Kurumsal Siber Güvenlikte Sıfır Güven (Zero Trust) Mimarisi: Teoriden Uygulamaya

Zero Trust mimarisinin ilk ve en kritik bileşeni kimlik yönetimidir. Ağ konumu artık güven kaynağı değil; her erişim isteği kullanıcı kimliği, cihaz sağlığı ve davranış kontekstine göre değerlendirilmelidir. Bu, modern bir IAM (Identity and Access Management) platformu, MFA zorunluluğu, conditional access politikaları ve mümkün olduğunda parolasız (passwordless) kimlik doğrulama anlamına gelir.

Sahada uyguladığımız projelerde, FIDO2 tabanlı donanım anahtarları ve sertifika tabanlı cihaz doğrulamasının kombinasyonu, kimlik bilgisi hırsızlığına dayalı saldırıları %95'in üzerinde azalttı. Burada gözden kaçırılan nokta; servis hesapları ve API anahtarları gibi insan dışı kimliklerin de aynı disiplinle yönetilmesi gerektiğidir. Bir kurumda ortalama 45 insan dışı kimliğe karşılık 1 insan kimliği bulunur ve saldırganlar genellikle bu zayıf halkadan girer.

Klasik ağ tasarımlarında kuzey-güney (north-south) trafiği güvenlik duvarlarıyla denetlenirken, veri merkezi içindeki doğu-batı (east-west) trafiği büyük ölçüde serbest dolaşır. Saldırganların yatay hareket (lateral movement) için kullandığı tam da bu serbestlik alanıdır. Mikro-segmentasyon; her iş yükü için ayrı bir güvenlik politikası tanımlamayı ve yalnızca gerekli portlara/protokollere izin vermeyi sağlar.

Uygulamada, SDN tabanlı çözümler (NSX, Cisco ACI) veya host-based çözümler (Illumio, Guardicore) kullanılabilir. Önemli olan, segmentasyon politikalarının uygulama bağımlılık haritasına dayalı olarak tasarlanmasıdır. Kurumsal IT çözümlerimiz kapsamında, kurumların önce 60-90 günlük bir akış keşif (flow discovery) aşamasıyla mevcut bağımlılıkları çıkarmasını, ardından kademeli olarak "observe" modundan "enforce" moduna geçmesini öneriyoruz.

Zero Trust mimarisinin algılama katmanı, geleneksel SIEM ve EDR'nin ötesine geçen XDR (Extended Detection and Response) platformlarıyla güçlendirilir. XDR; endpoint, ağ, kimlik, e-posta ve bulut verilerini tek bir analitik motorda korele ederek tek başına bakıldığında masum görünen olayların oluşturduğu saldırı zincirini tespit eder.

Türkiye'de gözlemlediğimiz olgun SOC operasyonlarında, MTTR (Mean Time To Respond) süresi XDR + SOAR entegrasyonuyla 6 saatten 22 dakikaya düşürülebildi. Bu, fidye yazılım gibi saatler içinde tüm ortamı şifreleyebilen tehditlere karşı kritik bir fark yaratır. 7/24 yönetilen güvenlik hizmetleri ile bu olgunluğu kendi SOC'unu kuramayan kurumlar için de erişilebilir kılıyoruz.

Zero Trust mimarisinin nihai hedefi; ağ veya uç nokta değil, verinin kendisini korumaktır. Veri sınıflandırma, etiketleme (Microsoft Purview, Varonis), DLP politikaları ve mümkün olduğu her yerde uçtan uca şifreleme; bu hedefe ulaşmanın aracıdır. KVKK ve GDPR uyumluluğu da artık bu mimarinin doğal bir çıktısı olarak elde edilir.

Sahada gördüğümüz başarısızlık örüntülerinin en yaygını; DLP politikalarının kullanıcı deneyimini bozacak şekilde aşırı kısıtlayıcı tasarlanması ve birkaç hafta içinde devre dışı bırakılmasıdır. Doğru yaklaşım; kademeli bir olgunluk modeli (monitor → warn → block) ve iş birimleriyle birlikte tasarlanmış istisna politikalarıdır.

Zero Trust bir ürün değil, bir yolculuktur. CISA'nın Zero Trust Maturity Model'i; Identity, Devices, Networks, Applications ve Data olmak üzere beş sütunda Traditional → Initial → Advanced → Optimal şeklinde bir olgunluk eğrisi tanımlar. Türkiye'deki kurumların büyük çoğunluğu hâlâ Initial seviyesinde; Advanced'e geçiş tipik olarak 18-24 aylık bir dönüşüm gerektirir.

Bu dönüşümün başarısı, teknolojiden çok yönetişim ve değişim yönetimine bağlıdır. Üst yönetim sponsorluğu, iş birimleriyle ortak tasarım atölyeleri ve kademeli pilot uygulamalar; başarısız Zero Trust projelerinden öğrendiğimiz en önemli unsurlardır. Mevcut güvenlik mimarinizin değerlendirmesi için mühendislik ekibimizle bir görüşme planlayabilirsiniz.