Blog'a Dön
Cybersecurity

ISO 27001 için Dell Server Yetkilendirme Nasıl Yapılır? Rehber (2026)

ISO 27001 için Dell Server Yetkilendirme Nasıl Yapılır? Rehber (2026)
ISO 27001 için Dell server yetkilendirme modelini; iDRAC erişimi, named account, rol matrisi, directory entegrasyonu, break-glass ve audit kanıtlarıyla açıklayan rehber.
Yayın Tarihi
15 Mayıs 2026
Güncellenme
15 Mayıs 2026
Okuma Süresi
14 dk okuma
Yazar
LeonX Expert Team

ISO 27001 için Dell Server yetkilendirme yapmak, birkaç kişiye iDRAC admin parolası vermek veya işletim sistemi admin grubunu daraltmak değildir. Sağlıklı model; iDRAC yönetim düzlemini işletim sisteminden ayırmak, named account kullanmak, yerel ve directory tabanlı rolleri belgelemek, ayrıcalıklı erişimi onaya bağlamak, ayrılan personeli hızlı kapatmak ve tüm bu süreci denetimde gösterilebilir loglarla kanıtlamaktır. Kısa cevap şudur: Dell server yetkilendirme, kim hangi yönetim yüzeyinde neyi yapabilir sorusunu risk, rol ve kanıt diliyle cevaplamaktır.

Bu rehber özellikle şu ekipler için hazırlandı:

  • ISO 27001 denetimine hazırlanan BT ve bilgi güvenliği ekipleri
  • Dell PowerEdge, iDRAC ve işletim sistemi yönetimi yapan sistem ekipleri
  • ayrıcalıklı erişim, offboarding ve erişim review süreçlerini yöneten operasyon ekipleri
  • sunucu yönetiminde ortak hesap kullanımını azaltmak isteyen kurumlar

Hızlı Özet

  • ISO/IEC 27001, bilgi güvenliği risklerini yönetmek için ISMS yaklaşımı ister; bu yüzden Dell server yetkilendirme tek cihaz ayarı değil, erişim yönetişimi kontrolüdür.
  • Dell iDRAC, işletim sisteminden bağımsız ayrı bir yönetim düzlemidir; bu nedenle OS admin yetkileriyle aynı mantıkta yönetilmemelidir.
  • Ortak root, admin veya paylaşılan iDRAC hesabı denetimde izlenebilirliği zayıflatır; named account ve rol bazlı yetki modeli kurulmalıdır.
  • iDRAC, işletim sistemi, directory grupları, servis hesapları ve break-glass hesapları ayrı erişim sınıfları olarak belgelenmelidir.
  • Lifecycle log, remote syslog, başarısız giriş ve yetki değişikliği kayıtları denetim kanıtı için kritik önemdedir.
  • En güçlü model; 90 günlük erişim review, 24 saatlik offboarding hedefi, break-glass incelemesi ve SIEM görünürlüğünü birlikte işletir.

İçindekiler

ISO 27001 için Dell server yetkilendirme rehberi için PowerEdge sunucu görseli

Görsel: Wikimedia Commons - Dell PowerEdge R610 and R720.

ISO 27001 Açısından Dell Server Yetkilendirme Neyi Kapsar?

ISO'nun resmi tanımına göre ISO/IEC 27001, bilgi güvenliği risklerini yöneten bir bilgi güvenliği yönetim sistemi standardıdır. Dell server yetkilendirme bu çerçevede yalnız kullanıcı ekleme işi değildir. Denetimde cevaplanması gereken sorular şunlardır:

  • PowerEdge donanım yönetimine kim erişebiliyor?
  • iDRAC üzerinde kim hangi role sahip?
  • işletim sistemi admin yetkisi ile iDRAC yetkisi ayrılmış mı?
  • directory grupları hangi sunucu sınıflarına erişiyor?
  • servis hesapları hangi otomasyon veya izleme işini yapıyor?
  • break-glass hesabı kim tarafından, hangi gerekçeyle, ne kadar süreyle kullanıldı?
  • erişim değişiklikleri ve başarısız girişler nerede loglanıyor?

Bu yüzden İş ve Yönetim Hizmetleri altında yer alan Siber Güvenlik Değerlendirme Hizmeti, Dell server yetkilendirme modelini yalnız teknik yapılandırma değil, denetlenebilir kontrol tasarımı olarak ele alır.

Yetkilendirme Katmanları Nasıl Ayrılmalı?

Dell sunucularda yetkilendirme tek katmanlı düşünülmemelidir. Aşağıdaki ayrım hem operasyon hem denetim için daha net bir model kurar.

KatmanRiskKontrol
iDRAC yönetim düzlemidonanıma işletim sistemi dışında erişimnamed account, rol ayrımı, yönetim ağı
İşletim sistemi adminleriOS ve servis değişikliğiyerel admin kısıtı, sudo/RBAC, MFA
Directory gruplarıtoplu yetki yayılımıAD/LDAP grup matrisi, 90 günlük review
Servis hesaplarıotomasyon ve izleme erişimiamaç, sahip, scope ve secret rotasyonu
Break-glass erişimacil ayrıcalıklı kullanımsüreli açma, olay sonrası inceleme

Bu ayrım yapılmadan "server admin" ifadesi çok geniş kalır. Bir kişinin Windows/Linux admin olması, iDRAC üzerinde sanal medya bağlayabilmesi, power action çalıştırabilmesi veya firmware değiştirebilmesi gerektiği anlamına gelmez.

iDRAC ve İşletim Sistemi Rolleri Nasıl Tasarlanmalı?

iDRAC ayrı bir güvenlik yüzeyidir

Dell iDRAC güvenlik dokümanları, iDRAC ve PowerEdge güvenliğini ayrı bir yönetim katmanı olarak ele alır. Bu pratikte şu anlama gelir:

  • iDRAC erişimi kullanıcı ağına açık bırakılmamalıdır
  • yerel root veya paylaşılan admin hesabı günlük operasyon hesabı olmamalıdır
  • directory entegrasyonu varsa gruplar role göre ayrılmalıdır
  • her kritik yönetim işlemi kişiye bağlanabilir olmalıdır
  • yerel hesaplar mümkünse acil durum ve servis senaryolarıyla sınırlı tutulmalıdır

Bu konu ISO 27001 için Dell iDRAC Güvenliği Nasıl Yapılandırılır? yazısındaki yönetim düzlemi sertleştirme mantığıyla birlikte okunmalıdır.

Rol matrisi nasıl kurulmalı?

Minimum rol matrisi şu pratik sınıfları içerebilir:

  • ReadOnly-Inventory: envanter, donanım durumu ve log görüntüleme
  • Server-Operator: kontrollü power action ve console erişimi
  • Firmware-Maintainer: onaylı bakım penceresinde firmware/BIOS değişikliği
  • Security-Auditor: log, configuration ve erişim raporu görüntüleme
  • BreakGlass-Admin: acil durumda süreli tam yetki

Rol matrisinde her rol için şunlar yazılı olmalıdır:

  • rol amacı
  • hangi sistem sınıfında kullanılacağı
  • onaylayan ekip
  • beklenen erişim süresi
  • log ve review gereksinimi
  • görevden ayrılma veya rol değişikliğinde kaldırma hedefi

Teknik uygulama tarafında Donanım & Yazılım Hizmetleri ve Sunucu Kurulum, Konfigürasyon ve Devreye Alma hizmetleri, PowerEdge kurulum standardının bu rol modeline uygun tasarlanmasını sağlar.

Break-Glass, Servis Hesabı ve Offboarding Nasıl Yönetilir?

Break-glass hesabı normal admin hesabı değildir

Break-glass hesabı kilitli bir çekmece hesabı gibi düşünülmemelidir; test edilmiş, izlenen ve kullanım sonrası incelenen bir acil durum yoludur. Sağlıklı model şunları içerir:

  • ayrı ve güçlü kimlik bilgisi
  • normal günlük operasyon dışında kullanım
  • kullanım gerekçesi ve ticket kaydı
  • kullanımdan sonra parola/secret rotasyonu
  • olay sonrası 24-48 saat içinde review

Servis hesapları insan hesabı gibi yönetilmemelidir

Monitoring, backup, envanter veya otomasyon araçları iDRAC veya OS üzerinde sınırlı erişim gerektirebilir. Bu hesaplar için minimum kayıt seti:

  • hesap sahibi ekip
  • erişim amacı
  • hangi cihaz veya subnet scope'u
  • hangi privilege seti
  • secret rotasyon periyodu
  • son kullanım ve son review tarihi

Bu yaklaşım, Dell Server SSH Güvenliği ISO 27001 Uyumu Rehberi yazısındaki uzaktan erişim sertleştirme prensipleriyle aynı kontrol ailesindedir.

Offboarding hedefi net olmalıdır

Ayrılan personelin hesaplarının günlerce açık kalması ISO 27001 açısından zayıf kontrol sinyalidir. Pratik hedef şu olabilir:

  • yüksek ayrıcalıklı hesaplar için aynı gün kapatma
  • kritik sistem erişimleri için 24 saat içinde doğrulama
  • AD grup üyelikleri için otomatik rapor
  • 90 günlük periyodik review ile kalan yetkilerin temizlenmesi

Bu hedefler resmi ISO sayısal gerekliliği gibi değil, denetimde savunulabilir işletim standardı olarak belgelendirilmelidir.

Audit Kanıtı ve Log Görünürlüğü Nasıl Kurulur?

Dell Lifecycle Log ve remote syslog/TLS dokümanları, yönetim olaylarını merkezi görünürlüğe taşıma açısından değerlidir. Yetkilendirme kontrolünün kanıtı şu kayıtlarla güçlenir:

  • kullanıcı oluşturma, silme ve rol değişikliği kayıtları
  • başarısız login denemeleri
  • iDRAC oturum ve yönetim olayları
  • firmware, BIOS ve power action kayıtları
  • directory grup üyelik raporu
  • erişim review çıktısı
  • break-glass kullanım ve sonrası inceleme kaydı

Bu loglar yalnız saklanmamalı, alarm ve inceleme sürecine bağlanmalıdır. SIEM ve Güvenlik Olay Yönetimi Entegrasyonu, özellikle ayrıcalıklı erişim ve yönetim düzlemi olaylarının merkezi takibi için bu blog konusunun tamamlayıcı hizmetidir.

Uygulama Kontrol Listesi

  • PowerEdge ve iDRAC envanteri güncel
  • iDRAC, OS admin, servis hesabı ve break-glass erişimleri ayrıştırıldı
  • ortak admin hesapları günlük operasyondan çıkarıldı
  • directory grup ve yerel kullanıcı matrisi belgelendi
  • roller least privilege prensibine göre sınıflandırıldı
  • yüksek ayrıcalıklı erişim için onay ve süre sınırı tanımlandı
  • servis hesaplarının sahibi, amacı ve secret rotasyonu yazıldı
  • offboarding için aynı gün veya 24 saatlik doğrulama hedefi tanımlandı
  • lifecycle log ve remote syslog/SIEM akışı doğrulandı
  • son 90 güne ait erişim review kanıtı hazırlandı

İlgili İçerikler

LeonX ile Sonraki Adım

ISO 27001 için Dell server yetkilendirme, tek bir admin hesabını kaldırmakla bitmez. iDRAC, işletim sistemi, directory grupları, servis hesapları, break-glass süreçleri ve log kanıtları aynı yetki modelinde birleşmelidir. LeonX, İş ve Yönetim Hizmetleri altında Siber Güvenlik Değerlendirme Hizmeti ile yetki risklerini görünür hale getirir; Donanım & Yazılım Hizmetleri altında Sunucu Kurulum, Konfigürasyon ve Devreye Alma ile PowerEdge yetkilendirme standardının teknik uygulamasını destekler. Mevcut ortamınızı değerlendirmek veya teklif almak için İletişim sayfasından ilerleyebilirsiniz.

İlgili sayfalar:

Sık Sorulan Sorular

Dell server yetkilendirme için ilk adım nedir?

İlk adım, iDRAC, işletim sistemi, directory grup, servis hesabı ve break-glass erişimlerini ayrı sınıflar olarak envantere almaktır.

Ortak iDRAC admin hesabı neden risklidir?

Çünkü işlem kişiye bağlanamaz. Denetimde kim giriş yaptı, kim değişiklik yaptı ve kim onayladı sorularına zayıf cevap üretir.

iDRAC yetkisi ile işletim sistemi admin yetkisi aynı şey midir?

Hayır. iDRAC işletim sisteminden bağımsız donanım yönetimi sağlar. Bu nedenle ayrı rol, ayrı erişim politikası ve ayrı log kontrolü gerekir.

Erişim review ne sıklıkla yapılmalı?

Kritik ve ayrıcalıklı erişimler için 90 günlük review pratik ve savunulabilir bir işletim standardıdır. Daha yüksek riskli ortamlarda daha sık review yapılabilir.

Denetimde hangi kanıtlar daha güçlüdür?

Kullanıcı/rol matrisi, directory grup raporu, lifecycle log örnekleri, yetki değişiklik kayıtları, offboarding çıktıları ve break-glass inceleme kayıtları birlikte güçlü kanıt üretir.

Kaynaklar

İç Link Rotası

Bu konu için ilgili hizmet sayfalarına geçin

Bu yazıyı daha hızlı ticari niyete bağlamak için ana hizmet, ilgili alt hizmet ve teklif akışını aşağıdan takip edebilirsiniz.

Ana Hizmet Sayfası

İş ve Yönetim Hizmetleri

Sayfaya Git

İlgili Alt Hizmet

Siber Güvenlik Değerlendirme Hizmeti

Sayfaya Git

Teklif / İletişim

İletişime Geç

Sayfaya Git

Paylaş

Facebook
Twitter
LinkedIn

İlgili Yazılar

Benzer konular hakkında daha fazlasını keşfedin

ISO 27001 için Dell Server BIOS Güvenliği Nasıl Sağlanır?
Cybersecurity
2026-06-03
15 dk okuma

ISO 27001 için Dell Server BIOS Güvenliği Nasıl Sağlanır?

Dell PowerEdge sunucularda BIOS, UEFI Secure Boot, TPM, iDRAC System Lockdown ve denetim kanıtlarını ISO 27001 kontrol yaklaşımıyla güvenli hale getirme rehberi.

Devamını Oku
ISO 27001 için Dell Server Network Security Nasıl Yapılır?
Cybersecurity
2026-05-26
15 dk okuma

ISO 27001 için Dell Server Network Security Nasıl Yapılır?

ISO 27001 için Dell server network security yaklaşımını; iDRAC yönetim ağı, VLAN, IP filtering, güvenli protokoller, SIEM ve denetim kanıtlarıyla açıklayan rehber.

Devamını Oku
5651 Projelerinde Arşivleme ve Saklama Stratejileri
Cybersecurity
2026-05-24
15 dk okuma

5651 Projelerinde Arşivleme ve Saklama Stratejileri

5651 projelerinde arşivleme ve saklama stratejilerini; trafik bilgisi kapsamı, süre yönetimi, log bütünlüğü, SIEM, KVKK ve denetim paketiyle açıklayan rehber.

Devamını Oku

Bültene Abone Olun

En son içgörüler, trendler ve uzman tavsiyeleri doğrudan posta kutunuza gelsin. IT profesyonelleri topluluğumuza katilin.

Gizliliğinize saygı duyuyoruz. İstediğiniz zaman abonelikten çıkabilirsiniz.