"Never trust, always verify" — Zero Trust (Sıfır Güven), çevre tabanlı güvenliğin artık yeterli olmadığı bir dönemde kurumsal ağları yeniden tanımlıyor. Türkiye'deki kuruluşlar için KVKK, BDDK ve BTK düzenlemeleri bu dönüşümü hem zorunlu hem acil kılıyor. Bu rehber; NIST SP 800-207 temelinden Türkiye özelinde düzenleyici uyumluluk, kimlik/cihaz/ağ/uygulama/veri katmanları ve aşamalı geçiş planına kadar uçtan uca pratik bir yol haritası sunar.
Zero Trust, çevre güvenliğine (perimeter security) dayanan "iç ağ güvenlidir" varsayımını tamamen reddeden bir güvenlik paradigmasıdır. NIST SP 800-207 (Ağustos 2020) bu modeli şöyle tanımlar: "Never trust, always verify" — konum, ağ segmenti veya önceki kimlik doğrulamadan bağımsız olarak her erişim isteği doğrulanmalı, yetkilendirilmeli ve sürekli izlenmelidir.
Verizon 2024 DBIR verilerine göre veri ihlallerinin %61'i çalınan kimlik bilgilerini, %49'u dahili aktörleri (kasıtlı veya ihmalkar) içeriyor. Geleneksel VPN + flat network mimarisinde bir kez içeri giren saldırgan ağda serbestçe hareket edebiliyor. Zero Trust bu hareketi tasarım gereği engelliyor.
CISA (Cybersecurity and Infrastructure Security Agency) Zero Trust Maturity Model, Zero Trust'ı beş temel sütun üzerine inşa eder. Her sütun bağımsız olarak olgunlaştırılabilir; hangi sütundan başlanacağına kurumun risk profili karar verir.
Türkiye'deki kurumsal ortamı inceleyen teknik ekipler benzer bir tablo ile karşılaşır: on yılı aşkın süredir yerleşik site-to-site VPN tünelleri, flat (düz) iç ağlar, Active Directory merkezli kimlik yönetimi ve çoğunlukla imzalı ama uygulanmayan güvenlik politikaları. Bu tablo, bir Zero Trust geçişinin neden hem teknik hem kültürel dönüşüm gerektirdiğini açıklıyor.
Sektörel dağılım açısından Türkiye'de finans (bankacılık + sigortacılık), kamu ve enerji sektöründe görece ileri düzey güvenlik olgunluğu gözlemleniyor; ancak KOBİ ölçeğindeki kurulumlarda ve sağlık sektöründe tablo çok daha kaygı verici. Microsoft Defender for Endpoint telemetri verileri, Türkiye'nin Avrupa'da en fazla fidye yazılımı hedeflenen ülkeler arasında sürekli üst sıralarda yer aldığını gösteriyor.
| Katman | Yaygın Çözümler | Notlar |
|---|---|---|
| Identity / IAM | Microsoft Entra ID (Azure AD), Okta | Hybrid AD hâlâ yaygın; cloud-only geçiş sürüyor |
| PAM | CyberArk, Thycotic (Delinea) | Bankacılıkta zorunlu; diğer sektörlerde az |
| ZTNA / Network | Palo Alto Prisma Access, Zscaler ZPA, Fortinet ZTNA, Check Point Harmony | Palo Alto ve Fortinet yerel partner desteği güçlü |
| EDR | CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne | MDE penetrasyonu kurumsal Windows ortamında yüksek |
| SIEM | Microsoft Sentinel, Splunk, IBM QRadar | Yerli: BilgiSistem LogAgg (belirli kamu kurumları) |
| MDM | Microsoft Intune, Jamf (Mac/iOS), VMware Workspace ONE | BYOD politikası çoğu kurumda hâlâ tanımsız |
Türkiye'deki kurumsal kuruluşlar, Zero Trust'a yalnızca teknik nedenlerle değil yasal yaptırım baskısıyla da yönelmek durumunda. İki temel düzenleyici çerçeve öne çıkıyor: KVKK (Kişisel Verilerin Korunması Kanunu, 6698 sayılı) ve BDDK Bilgi Güvenliği Yönetmeliği.
KVKK, kişisel veri işleyen tüm kuruluşları kapsar. Kanunun 12. maddesi, veri sorumlusuna veri güvenliğini sağlamak için "uygun güvenlik düzeyini temin etmek" yükümlülüğü yükler. Zero Trust bu yükümlülüğün teknik karşılığıdır:
Bankacılık Düzenleme ve Denetleme Kurumu'nun 2022 tarihli yönetmeliği, bankalar ve finansal kuruluşlar için açıkça kimlik ve erişim yönetimi, ayrıcalıklı hesap kontrolü ve ağ segmentasyonu gerektiriyor. Yönetmelik maddeleri ZT pillar'larıyla birebir örtüşüyor:
| BDDK Yönetmelik Maddesi | ZT Karşılığı | Örnek Kontrol |
|---|---|---|
| Kimlik ve Erişim Yönetimi | Identity Pillar | MFA zorunluluğu, SSO, PAM |
| Ayrıcalıklı Hesap Yönetimi | PAM (Identity Pillar) | CyberArk ile oturum kaydı, just-in-time access |
| Ağ Güvenliği ve Segmentasyon | Network Pillar | Mikrosegmentasyon, ZTNA, güvenlik duvarı politikaları |
| Güvenlik İzleme ve Loglama | Tüm Pillar'lar | SIEM, NDR, EDR telemetrisi |
| Veri Sınıflandırma ve DLP | Data Pillar | Microsoft Purview, Forcepoint DLP |
Zero Trust'ın en yüksek ROI'u kısa sürede sunan katmanı kimlik (Identity) katmanıdır. NIST SP 800-207 perspektifinden kimlik, yeni çevredir (new perimeter). Kullanıcı kim olduğunu kanıtlamadan hiçbir kaynağa ulaşamaz; kimlik doğrulama tek seferlik değil, risk odaklı süreklidir.
Microsoft'un kendi verilerine göre MFA, hesap ele geçirme saldırılarının %99.9'unu engelliyor. Türkiye kurumsal ortamında MFA penetrasyonu hâlâ düşük; bu, en hızlı kapanabilecek risk açığıdır.
Ayrıcalıklı hesaplar (Domain Admin, SA, root) saldırganların birincil hedefidir. PAM (Privileged Access Management) çözümleri bu hesaplara erişimi vault'lar ve oturum kayıtlarıyla kontrol altına alır.
SSO (Single Sign-On) Zero Trust'ta kullanıcıyı her uygulamada ayrı doğrulamaktan kurtarır; ancak SSO sunucusunun kendisi kritik hedef haline gelir. Bu nedenle SSO altyapısı her şeyden önce korunmalı ve FIDO2 ile güçlendirilmelidir.
NIST SP 800-207'nin 5. ilkesi gereği, ağa erişen her cihazın güvenlik ve bütünlük durumu sürekli izlenmelidir. "Cihaz güveni" (device trust) olmadan kimlik doğrulaması yeterli değildir: doğru kullanıcı, ele geçirilmiş bir cihazdan bağlanıyor olabilir.
EDR (Endpoint Detection and Response), geleneksel antivirüsün çok ötesine geçer. Davranış tabanlı algılama, bellek analizi ve tehdit avı (threat hunting) sunar. Zero Trust context'inde EDR, cihazın "sağlıklı" olup olmadığını Policy Engine'e bildiren birincil veri kaynağıdır.
| Çözüm | Öne Çıkan Özellik | ZT Entegrasyonu |
|---|---|---|
| Microsoft Defender for Endpoint | Entra ID Conditional Access ile native entegrasyon | ✓ Doğrudan — cihaz uyumluluk sinyali |
| CrowdStrike Falcon | Bulut-native, Zero Trust Assessment skoru | ✓ Okta / Zscaler entegrasyonu |
| SentinelOne | AI-driven, singularity XDR | ✓ SIEM ve SOAR beslemesi |
MDM (Mobile Device Management), kurumsal cihazlara politika dağıtır; BYOD cihazları MAM (Mobile Application Management) ile yönetilir. Microsoft Intune, Türkiye kurumsal ortamında en yaygın MDM çözümü ve Entra ID ile native entegre.
NAC (Network Access Control), ağa bağlanan cihazın kimliğini ve compliance durumunu doğrular. 802.1X ile kablolu/kablosuz ağda kimlik doğrulama zorunlu hale gelir. Kurumsal ortamda Cisco ISE veya Aruba ClearPass yaygın; Zero Trust olgunlaşmasıyla NAC, ZTNA'nın tamamlayıcısı haline gelir.
Zero Trust Network Access (ZTNA), VPN'in kurumsal ağ güvenliğindeki rolünü devralacak teknolojidir. Ancak "ZTNA = VPN'i kapat" değildir; geçiş planlı, aşamalı ve paralel çalıştırmayı içeren bir süreçtir.
| Özellik | Geleneksel VPN | ZTNA |
|---|---|---|
| Erişim granülaritesi | ✗ Ağ seviyesi (subnet / VLAN) | ✓ Uygulama / servis seviyesi |
| Güven modeli | ✗ Implicit trust — bağlandıktan sonra serbest | ✓ Explicit, her istek için doğrulama |
| Lateral movement riski | ✗ Yüksek — ağda serbestçe hareket | ✓ Minimum — yalnızca izin verilen uygulama görünür |
| Performans | Backhauling sorunu (tüm trafik merkeze) | ✓ Split tunnel / cloud-native routing |
| Kullanıcı deneyimi | Bağlantı kopmalar, yavaş tünel | ✓ Şeffaf; SSO ile tek oturum |
| Ölçeklendirme | Donanım kapasitesiyle sınırlı | ✓ Cloud-native elastik ölçek |
| MFA entegrasyonu | Eklenti ile mümkün ama karmaşık | ✓ Native; Conditional Access ile |
| Görünürlük (visibility) | Sınırlı; tünel içi trafik şifreli | ✓ Uygulama bazında tam log |
| Bulut uygulamaları | ✗ Backhauling gerektirir | ✓ Doğrudan erişim, SSE ile optimize |
Geleneksel güvenlik duvarları kuzey-güney (north-south) trafiği — dışarıdan içeriye — korur. Ancak modern saldırıların çoğu iç ağda doğu-batı (east-west) hareketi içerir: ele geçirilen bir sunucudan diğerine lateral movement. Mikrosegmentasyon bu hareketi yazılım katmanında engeller.
| Yaklaşım | Teknoloji | Kullanım Alanı |
|---|---|---|
| Hypervisor tabanlı | VMware NSX-T (vDefend) | VMware ortamı; distributed firewall |
| Agent tabanlı | Illumio, Guardicore (Akamai) | Heterojen ortam; fiziksel + sanal + bulut |
| Network tabanlı | Cisco ACI, Arista CloudVision | Büyük data center; fabric seviyesi |
| Kubernetes Network Policy | Calico, Cilium, Istio (service mesh) | Containerized workloads |
Segment etmeden önce hangi sistemlerin hangisiyle konuştuğunu haritala. VMware NSX-T Flow Analysis, Illumio Illumination veya NetFlow verileri kullan. Keşif aşaması olmadan uygulanan politika iş servislerini kesintiye uğratır.
ERP, CRM, finans, üretim gibi iş birimlerine göre segment edin. Her segmentin neye erişmesi gerektiğini belge haline getirin.
İlk aşamada politikaları "log only" modunda çalıştırın. İzin verilmeyen trafiği tespit edin ve gerekli olanları beyazlisteye alın.
Politikaları enforce edin. Yeni uygulamalar devreye alındıkça segmentasyon politikasını CI/CD pipeline'a entegre edin.
Uygulama düzeyinde Zero Trust, her API çağrısının ve her uygulama erişiminin doğrulanmasını gerektirir. ZTNA'nın ağ katmanında yaptığını API Gateway ve WAF, uygulama katmanında yapar.
Zero Trust'ın son savaş alanı veridir. Verinin nerede olduğu, kim tarafından işlendiği ve nasıl korunduğu KVKK uyumluluğunun da temel sorusudur.
Zero Trust'a geçiş tek bir projede tamamlanamaz; 18-36 aylık stratejik bir dönüşümdür. Aşağıdaki plan Türkiye kurumsal gerçekliğine göre önceliklendirilmiştir: en hızlı risk azaltımı ve en düşük operasyonel kesinti hedefleniyor.
| Faz | Süre | Odak | Öncelikli Eylemler | Ürün Önerileri (TR Pazarı) |
|---|---|---|---|---|
| Faz 1 Acil |
0–3 ay | Kimlik ve MFA | Tüm kritik sistemlerde MFA, PAM kurulumu, AD audit, service account envanteri | Microsoft Entra ID P2, CyberArk / Delinea |
| Faz 2 Yüksek |
3–6 ay | Cihaz Güveni | EDR deployment, MDM kayıt, cihaz compliance politikası, Conditional Access | Microsoft Defender for Endpoint + Intune, CrowdStrike |
| Faz 3 Yüksek |
6–12 ay | ZTNA Geçişi | Pilot ZTNA grubu, VPN paralel çalıştırma, kritik uygulamaları ZTNA'ya taşıma | Palo Alto Prisma Access, Zscaler ZPA, Fortinet ZTNA |
| Faz 4 | 12–24 ay | Mikrosegmentasyon | East-west trafik analizi, segment tanımlama, deny-default politika uygulama | VMware NSX-T, Illumio, Cisco ACI |
| Faz 5 | 18–36 ay | Veri ve Olgunluk | Veri sınıflandırma, DLP, DAM, SIEM entegrasyonu, CISA maturity ölçümü | Microsoft Purview, Splunk / Sentinel, Forcepoint DLP |
CISA Zero Trust Maturity Model v2.0 (2023), beş pillar'da dört olgunluk seviyesi tanımlar: Traditional → Initial → Advanced → Optimal. Türkiye kurumsal ortamının büyük çoğunluğu Traditional veya Initial seviyesinde konumlanıyor.
| Pillar | Traditional (1) | Initial (2) | Advanced (3) | Optimal (4) |
|---|---|---|---|---|
| Identity | Statik parola | MFA mevcut | Risk-based auth | FIDO2 + sürekli |
| Device | Envanter yok | MDM/EDR var | Compliance ile erişim | Otomatik yanıt |
| Network | Flat network | Temel segm. | ZTNA + mikroseg. | Dinamik politika |
| Application | Açık API | Basic auth | OAuth2 / OIDC | Sürekli doğrulama |
| Data | Sınıflandırma yok | Manuel etiket | Otomatik DLP | AI destekli |
CISA'nın resmi maturity model belgesi her pillar için denetim soruları içeriyor. Her soruya Traditional/Initial/Advanced/Optimal yanıtı verilerek pillar bazında olgunluk skoru çıkarılır.
Mevcut durum ile hedef olgunluk arasındaki boşlukları pillar bazında belgele. Her gap için risk puanı, maliyet tahmini ve süre ata.
Gap analizine göre önceliklendirilmiş eylem planı. Risk/maliyet matrisi hangi pillar'a önce yatırım yapılacağını belirler.
Zero Trust olgunluğu statik değildir. Tehdit peyzajı değişir, yeni teknolojiler devreye girer. Düzenli değerlendirme ile yatırım odağı güncellenir.
Bu rehberin teknik içeriği aşağıdaki birincil kaynaklara dayanmaktadır. Türkiye'ye özgü düzenleyici referanslar resmi kurum yayınlarından alınmıştır.