Şimdi yükleniyor
Bilgi Güvenliği BT Yönetişim Genel Teknoloji , , , , , , , , , ,

Zero Trust’a Giden Yol: KOBİ ve Kurumlarda Gerçekçi Geçiş Adımları

Zero trust and security concept, Businessman show the high level of zero trust icon, Business security network and private data, Fingerprint, cyber crime, Thieves protection, Internet connectivity

Siber güvenlikte “Zero Trust” (Sıfır Güven) artık bir trend değil, yeni güvenlik mimarisinin varsayılanı haline geldi. Ama çoğu içerik bunu anlatırken çok fütüristik, çok enterprise, çok teorik gidiyor. Senin hedefin KOBİ’ler ve kurumlar için uygulanabilir ve gerçekçi içerik üretmek olduğu için (ÇözümPark/MSHOWTO modelini bu açıdan daha güçlü yapacaksın), konuyu adım adım ve bütçe/operasyon gerçeğini göz önüne alarak işliyoruz.

Zero Trust’ın temel fikri şudur:

Hiçbir kullanıcıya, cihaza veya servise varsayılan olarak güvenme. Her isteği doğrula, yetkilendir, izle.

Bu basit cümle, sahada uygulanmadığında karmaşıklaşır. Çünkü mesele sadece kimlik değil; cihaz güvenliği, ağ segmentasyonu, servis sahipliği, erişim davranışları ve görünürlük ile birlikte olgunlaşır.

🧩 Zero Trust’a Geçişte En Büyük Yanılgı

Birçok şirket şu hataya düşüyor:

  • “Firewall’a 2 kural yazalım, Zero Trust olduk”
  • “MFA açtık, tamamdır”
  • “EDR alalım, güveni sıfırladık”

Bunlar bileşenlerdir, mimari değil.
Zero Trust, ürün almakla değil, güven modelini değiştirmekle başlar.

🧭 Gerçekçi Geçiş Adımları

1. Kimlik ve Erişim Katmanı (Identity First, but not Identity Only)

  • MFA’yı sadece IT adminlerine değil, VPN/ERP/Email/Help Desk dahil tüm kritik sistemlere
  • Ayrıcalıklı hesapları (admin, root, servis hesapları) standart kullanıcıdan ayır
  • Ortak hesapları tespit et ve bireyselleştir (bu tam bir Zero Trust altın madeni)

2. Cihaz Güven Katmanı (Endpoint Context)

  • Envanterde olmayan cihaz = güvenilmez cihaz
  • Şirket cihazlarına EDR/antivirüs koymak yetmez, konfigürasyon standardı getir
    • Disk şifreleme (BitLocker/FileVault)
    • Güvenlik yamaları için minimum sürüm politikası
    • USB, ekran kilidi, idle timeout kuralları
  • Mümkünse kişisel cihazlara (BYOD) NAC veya MDM profili zorla

3. Ağ Katmanı (Network Micro-Segmentation)

  • Flat network’ten kurtul:
    • Misafir Wi-Fi
    • Ofis kullanıcı ağı
    • Sunucu/MES/OT ağı
    • Yönetim ağı
    • Kamera/IoT ağı
  • VLAN’lar kur ama aralarında sadece ihtiyaç kadar konuşma izni ver
  • VPN’de split-tunneling’i kapat, tüm trafiği denetimden geçir

4. Servis ve Sunucu Sahipliği (Ownership Matters)

  • Sahipsiz servisler en büyük tehdittir
  • Her servisi:
    • Sahibi kim?
    • Hangi portu kullanıyor?
    • Hangi kullanıcı erişiyor?
    • Log’u toplanıyor mu?
    • İnternete açık mı?
      sorularıyla kayıt altına al

5. Görünürlük (SIEM yoksa bile log korelasyonu başlat)

  • SIEM yoksa:
    • Windows Event Log’ları merkezi topla
    • Linux’te syslog sunucusu kur
    • Firewall log’ları, VPN log’ları, ticket trendleriyle manuel korelasyon yeteneğini olgunlaştır
  • SIEM alana kadar en azından log’ların kaybolmadığı bir gerçeklik kur

6. Erişim Davranışı (Anomaly > Allow)

  • Başarılı giriş sayısı değil, girişin davranışı önemli:
    • Farklı şehir/IP
    • Mesai dışı saat
    • Alışılmadık cihaz/agent
    • Tekrar eden başarısız denemeler
      bunlar artık izin değil alarm üretmeli

🎯 Olgunluk Hedefi

Zero Trust’ta hedef herkesi engellemek değil, güveni kanıtlamak olmalı. BT’nin kaostan çıkıp data ile erişim kararları verebildiği yerde Zero Trust olgunlaşır.

🧯 Sonuç

Eğer BT’de işler sürekli “acil” konuşuluyorsa, Zero Trust’a geçiş önce operasyon olgunluğunu yükseltme projesi olmalıdır. Çünkü:

Kaos güveni sıfırlamaz, sadece riski görünmez yapar.

Etiket

İlgili Yazılar

Yorum gönder

Kaçırmış Olabilirsiniz