Geleneksel çevre güvenliği neden çöktü, sıfır güven modeli kurumlarda nasıl somutlaşır ve hangi araçlarla uygulanır?
Yıllarca kurumsal güvenlik mimarisinin temel varsayımı netti: kale ve hendek. Güvenlik duvarının dışı tehlikeli, içi güvenli kabul edilirdi. VPN ile içeri girene geniş yetki verilir, kimlik doğrulandıktan sonra kullanıcının ne yaptığı pek sorgulanmazdı. Bu yaklaşım, kullanıcıların ofiste, sunucuların veri merkezinde olduğu bir dünyada anlamlıydı.
Bugün hiçbiri öyle değil. Çalışanların önemli bölümü hibrit, uygulamaların büyük kısmı SaaS olarak bulutta, cihazlar BYOD politikalarıyla çeşitlenmiş durumda. Saldırganlar artık güvenlik duvarını delmek yerine, çalınmış kimlik bilgileriyle ön kapıdan giriyor. Bu yeni gerçeklikte tek savunulabilir ilke şudur: hiçbir şeye otomatik güvenme, her şeyi sürekli doğrula. Zero Trust mimarisinin çıkış noktası tam olarak budur.
Zero Trust Mimarisi Nedir?
Zero Trust (Sıfır Güven), kurumsal ağın iç ya da dış olarak ikiye ayrılmasını reddeden bir güvenlik felsefesidir. ABD Ulusal Standartlar ve Teknoloji Enstitüsü'nün (NIST) yayımladığı 800-207 numaralı özel yayın, bu modelin uluslararası referansı kabul edilir. Modelin üç temel ilkesi vardır:
- Açıkça doğrula: Her erişim talebi; kullanıcı kimliği, cihaz durumu, konum, davranış sinyalleri ve veri hassasiyeti gibi birden çok bağlamla doğrulanmalıdır. "Bir kez giriş yaptın, gün boyu serbestsin" mantığı geçersizdir.
- En az ayrıcalık ilkesi: Kullanıcılar ve sistemler, görevlerini yerine getirmek için yalnızca ihtiyaç duydukları kaynağa, ihtiyaç duydukları süre boyunca erişebilmelidir. Geniş yetki paketleri ve kalıcı admin hakları, ihlal anında saldırının yayılma alanını büyütür.
- İhlal varsay: Mimari, "saldırganın bir gün içeri girdiği" varsayımı üzerine kurulur. Mikro segmentasyon, sürekli izleme, oturum bazlı doğrulama ve hızlı yanıt yetenekleri bu varsayımın doğal sonucudur.
Zero Trust bir ürün değildir; bir mimari yaklaşımdır. Herhangi bir satıcı kutudan çıkar çıkmaz "sıfır güven" kuramaz. Bunun yerine kimlik, uç nokta, ağ, uygulama ve veri olmak üzere beş ana sütun (pillar) etrafında, mevcut güvenlik araçlarının orkestre edilmesiyle hayata geçirilir.
Zero Trust'ın Beş Sütunu ve Türkiye'deki Uygulama Gerçeği
NIST ve CISA'nın olgunluk modellerinde Zero Trust beş sütun üzerinden tanımlanır: kimlik, cihaz/uç nokta, ağ, uygulama iş yükü ve veri. Her sütun, kendi başına bir alan değil; birbiriyle sürekli sinyal alışverişinde bulunan bir bütünün parçasıdır.
Türkiye'deki kurumsal projelerin önemli bir bölümü Zero Trust yolculuğuna kimlik sütunundan başlar. Saldırıların büyük çoğunluğu çalınmış ya da yanlış yapılandırılmış kimliklerle başlıyor. Aktif Dizin (Active Directory) hâlâ pek çok kurumda kimlik omurgasıdır ve aşırı yetkili hesaplar, eski kullanıcılar, devre dışı bırakılmamış servis hesapları sıkça karşılaşılan zafiyetlerdir. Uç nokta sütunu ise hibrit çalışmayla birlikte kritikleşmiştir; bir cihazın "kurumsal" olması yetmez — güncel olup olmadığı, EDR ajanının çalışıp çalışmadığı, yama durumu erişim kararına girdi olarak beslenmelidir.
Kimlik Sütunu: ManageEngine PAM360, ADManager Plus ve ADAudit Plus
Zero Trust'ın kimlik tarafı üç soruyu sürekli sormalıdır: bu kullanıcı kim, hangi yetkilere sahip olmalı, ne yapıyor? ManageEngine portföyü bu üç soruya birbirini tamamlayan ürünlerle yanıt verir.
ManageEngine ADManager Plus kullanıcı yaşam döngüsünü yönetir; hesap oluşturma, grup üyeliği, rol değişimi ve hesap kapatma işlemlerini onay akışları üzerinden otomatikleştirir. En az ayrıcalık ilkesinin pratik sahası burasıdır. ManageEngine ADAudit Plus, AD üzerindeki her olayı kayıt altına alır ve anomali tespiti yapar — olağan dışı oturum açma saatleri, çoklu coğrafyadan eş zamanlı girişler, ayrıcalıklı grup üyeliklerine yapılan değişiklikler buradaki olay zinciriyle yakalanır. ManageEngine PAM360, ayrıcalıklı hesapların yönetiminde Zero Trust'ın belkemiğidir; domain admin, root, veritabanı yöneticisi gibi yetkili oturumlar geçici erişim, oturum kaydı, çift onay, parola otomatik rotasyonu ve kullanım sonrası iptal mekanizmalarıyla kontrol altına alınır.
Uç Nokta Sütunu: CrowdStrike Falcon ve Cihaz Güvenine Sürekli Doğrulama
Zero Trust modelinde bir cihaza erişim verilirken sorulan soru "bu cihaz domain'e dahil mi?" değildir. Soru daha derindir: bu cihaz şu an sağlıklı mı, üzerinde aktif tehdit göstergesi var mı, hangi süreçler çalışıyor?
CrowdStrike Falcon Insight (EDR/XDR), uç noktalardan sürekli telemetri toplayarak bu soruyu gerçek zamanlı yanıtlar. Davranış tabanlı tespit, makine öğrenmesi destekli analiz ve tehdit istihbaratı entegrasyonu, imza tabanlı antivirüsün çok ötesinde bir görünürlük sağlar. CrowdStrike Falcon Identity Protection ise kimlik ve uç noktayı birleştirerek AD ve Entra ID üzerindeki kimlik tabanlı saldırıları (Pass-the-Hash, Kerberoasting, anormal yetki kullanımı) tespit eder. ManageEngine ADAudit Plus'ın AD-merkezli denetim katmanıyla birleştiğinde kimlik tarafında çok katmanlı bir savunma çıkar.
İki ürün ekosisteminin birlikte çalıştığı senaryo Zero Trust'ın kurumsal yansımasını gösterir: kullanıcı PAM360 üzerinden yetkili oturum talep eder, oturum açılırken cihazın Falcon sağlık durumu sorgulanır, AD üzerindeki kimlik anormalliği ADAudit Plus + Falcon Identity tarafından paralel izlenir, tüm olaylar SIEM'e (örneğin ManageEngine Log360) akar.
Zero Trust'a Kademeli Geçiş: Pratik Yol Haritası
Tam ölçekli bir Zero Trust mimarisini bir günde kurmak gerçekçi değildir. Türkiye'de başarılı projelerin ortak özelliği, kademeli ve ölçülebilir bir geçiş planını izlemeleridir. Önerilen sıralama şudur: önce ayrıcalıklı hesapların envanteri ve kontrolü — domain admin, sunucu yöneticileri, servis hesapları PAM çatısı altına alınır. Ardından **kimlik yaşam döngüsü otomasyonu** ile manuel hata payı sıfırlanır.
Sonraki adım uç nokta görünürlüğünün EDR/XDR seviyesine çıkarılmasıdır. Daha sonra **mikro segmentasyon ve uygulama bazlı erişim** konumlandırılır; ağ tabanlı geniş yetki yerine kullanıcı + uygulama + cihaz + bağlam üçlüsüne dayalı politikalar yazılır. Son katmanda veri sınıflandırma (örneğin ManageEngine DataSecurity Plus) eklenir. Her adım kendi başına ölçülebilir bir güvenlik kazancı sağlar; mimari hedef bütündedir, fakat değer her sprint sonunda görünür hale gelir.
ZTNA, SASE ve Zero Trust Arasındaki Fark
Bu üç terim sıkça birbirinin yerine kullanılsa da kapsamları farklıdır. Zero Trust bir mimari ilke ve felsefedir. ZTNA (Zero Trust Network Access), bu ilkenin uzaktan erişim katmanına uygulanmış halidir; geleneksel VPN'in yerini alarak kullanıcıyı doğrudan ağa değil, yetkili olduğu uygulamalara bağlar. SASE (Secure Access Service Edge) ise daha geniş bir bulut tabanlı güvenlik şemsiyesidir; ZTNA'yı, güvenli web ağ geçidini, CASB'yi ve SD-WAN'ı bir arada sunan birleşik hizmet modelidir. Bir kurum ZTNA'yı uygulamış olabilir, ama bu tek başına Zero Trust mimarisi anlamına gelmez.
Sonuç: Zero Trust Bir Hedef Değil, Sürekli Bir Disiplindir
Zero Trust, "bitirildi" denilebilecek bir proje değildir. Ürünler değişir, tehdit manzarası evrilir, iş süreçleri yeni erişim ihtiyaçları doğurur. Modelin kalıcı kazancı, kurumun güvenlik kararlarını kalıcı varsayımlar yerine sürekli doğrulanan sinyallere dayandırmasıdır. Bu hem ihlal halinde yayılma alanını daraltır hem de denetim ve uyumluluk gereksinimlerini doğal biçimde karşılar. Doğru ürün kombinasyonu ve organizasyonun olgunluğuna uygun bir hız, bu yolculuğu başarılı kılar.
Technodus'un Rolü
Technodus olarak ManageEngine ve CrowdStrike yetkili iş ortaklığımızla, kurumların Zero Trust yolculuğunu mimari bir disiplinle planlıyor; mevcut altyapının olgunluk seviyesini çıkartıyor, ürünleri doğru sırada konumlandırıyor ve geçişi ölçülebilir adımlara bölüyoruz. Kurumunuza uygun bir Zero Trust yol haritası için demo veya keşif görüşmesi talep edebilirsiniz.