| https://www.fatihyildirim.tr |
|
|
|
|
|
mikro Veri Merkezi |
|
| |
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| Siber Güvenlik
Ağ Mimarisi |
|
|
|
|
|
|
|
|
| Sıfır
Güven Mimarisi ZTA |
|
|
|
|
|
|
|
|
| Mikro Segmentasyon |
|
|
|
|
|
|
|
|
| Advanced Threat Life
Cycle |
|
|
|
|
|
|
|
|
| Advanced Threat
Protection (ATP) Framework |
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
| Internal
Segmentation |
|
| |
Son Günceleme: 24.02.2026 r.02.01 |
|
| Dahili Ağ
Segmentasyonu |
|
| |
Dahili Ağ
Segmentasyonu, tek bir ağı birden fazla
segmente veya alt ağa bölerek ağın farklı bölümlerini
izole ederek güvenliği artırma uygulamasını ifade eder.
Bu, olası bir güvenlik ihlalinin etkisini belirli bir segment içinde
tutarak sınırlandırmaya yardımcı olur ve böylece
tehditlerin tüm ağ boyunca yatay hareketini önler . |
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
|
Dahili segmentasyon'da görünürlük (visibilty) ve
koruma (protection) |
|
| |
|
Gelişmiş erişim kontrolü (advanced ACL) |
|
| |
|
Gerçek
zamanlı koruma |
|
| |
|
ATP lerin
etkilerinin sınırlı tutulması |
|
| |
|
Çalışma hızının artırılması |
|
| |
|
|
|
|
|
|
|
|
|
|
|
| Siber Güvenlik
Ağ Mimarisi |
|
|
|
|
|
|
|
|
|
|
| |
Siber Güvenlik
Ağ Mimarisi'nde günümüzün en baskın ve stratejik
yaklaşımı "Sıfır Güven
Mimarisi" (Zero
Trust Architecture - ZTA) . Bu
yaklaşım, klasik "güvenli bir iç ağ"
anlayışını tamamen terk ederek, her erişim talebini,
nereden gelirse gelsin, sürekli olarak doğrulama prensibine dayanır
. |
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
Aşağıda
bu mimarinin temel bileşenlerini, uygulama adımlarını ve
en önemli teknolojilerinden biri olan Mikro Segmentasyon'u bulacaksınız. |
|
| Sıfır
Güven Mimarisi ZTA |
|
|
|
|
|
|
|
|
|
|
| |
🏛️ Sıfır Güven
Mimarisi'nin (ZTA) Temel İlkeleri |
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
Sıfır
Güven, tek bir ürün değil, stratejik bir çerçevedir .
Başarılı bir uygulama için aşağıdaki temel
ilkeler benimsenmelidir: |
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
* Ağı asla
güvenme, her zaman doğrula (Never Trust, Always Verify): Bu, ZTA'nın en temel kuralıdır. Bir
kullanıcı veya cihaz, daha önce doğrulanmış olsa
bile, her yeni erişim talebinde yeniden kimlik doğrulaması ve
yetkilendirmesinden geçmelidir . Ağın kendisi düşman kabul
edilir . |
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
* En Az Ayrıcalık Prensibi (Least
Privilege Access): Kullanıcılara veya
cihazlara, yalnızca yapmaları gereken görevi yerine getirebilmeleri
için gerekli olan en dar yetki verilir . Bu, bir hesap ele geçirilse bile hasarın
yayılma alanını (blast radius) minimuma indirir. |
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
* Yatay Hareketi (Lateral Movement) Varsay
ve Engelle: Sıfır Güven, bir
saldırganın ağa gireceğini varsayar. Bu nedenle asıl
odak noktası, saldırganın ele geçirdiği bir cihaz veya
hesap üzerinden ağ içinde yan yana hareket ederek daha kritik sistemlere
ulaşmasını engellemektir . |
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
* Tüm Bağlantıları
Şifrele ve Kimlik Doğrulaması Yap: Hiçbir
ağ (kurum içi ağınız dahil) güvenilir
olmadığı için, uç noktalar arasındaki tüm iletişim
güvenli bir taşıma protokolü (TLS gibi) ile korunmalı ve her
bağlantıda kimlik doğrulaması yapılmalıdır
. |
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
🧱
Sıfır Güven Mimarisi'nin Temel Bileşenleri |
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
Bu mimariyi
oluşturan ve birbiriyle uyum içinde çalışması gereken
temel yapı taşları NIST (ABD Ulusal Standartlar ve Teknoloji
Enstitüsü) ve CISA (Siber Güvenlik ve Altyapı Güvenliği
Ajansı) gibi kurumlar tarafından
tanımlanmıştır. Bu bileşenler, bir sürekli karar
döngüsü içinde çalışır : |
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
1. Kimlik (Identity):
Erişim talebinde bulunan kişi, cihaz
veya servisin benzersiz bir şekilde
tanımlanmasıdır. Çok faktörlü
kimlik doğrulama (MFA) bu katmanın
vazgeçilmez bir parçasıdır . |
|
| |
2. Cihaz (Device): Erişime izin verilmeden önce cihazın
sağlık durumu (güncellemeleri, güvenlik yazılımı
vb.) değerlendirilir. Şüpheli veya uyumsuz bir cihazın
erişimi kısıtlanır veya engellenir . |
|
| |
3. Ağ (Network):
Geleneksel ağ segmentasyonunun çok ötesine geçilir. Mikro segmentasyon
kullanılarak her bir iş yükü (workload) veya uygulama için
ayrı, dinamik güvenlik duvarları oluşturulur . Bu sayede bir
segmentteki ihlal diğerine sıçramaz. |
|
| |
4. Uygulama ve İş Yükü (Application
& Workload): Uygulamalar ve onların arka planda
çalışan servisleri, bulutta, konteynırlarda veya fiziksel
sunucularda olsun, bu prensiplere göre korunur . Erişim, tüm ağa
değil, yalnızca ilgili uygulamaya verilir . |
|
| |
5. Veri (Data):
Korunması gereken en değerli varlıktır. Hangi verinin,
kim tarafından, nereden ve hangi koşullarda
erişilebileceğine dair çok detaylı politikalar
tanımlanır. Verilerin sınıflandırılması bu
aşamanın temelidir . |
|
| Mikro Segmentasyon |
|
|
|
|
|
|
|
|
|
|
| |
🛡️ Stratejinin Kalbi: Mikro
Segmentasyon (Microsegmentation) |
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
Mikro segmentasyon,
Sıfır Güven'i ağ katmanında hayata geçiren en kritik
teknolojidir . Geleneksel ağ güvenliğinde, bir kez iç ağa
giren bir saldırgan, genellikle düz bir ağda (flat network)
serbestçe dolaşabilir. Mikro segmentasyon bunu engeller. |
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
Özellik |
Klasik Segmentasyon
(Macro) |
Mikro Segmentasyon | |
|
| |
Amaç |
|
Geniş ağ
bölgelerini (ör. finans, İK) ayırmak |
Tek bir iş yükü,
uygulama veya cihaza kadar inmek |
|
| |
Yöntem |
Fiziksel veya sanal
güvenlik duvarları (NGFW) |
Yazılım
tabanlı ajanlar, ağ overlay'leri veya bulut-native politikalar |
|
| |
Hassasiyet |
Düşük - bölge
bazlı |
Yüksek-kimlik, etiket ve
davranış bazlı |
|
| |
Politika Değişkeni |
Genellikle IP ve Port |
Kullanıcı
kimliği, cihaz sağlığı, uygulama türü, process ID |
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
Neden Bu Kadar Önemli? |
|
|
|
|
|
|
|
| |
* Yatay Hareketi Engeller: Bir sunucu ele geçirilse bile, mikro segmentasyon
politikaları sayesinde yalnızca kendisine yetki verilmiş bir
başka sunucuyla iletişim kurabilir . |
|
| |
* Hasarı
Sınırlandırır (Blast Radius): Bir
güvenlik ihlali, tüm veri merkezine veya bulut ortamına yayılamaz.
Sadece o mikrobölgede kalır . |
|
| |
* Karmaşık Ortamlar için Uygundur: Aynı anda hem şirket içi (on-premise) veri
merkezlerini, hem de birden fazla bulut
sağlayıcısını (AWS, Azure) kapsayabilir . |
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
💡
Nasıl Uygulanır? Pratik Bir Yol Haritası |
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
Sıfır
Güven'e geçiş genellikle "Crawl, Walk,
Run" (Emekle, Yürü, Koş) şeklinde
aşamalı bir model izler : |
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
1. Hedefi Belirle (Define the Protect
Surface): Tüm ağı korumaya çalışmak
yerine, en kritik verilerin, uygulamaların ve varlıkların
(protect surface) olduğu alanı tanımlayarak başlayın
. |
|
| |
2. Envanter ve Sınıflandırma: Ağınızdaki tüm kullanıcıları,
cihazları ve uygulamaları keşfedin. Bu varlıkların
birbiriyle nasıl iletişim kurduğunu (east-west traffic)
haritalayın . Modern araçlar, bu iş akışlarını
otomatik olarak görselleştirebilir . |
|
| |
3. Kimlik ve Cihaz Odaklı Erişim: Merkezi bir kimlik sağlayıcı (identity
provider) üzerinden MFA zorunluluğu getirin. Cihazların belirli bir
güvenlik duruşuna (managed, compliant) sahip olmasını
şart koşun . |
|
| |
4. Yetkilendirme Politikalarını
Tanımla ve Uygula: En kritik
varlıklarınız için "en az ayrıcalık"
prensibine göre erişim politikaları yazmaya başlayın.
Trafiği gözlemleyerek politika önerileri sunan Policy Recommendation Engine
kullanmak başlangıç için çok faydalıdır . |
|
| |
5. Sürekli İzleme ve Uyarlama: Başarılı bir Sıfır Güven mimarisi
statik değildir. Kullanıcı davranışlarını
ve cihaz sağlığını sürekli izleyerek, risk
seviyesine göre erişimi gerçek zamanlı olarak daraltın veya
genişletin . |
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
ZTNA (Zero
Trust Network Access - Sıfır Güven Ağ Erişimi),
"asla güvenme, daima doğrula" prensibine dayalı,
kullanıcıların ağa değil, sadece izin verilen
belirli uygulamalara güvenli erişimini sağlayan modern bir güvenlik
modelidir. |
|
|
|
|
|
|
| |
|
|
|
|
|
|
| |
|
|
|
|
|
|
| |
|
|
|
|
|
|
| |
|
|
|
|
|
|
| |
|
|
|
|
|
|
| |
|
|
|
|
|
|
| |
|
|
|
|
|
|
| |
|
|
|
|
|
|
| |
|
|
|
|
|
|
| |
|
|
|
|
|
|
| |
|
|
|
|
|
|
| |
|
|
|
|
|
|
| |
|
|
|
|
|
|
| |
|
|
|
|
|
|
| |
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
🧠
Özet |
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
Siber Güvenlik
Ağ Mimarisi, artık "güvenilir iç ağ" kavramını terk edip, her erişim talebini
potansiyel bir tehdit olarak değerlendiren Sıfır
Güven modeline evrilmiştir. Bu mimarinin
başarısı; güçlü bir kimlik yönetimi, sürekli teyit
mekanizmaları ve özellikle mikro
segmentasyon ile yatay hareketin engellenmesine
dayanır. Bu yolculuk, kapsamlı bir keşif ve planlama ile
başlayan, aşamalı bir dönüşüm gerektirir. |
|
| |
|
|
|
|
|
|
|
|
|
|
|
| Advanced Threat
Life Cycle |
|
| |
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
| |
|
|
|
| |
|
| |
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
| |
|
| |
|
| |
|
| |
|
|
|
|
| |
|
|
|
|
|
|
| |
|
| |
|
| |
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
| |
|
Kaynak: Fortinet
white-papers/wp-protecting-your-network-from-the-inside-out.pdf |
|
| |
|
|
|
|
|
|
|
|
|
|
|
| Advanced Threat
Protection (ATP) Framework |
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
|
| İletişim |
Mail: |
fyildirim958@gmail.com |
|
| |
|
fatihyildirim@posta.fatihyildirim.tr |
|
| |
Web: |
http://www.fatihyildirim.tr |
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
