Zero Trust Nedir?
"Never Trust, Always Verify" — Hiçbir zaman güvenme, her zaman doğrula. Bu prensip, 2010 yılında Forrester Research tarafından ortaya atılan ve günümüzde kurumsal siber güvenliğin temel taşı haline gelen Zero Trust mimarisinin özüdür.
Geleneksel perimeter güvenlik anlayışı, ağın içindeki her şeyin güvenilir olduğunu varsayar. Zero Trust bu varsayımı tamamen ortadan kaldırır: Ağın içinde olman seni güvenilir yapmaz.
Zero Trust'ın üç temel prensibi:
- Açık doğrulama: Her erişim talebinde kimlik, cihaz sağlığı ve bağlam doğrulanır
- En az ayrıcalık: Kullanıcılar yalnızca ihtiyaç duydukları kaynaklara erişebilir
- İhlal varsayımı: Sisteme sızılmış gibi davranılır; lateral movement minimize edilir
Neden Zero Trust?
IBM 2024 Cost of Data Breach raporuna göre, veri ihlallerinin %67'si yetersiz kimlik doğrulama ve erişim kontrol mekanizmalarından kaynaklanmaktadır.
- Bulut ve hibrit çalışma modellerinde perimeter kavramı ortadan kalkmaktadır
- Ransomware ve lateral movement saldırıları her sektörde artmaktadır
- KVKK ve ISO 27001 uyumluluk gereksinimleri sıkılaşmaktadır
1. Kimlik ve Erişim Yönetimi (IAM/PAM)
Zero Trust'ın kalbi kimlik doğrulamadır. Her kullanıcı, her cihaz ve her uygulama için güçlü kimlik doğrulama zorunludur.
Çok Faktörlü Kimlik Doğrulama (MFA)
- TOTP: Google Authenticator, Microsoft Authenticator
- FIDO2/WebAuthn: Phishing-resistant hardware keys (YubiKey)
- Push notifications: Duo Security, Okta Verify
Conditional Access (Azure AD / Entra ID)
Politika: Kurumsal Uygulamalar Erişimi
Koşullar:
Kullanıcı: Tüm kullanıcılar
Uygulama: SharePoint, Teams, ERP
Cihaz: Sadece Intune kayıtlı ve compliant cihazlar
Risk skoru: Düşük veya orta
Kontroller:
MFA zorunlu
Compliant cihaz zorunlu
Oturum süresi: 8 saat2. Mikro Segmentasyon
Geleneksel VLAN tabanlı segmentasyon yetersiz kalmaktadır. Mikro segmentasyon, iş yükü ve uygulama seviyesinde granüler segmentasyon sağlar.
# NSX-T Distributed Firewall kuralı
Rule: DB-to-App-Only
Source: Web-Tier-SG
Destination: App-Tier-SG
Service: TCP/8080, TCP/8443
Action: ALLOW
Rule: Block-All-Other-East-West
Source: Any
Destination: Any
Service: Any
Action: BLOCK
Log: ENABLED3. ZTNA — Zero Trust Network Access
ZTNA, geleneksel VPN'in yerine geçen modern uzak erişim modelidir.
| Özellik | VPN | ZTNA |
|---|---|---|
| Erişim granülaritesi | Tüm ağ | Uygulama bazlı |
| Kimlik doğrulama | Bağlantıda bir kez | Her oturumda sürekli |
| Lateral movement riski | Yüksek | Çok düşük |
FortiGate ZTNA Konfigürasyonu
config ztna server
edit "internal-app-server"
set type tcp-forwarding
set server 192.168.10.50
set service 443
next
end
config firewall policy
edit 100
set name "ZTNA-App-Access"
set ztna-status enable
set ztna-ems-tag "compliant-device"
set logtraffic all
next
endZero Trust Yol Haritası
Faz 1 (0-3 Ay): MFA tüm kritik uygulamalara, PAM ile ayrıcalıklı hesaplar korunur
Faz 2 (3-6 Ay): EDR/XDR dağıtımı, cihaz uyumluluk kontrolü, SIEM kurulumu
Faz 3 (6-12 Ay): VPN'den ZTNA'ya geçiş, uygulama bazlı erişim politikaları
Faz 4 (12+ Ay): SOC ve tehdit avı programı, otomatik yanıt (SOAR)
Sonuç
Zero Trust mimarisi, modern siber tehditlere karşı en etkili savunma yaklaşımıdır. Yitser Teknoloji olarak Zero Trust değerlendirmesi, tasarımı ve uygulama hizmetleri sunuyoruz.
Bu konuda destek almak ister misiniz?
Teknoloji mimarlarımız mevcut altyapınızı ücretsiz değerlendiriyor ve size özel çözüm sunuyor.
