Kale-Hendek Güvenliğinin Sonu
Onlarca yıl boyunca kurumsal güvenlik kale-hendek modeline dayandı: güçlü bir çevre (güvenlik duvarı) inşa et ve içerideki her şeye güven. Şirket ağındaki çalışanlar güvenilirdi. VPN kullanıcıları güvenilirdi. İç servisler serbestçe iletişim kuruyordu.
Sonra bulut bilişim, uzaktan çalışma ve çevre güvenliğini tamamen atlayan sofistike saldırılar geldi. 2020 SolarWinds ihlali, ağ içindeki saldırganların aylarca fark edilmeden yanal hareket edebildiğini kanıtladı. CrowdStrike kesintisi ise güvenlik ajanlarının çekirdek seviyesinde ne kadar derine gömüldüğünü ve başarısız olduklarında neler olabileceğini gösterdi.
Sıfır Güven modeli işleri tersine çeviriyor: ağın zaten ele geçirildiğini varsay. Her isteği, her seferinde, nereden geldiğine bakılmaksızın doğrula.
Sıfır Güvenin Temel İlkeleri
NIST SP 800-207 çerçevesi, Sıfır Güveni şu ilkelerle tanımlar:
1Sıfır Güven Mimarisi İlkeleri:
2
31. Açıkça Doğrula
4 └─ Tüm veri noktalarına dayanarak kimlik doğrulama ve yetkilendirme yap:
5 kimlik, konum, cihaz sağlığı, servis, veri sınıflandırması,
6 anomaliler ve gerçek zamanlı risk değerlendirmesi
7
82. En Az Ayrıcalık Erişimi Kullan
9 └─ Kullanıcı erişimini şunlarla sınırla:
10 ├─ Tam Zamanında (JIT) erişim
11 ├─ Yeterli Düzeyde Erişim (JEA)
12 ├─ Risk tabanlı uyarlanabilir politikalar
13 └─ Veri koruma (şifreleme, segmentasyon)
14
153. İhlal Varsay
16 └─ Patlama yarıçapını küçült ve erişimi segmentlere ayır:
17 ├─ Mikrosegmentasyon
18 ├─ Uçtan uca şifreleme
19 ├─ Sürekli izleme
20 └─ Otomatik tehdit algılama ve müdahaleGeleneksel Güvenlik vs. Sıfır Güven
| Boyut | Geleneksel (Çevre) | Sıfır Güven |
|---|---|---|
| Güven modeli | İçeriye güven, dışarıyı engelle | Asla güvenme, her zaman doğrula |
| Ağ erişimi | VPN sonrası tam erişim | Kaynak başına erişim |
| Kimlik doğrulama | Girişte bir kez | Sürekli doğrulama |
| Yetkilendirme | Rol tabanlı, statik | Bağlam duyarlı, dinamik |
| Ağ segmentasyonu | Düz iç ağ | Mikrosegmentli |
| Yanal hareket | İçeri girince kolay | Varsayılan olarak engelli |
| Veri koruma | Çevre şifrelemesi | Uçtan uca şifreleme |
| İzleme | Çevre günlükleri | Tüm trafik, tüm uç noktalar |
| Uzaktan çalışma | Ofise VPN tüneli | Doğrudan buluta erişim |
| İhlal varsayımı | Önlenebilir | Kaçınılmaz—etkiyi minimize et |
Sıfır Güven Mimari Yığını
Eksiksiz bir Sıfır Güven uygulaması birden fazla katman içerir:
1Sıfır Güven Mimari Yığını:
2
3┌──────────────────────────────────────────┐
4│ Kimlik ve Erişim │
5│ ├─ Kimlik Sağlayıcı (Azure AD, Okta) │
6│ ├─ Çok Faktörlü Kimlik Doğrulama (MFA) │
7│ ├─ Koşullu Erişim Politikaları │
8│ └─ Ayrıcalıklı Erişim Yönetimi (PAM) │
9├──────────────────────────────────────────┤
10│ Cihaz Güvenliği │
11│ ├─ Uç Nokta Algılama ve Müdahale (EDR) │
12│ ├─ Cihaz Uyumluluk Kontrolleri │
13│ ├─ Mobil Cihaz Yönetimi (MDM) │
14│ └─ Cihaz Sağlık Doğrulaması │
15├──────────────────────────────────────────┤
16│ Ağ Güvenliği │
17│ ├─ Mikrosegmentasyon │
18│ ├─ Yazılım Tanımlı Çevre (SDP) │
19│ ├─ DNS Filtreleme │
20│ └─ Şifreli İletişim (mTLS) │
21├──────────────────────────────────────────┤
22│ Uygulama Güvenliği │
23│ ├─ Güvenli Erişim Hizmet Kenarı (SASE) │
24│ ├─ Bulut Erişim Güvenlik Aracısı (CASB)│
25│ ├─ Web Uygulama Güvenlik Duvarı (WAF) │
26│ └─ Kimlik Doğrulamalı API Gateway │
27├──────────────────────────────────────────┤
28│ Veri Güvenliği │
29│ ├─ Veri Kaybını Önleme (DLP) │
30│ ├─ Durağan ve Aktarım Şifrelemesi │
31│ ├─ Veri Sınıflandırma │
32│ └─ Haklar Yönetimi │
33├──────────────────────────────────────────┤
34│ Görünürlük ve Analitik │
35│ ├─ SIEM (Güvenlik Bilgi ve Olay Yön.) │
36│ ├─ UEBA (Kullanıcı Davranış Analizi) │
37│ ├─ SOAR (Otomatik Müdahale) │
38│ └─ Sürekli Uyumluluk İzleme │
39└──────────────────────────────────────────┘Google BeyondCorp: Sıfır Güvenin Öncüsü
Google BeyondCorp, büyük ölçekli ilk Sıfır Güven uygulamalarından biriydi. 2009'daki Operation Aurora saldırısından (Çinli bilgisayar korsanlarının Google altyapısını hedef alması) sonra Google, ayrıcalıklı iç ağ kavramını tamamen ortadan kaldırmaya karar verdi.
BeyondCorp ilkeleri:
- Servislere erişim, ağ konumuna göre belirlenmez
- Erişim, cihaz durumu ve kullanıcı kimlik bilgilerine dayanarak verilir
- Tüm servis erişimleri kimlik doğrulamalı, yetkilendirilmiş ve şifreli olmalıdır
- Erişim politikaları dinamiktir ve cihaz durumuna göre değişebilir
1BeyondCorp Erişim Akışı:
2
3Kullanıcı İsteği → Erişim Proxy → Politika Motoru
4 │
5 ┌───────────────┼───────────────┐
6 │ │ │
7 Kullanıcı Kimliği Cihaz Güveni Kaynak Politikası
8 (kim olduğun?) (cihaz sağlıklı (bu kaynağa erişim
9 mı?) iznin var mı?)
10 │ │ │
11 └───────────────┼───────────────┘
12 │
13 Erişim Kararı
14 ┌────────┴────────┐
15 │ │
16 İZİN VER REDDET
17 (günlükleme ile) (günlükleme ile)Her Google çalışanı iç servislere bu sistem üzerinden erişiyor—VPN'e gerek yok. Aynı model artık diğer kuruluşlar için BeyondCorp Enterprise olarak sunuluyor.
Sıfır Güven Uygulaması: Pratik Adımlar
Adım 1: Kimlik Merkezli Güvenlik
Kimliği yeni çevre olarak konumlandır. Her erişim kararı güçlü kimlik doğrulama ile başlar:
1# Örnek: Azure AD Koşullu Erişim Politikası
2policy:
3 name: "Tüm bulut uygulamaları için MFA zorunlu"
4 conditions:
5 users:
6 include: tum_kullanicilar
7 exclude: acil_durum_hesaplari
8 applications:
9 include: tum_bulut_uygulamalari
10 locations:
11 include: tum_konumlar
12 device_platforms:
13 include: [android, iOS, windows, macOS, linux]
14 sign_in_risk_levels: [dusuk, orta, yuksek]
15 grant_controls:
16 operator: AND
17 built_in_controls:
18 - mfa
19 - uyumlu_cihaz
20 session_controls:
21 sign_in_frequency: 12_saat
22 persistent_browser: aslaAdım 2: Mikrosegmentasyon
Düz ağı izole segmentlere ayır. Her iş yükü yalnızca açıkça izin verilen eşlerle iletişim kurar:
1# Kubernetes Ağ Politikası — Sıfır Güven mikrosegmentasyonu
2apiVersion: networking.k8s.io/v1
3kind: NetworkPolicy
4metadata:
5 name: api-server-politikasi
6 namespace: production
7spec:
8 podSelector:
9 matchLabels:
10 app: api-server
11 policyTypes:
12 - Ingress
13 - Egress
14 ingress:
15 - from:
16 - podSelector:
17 matchLabels:
18 app: api-gateway
19 ports:
20 - protocol: TCP
21 port: 8080
22 egress:
23 - to:
24 - podSelector:
25 matchLabels:
26 app: postgres
27 ports:
28 - protocol: TCP
29 port: 5432
30 - to:
31 - podSelector:
32 matchLabels:
33 app: redis
34 ports:
35 - protocol: TCP
36 port: 6379
37# Varsayılan: diğer tüm ingress/egress trafiği engellenirAdım 3: mTLS ile Sürekli Doğrulama
Her servisten servise iletişim kimlik doğrulamalı ve şifreli olmalıdır:
1# Python'da Karşılıklı TLS (mTLS) doğrulaması
2import ssl
3import http.client
4
5def create_mtls_connection(host, port):
6 """Karşılıklı TLS kimlik doğrulaması ile bağlantı oluştur."""
7 context = ssl.SSLContext(ssl.PROTOCOL_TLS_CLIENT)
8
9 # Sunucu sertifikası doğrulaması
10 context.load_verify_locations("/etc/ssl/certs/ca-bundle.crt")
11
12 # İstemci sertifikası (kimliğimizi sunucuya kanıtlar)
13 context.load_cert_chain(
14 certfile="/etc/ssl/certs/client.crt",
15 keyfile="/etc/ssl/private/client.key"
16 )
17
18 context.check_hostname = True
19 context.verify_mode = ssl.CERT_REQUIRED
20
21 conn = http.client.HTTPSConnection(host, port, context=context)
22 return conn
23
24# Hem istemci hem sunucu birbirinin kimliğini doğrular
25conn = create_mtls_connection("api.internal.example.com", 443)
26conn.request("GET", "/api/v1/data")
27response = conn.getresponse()SASE: Bulut Çağının Sıfır Güven Ağı
Güvenli Erişim Hizmet Kenarı (SASE), ağ ve güvenlik hizmetlerini tek bir bulut tabanlı serviste birleştirir. Dağıtık kuruluşlar için Sıfır Güveni pratikte uygulanabilir kılan ağ mimarisidir:
| SASE Bileşeni | İşlev | Yerine Geçtiği |
|---|---|---|
| SD-WAN | Akıllı trafik yönlendirme | Geleneksel WAN/MPLS |
| SWG (Güvenli Web Ağ Geçidi) | Web filtreleme, zararlı yazılım tarama | Yerinde proxy cihazları |
| CASB | Bulut uygulama görünürlüğü ve kontrolü | Gölge BT denetimleri |
| ZTNA (Sıfır Güven Ağ Erişimi) | VPN olmadan uygulama bazlı erişim | Geleneksel VPN |
| FWaaS (Hizmet Olarak Güvenlik Duvarı) | Bulut tabanlı güvenlik duvarı | Donanımsal güvenlik duvarları |
Öncü sağlayıcılar: Zscaler, Cloudflare One, Palo Alto Prisma, Netskope.
Olgunluk Modeli: Neredesiniz?
| Seviye | Tanım | Özellikler |
|---|---|---|
| Seviye 0 | Geleneksel çevre | Güvenlik duvarı + VPN, düz iç ağ |
| Seviye 1 | Kimlik farkında | MFA dağıtılmış, bulut uygulamalar için SSO |
| Seviye 2 | Cihaz farkında | Uç noktalarda EDR, cihaz uyumluluk kontrolleri |
| Seviye 3 | Mikrosegmentli | İş yükü başına ağ politikaları, servisler arası mTLS |
| Seviye 4 | Uyarlanabilir | Gerçek zamanlı risk puanlama, otomatik müdahale, tam SASE |
| Seviye 5 | Otonom | Yapay zeka güdümlü politika, kendi kendini iyileştirme, sürekli doğrulama |
2024'te çoğu kuruluş Seviye 1 ile Seviye 2 arasında. Tam Seviye 4+ uygulamalar, Google, Microsoft ve Netflix gibi teknoloji devleri dışında hâlâ nadir.
Gerçek Dünyadan Benimseme Örnekleri
- ABD Hükümeti: Yürütme Emri 14028 (Mayıs 2021), tüm federal kurumlar için 2024'e kadar Sıfır Güven zorunluluğu getirdi
- Microsoft: İç kaynaklarının %90'ının Sıfır Güven kontrolleri arkasında olduğunu raporluyor
- Cloudflare: Kendi kurumsal VPN'lerini Cloudflare Access (ZTNA) ile değiştirdi
- Finans sektörü: PCI DSS 4.0, kart sahibi verilerinin korunmasında Sıfır Güven ilkeleriyle uyum sağlıyor
Zorluklar ve Tuzaklar
- Karmaşıklık: Sıfır Güven bir ürün değil—bir mimaridir. Hiçbir tek satıcı her şeyi kapsamaz
- Eski sistemler: Ana bilgisayarlar ve OT (operasyonel teknoloji) sistemleri genellikle modern kimlik doğrulamayı destekleyemez
- Kullanıcı sürtünmesi: Sürekli doğrulama, kötü uygulandığında kullanıcıları hayal kırıklığına uğratabilir
- Maliyet: Tam uygulama; kimlik, EDR, SASE ve SIEM yatırımı gerektirir
- Kültürel dönüşüm: "Güven ama doğrula" → "asla güvenme" zihinsel değişimi, kurumsal değişim yönetimi gerektirir
Nereden Başlamalı?
Sıfır Güven yolculuğuna başlayan kuruluşlar için:
- Kimlikle başla: MFA'yı her yere dağıt, SSO uygula
- Varlıkları envantere al: Bilmediğin şeyi koruyamazsın
- Veriyi sınıflandır: Taç mücevherleri belirle, önce onları koru
- Ağı segmentlere ayır: Kritik iş yüklerinden başla
- Her şeyi izle: SIEM dağıt, tüm sistemlerde günlüklemeyi etkinleştir
- Yinele: Sıfır Güven bir hedef değil, bir yolculuktur
Kale-hendek çağı sona erdi. Bulut, uzaktan çalışma ve sofistike tehditlerin dünyasında Sıfır Güven isteğe bağlı değil—minimum uygulanabilir güvenlik mimarisidir.
Kaynaklar: NIST SP 800-207, Google BeyondCorp, CISA Sıfır Güven Olgunluk Modeli
