Zero Trust Nedir?
Zero Trust (Sıfır Güven), adını ilk kez 2010 yılında Forrester Research analisti John Kindervag'ın ortaya koyduğu güvenlik modelinden alır. Temel ilkesi "asla güvenme, her zaman doğrula" (never trust, always verify) olan bu yaklaşım, ağ içindeki veya dışındaki hiçbir kullanıcıya, cihaza veya uygulamaya otomatik olarak güvenmez.
Geleneksel "kale ve hendek" (castle-and-moat) güvenlik modeli, ağ çevresinin içindekilere güvenirken dışarıdakileri engellemeye çalışıyordu. Ancak bulut bilişim, uzaktan çalışma ve mobil cihazların yaygınlaşmasıyla bu çevre tamamen bulanıklaştı.
Zero Trust'ın Temel İlkeleri
1. Açık Doğrulama (Explicit Verification)
Her erişim talebi, kullanıcı kimliği, cihaz durumu, konum, zaman ve erişilen kaynağın hassasiyet düzeyi gibi tüm veriler değerlendirilerek onaylanmalıdır. Çok faktörlü kimlik doğrulama (MFA) bu ilkenin temel taşıdır.
2. En Az Yetki Prensibi (Least Privilege)
Kullanıcılar ve uygulamalar yalnızca görevlerini yerine getirmek için gereken minimum yetkiye sahip olmalıdır. Just-In-Time (JIT) ve Just-Enough-Access (JEA) politikaları uygulanarak gereksiz yetki genişlemesi önlenir.
3. İhlal Varsayımı (Assume Breach)
Ağın zaten ihlal edilmiş olabileceği varsayılarak güvenlik tasarlanır. Bu yaklaşım, mikro-segmentasyon, uçtan uca şifreleme ve sürekli izleme gibi mekanizmaları zorunlu kılar.
Zero Trust Uygulama Adımları
Bir kurumda Zero Trust mimarisine geçiş aşamalı bir süreçtir. Aşağıdaki adımlar bu geçişin yol haritasını oluşturur:
- Varlık envanteri: Tüm kullanıcılar, cihazlar, uygulamalar ve veri akışlarının haritalanması
- Kimlik ve erişim yönetimi (IAM): Merkezi kimlik platformu, SSO ve MFA altyapısının kurulması
- Mikro-segmentasyon: Ağın küçük bölümlere ayrılarak lateral hareketin engellenmesi
- Cihaz güven skoru: Kurumsal cihazların güvenlik durumunun sürekli değerlendirilmesi
- Sürekli izleme ve analitik: SIEM ve UEBA çözümleriyle anomali tespiti
- Politika otomasyonu: Risk tabanlı dinamik erişim politikalarının uygulanması
Zero Trust Bileşenleri
Yazılım Tanımlı Çevre (SDP)
SDP, uygulamaları ve altyapıyı internet üzerinden görünmez hale getirerek saldırı yüzeyini minimize eder. Yalnızca doğrulanmış kullanıcılar belirli kaynaklara erişebilir.
Zero Trust Ağ Erişimi (ZTNA)
VPN'in modern alternatifi olan ZTNA, kullanıcıları doğrudan belirli uygulamalara bağlar, tüm ağa erişim vermez. Bu sayede lateral hareket riski önemli ölçüde azalır.
Kimlik Odaklı Güvenlik
Kimlik, Zero Trust mimarisinin temel güvenlik çevresidir. Azure AD, Okta veya benzeri IAM platformları üzerinden koşullu erişim politikaları, risk tabanlı MFA ve privileged access management (PAM) uygulanır.
Türkiye'de Zero Trust Uygulamaları
KVKK düzenlemeleri ve artan siber saldırılar, Türkiye'deki kurumları Zero Trust'a yönlendiriyor. Bankacılık, enerji, sağlık ve kamu sektöründe Zero Trust pilot projelerinin sayısı artıyor. Ancak pek çok kurum hâlâ eski VPN tabanlı erişim modellerine bağımlı.
Zero Trust geçişinde en büyük zorluklar arasında eski sistemlerle uyumluluk, kullanıcı deneyimi ve bütçe kısıtlamaları yer alıyor. Bu nedenle aşamalı bir geçiş stratejisi kritik öneme sahiptir.
Sonuç
Zero Trust, modern siber güvenliğin temel taşıdır. Uzaktan çalışma, bulut bilişim ve IoT'nin yaygınlaştığı bir dünyada ağ çevresi kavramı artık geçerliliğini yitirdi. Marta Teknoloji olarak kurumunuzun Zero Trust olgunluk değerlendirmesini yapıyor, IAM, mikro-segmentasyon ve ZTNA çözümlerinin tasarımı ve uygulanmasında destek sağlıyoruz.