılandırılmış bir vSphere altyapısı, hem kurumsal verilerinizi güvence altına alır hem de ISO 27001 ve KVKK gibi yasal uyumluluk denetimlerinden başarıyla geçmenizi sağlar.

İç Link Rotası

Bu konu için ilgili hizmet sayfalarına geçin

Bu yazıyı daha hızlı ticari niyete bağlamak için ana hizmet, ilgili alt hizmet ve teklif akışını aşağıdan takip edebilirsiniz.

Paylaş

Facebook
Twitter
LinkedIn

İlgili Yazılar

Benzer konular hakkında daha fazlasını keşfedin

VMware Permanent Device Loss (PDL) Hatası ve Çözüm Rehberi
Sanallaştırma
2026-07-09
9 dk okuma

VMware Permanent Device Loss (PDL) Hatası ve Çözüm Rehberi

VMware vSphere ESXi ortamlarında sıkça karşılaşılan ve veri depolama birimlerinin kalıcı olarak kaybedilmesini ifade eden Permanent Device Loss (PDL) hatasının nedenlerini ve çözüm yollarını inceliyoruz.

Devamını Oku
ISO 27001 için VMware vSphere Güvenliği Nasıl Sağlanır?
Sanallaştırma
2026-06-09
7 dk okuma

ISO 27001 için VMware vSphere Güvenliği Nasıl Sağlanır?

ISO 27001 bilgi güvenliği standartlarına uyum sürecinde VMware vSphere sanallaştırma altyapısının nasıl güvenli hale getirileceğini ve en iyi sıkılaştırma (hardening) yöntemlerini inceliyoruz.

Devamını Oku
VMware Cannot See Datastore Sorunu ve Çözüm Yolları
Sanallaştırma
2026-06-07
6 dk okuma

VMware Cannot See Datastore Sorunu ve Çözüm Yolları

ESXi hostunuz datastore'ları göremiyor mu? VMware datastore erişim sorunlarının (PDL, APD) temel nedenleri ve adım adım çözüm yöntemlerini inceliyoruz.

Devamını Oku

Bültene Abone Olun

En son içgörüler, trendler ve uzman tavsiyeleri doğrudan posta kutunuza gelsin. IT profesyonelleri topluluğumuza katilin.

Gizliliğinize saygı duyuyoruz. İstediğiniz zaman abonelikten çıkabilirsiniz.