Güvenlik ve Yönetim Konsolidasyonu

Proje Özeti

Okunan güvenlik uyarıları ve müşteri talepleri doğrultusunda yazılım firmasının üretim ve test ortamları ile kurum içi servisleri güçlendirildi. Formlarda yetkisiz erişim riski azaltıldı, parola ve kimlik doğrulama standartları yükseltildi, loglarda maskeleme uygulandı, ağ segmentasyonu ile servisler ayrıştırıldı. VMware ve FortiGate üzerinde görünürlük artırıldı, Veeam ile yedekleme güvenilirliği yükseltildi, 3CX ve Windows DNS tarafında sertleştirme yapıldı. Süreç tarafında ISO 27001 ile uyumlu politika ve prosedür seti devreye alındı.

Sorun ve beklentiler

1. Yetkisiz form erişimi ve bilgi ifşası riski kabul edilemez düzeydeydi.
2. Parola karmaşıklığı ve MFA kullanımı yetersizdi.
3. Log içeriklerinde kişisel verilerin maskelemesi yoktu.
4. Uygulama, veritabanı, VoIP ve yönetim servisleri aynı ağda konumlanmıştı.
5. Sanallaştırma katmanında yedekleme, test ve geri dönüş adımları belirsizdi.
6. Uyum gereklilikleri için politika ve rol tanımları eksikti.

Yaptıklarımız

1. Form güvenliği için CAPTCHA ve hız kısıtlama kuralları uygulandı, bot kaynaklı erişimler engellendi.
2. Tüm kritik hesaplarda MFA zorunlu hale getirildi, parola uzunluğu en az on altı karaktere çıkarıldı ve parola politikası standartlaştırıldı.
3. URL masking ve cookie takibi devreye alındı, erişim kayıtlarında kişisel veri maskelemesi yapıldı.
4. FortiGate üzerinde segmentasyon ve erişim listeleri kuruldu, yönetim ve servis ağları ayrıştırıldı.
5. VMware ortamında vCenter ve ESXi erişimleri rol temelli hale getirildi, yönetim arayüzleri yalnızca yetkili ağlardan ulaşıma açıldı.
6. Veeam ile yedekleme planları tanımlandı, günlük artımlı ve haftalık tam kopyalar oluşturuldu, geri dönüş senaryoları test edildi.
7. 3CX sunucularında TLS ve SRTP tercih edildi, gereksiz servisler kapatıldı, dış erişimler kural bazlı sınırlandı.
8. Windows DNS ve zaman sunucuları düzenlendi, adlandırma ve kayıt hijyeni sağlandı.
9. Linux üzerinde uygulama sunucuları ve veritabanı sertleştirildi, hizmet bazlı izinler ve loglama ilkeleri uygulandı.
10. ISO 27001 uyumlu politika ve prosedürler oluşturuldu; parola güvenliği, bulut güvenliği, değişiklik yönetimi, doküman kontrolü, kabul edilebilir kullanım, mobil cihaz ve uzak erişim başlıkları yayınlandı.
11. Risk envanteri ve varlık envanteri çıkarıldı, sahiplik ve etki seviyeleri atandı.
12. İç denetim listeleri ve kabul testleri hazırlanarak düzenli kontrol döngüsü başlatıldı.

Sonuç ve kazanımlar

1. Yetkisiz form erişimleri durduruldu ve uyarı kaynaklı olay sayısı azaldı.
2. Kimlik doğrulama kalitesi yükseldi, hesap ele geçirme vakaları önlendi.
3. Loglardan kişisel veri sızıntısı riski düşürüldü, denetime hazır kayıt düzeni sağlandı.
4. Ağ içinde yatay hareket imkanı zorlaştırıldı, iş kritik servisler izole edildi.
5. Yedekleme geri dönüş testleri başarıyla tamamlandı, kurtarma hedefleri ölçülebilir hale geldi.
6. Uyum gereklilikleri tek çatı altında toplandı, roller ve sorumluluklar netleşti.

Teslim edilenler

1. Politika ve prosedür seti, risk ve varlık envanterleri, kabul testleri ve kontrol listeleri.
2. Ağ ve sanallaştırma mimarisi için segmentasyon planı ve erişim kuralları.
3. Yedekleme planı, geri dönüş adımları ve test raporları.
4. 3CX, Linux ve Windows bileşenleri için sertleştirme rehberleri.
5. Yönetim özet raporu ve denetim için kanıt dosyaları.

Kullanılan teknoloji ve bileşenler

1. FortiGate güvenlik duvarı ve ağ segmentasyonu.
2. VMware vCenter ve ESXi üzerinde sanallaştırma.
3. Veeam ile yedekleme ve kurtarma.
4. Linux uygulama ve veritabanı sunucuları.
5. Windows Server DNS ve yönetim servisleri.
6. 3CX IP santral.