Size daha iyi hizmet sunabilmek için çerezleri kullanıyoruz.
Web sitemizde gezinme deneyiminizi geliştirmek, size kişiselleştirilmiş içerik ve hedefli reklamlar göstermek, web sitesi trafiğimizi analiz etmek ve ziyaretçilerimizin nereden geldiğini anlamak için çerezleri ve diğer izleme teknolojilerini kullanıyoruz.
⚠️
KVKK ve Çerez Politikası Bilgilendirmesi
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Aydınlatma Yükümlülüğü kapsamında; web sitemizin temel fonksiyonlarının çalışabilmesi, veri güvenliğinin sağlanması ve performans analizi yapılabilmesi için zorunlu çerezlerin kullanımı gerekmektedir. Çerez kullanımını reddetmeniz halinde, teknik imkansızlıklar ve veri senkronizasyonu kesintileri nedeniyle web sitemizdeki hizmetlerden yararlanmanız mümkün olmamaktadır. Sitemizdeki içeriklere erişebilmek için çerez kullanımını onaylamanız gerekmektedir.
Sıfır Güven Mimarisi ile Modern Ağ Stratejileri
Geleneksel ağ güvenliği yaklaşımları, uzun yıllar boyunca “kale ve hendek” (castle-and-moat) mantığına dayanıyordu. Bu yaklaşımda, ağın dışındaki her şey güvensiz, ağın içindeki her şey ise güvenilir kabul ediliyordu. Ancak bulut bilişim, uzaktan çalışma ve mobil cihazların yaygınlaşmasıyla birlikte, ağın artık net bir sınırı kalmadı. Sıfır Güven (Zero Trust) mimarisi, bu eski paradigmayı “asla güvenme, her zaman doğrula” (never trust, always verify) ilkesiyle tamamen değiştiriyor.
Şekil 1: Sıfır Güven Mimarisi ile Modern Ağ Stratejileri.
Sıfır Güven Mimarisi Hakkında Yanlış Bilinenler
Sıfır Güven, çoğu zaman yanlış anlaşılan veya pazarlama stratejilerine kurban giden bir kavram haline geldi. İşte bu alandaki temel yanılgılar:
Yanılgı 1: Sıfır Güven bir ürün veya yazılımdır: Sıfır Güven, satın alabileceğiniz bir kutu veya bir lisans değildir; bir güvenlik stratejisi ve mimari çerçevedir.
Yanılgı 2: Ağın içindeki kullanıcılar güvenilirdir: En büyük saldırı vektörlerinden biri, kimlik bilgileri çalınmış iç kullanıcılardır (insider threats). Sıfır Güven, içeriden gelen trafiğe de aynı şüpheyle yaklaşır.
Yanılgı 3: VPN, Sıfır Güven için yeterlidir: VPN, kullanıcıyı ağa dahil eder ve ona genellikle çok fazla yetki verir. Sıfır Güven ise “en az yetki” (least privilege) prensibiyle, kullanıcının sadece ihtiyacı olan kaynağa erişmesini sağlar.
Uygulama Adımları ve Teknik Gereklilikler
Sıfır Güven’e geçiş, bir gecede olacak bir süreç değil, sürekli bir iyileştirme döngüsüdür. Aşağıdaki adımlar teknik bir yol haritası sunar.
Hangi verilerin, uygulamaların ve hizmetlerin nerede olduğunu bilmeden koruma yapamazsınız. Tüm “Critical Data Assets” (CDA) listelenmelidir.
2. Mikro Segmentasyon Uygulamak
Ağı, küçük ve izole parçalara (micro-perimeters) ayırın. Eğer bir sunucu ele geçirilirse, saldırganın yatayda (lateral movement) ilerlemesi engellenmiş olur.
3. Kimlik ve Erişim Yönetimi (IAM)
Sıfır Güven’in kalbi kimliktir. Çok faktörlü kimlik doğrulama (MFA) standart olmalı ve erişim kararları “Context-Aware” (bağlamsal) olmalıdır.
Not: Erişim kararları verilirken kullanıcının konumu, cihazın sağlık durumu (patch seviyesi), kullanılan uygulama ve günün saati gibi parametreler bir puanlama sistemine tabi tutulmalıdır.
Teknik Uygulama: Kod ve Mimari
Sıfır Güven mimarisini uygulama aşamasında, Policy Decision Point (PDP) ve Policy Enforcement Point (PEP) kavramları kritik öneme sahiptir.
Örnek Senaryo: Erişim Kontrolü (Python / Flask ile)
Bir API ağ geçidinde, gelen her isteği doğrulayan basit bir mantık kurabiliriz.
from flask import Flask, request, jsonify
import jwt # PyJWT kütüphanesiapp = Flask(__name__)
# Sıfır Güven: Her istekte JWT ve context kontrolü yapılırdefverify_request(token, context):
try:
# JWT doğrulama payload = jwt.decode(token, 'SECRET_KEY', algorithms=['HS256'])
# Bağlamsal kontrol (Örn: Cihaz güvenli mi?)ifnot context.get('is_device_compliant'):
returnFalse, "Cihaz uyumsuz."returnTrue, payload
exceptExceptionas e:
returnFalse, str(e)
@app.route('/api/data', methods=['GET'])
defget_sensitive_data():
token = request.headers.get('Authorization')
context = {'is_device_compliant': True} # Gerçek uygulamada bu bir servis ile sorgulanır authorized, result = verify_request(token, context)
if authorized:
return jsonify({"data": "Hassas veriye erişim sağlandı."}), 200else:
return jsonify({"error": "Erişim reddedildi: "+ str(result)}), 403if __name__ =='__main__':
app.run(port=8080)
Yazılım Kaynakları ve Kütüphaneler
Sıfır Güven mimarisini ölçeklenebilir kılmak için modern araçlardan ve standartlardan yararlanılmalıdır:
Open Policy Agent (OPA): “Policy as Code” yaklaşımı için endüstri standardıdır. Karar mekanizmalarını (PDP) merkezi hale getirir.
SPIFFE/SPIRE: Mikro hizmetler arasında kimlik doğrulama için kullanılan açık kaynaklı bir araçtır. Hizmetlerin birbirine güvenliğini sağlar.
Istio (Service Mesh): Kubernetes ortamlarında mikro segmentasyon ve TLS üzerinden “mTLS” (Mutual TLS) trafiği yönetmek için idealdir.
HashiCorp Vault: Dinamik sır (secret) yönetimi ve kimlik tabanlı erişim kontrolü için vazgeçilmezdir.
Sürekli İzleme ve Analiz
Sıfır Güven, statik bir yapı değildir. SIEM (Security Information and Event Management) ve SOAR (Security Orchestration, Automation, and Response) platformları, ağdaki her anomalinin izlenmesi için kullanılmalıdır.
Loglama: Sadece giriş çıkışları değil, kullanıcıların hangi verilere ulaştığı ve hangi sorguları çalıştırdığı da loglanmalıdır.
Otomatik Yanıt: Bir kullanıcı hesabı normal dışı bir davranış sergilediğinde (örneğin gece yarısı beklenmedik bir veri çekimi), sistem otomatik olarak erişimi kısıtlamalı ve uyarı vermelidir.
Erişimi bağlamsal hale getirin (context-based access).
Otomasyon araçlarıyla (OPA, Istio gibi) manuel hataları minimize edin.
Sıfır Güven, kullanıcıların verimliliğini bozmak için değil, ağın dayanıklılığını artırmak için tasarlanmıştır. Bu mimariye geçişte en büyük zorluk teknik değil, kültüreldir. Güvenin bir varsayım değil, kazanılması gereken dinamik bir değişken olduğunu kabul ettiğinizde, modern ağ güvenliğinin temelini atmış olursunuz.
