Zero Trust: Bir Ürün Değil, Süreçler ve Davranışlar Mimarisi

Zero Trust bugün neredeyse her güvenlik sunumunda geçen bir kavram. Ancak sahada karşılığına baktığımızda, çoğu zaman yanlış yerde, yanlış beklentiyle ve yanlış araçlarla ele alındığını görüyoruz. Bunun temel sebebi, Zero Trust’ın bir teknoloji ya da satın alınabilir bir ürün gibi konumlandırılması. Oysa Zero Trust; lisanslanan, kutulanan ya da tek bir vendor’dan alınan bir çözüm değildir. Zero Trust, bir mimari bakış açısıdır ve daha da önemlisi, bir davranış biçimidir.

Zero Trust’ın özü son derece nettir: Never trust, always verify.Hiçbir kullanıcıya, hiçbir cihaza, hiçbir bağlantıya varsayılan olarak güvenme. Güven, sürekli olarak yeniden kazanılan bir durumdur. Bu yaklaşım, klasik “içerisi güvenlidir, dışarısı tehlikelidir” varsayımını tamamen ortadan kaldırır. Çünkü modern IT dünyasında içerisi ve dışarısı artık net sınırlarla ayrılmış değildir.

Özetle:

  • Zero Trust bir ürün değil, mimari yaklaşımdır
  • Varsayılan güven kavramını reddeder
  • Sürekli doğrulama esasına dayanır
Zero Trust Genel Bakış

Zero Trust kavramı pratikte ilk olarak güvenlik üreticilerinin vizyonlarıyla şekillenmeye başladı. Özellikle network güvenliği tarafında uygulama farkındalığı, kullanıcı bazlı politika ve bağlam kavramları geliştikçe bu yaklaşım daha görünür hale geldi. Ancak burada önemli bir ayrım yapmak gerekir: Zero Trust herhangi bir üreticinin “sahip olduğu” bir konsept değildir. Gartner ve benzeri analistlerin çerçevelemesiyle kavramsallaşmış olsa da, Zero Trust tek bir teknolojiyle temsil edilemez.

Bunun sebebi şudur: Zero Trust, aynı anda birden fazla katmanın birlikte ve tutarlı şekilde çalışmasını zorunlu kılar. Network, güvenlik, kimlik, kullanıcı, cihaz ve uygulama katmanları birbirinden kopuk çalışıyorsa, Zero Trust yalnızca bir söylem olarak kalır. Mimari olarak karşılığı yoktur.

Bu bölümün özü:

  • Zero Trust vendor’a ait değildir
  • Tek bir teknolojiyle kurulamaz
  • Katmanlar arası tutarlılık gerektirir

Zero Trust mimarisi pratikte çok temel bir soruyla başlar:
“Bu kullanıcı ve bu cihaz, şu anda erişmek istediği kaynağa gerçekten erişmeli mi?”

Bu soruya anlamlı bir cevap verebilmek için ilk adım, network’e dahil olan kullanıcıların ve cihazların doğrulanmasıdır. Ofis, kampüs ya da fabrika gibi lokal ortamlarda bu doğrulama genellikle kimlik altyapıları üzerinden yapılır. Active Directory, LDAP veya modern identity provider’lar bu yapının merkezinde yer alır. Ayrıca, kullanıcıya hangi kaynaklara erişebileceği sadece kimliğine değil, rolüne ve risk durumuna göre belirlenir. Böylece erişim her zaman ihtiyaca ve güvenlik durumuna göre sınırlandırılmış olur. Ancak Zero Trust açısından önemli olan yalnızca kullanıcının kim olduğu değildir; cihazın durumu, kurumsal envantere ait olup olmadığı ve güvenlik politikalarına uygunluğu da bu kararın bir parçasıdır.

Yani kullanıcı doğru olsa bile, cihaz yanlışsa erişim yine sorgulanır. Bu yaklaşım, klasik “kullanıcı içerdeyse sorun yok” anlayışını kökten değiştirir.

Hatırlanması gerekenler:

  • Kullanıcı doğrulaması tek başına yeterli değildir
  • Cihaz kimliği ve durumu da değerlendirilir
  • Erişim kararı bağlama göre verilir

Şirket dışından çalışan kullanıcılar söz konusu olduğunda Zero Trust’ın önemi daha da artar. Uzaktan çalışma artık istisna değil, standarttır. Ancak birçok organizasyonda hâlâ klasik VPN mantığıyla hareket edilir: kullanıcı VPN’e bağlanır ve bir anda tüm lokal network’ün parçası haline gelir. Bu yaklaşım, Zero Trust değildir. Bu yalnızca uzaktan erişimdir.

Zero Trust is not a product but a layered security architecture
Zero Trust Overview

Zero Trust mimarisinde uzaktan erişim, “her yere erişim” anlamına gelmez. Kullanıcı yalnızca yetkili olduğu uygulamalara veya kaynaklara erişir. SSL VPN, client-based VPN ya da application-level erişim sağlayan çözümler burada devreye girer. Bazı yapılarda, kişisel VPN’e benzeyen ancak sadece belirli kaynaklara mikro tüneller açan çözümler tercih edilir. Amaç her zaman aynıdır: erişimi minimumda tutmak ve sürekli kontrol etmek.

Bu bölümün kilidi:

  • VPN ≠ Zero Trust
  • Erişim tüm network’e değil, kaynağa olmalıdır
  • Yetki sürekli kontrol edilir

Zero Trust’ı klasik güvenlik yaklaşımlarından ayıran bir diğer önemli nokta, doğrulamanın tek seferlik kabul edilmemesidir. Bir kullanıcı sabah sisteme giriş yapmış olabilir; bu, gün boyunca sorgusuz sualsiz erişim hakkı olduğu anlamına gelmez. Zero Trust mimarisinde doğrulama sadece bir kez yapılmaz; kullanıcı ve cihaz davranışı değiştikçe, erişim sürekli olarak yeniden değerlendirilir. Örneğin cihazda bir anormallik, kullanıcı konum değişikliği veya şüpheli davranış görülürse, sistem otomatik olarak ek doğrulama isteyebilir.

Bu noktada çok faktörlü kimlik doğrulama (MFA) devreye girer. Kullanıcı adı ve şifre doğrulamasından sonra SMS, mobil uygulama bildirimi, donanımsal token veya biyometrik doğrulama gibi ek katmanlar kullanılır. Bazı organizasyonlar bu doğrulamaları bilinçli olarak sıklaştırır. Özellikle mail server, finans sistemleri veya ERP gibi kritik uygulamalara erişimde, kullanıcıdan belirli aralıklarla kendini yeniden doğrulaması istenir.

Özetle:

  • Doğrulama süreklidir
  • MFA Zero Trust’ın temel bileşenidir
  • Kritik kaynaklarda periyotlar kısaltılır

Firewall katmanı, Zero Trust mimarisinde merkezi bir rol oynar. Ancak bu rol, klasik anlamda “internet çıkışını kontrol eden cihaz” olmaktan çok daha fazlasıdır. Zero Trust yaklaşımında firewall, kimlik ve bağlam farkındalığı olan bir karar noktasıdır. Bu nedenle firewall’un kimlik altyapılarıyla, NAC çözümleriyle ve 802.1X sistemleriyle entegre çalışabilmesi kritik önemdedir. Firewall üzerinde tanımlanan kurallar yalnızca IP veya port bazlı olmamalıdır. Kullanıcı, grup ve uygulama bazlı kurallar yazılabildiğinde Zero Trust gerçek anlamda uygulanabilir hale gelir. Çünkü aynı portu kullanan onlarca farklı uygulama olabilir. Asıl değerli olan, hangi kullanıcının hangi uygulamaya hangi koşullarda eriştiğini tanımlayabilmektir.

Bu katmanın özeti:

  • Firewall politika karar noktasıdır
  • Kimlik ve uygulama farkındalığı şarttır
  • Port bazlı kurallar yeterli değildir

Zero Trust yalnızca firewall ve VPN katmanında uygulanmaz. Aksine, mimarinin başladığı yer access katmanıdır. Kablolu ve kablosuz ağlarda yapılan ilk doğrulama, tüm yapının güvenliğini belirler. Klasik yapılarda switch portları statik VLAN’lara atanır, wireless tarafında ise çok sayıda SSID oluşturulur. Kullanıcı ve cihaz sayısı arttıkça bu yapı yönetilemez hale gelir. 802.1X ve NAC çözümleri bu noktada devreye girer. Tüm switch portları ve wireless erişimler merkezi bir sistem tarafından kontrol edilir. Kullanıcı veya cihaz network’e bağlanmadan önce doğrulanır ve bu doğrulama sonucuna göre dinamik olarak VLAN atanır veya politika uygulanır. Bu doğrulama ve politika sadece port veya SSID seviyesinde değil, kullanıcı ve uygulama düzeyinde de uygulanır. Böylece aynı ağ altyapısı üzerinde farklı kullanıcılar farklı erişim haklarına sahip olur ve kritik kaynaklar izole edilir. Böylece tek bir SSID veya tek bir fiziksel altyapı üzerinden farklı kullanıcı ve cihazlar güvenli şekilde ayrıştırılabilir.

Bu bölümün özü:

  • Zero Trust access katmanında başlar
  • 802.1X merkezi kontrol sağlar
  • Statik VLAN / SSID yapıları ölçeklenmez

Modern Zero Trust mimarilerinde yalnızca kullanıcı cihazları değil, network’e bağlanan tüm uçlar kontrol altına alınır. Yazıcılar, kameralar, IP telefonlar, kart okuyucular gibi cihazlar da doğrulama sürecine dahil edilir. Yeni nesil NAC çözümleri, yalnızca MAC adresine bakmak yerine; DHCP fingerprint, CDP/LLDP bilgileri ve cihaz üretici bilgileri gibi birçok parametreyi birleştirerek cihaz profillemesi yapar. Cihaz profillemesi sadece kimlik bilgisiyle sınırlı değildir; cihazın güncel olup olmadığı, güvenlik durumu veya kurumsal standartlara uygunluğu da değerlendirilir. Bu sayede yetkisiz veya riskli cihazların ağa bağlanması engellenir. Bu sayede network’e bağlanan her cihaz, kurumsal envanterle eşleştirilir ve yetkisiz bir cihazın sisteme sızması ciddi ölçüde zorlaşır.

Kilit noktalar:

  • Cihaz profilleme kritik önemdedir
  • MAC adresi tek başına yeterli değildir
  • Envanter entegrasyonu şarttır

Zero Trust mimarisinde misafir erişimleri bile kontrol altındadır. Guest portal’lar aracılığıyla misafir kullanıcılar doğrulamadan geçirilir ve yalnızca belirli süre ve yetkilerle erişim sağlanır. Misafirler genellikle sadece internete çıkabilir; şirket kaynaklarına erişimleri sınırlandırılır. Bu yaklaşım, Zero Trust’ın “herkes her yere erişemez” ilkesini fiziksel olarak da uygular.

Bu bölümün özeti:

  • Misafir erişimi sınırsız değildir
  • Süre ve yetki bazlı kontrol uygulanır
  • Güven varsayılmaz

Günün sonunda Zero Trust, katmanlı bir mimaridir. Network’e girişte doğrulama yapılır, trafik ve erişim firewall üzerinden kullanıcı ve uygulama bazlı olarak kontrol edilir, uygulama seviyesinde ise MFA ile ek doğrulama katmanları devreye girer. Bu katmanlar birlikte çalıştığında Zero Trust gerçekten hayata geçirilmiş olur. Zero Trust’ı başarılı kılan şey, tek bir noktaya güvenmek değil; her katmanda tutarlı şekilde doğrulama yapabilmektir.

Son kilit:

  • Zero Trust katmanlıdır
  • Tek bir kontrol noktası yeterli değildir
  • Süreç sürekli yaşar

Her katmanda erişim ve davranışlar izlenir ve kaydedilir. Anormal bir durum veya riskli hareket tespit edilirse, sistem otomatik olarak erişimi sınırlar veya ek doğrulama ister. Bu sürekli gözlem, Zero Trust’ın en kritik parçasıdır.

Sonuç

Zero Trust bir ürün değildir.
Tek bir cihazla kurulmaz.
“Kurduk, bitti” denilemez.

Zero Trust; firewall, switch ve wireless altyapılarının; kullanıcı ve cihaz bilgilerini merkezi bir noktadan alarak birlikte çalıştığı, erişimin her aşamada yeniden sorgulandığı yaşayan bir mimaridir. Bu yüzden Zero Trust’ı satın alınacak bir teknoloji değil, tasarlanacak ve işletilecek bir yetkinlik olarak görmek gerekir.

Not

Bu makale ilk olarak Substack’te daha kısa, anlatısal bir biçimde yayınlanmıştı.

Bu versiyon, serinin mimari temelini genişletiyor.

👉 Makaleyi Substack’te okuyun: [Burayı Tıklayın](https://substack.com/home/post/p-183954997