# Zero Trust Güvenlik Mimarisi Nedir? Kurumsal BT İçin Kapsamlı Rehber
Dijital dönüşümün hızlanması ve uzaktan çalışma modellerinin yaygınlaşmasıyla birlikte geleneksel güvenlik yaklaşımları yetersiz kalmaya başladı. **Zero Trust güvenlik mimarisi**, "asla güvenme, her zaman doğrula" prensibine dayanan modern bir güvenlik modelidir. Bu yaklaşım, ağ içindeki veya dışındaki tüm kullanıcı, cihaz ve uygulamaların sürekli olarak doğrulanmasını gerektirir. Türkiye'deki kurumsal BT yöneticileri için Zero Trust artık bir tercih değil, zorunluluk haline gelmiştir.
Zero Trust Güvenlik Mimarisi Neden Bu Kadar Kritik?
Geleneksel "kale ve hendek" güvenlik modeli, ağ çevresini koruyarak içerideki her şeye güvenmek üzerine kuruluydu. Ancak günümüzde 2025 yılı verilerine göre siber saldırıların yaklaşık %68'i içeriden veya ele geçirilmiş kullanıcı kimlik bilgileri üzerinden gerçekleşiyor. IBM'in son raporuna göre bir veri ihlalinin ortalama maliyeti 4,88 milyon dolara ulaşmış durumdadır.
Zero Trust mimarisi, bu tehdit ortamına karşı katmanlı bir savunma sunar. Her erişim talebi, kullanıcının kim olduğu, hangi cihazı kullandığı, nereden bağlandığı ve hangi kaynağa erişmek istediği gibi parametrelere göre değerlendirilir. Bu sayede saldırganların ağ içinde yatay hareket etmesi önemli ölçüde zorlaştırılır. Forrester araştırmalarına göre Zero Trust uygulayan şirketlerde veri ihlali maliyetleri %43'e kadar azalmaktadır.
Zero Trust Mimarisinin Temel Prensipleri
Zero Trust güvenlik mimarisi, NIST 800-207 standardı çerçevesinde belirli prensipler üzerine inşa edilir. Bu prensipler, mimarinin hangi sektörde uygulanırsa uygulansın temel yapı taşlarını oluşturur. Doğru uygulandığında hem performans hem de güvenlik açısından ciddi kazanımlar sağlar.
**Sürekli Doğrulama:** Her erişim talebi, oturum boyunca tekrar tekrar doğrulanır. Tek seferlik kimlik doğrulama yerine, kullanıcının davranışı ve bağlam bilgileri sürekli analiz edilir. Çok faktörlü kimlik doğrulama (MFA) burada kritik bir rol oynar.
**En Az Ayrıcalık İlkesi:** Kullanıcılara yalnızca işlerini yapmaları için gerekli olan minimum yetki verilir. Just-in-Time (JIT) erişim ve Just-Enough-Access (JEA) yaklaşımları ile geçici, sınırlı yetkiler tanımlanır. Bu yaklaşım, ele geçirilmiş hesapların yapabileceği zararı sınırlar.
**Mikro-Segmentasyon:** Ağ, küçük güvenlik bölgelerine ayrılır ve her bölge ayrı ayrı yönetilir. Bir bölgedeki saldırı diğer bölgelere yayılamaz. VMware NSX veya Cisco ACI gibi çözümler bu segmentasyonu yazılım tabanlı olarak sağlar.
**İhlal Varsayımı:** Sistem her zaman ihlal edilmiş gibi tasarlanır. Bu yaklaşım, sürekli izleme, log analizi ve davranışsal analitik gerektirir. SIEM ve SOAR çözümleri burada devreye girer.
Zero Trust Mimarisi Kurumsal Ortamda Nasıl Uygulanır?
Zero Trust'a geçiş, bir gecede gerçekleşmez; planlı ve aşamalı bir yol haritası gerektirir. Genellikle 12-24 ay arasında süren bu süreç, şirketin mevcut altyapısı ve büyüklüğüne göre şekillenir. İlk adım, mevcut varlıkların ve veri akışlarının haritalandırılmasıdır.
**1. Aşama - Kimlik ve Erişim Yönetimi:** Microsoft Entra ID (eski adıyla Azure AD) gibi modern kimlik çözümleri ile başlanır. Tüm kullanıcılar için MFA zorunlu hale getirilir, koşullu erişim politikaları tanımlanır. Conditional Access kuralları sayesinde riskli oturumlar otomatik engellenebilir.
**2. Aşama - Cihaz Güvenliği:** Microsoft Intune veya benzeri MDM/UEM çözümleri ile cihazların uyumluluğu denetlenir. Yalnızca güncel işletim sistemine, antivirüs korumasına ve disk şifrelemesine sahip cihazlar kurumsal kaynaklara erişebilir. EDR/XDR çözümleri ile uç nokta görünürlüğü artırılır.
**3. Aşama - Ağ Segmentasyonu:** Fortinet FortiGate gibi yeni nesil güvenlik duvarları ile ağ segmentasyonu sağlanır. VLAN yapılandırmasının ötesine geçerek uygulama bazlı segmentasyon uygulanır. Fortinet'in ZTNA (Zero Trust Network Access) modülü, geleneksel VPN'e modern bir alternatif sunar.
**4. Aşama - Veri Koruma:** Hassas veriler sınıflandırılır ve etiketlenir. Microsoft Purview gibi çözümlerle DLP (Data Loss Prevention) politikaları uygulanır. Şifreleme hem aktarımda hem de depolamada zorunlu hale getirilir.
Zero Trust İçin Gerekli Teknolojiler ve Araçlar
Zero Trust mimarisi tek bir ürünle kurulmaz; birden fazla teknolojinin entegre çalışmasını gerektirir. Doğru ürün seçimi ve entegrasyon, başarının anahtarıdır. Türkiye'deki kurumlar için aşağıdaki teknoloji yığını öne çıkmaktadır.
**Kimlik Yönetimi:** Microsoft Entra ID, Okta veya benzeri IDaaS çözümleri merkezi kimlik kaynağı olarak kullanılır. SSO (Single Sign-On) ve MFA temel gereksinimlerdir. Privileged Access Management (PAM) çözümleri ile yönetici hesapları ayrıca korunur.
**Ağ Güvenliği:** Fortinet FortiGate güvenlik duvarları, Secure SD-WAN ve ZTNA özellikleri ile Zero Trust mimarisinin omurgasını oluşturur. FortiClient EMS ile uç nokta erişimi merkezi olarak yönetilir. Huawei switch altyapıları ile entegre çalışan VLAN ve mikro-segmentasyon stratejileri ölçeklenebilir bir yapı sunar.
**Uç Nokta Güvenliği:** Microsoft Defender for Endpoint, CrowdStrike veya benzeri EDR/XDR çözümleri ile cihazlar sürekli izlenir. Davranışsal analiz sayesinde sıfırıncı gün saldırıları tespit edilebilir.
**İzleme ve Analitik:** SIEM çözümleri (Microsoft Sentinel, Splunk) tüm güvenlik olaylarını merkezi olarak toplar ve analiz eder. SOAR entegrasyonu ile otomatik yanıt mekanizmaları kurulur. Bu sayede 7/24 SOC operasyonu daha verimli yürütülür.
Zero Trust Geçişinde Karşılaşılan Zorluklar ve Çözümleri
Zero Trust mimarisine geçiş, teknik olduğu kadar kültürel bir dönüşüm de gerektirir. Birçok kurum bu süreçte benzer zorluklarla karşılaşır. En sık görülen sorun, mevcut eski (legacy) sistemlerin Zero Trust prensipleriyle uyumsuz olmasıdır.
Eski uygulamalar genellikle modern kimlik protokollerini desteklemez. Bu durumda uygulama proxy'leri veya API gateway'ler kullanılarak köprü kurulabilir. Microsoft Entra Application Proxy gibi çözümler, eski uygulamaları MFA ile koruyabilir. Bütçe planlamasında bu entegrasyon maliyetleri göz ardı edilmemelidir.
Kullanıcı deneyimi de önemli bir konudur. Çok katı politikalar verimliliği düşürebilir; çok gevşek politikalar ise güvenliği zayıflatır. Risk tabanlı koşullu erişim politikaları ile bu denge sağlanabilir. Düşük riskli durumlarda kullanıcıdan ek doğrulama istenmezken, anormal davranışlarda MFA tetiklenir.
Personel eğitimi de kritik bir bileşendir. Tüm çalışanların