Sıfır Güven (Zero Trust) Gerçekten Ne Kadar İşe Yarıyor? Donan, Hayal Kırıklığı Yaratan ve Şaşırtıcı Taraflar
“Kimseye Güvenme” Dönemi: Abartı mı, Yoksa Tek Çare mi?
İnanın, Şunu peşin peşin söyleyeyim; son iki yıldır güvenlik sohbetlerinin %80’i aynı lafla başlıyor: “Artık hiç kimseye güven yok, herkes potansiyel tehdit.” Dalga geçiyorum sandınız ama Microsoft’un 2024 Digital Defense Report’unda rakamlar epey acayip. Her gün tam 600 milyon saldırı. Yanı, “herkes hedefte” muhabbeti lafta değilmiş. İşin içine bir de siber suçlularla devlet destekli aktörlerin birbirine karışması girince… insanın tüyleri diken diken oluyor.
Açık konuşacağım; yirmi küsur senelik BT hayatımda klasik firewall kafası ne zaman iflas ettiyse iş tamamen değişti. Zero Trust işe bambaşka bir kafa yapısı — öyle “sen içerdeysen dostsun” masalını bırakıyorsun, içerisi dışarısı fark etmiyor artık (ciddiyim). Sistemler devamlı tetikte bekliyor.
Neden Bu Kadar Popüler Öldü? Biraz da Zorunluluktan…
Peki bu iş niye patladı? Şöyle anlatayım… Türkiye’de hâlâ çoğu kurum eski usül duvarlara yaslanıyor. Amerika’da kamu sektörü komple sıfır güvene dönmüş durumda neredeyse. Geçen ay İstanbul’da bir kamu bankasında danışmanlıkta sordum — dedim ki, “Zero Trust neden lazım?” Cevap çok tanıdık geldi: “Bizde veri merkezî kapalı devre abi, dışarıdan kimse elini kolunu sallayıp giremez.” İyi hoş da içeridekilerin hepsi sütten çıkmış ak kaşık mı?
İtiraf edeyim, Bak mesela ABD Deniz Kuvvetleri’nın bulutta Flank Speed projesine geçişi acayip iyi örnek. Adamlar hem Azure. M365’in üstüne DoD kurallarını bindirmişler hem de VPN’le uğraşıp zaman kaybetmeyi bırakmışlar resmen. Hatta üç yılda bitecek denen projeyi dört yıl erken tamamlamışlar! Bizde öyle hız olsa ben taklalar atarım açıkçası.
Kendi Projelerimden Ufak Bir Not
Ankara’daki bir enerji şirketinde geçen yıl başladığımız dönüşüm ilk etapta biraz garip kaçtı ekibe —. “kimseye körü körüne güvenmeyelim” dediğinde refleks olarak direniyor insanlar… Ama gel gör ki daha iki hafta önce zararlı yazılımlardan kurtulamamışken Entra ID + Conditional Access’e geçtiğimizde rahatladılar valla.
Zero Trust, “içeride güvenli dışarıda tehlikeli” yaklaşımını bırakıp kimlik, cihaz durumu ve minimum yetkiye dayalı sürekli doğrulama yapar. Aşağıdaki tablo, yazıda vurgulanan pratik fayda ve uygulama zorluklarını özetler.
| Özellik | Zero Trust yaklaşımı |
|---|---|
| Varsayım | İçeridekiler de dahil “hiç kimseye varsayılan güven yok” |
| Temel kontrol | Kimlik doğrulama + cihazın anlık durumu + erişimde minimum izin |
| Güvenlik etkisi | Gelen saldırılarda sürekli tetikte kalma; klasik firewall kafasının yetersiz kalması |
| Uygulama zorluğu | Plan eksikse (rol/erişim gibi) yanlış kapsam ve şaşırtıcı güvenlik açıkları oluşabiliyor |
Not: Yazıda örnekler, doğru planlama ve doğru eşleştirme ile Zero Trust’ın hız ve güvenlikte somut fayda sağlayabildiğini vurguluyor.
Sıfır Güvenin Pratiği: Her Şey Planda mı Başlıyor?
Sizi bilmem ama benim gözlemime göre başarılı bütün Zero Trust projeleri net planlamadan doğuyor. Asıl mevzu şu soruda yatıyor: Teknik özelliklerle ihtiyacı doğru eşleştirdik mi? Önce neyi koruyacağını dürüstçe belirlemeden hangi araç kullanılacak belli olmuyor maalesef.
“Kurumunuzun büyüklüğü ya da teknolojik seviyesi ne olursa olsun; plansız sıfır güven yolculuğu haritaya bakmadan ormanda koşmaya benzer.”
Vallahi, Bunu yaşadığım için söylüyorum; Aralık 2022’de bir sigorta kurumunda sadece ‘çok faktörlü kimlik doğrulama yeter’ diye direten ekip rol bazlı erişimi es geçmişti — sonra şaşkına döndüler. Kim nerede yetkili çözememiş oldular!
- İlk adım: Varlıkları tek tek çıkar – hassas uygulamalar hangileri?
- Daha sonra: Uygulamaya özel risk analizi yapmayı unutma.
- Kritik nokta: SIEM/SOAR gibi izleme sistemini kurmadan maceraya atlanmaz!
Zaten ABD tarafında üretici firmalar bile donanımla birlikte uyumluluk haritasını müşteriye koyup veriyor artık — yeni örnek görmek isterseniz Azure OpenAI Servisi Artık ABD Devletinin Tüm Gizlilik Seviyelerine Açık: Gerçekten Ne Değişti?‘na mutlaka göz atın derim.
Mükemmel Değil mi? Hayır. İşin Hayal Kırıklığı Yaratan Yönleri
Açık konuşacağım; Zero Trust teoride kulağa hoş geliyor evet fakat sahada işler çabuk sarpa sarabiliyor… Bilhassa eski tip uygulamalarda uyumluluk tam baş ağrısı! Mesela geçen sene Logosoft’ta finans sektöründen müşteriyle didişirken eski Java portalında token transferi yapamadık, haftalarca çözümü zorladık ve sonunda Azure AD Application Proxy’den istediğimizi alamadık – sınır bozucu yanı!
Dahası bitmedi! Sürekli kontrol mekanizması yüzünden bazı kullanıcıların sabrı taşıyor — her defasında MFA kodu istemek sıkıcı geliyor adamlara (ki haklı sayılır) (evet, doğru duydunuz). Kullanıcı eğitimine burun kıvırırsanız kaos garantili demedi demeyin!
Birkaç Pratik İpucu ve Tuzak
- Kritik işleri parça parça taşı — topluca yüklenmek facia olur.
- Sistemi test etmeden (hele purple team/pentest gibi karma denemeler şart) prod’a sakın sürükleme.
- Kullanıcı deneyimine yatırım yapmazsan günün sonunda böl böl şikayet toplarsın (sözüm mecazi tabiî!) çünkü millet karmaşadan nefret ediyor vallahi billahi.
- Tekrar söylüyorum — SIEM olmadan yola çıkan kaybolur!
Peki Tüm Kurumlar Bunu Yapabilir mi? Parayı Veren Düdüğü Çalar mı?
Şöyle ki, Büyük bankalara veya zengin kamuya kolay tabiî… Küçük-orta ölçek şirketlere gelince işler öyle tatlı gitmiyor maalesef – hem adam az hem ürün envai çeşit hem entegrasyon dert küfü aslında burada patlıyor hep. Yorum Analitiğiyle Geri Bildirimde Gerçekten Fark Yaratmak Mümkün mü? yazımızda da bu konuya değinmiştik.
Daha yeni Kocaeli’nde orta boyutlu tekstil firmasında aynısını gördüm – IT ekibi fena değildi. Konuya girince maliyetleri duyunca üç yıl yayarız deyip frene bastılar hemen… Ben kızmam şahsen, hakları var! Kaynak yoksa mucize bekleyemezsin zaten.
Kapanış – Ben Olsam Nereden Başlardım? Tavsiye Listesi
Laf aramızda; sıfır güvene adım atacaksanız aşağıdaki maddeleri atlamayın derim:
- Sadece teknik rehberlere dalmayın – kendi ihtiyaç listenizi önceliklendirerek başlayın.
- Süreç odaklı gidin; hızlı sonuç beklentisiyle acele etmeyin yoksa tökezlersiniz.
- Tedarikçi seçerken entegre destek sunabiliyor mu bakmak hayatı mesele.
- Ekipte herkes aynı terimleri kullanıyor mu emin olun (özellikle kimlik & yetkilendirme işleri).
- Bütçe hazırlığında SIEM/SOAR türü loglama platformlarını ayrıca hesaba katmak gerekiyor.
“Zero Trust sadece teknoloji işi değil—tamamen kültür değişimi meselesi.”
Bunu yıllar önce ABD Deniz Kuvvetleri CISO yardımcısından duydum, kesinlikle altına imzamı atarım.
Eğer bulutta gizlilik seviyeleri hakkında başka örneklere göz gezdirmek isterseniz şu yazıya bakabilirsiniz:
ABD Devletine Gizli Bulut Azure Confidential Computing ile Yeni Dönem (ki bu çoğu kişinin gözünden kaçıyor)
Kısacası…
Mükemmele yakın koruma hayali kuruyorsanız yol belli—ama alışkanlıklardan vazgeçmeye göze almak şart! Teknoloji başlı başına hiçbir şeyi çözmüyor;
iş tamamen insan odağıyla planlama yapmakta bitiyor.
Hadi en son şöyle düşünün:
Gerçekten körlemesine sisteme ya da kişilere eskisi kadar kolay inanabilir mıyız?
Sanırım o tren kalktı arkadaşlar!
Kaynak:
Embracing Zero Trust:
Never Trust, Always Verify
Sıkça Sorulan Sorular
Sıfır Güven (Zero Trust) nedir ve neden önemli?
Sıfır Güven, “kimseye güvenme” prensibiyle hareket eden bir güvenlik yaklaşımıdır. İçeride ya da dışarıda fark etmez, her erişim isteği doğrulanır ve en az izinle sınırlandırılır. Benim deneyimime göre, klasik firewall yöntemleri artık yeterli değil, bu yüzden sıfır güven çok kritik hâle geldi.
Zero Trust uygulamasında en çok hangi zorluklarla karşılaşılıyor?
En büyük zorluk planlama aşamasında yaşanıyor. Kurumlar neyi koruyacaklarını net belirlemeden araçlara yöneliyorlar, bu da sistemin karmaşık ve verimsiz olmasına yol açıyor. Benzer bir durumu yaşadığım projede, roller ve izinler net belirlenmediği için başta kaos çıktı. Graph API ile E-posta İçeriği Artık O Kadar Esnek Değil: Neler Değişiyor, Kimler Dikkat Etmeli? yazımızda da bu konuya değinmiştik. GitHub Copilot Verisi Değişiyor: Ne Toplanıyor, Ne Toplanmıyor? yazımızda da bu konuya değinmiştik.
Zero Trust için hangi teknolojiler mutlaka kullanılmalı?
Temel olarak kimlik doğrulama (MFA gibi), cihaz durumu kontrolü ve rol bazlı erişim yönetimi şart. Bunların hepsi birlikte çalışmalı ki gerçek anlamda Zero Trust sağlanabilsin. Sadece birini atlamak sistemi boşaltmak gibi oluyor.
Sıfır Güven sadece büyük kurumlar için mi uygun?
Hayır, küçük ya da orta ölçekli kurumlar da Zero Trust’dan fayda sağlar. Önemli olan doğru planlama yapmak ve kurumun ihtiyaçlarına uygun çözümler seçmek. Büyük kurumlarda daha kapsamlı olur ama küçük kurumlar da bu prensipleri uygulayabilir.
Zero Trust sayesinde siber saldırılardan tamamen kurtulabilir mıyız?
Hiçbir sistem yüzde yüz güvenlik garantisi vermez ama Zero Trust, riskleri ciddi oranda azaltır. Günlük yaşadığımız olaylarda gördüğüm üzere, saldırganların işini zorlaştırıyor ve zararları minimize ediyor.
Kaynaklar ve İleri Okuma
Azure Zero Trust Mimarisi Videosu
Azure Conditional Access Nedir?
Microsoft Zero Trust GitHub Kaynakları
20+ yıl deneyimli Azure Solutions Architect. Microsoft sertifikalı bulut mimari ve DevOps danışmanı. Azure, yapay zekâ ve bulut teknolojileri üzerine Türkçe teknik içerikler üretiyor.
İlgili Yazılar
Bu içerik işinize yaradı mı?
Benzer içerikleri kaçırmamak için beni sosyal medyada takip edin.
Yorum gönder