Kurumlarda Kritik Sistemlerin Fiziksel Güvenlğinin Sağlanması

Güvenlik, alınabilecek fiziksel güvenlik önlemlerinin yerine getirilmesi ile başlar. Bu yazıda kurum içerisinde kritik sistemlerin fiziksel güvenliğini sağlanmak için alınabilecek temel önlemler listelenecktir.

Fiziksel olarak erişilebilen sunuculara yapılabilecek çok sayıda ve basit saldırı tipi bulunmaktadır. Güvenlik ihlallerinin büyük çoğunluğunun kurum içerisinden geldiği gerçeği unutulmamalıdır. Tüm bilgisayarların fiziksel olarak korunması pratik ve mümkün olmayabilir fakat en azından sunucular ve kritik sistemler için yeteri seviyede fiziksel güvenlik önlemlerinin alınması gerekir. Etki alanı sunucuları, IIS sunucuları, Exchange sunucuları, yedekleme dosyalarının tutulduğu sunucular, veritabanlarının saklandığı sunucular kritik sunuculardan bazılarıdır. Alınabilecek bir takım fiziksel güvenlik önlemleri şu şekildedir:

• Kritik sistemler erişim kontrolünün yapıldığı kilitli odalarda tutulmalıdır.
• Sunucuların bulunduğu sistem odalarına temizlik personeli dahil giren çıkan herkesin kaydı tutulmalıdır. Giriş ve çıkış işlemlerini yapan kişilerin bilgileri, amacı, işlem saati bu kayıtlarda bulunmalıdır. Bu kayıtlar incelenmeli ve denetlenmelidir.
• Sistem yöneticileri de dahil bu odalara mümkünse kimsenin yalnız başına girmesine izin verilmemelidir.
• Girişlerde biyometrik ispatlama, akıllı kart, parola gibi denetleyici çözümler kullanılmalıdır. Girişlerde anahtar bulunuyorsa bu anahtarın bulunduğu kullanıcılar uygun olarak belirlenmeli ve denetlenmelidir.
• Kullanılan kamera gibi izleme sistemlerinin etkin bir şekilde çalıştığı, uygun şekilde görüş açısının ayarlandığı, görüntü kalitesinin yeterli olduğu garanti altına alınmalıdır.
• Fiziksel erişimlerde sunucuların tutulduğu kısım ile mouse, klavye gibi sistemlere erişimlere sağlayan kısım ayrılmalıdır. Sunuculara fiziksel olarak yakın durulmamalıdır.
• Elektrik kesintisi için jeneratörler, akım kontrolü için UPS gibi ekipmanlar kullanılmalıdır.
• Sistemler yedekli olarak çalışmalı ve yedek sistemler fiziksel olarak farklı yerleşkelerde tutulmalıdır. Yedek sistemlerin çalıştığı yerleşkelerde de aynı fiziksel önlemler alınmalıdır.
• Kritik Microsoft sunucularının disklerini korumak için EFS veya Bitlocker gibi teknolojiler ile veri şifreleme gerçekleştirilebilir. EFS ile dosya ve klasör şifreleme gerçekleştirilebilirken, Bitlocker ile belli bir diskin veya tüm diklerin şifrelemesi gerçekleştirilebilmektedir.
• Kritik Microsoft sunucularda yerel kullanıcıların parola özet bilgilerini ve EFS özel anahtarlarını korumak için SYSKEY.exe aracı kullanılabilir. Bu verilere erişim için SYSKEY parolası veya floppy diskler kullanılabilir. Bu parola unutulduğunda veya disket zarar gördüğünde şifreli verilere erişilemez. Ayrıca SYSKEY koruması aktive edildikten sonra devre dışı bırakılamadığından ihtiyaç iyi analiz edilmeli, başka bir teknoloji kullanılamıyorsa tercih edilmelidir.

Organizasyondaki güvenlik politikaları gereğince yapılan teknik denetimler kapsamında veya bağımsız olarak fiziksel kontroller belirli aralıklarla denetlenmelidir. Bu denetimler sırasında BT personelinin yanında bu konunun uzmanı personelden de destek alınmalıdır.