Sıfır Güven (Zero Trust) Gerçekten Ne Kadar İşe Yarıyor? Donan, Hayal Kırıklığı Yaratan ve Şaşırtıcı Taraflar -

Q: Mükemmel Değil mi? Hayır. İşin Hayal Kırıklığı Yaratan Yönleri Açık konuşacağım; Zero Trust teoride kulağa hoş geliyor evet fakat sahada işler çabuk sarpa sarabiliyor… Bilhassa eski tip uygulamalarda uyumluluk tam baş ağrısı! Mesela geçen sene Logosoft’ta finans sektöründen müşteriyle didişirken eski Java portalında token transferi yapamadık, haftalarca çözümü zorladık ve sonunda Azure AD Application Proxy’den istediğimizi alamadık – sinir bozucu yani! Dahası bitmedi! Sürekli kontrol mekanizması yüzünden bazı kullanıcıların sabrı taşıyor — her defasında MFA kodu istemek sıkıcı geliyor adamlara (ki haklı sayılır) (evet, doğru duydunuz). Kullanıcı eğitimine burun kıvırırsanız kaos garantili demedi demeyin! Birkaç Pratik İpucu ve Tuzak Kritik işleri parça parça taşı — topluca yüklenmek facia olur. Sistemi test etmeden (hele purple team/pentest gibi karma denemeler şart) prod’a sakın sürükleme. Kullanıcı deneyimine yatırım yapmazsan günün sonunda bol bol şikayet toplarsın (sözüm mecazi tabii!) çünkü millet karmaşadan nefret ediyor vallahi billahi. Tekrar söylüyorum — SIEM olmadan yola çıkan kaybolur! Peki Tüm Kurumlar Bunu Yapabilir mi? Parayı Veren Düdüğü Çalar mı?

Şöyle ki, Büyük bankalara veya zengin kamuya kolay tabii... Küçük-orta ölçek şirketlere gelince işler öyle tatlı gitmiyor maalesef – hem adam az hem ürün envai çeşit hem entegrasyon dert küfü aslında burada patlıyor hep. Yorum Analitiğiyle Geri Bildirimde Gerçekten Fark Yaratmak Mümkün mü? yazımızda da bu konuya değinmiştik. Daha yeni Kocaeli’nde orta boyutlu tekstil firmasında aynısını gördüm – IT ekibi fena değildi. Konuya girince maliyetleri duyunca üç yıl yayarız deyip frene bastılar hemen..

⏱️ 5 dk okuma📅 23 Mart 2026🔄 Güncelleme: 26 Mart 2026

“Kimseye Güvenme” Dönemi: Abartı mı, Yoksa Tek Çare mi?

İnanın, Şunu peşin peşin söyleyeyim; son iki yıldır güvenlik sohbetlerinin %80’i aynı lafla başlıyor: “Artık hiç kimseye güven yok, herkes potansiyel tehdit.” Dalga geçiyorum sandınız ama Microsoft’un 2024 Digital Defense Report’unda rakamlar epey acayip. Her gün tam 600 milyon saldırı. Yani, “herkes hedefte” muhabbeti lafta değilmiş. İşin içine bir de siber suçlularla devlet destekli aktörlerin birbirine karışması girince… insanın tüyleri diken diken oluyor.

Açık konuşacağım; yirmi küsur senelik BT hayatımda klasik firewall kafası ne zaman iflas ettiyse iş tamamen değişti. Zero Trust ise bambaşka bir kafa yapısı — öyle “sen içerdeysen dostsun” masalını bırakıyorsun, içerisi dışarısı fark etmiyor artık (ciddiyim). Sistemler devamlı tetikte bekliyor.

💡 Bilgi: Zero Trust’ın özünde üç temel kural var: Kimliği doğrulayacaksın, cihazın halini anbean kontrol edeceksin ve her erişim isteğine minimum izin vereceksin. Lafı uzatmayayım; bunların üçünü de es geçersen gerçek anlamda Zero Trust falan olmuyor.

Neden Bu Kadar Popüler Oldu? Biraz da Zorunluluktan…

Peki bu iş niye patladı? Şöyle anlatayım… Türkiye’de hâlâ çoğu kurum eski usul duvarlara yaslanıyor. Amerika’da kamu sektörü komple sıfır güvene dönmüş durumda neredeyse. Geçen ay İstanbul’da bir kamu bankasında danışmanlıkta sordum — dedim ki, “Zero Trust neden lazım?” Cevap çok tanıdık geldi: “Bizde veri merkezi kapalı devre abi, dışarıdan kimse elini kolunu sallayıp giremez.” İyi hoş da içeridekilerin hepsi sütten çıkmış ak kaşık mı?

İtiraf edeyim, Bak mesela ABD Deniz Kuvvetleri’nin bulutta Flank Speed projesine geçişi acayip iyi örnek. Adamlar hem Azure. M365’in üstüne DoD kurallarını bindirmişler hem de VPN’le uğraşıp zaman kaybetmeyi bırakmışlar resmen. Hatta üç yılda bitecek denen projeyi dört yıl erken tamamlamışlar! Bizde öyle hız olsa ben taklalar atarım açıkçası.

Kendi Projelerimden Ufak Bir Not

Ankara’daki bir enerji şirketinde geçen yıl başladığımız dönüşüm ilk etapta biraz garip kaçtı ekibe —. “kimseye körü körüne güvenmeyelim” dediğinde refleks olarak direniyor insanlar… Ama gel gör ki daha iki hafta önce zararlı yazılımlardan kurtulamamışken Entra ID + Conditional Access’e geçtiğimizde rahatladılar valla.

Sıfır Güvenin Pratiği: Her Şey Planda mı Başlıyor?

Sizi bilmem ama benim gözlemime göre başarılı bütün Zero Trust projeleri net planlamadan doğuyor. Asıl mevzu şu soruda yatıyor: Teknik özelliklerle ihtiyacı doğru eşleştirdik mi? Önce neyi koruyacağını dürüstçe belirlemeden hangi araç kullanılacak belli olmuyor maalesef.

“Kurumunuzun büyüklüğü ya da teknolojik seviyesi ne olursa olsun; plansız sıfır güven yolculuğu haritaya bakmadan ormanda koşmaya benzer.”

Vallahi, Bunu yaşadığım için söylüyorum; Aralık 2022’de bir sigorta kurumunda sadece ‘çok faktörlü kimlik doğrulama yeter’ diye direten ekip rol bazlı erişimi es geçmişti — sonra şaşkına döndüler. Kim nerede yetkili çözememiş oldular!

İlk adım: Varlıkları tek tek çıkar – hassas uygulamalar hangileri?
Daha sonra: Uygulamaya özel risk analizi yapmayı unutma.
Kritik nokta: SIEM/SOAR gibi izleme sistemini kurmadan maceraya atlanmaz!

Zaten ABD tarafında üretici firmalar bile donanımla birlikte uyumluluk haritasını müşteriye koyup veriyor artık — yeni örnek görmek isterseniz Azure OpenAI Servisinin Devlette Kullanımı‘na mutlaka göz atın derim.

Mükemmel Değil mi? Hayır. İşin Hayal Kırıklığı Yaratan Yönleri

Açık konuşacağım; Zero Trust teoride kulağa hoş geliyor evet fakat sahada işler çabuk sarpa sarabiliyor… Bilhassa eski tip uygulamalarda uyumluluk tam baş ağrısı! Mesela geçen sene Logosoft’ta finans sektöründen müşteriyle didişirken eski Java portalında token transferi yapamadık, haftalarca çözümü zorladık ve sonunda Azure AD Application Proxy’den istediğimizi alamadık – sinir bozucu yani!

Dahası bitmedi! Sürekli kontrol mekanizması yüzünden bazı kullanıcıların sabrı taşıyor — her defasında MFA kodu istemek sıkıcı geliyor adamlara (ki haklı sayılır) (evet, doğru duydunuz). Kullanıcı eğitimine burun kıvırırsanız kaos garantili demedi demeyin!

Birkaç Pratik İpucu ve Tuzak

Kritik işleri parça parça taşı — topluca yüklenmek facia olur.
Sistemi test etmeden (hele purple team/pentest gibi karma denemeler şart) prod’a sakın sürükleme.
Kullanıcı deneyimine yatırım yapmazsan günün sonunda bol bol şikayet toplarsın (sözüm mecazi tabii!) çünkü millet karmaşadan nefret ediyor vallahi billahi.
Tekrar söylüyorum — SIEM olmadan yola çıkan kaybolur!

Peki Tüm Kurumlar Bunu Yapabilir mi? Parayı Veren Düdüğü Çalar mı?

Şöyle ki, Büyük bankalara veya zengin kamuya kolay tabii… Küçük-orta ölçek şirketlere gelince işler öyle tatlı gitmiyor maalesef – hem adam az hem ürün envai çeşit hem entegrasyon dert küfü aslında burada patlıyor hep. Yorum Analitiğiyle Geri Bildirimde Gerçekten Fark Yaratmak Mümkün mü? yazımızda da bu konuya değinmiştik.

Daha yeni Kocaeli’nde orta boyutlu tekstil firmasında aynısını gördüm – IT ekibi fena değildi. Konuya girince maliyetleri duyunca üç yıl yayarız deyip frene bastılar hemen… Ben kızmam şahsen, hakları var! Kaynak yoksa mucize bekleyemezsin zaten.

💡 Bilgi: Dünya genelinde olduğu gibi bizde de özellikle üretimde ve perakendede Sıfır Güven’in adaptasyonu ağır ilerliyor—ekiplerde tecrübe eksikliği ile yönetimin yeterince baskı hissetmemesi en büyük engel.

Kapanış – Ben Olsam Nereden Başlardım? Tavsiye Listesi

Laf aramızda; sıfır güvene adım atacaksanız aşağıdaki maddeleri atlamayın derim:

Sadece teknik rehberlere dalmayın – kendi ihtiyaç listenizi önceliklendirerek başlayın.
Süreç odaklı gidin; hızlı sonuç beklentisiyle acele etmeyin yoksa tökezlersiniz.
Tedarikçi seçerken entegre destek sunabiliyor mu bakmak hayati mesele.
Ekipte herkes aynı terimleri kullanıyor mu emin olun (özellikle kimlik & yetkilendirme işleri).
Bütçe hazırlığında SIEM/SOAR türü loglama platformlarını ayrıca hesaba katmak gerekiyor.

“Zero Trust sadece teknoloji işi değil—tamamen kültür değişimi meselesi.”
Bunu yıllar önce ABD Deniz Kuvvetleri CISO yardımcısından duydum, kesinlikle altına imzamı atarım.

Eğer bulutta gizlilik seviyeleri hakkında başka örneklere göz gezdirmek isterseniz şu yazıya bakabilirsiniz:
ABD Devletine Gizli Bulut Azure Confidential Computing ile Yeni Dönem (ki bu çoğu kişinin gözünden kaçıyor)

Kısacası…

Mükemmele yakın koruma hayali kuruyorsanız yol belli—ama alışkanlıklardan vazgeçmeye göze almak şart! Teknoloji başlı başına hiçbir şeyi çözmüyor;
iş tamamen insan odağıyla planlama yapmakta bitiyor.
Hadi en son şöyle düşünün:
Gerçekten körlemesine sisteme ya da kişilere eskisi kadar kolay inanabilir miyiz?
Sanırım o tren kalktı arkadaşlar!

Kaynak:
Embracing Zero Trust:
Never Trust, Always Verify

Sıkça Sorulan Sorular

Sıfır Güven (Zero Trust) nedir ve neden önemli?

Sıfır Güven, “kimseye güvenme” prensibiyle hareket eden bir güvenlik yaklaşımıdır. İçeride ya da dışarıda fark etmez, her erişim isteği doğrulanır ve en az izinle sınırlandırılır. Benim deneyimime göre, klasik firewall yöntemleri artık yeterli değil, bu yüzden sıfır güven çok kritik hale geldi.

Zero Trust uygulamasında en çok hangi zorluklarla karşılaşılıyor?

En büyük zorluk planlama aşamasında yaşanıyor. Kurumlar neyi koruyacaklarını net belirlemeden araçlara yöneliyorlar, bu da sistemin karmaşık ve verimsiz olmasına yol açıyor. Benzer bir durumu yaşadığım projede, roller ve izinler net belirlenmediği için başta kaos çıktı. Graph API ile E-posta İçeriği Artık O Kadar Esnek Değil: Neler Değişiyor, Kimler Dikkat Etmeli? yazımızda da bu konuya değinmiştik.

Zero Trust için hangi teknolojiler mutlaka kullanılmalı?

Temel olarak kimlik doğrulama (MFA gibi), cihaz durumu kontrolü ve rol bazlı erişim yönetimi şart. Bunların hepsi birlikte çalışmalı ki gerçek anlamda Zero Trust sağlanabilsin. Sadece birini atlamak sistemi boşaltmak gibi oluyor.

Sıfır Güven sadece büyük kurumlar için mi uygun?

Hayır, küçük ya da orta ölçekli kurumlar da Zero Trust’dan fayda sağlar. Önemli olan doğru planlama yapmak ve kurumun ihtiyaçlarına uygun çözümler seçmek. Büyük kurumlarda daha kapsamlı olur ama küçük kurumlar da bu prensipleri uygulayabilir.

Zero Trust sayesinde siber saldırılardan tamamen kurtulabilir miyiz?

Hiçbir sistem yüzde yüz güvenlik garantisi vermez ama Zero Trust, riskleri ciddi oranda azaltır. Günlük yaşadığımız olaylarda gördüğüm üzere, saldırganların işini zorlaştırıyor ve zararları minimize ediyor.