Dell PowerEdge BIOS/UEFI Güvenlik SertleştirmeSecure Boot, TPM 2.0, iDRAC ve CIS Benchmark

Dell PowerEdge sunucularda BIOS (Basic Input/Output System) ve UEFI (Unified Extensible Firmware Interface) arasındaki fark yalnızca arayüz değildir; güvenlik modeli temelden farklıdır. 14. nesil (14G) ve sonrasında Dell, tüm sunucularda UEFI Class 3 uyumluluğu sağlamakta, CSM (Compatibility Support Module) desteğini kademeli olarak kaldırmaktadır. Bu geçiş, Secure Boot ve TPM gibi modern güvenlik özelliklerinin kullanımını zorunlu kılmaktadır.

Dell'in BIOS yönetim araçları üç katmanda çalışır: iDRAC9 (Integrated Dell Remote Access Controller), racadm CLI ve Redfish API. iDRAC9, BIOS ayarlarını işletim sistemi bağımsız olarak yönetmenizi sağlar; bu da bakım penceresinde bile güvenlik politikalarını uygulamanıza olanak tanır. Redfish API, DMTF standardını takip eder ve vendor-agnostic otomasyon imkânı sunar.

Secure Boot, UEFI firmware'in yalnızca güvenilir imzaya sahip boot loader ve kernel'ları yüklemesini sağlar. Dell PowerEdge'de Secure Boot varsayılan olarak Deployed Mode ile gelir; bu mod PK (Platform Key), KEK (Key Exchange Key), db (Signature Database) ve dbx (Forbidden Signatures Database) değişkenlerini içerir. Üretim ortamında bu anahtarları kuruluşunuzun özel sertifika yetkilisine göre özelleştirmeniz kritik önem taşır.

Dell, iki Secure Boot modu sunar: Standard Mode (Dell fabrika anahtarlarını kullanır) ve Custom Mode (kendi db/KEK sertifikalarınızı ekleyebilirsiniz). Özellikle özel imzalı kernel modülü kullanan ortamlarda Custom Mode zorunludur. Mevcut Secure Boot durumu racadm veya Redfish API ile sorgulanabilir ve değiştirilebilir.

Özel Sertifika Ekleme (Custom Mode)

Trusted Platform Module (TPM), kriptografik anahtarları güvenli biçimde depolayan ve platform bütünlüğünü ölçen bir donanım bileşenidir. Dell PowerEdge sunucularda fTPM (firmware TPM — Intel PTT) ve dTPM (discrete TPM — fiziksel çip) olmak üzere iki seçenek mevcuttur. Kurumsal ortamlarda, özellikle BitLocker veya TPM tabanlı disk şifreleme kullanan sistemlerde dTPM önerilir çünkü firmware güncellemelerinden etkilenmez.

TPM 2.0 etkinleştirildiğinde, PCR (Platform Configuration Register) kayıtları boot sürecinin her aşamasını ölçer ve değiştirilmemiş bir boot zincirini garanti eder. Bu mekanizma, önyükleyici manipülasyonu veya firmware değişikliği gibi tehditlere karşı koruma sağlar. Özellikle vTPM (sanal TPM) kullanan VMware ESXi ortamlarında dTPM varlığı zorunludur.

Dell PowerEdge BIOS, iki ayrı parola katmanı sunar: System Password (boot sırasında sistem başlatma parolası) ve Setup Password (BIOS ayarlarına erişim parolası). Güvenlik sertleştirme kapsamında her iki parolanın da ayarlanması gereklidir. Yalnızca Setup Password ayarlanmışsa, kullanıcı sistemi boot edebilir ancak BIOS ayarlarını değiştiremez — bu çoğu kurumsal senaryo için yeterli değildir.

USB external storage boot, PXE boot ve optik sürücüden boot gibi alternfatif önyükleme seçeneklerinin kısıtlanması da BIOS güvenliğinin ayrılmaz parçasıdır. Bir saldırgan fiziksel erişime sahipse yetkisiz bir ortamdan boot ederek şifrelenmemiş disk verilerine erişebilir. Bu nedenle Boot Sequence Lock ve External Media kısıtlamaları mutlaka uygulanmalıdır.

iDRAC9, BIOS'tan bağımsız bir güvenlik yüzeyi oluşturur. Varsayılan root/calvin kimlik bilgileri değiştirilmemiş iDRAC'lar, ağ erişimi olan bir saldırgan için kritik bir giriş noktası oluşturur. iDRAC güvenliği; kimlik doğrulama, ağ kısıtlamaları, TLS politikaları ve oturum yönetimi olmak üzere dört ana boyutu kapsar.

iDRAC9 ile Active Directory / LDAP entegrasyonu, sertifika tabanlı kimlik doğrulama ve IP whitelisting yapılandırılabilir. Ayrıca iDRAC üzerindeki Virtual Media ve Virtual Console özelliklerini yalnızca gerekli olduğunda etkinleştirmek, saldırı yüzeyini önemli ölçüde azaltır.

Büyük ölçekli ortamlarda her sunucuyu tek tek yapılandırmak hem zaman alıcı hem de hata yaratmaya yatkındır. Redfish API, tüm PowerEdge sunucularına aynı güvenlik politikasını programatik olarak uygulamanızı sağlar. Python tabanlı betikler veya Ansible playbook'ları ile yüzlerce sunucuyu idempotent biçimde sertleştirebilirsiniz.

Dell'in açık kaynak python-redfish-utility (iDRACulo) ve OpenManage Python SDK kütüphaneleri, Redfish çağrılarını soyutlayarak daha okunabilir otomasyon kodu yazılmasını kolaylaştırır. Aşağıdaki örnekler ham Redfish/curl ve Python SDK kombinasyonunu göstermektedir.

CIS (Center for Internet Security) Benchmark for Dell PowerEdge, sunucu güvenliğini değerlendirmek için endüstri standardı kontrol noktaları sağlar. Aşağıdaki kontrol listesi CIS Dell PowerEdge Server Benchmark v1.x ile uyumludur ve production ortamına geçmeden önce her maddeyi doğrulamanızı öneririz.

Güvenlik sertleştirme tek seferlik bir işlem değildir. Firmware güncellemeleri, yeni sunucu eklemeleri veya yanlış yapılandırmalar, güvenlik politikasının zamanla bozulmasına yol açabilir. Dell OpenManage Enterprise (OME) üzerinden yapılandırma uyumluluk profilleri oluşturabilir ve sapmaları otomatik olarak tespit edebilirsiniz.

iDRAC Lifecycle Controller logları, tüm BIOS değişikliklerini zaman damgalı biçimde kaydeder. Bu logların SIEM sistemine (Splunk, Elastic) iletilmesi, yetkisiz BIOS değişikliği girişimlerini gerçek zamanlı olarak algılamanızı sağlar. Redfish olay aboneliği ile kritik olaylar için push bildirim alabilirsiniz.

• ✓ Secure Boot tüm sunucularda Enabled durumda
• ✓ TPM 2.0 etkin ve owner parolası Vault'ta kayıtlı
• ✓ BIOS Setup Password ayarlanmış ve parola yöneticisinde
• ✓ Boot Mode: UEFI only (CSM devre dışı)
• ✓ iDRAC varsayılan parolası değiştirilmiş
• ✓ IPMI over LAN devre dışı
• ✓ iDRAC TLS 1.2+ enforced
• ✓ Lifecycle Controller logları SIEM'e iletiliyor