← Blog'a Dön
TEKNIK

Zero Trust Güvenlik Modeli Nedir? Modern Ağ Güvenliği Rehberi

F. Çağrı Bilgehan28 Ocak 202610 dk okuma
zero trustgüvenlikmimari

Zero Trust Güvenlik Modeli Nedir?

Firewall'un arkasındaki her şey güvenli mi? Peki bir saldırgan içeriye girerse? Zero Trust modelinde hiçbir şeye — ne iç ağa, ne kullanıcıya, ne cihaza — otomatik olarak güvenilmez.

Geleneksel vs Zero Trust

Geleneksel (Castle & Moat)

İnternet ──[Firewall]──→ İç Ağ (güvenli kabul edilir)
                             ├─ Server A ↔ Server B (serbest)
                             └─ Kullanıcı (güvenilir)

Sorun: Saldırgan firewall'u aştığında tüm iç ağa erişir.

Zero Trust

Her erişim:
  1. Kim olduğunu kanıtla (identity)
  2. Ne yapmak istediğini söyle (authorization)
  3. Cihazının güvenli olduğunu doğrula (device trust)
  4. Sadece gerekli kaynağa eriş (least privilege)
  5. Sürekli doğrulanmaya devam et (continuous verification)

Zero Trust Prensipleri

1. Never Trust, Always Verify

Ağ konumuna bakılmaksızın her istek doğrulanır.

2. Least Privilege

Kullanıcıya sadece işi için gereken minimum yetki verilir:

❌ DevOps → Tüm sunuculara tam erişim
✅ DevOps → Sadece CI/CD pipeline ve staging sunucusu

3. Assume Breach

Saldırganın zaten içeride olduğunu varsayarak tasarlayın. Patlama yarıçapını (blast radius) sınırlayın.

4. Mikro Segmentasyon

Ağı küçük bölgelere ayırarak yatay hareketi engelleyin:

Geleneksel:
[Tüm servisler aynı ağda, birbiriyle serbestçe iletişim]

Zero Trust:
[Web App] ←mTLS→ [API] ←mTLS→ [DB]
     ↕                          ✗
[Payment] ←mTLS→ [API]     [Web App ↛ DB]

Zero Trust Bileşenleri

| Bileşen | Açıklama | Araç Örnekleri | |---------|----------|----------------| | Identity Provider | Kimlik doğrulama | Okta, Azure AD, Auth0 | | Policy Engine | Erişim kuralları | OPA, Cedar | | mTLS | Servisler arası şifreleme | Istio, Linkerd | | Device Trust | Cihaz güvenlik durumu | CrowdStrike, Jamf | | Network Segmentation | Mikro segmentasyon | VPC, Calico, Cilium | | SIEM | Güvenlik olayı izleme | Splunk, Elastic |

Pratik Uygulama Adımları

1. Identity-Based Access

// Her API isteğinde kimlik doğrulama
function authorize(req: Request) {
  const token = req.headers.authorization;
  const user = verifyJWT(token);
  
  // Role-based access control
  if (!user.roles.includes('admin') && req.path.startsWith('/admin')) {
    throw new ForbiddenError('Yetkisiz erişim');
  }

  // Resource-level permission
  if (req.path.startsWith('/orders/')) {
    const orderId = req.params.id;
    if (!user.permissions.includes(`order:${orderId}:read`)) {
      throw new ForbiddenError('Bu siparişe erişiminiz yok');
    }
  }
}

2. Network Policy (Kubernetes)

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: api-policy
spec:
  podSelector:
    matchLabels:
      app: api
  ingress:
    - from:
        - podSelector:
            matchLabels:
              app: web
      ports:
        - port: 3000
  # Sadece web app'ten gelen trafik kabul edilir

3. Continuous Monitoring

Her istek için kontrol:
✓ Token geçerli mi?
✓ Kullanıcı hâlâ aktif mi?
✓ Cihaz güvenlik politikalarını karşılıyor mu?
✓ İstek normal davranış kalıbına uyuyor mu?
✓ Coğrafi konum olağan mı?

BeyondCorp (Google)

Google'ın Zero Trust implementasyonu:

  • VPN yok — Tüm uygulamalar internetten erişilebilir
  • Her erişim identity + cihaz güvenliği ile korunur
  • Context-aware access — Konum, saat, cihaz durumu dikkate alınır

Uygulama Yol Haritası

Aşama 1: Envanter
  → Tüm kullanıcıları, cihazları, uygulamaları ve veri akışlarını belirleyin

Aşama 2: Identity
  → MFA zorunlu kılın, SSO uygulayın

Aşama 3: Segmentasyon
  → Ağı mikro segmentlere bölün

Aşama 4: Least Privilege
  → Tüm erişim yetkilerini minimum düzeye indirin

Aşama 5: Monitoring
  → Tüm erişimleri loglayın, anomali tespiti kurun

Aşama 6: Otomasyon
  → Otomatik yanıt ve düzeltme mekanizmaları

Best Practices

  1. MFA zorunlu — Tek faktör asla yeterli değil
  2. Least privilege — Varsayılan: erişim yok, gerektiğinde izin ver
  3. Şifreleme her yerde — mTLS, HTTPS, encryption at rest
  4. Sürekli doğrulama — Oturum boyunca tekrarlanan kontroller
  5. Loglama — Tüm erişim girişimlerini kaydedin
  6. Otomatik yanıt — Şüpheli aktivitede otomatik engelleme

Sonuç

Zero Trust, "güvenlik duvarının arkası güvenlidir" varsayımını tamamen reddeder. Modern bulut ortamlarında, uzaktan çalışma dünyasında ve dağıtık sistemlerde geleneksel çevre güvenliği artık yeterli değildir. Zero Trust ile her erişimi doğrulayın, her kaynağı koruyun.

Güvenlik mimarisi ve zero trust konularını LabLudus platformunda öğrenin.

İlgili Yazılar

Acik Kaynak Yazilim Rehberi: Nedir, Nasil Katki Yapilir?

Acik kaynak yazilim nedir, lisans turleri nelerdir ve acik kaynak projelere nasil katki yapilir? GitHub, open source ve topluluk rehberi.

CI/CD Nedir? Surekli Entegrasyon ve Dagitim Rehberi

CI/CD nedir, neden onemlidir ve nasil kurulur? GitHub Actions, Jenkins ve otomatik test-deploy pipeline rehberi.