> Blog > Ağ Teknolojileri > Zero Trust (Sıfır Güven) Nedir? Nasıl Çalışır?

Zero Trust (Sıfır Güven) Nedir? Nasıl Çalışır?

Zero Trust modeli hiçbir kullanıcıya veya cihaza otomatik güven tanımayarak, sürekli doğrulama, mikro segmentasyon ve en düşük yetki prensibiyle ağınızı katman katman korur. Bu yazıda Zero Trust'ın temel prensiplerini, mimari bileşenlerini ve adım adım uygulama stratejilerini detaylıca bulacaksınız.

Günümüzde uzaktan çalışma ve bulut teknolojilerinin yaygınlaşmasıyla geleneksel  güvenlik yaklaşımları yetersiz kalmaya başlamıştır. Bu nedenle ZTNA (Zero Trust Network Access – Sıfır Güven Ağ Erişimi), modern hibrit çalışma düzeninde kurumların ağ ve uygulamalarına güvenli erişim sağlamak için ortaya çıkan önemli bir siber güvenlik yaklaşımıdır. Bu yazımızda ZTNA nedir, ZTNA nasıl çalışır ve ZTNA avantajlarını detaylı bir şekilde ele alacağız.

ZTNA (Zero Trust Network Access) Nedir?

ZTNA (Zero Trust Network Access), hiçbir ağı içten veya dıştan güvenilir olarak kabul etmeyen, her erişim isteğini doğrulamaya tabi tutan modern bir siber güvenlik modelidir. 

Bu modelde, kurum ağı içinde bile olsalar, kullanıcılar veya cihazlar varsayılan olarak yetkisiz kabul edilir. Erişim izni verilebilmesi için kullanıcının kimliği, cihaz durumu ve o anki bağlam gibi kriterlerin her seferinde doğrulanması gerekir.

Bu yaklaşım, geleneksel güvenlikteki “bir kez doğrula, sonsuza dek güven” modelini terk ederek, her istekte yeniden kimlik doğrulama ve yetkilendirme yapılmasını sağlar.

ZTNA aslında tek bir teknoloji değil, birden fazla bileşeni entegre eden kapsamlı bir yaklaşımdır. Tipik bir ZTNA çözümü; kimlik ve erişim yönetimi (IAM) sistemleri, çok faktörlü kimlik doğrulama (MFA), şifreleme, mikro segmentasyon, cihaz güvenlik durumu kontrolü ve sürekli izleme gibi unsurları içerir. 

Bu bileşenler sayesinde kullanıcının kimliği ve cihazın sağlığı her erişim talebinde doğrulanır, erişim izinleri dinamik olarak (bağlama göre) kontrol edilir ve şüpheli aktiviteler anında tespit edilerek engellenir. 

ZTNA’nın temelinde yatan “En Az Ayrıcalık İlkesi” (Principle of Least Privilege – PoLP), her kullanıcıya ve cihaza sadece işini yapmak için gereken minimum erişim haklarının verilmesini öngörür. Bu sayede olası bir güvenlik ihlalinde, saldırganın erişebileceği kaynaklar kısıtlanarak zarar minimize edilir.

Ayrıca ZTNA çözümleri, geleneksel VPN’lerin aksine ağ katmanı yerine uygulama katmanında çalışır. Yani kullanıcıya tüm ağa erişim vermek yerine doğrudan belirli uygulamalara erişim izni sağlanır. Bu yaklaşım sayesinde kurum içi uygulamalar internet üzerinde görünmez hale getirilir.

ZTNA Nasıl Çalışır?

 

ZTNA çözümleri “varsayılan olarak reddet” prensibiyle çalışır. Yani bir kullanıcı veya cihaz, ilgili güvenlik kriterlerini karşılayana dek hiçbir kurumsal kaynağa erişemez. Kullanıcı bir uygulamaya erişmek istediğinde, süreç şu şekilde işler:

  1. Kimlik ve Cihaz Doğrulama: Kullanıcının cihazındaki istemci ajan (client agent) veya erişim talebi, önce bir ZTNA kontrol noktasına iletilir. Bu aşamada sistem, kullanıcının kimliğini (SSO/MFA ile), cihazın güvenlik durumunu (antivirüs, patch durumu, vs.), bulunduğu lokasyonu, erişim zamanını ve diğer bağlamsal verileri değerlendirir. 
  2. Politika Motoru ile Karar: ZTNA mimarisinin politika motoru (policy engine) olarak adlandırılan merkezi bileşeni, tanımlanmış güvenlik politikalarına göre bu isteği değerlendirir. Her uygulama veya hizmet için önceden belirlenmiş kurallar vardır (örneğin X departmanı Y uygulamasına sadece mesai saatlerinde ve güncel antivirüslü cihazla erişebilir gibi). Kullanıcı ve cihaz, bu kurallara uygunsa erişim izni verilir. Aksi halde erişim reddedilir. En az ayrıcalık ilkesi gereği, kullanıcıya sadece ihtiyaç duyduğu belirli uygulama için izin tanımlanır; tüm ağa erişim söz konusu değildir.
  3. Güvenli Tünel Oluşturma: Erişim talebi onaylandığında, ZTNA çözümü kullanıcı ile hedef uygulama arasında şifreli bir mikro-tünel oluşturur. Bu tünel, doğrudan ilgili uygulamaya erişimi sağlar ve kullanıcıya başka hiçbir sistemi görme imkânı vermez. Yani kullanıcı, örneğin CRM uygulamasına erişim izni aldıysa sadece o uygulamaya bağlanabilir; aynı ağda yer alan farklı bir veritabanı sunucusuna veya dosya paylaşım sistemine doğrudan erişemez. Bu mikrosegmentasyon yaklaşımı sayesinde ağ içinde yatay hareket (lateral movement) riski büyük ölçüde ortadan kalkar. Uygulamalar, kullanıcıya yetkisi olmadığı sürece tamamen gizli kalır ve ağ seviyesinde görünmez olur.
  4. Sürekli İzleme ve Doğrulama: ZTNA, erişim oturumu boyunca sürekli doğrulama ve izleme mekanizmaları kullanır. Kullanıcının oturumu başladıktan sonra bile sistem periyodik olarak kullanıcının ve cihazın durumunu izler; IP adresi değişikliği, olağandışı veri transferi veya cihazda güvenlik riski oluşması gibi durumları denetler. Eğer oturum sırasında şüpheli bir aktivite veya bağlam değişikliği tespit edilirse, ZTNA sistemi erişim tünelini anında sonlandırabilir veya yeniden doğrulama isteyebilir. Bu dinamik güvenlik yaklaşımı, geleneksel VPN’lerde görülen “ilk bağlantıda doğrula, sonra denetleme yok” zafiyetini ortadan kaldırarak oturum boyunca güvenliği sürdürür.

Önemle belirtilmelidir ki ZTNA, altyapı esnekliği açısından da modern ihtiyaçlara uyum sağlar. Kimi ZTNA çözümleri tamamen bulut üzerinden sunulurken, kimileri şirket içi veri merkezine yerleştirilen geçitler (gateway) kullanabilir. 

Son olarak, ZTNA çoğunlukla SD-WAN veya SASE (Secure Access Service Edge) mimarilerinin bir parçası olarak karşımıza çıkar. SASE yaklaşımı, ağ ve güvenlik servislerini tek çatı altında bulut tabanlı bir hizmet olarak birleştirir. Bu mimari içinde ZTNA, kimlik doğrulama ve erişim kontrolünü sağlayan temel bileşenlerden biridir. SASE çözümünün parçası olan bir ZTNA, SWG (Secure Web Gateway), CASB (Cloud Access Security Broker), FWaaS (Firewall as a Service) ve SD-WAN gibi diğer güvenlik servisleriyle entegre çalışır. Böylece kullanıcılar, nerede olurlarsa olsunlar kurumsal uygulamalara güvenli ve tutarlı bir şekilde erişebilirler. Örneğin SASE içindeki ZTNA, uzaktaki bir çalışan için buluttaki CRM uygulamasına erişimi kimlik doğrulaması yaparak güvenli hale getirirken, aynı platformdaki diğer servisler de trafiği zararlı içeriklere karşı tarayabilir. Bu bütünsel yaklaşım, sıfır güven prensiplerinin uçtan uca uygulanmasını sağlar.

Sase Sase

ZTNA Avantajları Nelerdir?

  1. Saldırı Yüzeyini Minimuma İndirir: ZTNA’nın en önemli avantajlarından biri, kurumsal sistemlerin maruz kaldığı saldırı yüzeyini ciddi ölçüde daraltmasıdır. Geleneksel VPN çözümlerinde, kullanıcı ağa bağlandığında çoğu zaman tüm iç ağa erişim hakkı kazanır ve bu da saldırganlar için geniş bir hareket alanı demektir. Oysa ZTNA yaklaşımında varsayılan olarak bütün erişimler reddedildiği ve sadece açıkça izin verilen servis ve uygulamalara erişim sağlandığı için potansiyel açık kapı sayısı çok azalır. Kullanıcılar ihtiyaç duymadıkları kaynakları göremez veya erişemez. Bu “bilmesi gereken prensibi” (need-to-know) sadece gerekli olanı açığa çıkarır, diğer tüm uygulamaları kim olursa olsun gizli tutar. 
  2. Granüler Erişim Kontrolü ve Mikrosegmentasyon: ZTNA, kullanıcılara ve cihazlara daha hassas erişim yetkileri tanımlamaya olanak sağlar. Mikrosegmentasyon teknolojisi sayesinde kurum ağı, küçük parçalara veya segmentlere bölünür ve her kullanıcı sadece kendi yetkisi dahilindeki segmentteki uygulamalara erişebilir. Örneğin, muhasebe departmanındaki bir personel, sadece finans uygulamalarına erişebilirken, üretim veritabanlarına erişemez. Bu granüler kontrol, yetkisiz erişimleri önlediği gibi olası bir güvenlik ihlalinde de saldırganın ağ içinde ilerlemesini (yatay yayılımı) engeller.
  3. Hibrit ve Çoklu Bulut Ortamlarında Daha İyi Güvenlik: COVID-19 sonrası dönemde bir çok kuruluş, uygulamalarını dağıtık ortamlarda çalıştırmaya başladı – bazı uygulamalar şirket içi veri merkezlerinde, bazıları ise AWS, Azure, GCP gibi bulut platformlarında barındırılıyor. Ayrıca çalışanlar ofisten veya uzaktan her yerden bağlanıyor. Bu da geleneksel güvenlik çözümleriyle korunması zor, dağınık bir altyapı ve genişlemiş bir saldırı yüzeyi oluşturuyor. ZTNA bu senaryoda ihtiyaç duyulan esnekliği ve güvenliği bir arada sunar. Konumdan bağımsız olarak kullanıcıların kurumsal kaynaklara güvenli biçimde erişmesini sağlar ve tutarlı bir güvenlik politikası uygular.
  4. Uyum (Compliance) ve Görünürlük: ZTNA çözümleri, erişimle ilgili tüm işlemleri detaylı olarak kayıt altına aldığından, kimin, ne zaman, hangi kaynağa eriştiği konusunda tam bir görünürlük sunar. Bu detaylı kayıt ve raporlama kabiliyeti, GDPR, HIPAA, PCI DSS gibi yasal düzenlemelere uyum için büyük kolaylık sağlar. Örneğin bir denetim durumunda, belirli bir kullanıcının hangi verilere eriştiği kolayca raporlanabilir. Anormal aktivitelerin tespiti de bu sayede hızlanır; zira normal dışı bir erişim denemesi veya hareket, merkezi izleme panellerinde anında işaretlenebilir. ZTNA ayrıca veri bazlı politika kontrolleri uygulayabildiği için, hassas verilerin yalnızca yetkili kişilerce görüntülenmesini sağlayarak veri ihlallerini önlemeye yardımcı olur. 
  5. Operasyonel Verimlilik ve Kolay Yönetim: ZTNA, merkezileştirilmiş politika yönetimi sunarak güvenlik operasyonlarını basitleştirir. Tek bir kontrol paneli üzerinden tüm kullanıcı ve cihazlar için tutarlı güvenlik politikaları uygulanabilir. Bu, birden fazla firewall veya VPN cihazını ayrı ayrı yönetme gerekliliğini ortadan kaldırarak yöneticilerin iş yükünü azaltır. Üstelik ZTNA çözümleri genelde mevcut kimlik yönetim sistemleri (AD/LDAP, SSO) ile entegre olduğundan, kullanıcı yönetimi de otomatik bir şekilde güvenlik politikalarına bağlanır. Bir çalışanın rolü değiştiğinde veya işten ayrıldığında, tek bir yerden erişim hakları güncellenebilir ya da iptal edilebilir.

Neden ZTNA Kullanmalısınız?

ZTNA, güvenlik operasyonlarını basitleştirir ve otomatikleştirir. Merkezi politika yönetimi ve otomatik politika uygulaması sayesinde, güvenlik ekiplerinin iş yükünü azaltır ve insan hatası riskini minimize eder. Risk bazlı erişim kontrolü ve dinamik politika uygulaması, değişen tehdit ortamına hızla adapte olabilir. ZTNA çözümleri genellikle mevcut güvenlik araçlarıyla (SIEM, EDR, SOAR vb.) entegre çalışabilir ve güvenlik ekosistemini güçlendirir.

Son yıllarda ağ ve güvenlikte görülen en büyük değişim, işin artık gittiğimiz bir yer değil, gerçekleştirdiğimiz bir aktivite haline gelmesidir.

Çalışanlar artık ofis, ev, kafe veya herhangi bir yerden kurumsal kaynaklara erişebilmektedir. Bu paradigma değişimi, geleneksel ağ sınırlarını bulanıklaştırmış ve “ağ sınırı = güvenlik sınırı” yaklaşımını geçersiz kılmıştır. 

ZTNA, bu yeni çalışma düzenine uygun, kimlik odaklı ve bağlam bazlı bir güvenlik modeli sunar.

VPN’lerin ölçeklenebilirlik ve entegre güvenlik eksikliği gibi sınırlamaları, artan uzaktan çalışma senaryolarında yetersiz kalabilmektedir. 

Geleneksel VPN çözümleri, tüm trafiği kurumsal veri merkezine yönlendirerek performans sorunlarına neden olabilir. Özellikle bulut tabanlı uygulamalara erişimde, VPN üzerinden yapılan gereksiz trafik yönlendirmesi (hairpinning) gecikmelere yol açar. 

ZTNA ise doğrudan uygulama erişimi sağlayarak bu sorunları ortadan kaldırır ve kullanıcı deneyimini iyileştirir.

ZTNA, tüm çalışanların, müşterilerin, iş ortaklarının ve yüklenicilerin güvenlik ekosistemine dahil edilmesini sağlar. Her kullanıcı grubuna özel erişim politikaları tanımlayarak, herkesin rolüne ve güvenlik gereksinimlerine uygun bir erişim seviyesi sağlar. Bu kapsayıcı ve granüler yaklaşım, organizasyonun tüm paydaşlarının güvenli bir şekilde iş süreçlerine katılmasını mümkün kılar.

Uzman Yorumu 
Kuruluşların güvenlik dönüşüm yolculuğunda ZTNA sadece teknik bir çözüm değil, aynı zamanda stratejik bir adımdır. Benim perspektifime göre en büyük kazanım, güvenliği merkezileştirirken karmaşıklığı azaltmasıdır. Geleneksel yaklaşımlarda her yeni uygulama, her yeni ofis noktası için ayrı ayrı güvenlik konfigürasyonları gerekiyordu. ZTNA ile bu yük ortadan kalkıyor, çünkü kimlik bazlı ve bağlama duyarlı erişim politikaları sayesinde aynı güvenlik modeli her yerde uygulanabiliyor. Bu da sadece güvenlik ekiplerinin işini kolaylaştırmıyor; aynı zamanda iş sürekliliği, uyumluluk ve kullanıcı memnuniyeti açısından da büyük bir katma değer sağlıyor..
Erdem Tutal – Satış Mühendisi

ZTNA ve VPN arasındaki temel farklar nelerdir?

ZTNA ve VPN arasındaki en temel fark, erişim yaklaşımlarıdır. VPN’ler kullanıcıya ağa tam erişim sağlarken, ZTNA varsayılan olarak tüm erişimleri reddeder ve yalnızca kullanıcıya açıkça izin verilen hizmetlere erişim sağlar. VPN’ler “bir kere doğrula, her zaman güven” prensibiyle çalışırken, ZTNA sürekli doğrulama yapar. VPN’ler ağ katmanında çalışırken, ZTNA uygulama katmanında çalışır ve doğrudan uygulamalara güvenli erişim sağlar. Ayrıca, VPN’ler genellikle şirket içi donanım gerektirirken, ZTNA çözümleri çoğunlukla bulut tabanlıdır ve daha kolay ölçeklenebilir.

Uzman Yorumu 
VPN çözümleri özellikle 2000’li yılların başından itibaren güvenli uzaktan erişim için standart haline gelmişti. Ancak günümüzün bulut tabanlı iş yükleri ve SaaS kullanım oranı, VPN’lerin doğasında var olan performans ve güvenlik sınırlamalarını iyice ortaya çıkardı. Benim sahada gözlemlediğim en büyük fark, VPN’in tüm ağa erişim izni vererek risk yüzeyini genişletmesi; ZTNA’nın ise sadece gerekli uygulamalara erişim sağlayarak bu riski minimuma indirmesi. Ayrıca VPN’lerin neden olduğu ‘tüm trafiği merkeze yönlendirme’ problemi (hairpinning), ZTNA ile tamamen ortadan kalkıyor. Bu, özellikle global şirketlerde kullanıcı deneyimini ve verimliliği çok ciddi şekilde iyileştiriyor.
Erdem Tutal – Satış Mühendisi

Küçük ve orta ölçekli işletmeler ZTNA’ya neden ihtiyaç duyar?

Küçük ve orta ölçekli işletmeler (KOBİ’ler) genellikle sınırlı BT kaynaklarına sahiptir ve siber saldırılara karşı daha savunmasız olabilirler. ZTNA, bu işletmelere maliyet-etkin ve yönetimi kolay bir güvenlik çözümü sunar. Bulut tabanlı ZTNA çözümleri, minimum şirket içi altyapı gerektirdiği için idealdir. Uzaktan çalışma senaryolarında güvenliği artırır, bulut uygulamalarına güvenli erişim sağlar ve otomatikleştirilmiş güvenlik kontrolleri sunar. ZTNA’nın mikrosegmentasyon özelliği, olası bir güvenlik ihlalinin etkisini sınırlandırır ve kritik verileri korur. Abonelik tabanlı modelle sunulması, büyük ön yatırımlar gerektirmemesi de KOBİ’ler için avantajdır.

ZTNA uygulaması için gerekli altyapı nedir?

ZTNA uygulaması için gereken altyapı, seçilen çözüm türüne ve organizasyonun ihtiyaçlarına göre değişir. Temel bileşenler arasında kimlik doğrulama sistemleri (SSO, MFA), politika motoru, erişim aracısı ve izleme/analitik bileşenleri yer alır. Bulut tabanlı ZTNA çözümleri için genellikle minimal şirket içi altyapı yeterlidir; kullanıcı cihazlarına yüklenecek istemci yazılımı ve internet bağlantısı temel gereksinimlerdir. Hibrit çözümler için ise bazı şirket içi bileşenler gerekebilir. Uygulama sırasında internet bağlantı kalitesi, bant genişliği ve gecikme süreleri gibi ağ faktörleri dikkate alınmalıdır.

ZTNA çözümü seçerken dikkat edilmesi gereken faktörler nelerdir?

ZTNA çözümü seçerken, öncelikle mevcut kimlik yönetimi sistemleriyle (Active Directory, Azure AD, Okta vb.) entegrasyon değerlendirilmelidir. Ölçeklenebilirlik, yüksek erişilebilirlik ve performans özellikleri, artan kullanıcı sayısı ve trafik hacmini karşılayabilecek kapasitede olmalıdır. Kullanıcı deneyimi, çözümün benimsenmesi için kritiktir. Yönetim kolaylığı, merkezi politika yönetimi ve otomatik politika uygulaması, operasyonel verimliliği artırır. İzleme ve raporlama özellikleri, güvenlik olaylarının hızlı tespit edilmesini sağlar. Maliyet yapısı ve toplam sahip olma maliyeti de değerlendirilmelidir.

ZTNA, bulut tabanlı uygulamalar için nasıl güvenlik sağlar?

ZTNA, bulut tabanlı uygulamalara erişimi kontrol ederek ve yalnızca yetkili kullanıcıların erişmesine izin vererek güvenlik sağlar. ZTNA bulut uygulamalarını internet üzerinde görünmez hale getirir ve yalnızca doğrulanmış kullanıcılar için erişilebilir kılar. Kullanıcı kimliği, cihaz sağlığı, erişim zamanı, konum ve davranış gibi bağlamsal faktörleri değerlendirerek şüpheli erişimleri engeller. Şifreli tüneller aracılığıyla güvenli veri transferi sağlar ve veri sızıntısı riskini azaltır. Sürekli izleme ve analitik özellikleri sayesinde, anormal kullanıcı davranışlarını tespit eder. ZTNA’nın CASB gibi diğer bulut güvenlik çözümleriyle entegrasyonu, kapsamlı bir güvenlik çerçevesi oluşturur.

ZTNA’nın SASE çerçevesindeki rolü nedir?

ZTNA, Güvenli Erişim Hizmeti Kenarı (SASE) çerçevesinin temel bir bileşenidir. SASE, ağ ve güvenlik hizmetlerini bulut tabanlı bir platform üzerinde birleştiren bütünsel bir yaklaşımdır. Bu mimari içinde ZTNA, uzaktan erişim güvenliğini sağlayan kritik bir bileşen olarak görev yapar. SASE çerçevesinde ZTNA, SD-WAN, SWG, CASB ve FWaaS gibi diğer güvenlik hizmetleriyle entegre çalışır. Bu entegrasyon, kullanıcıların konumlarından bağımsız olarak tüm uygulamalara güvenli erişim sağlamasına olanak tanır. ZTNA, SASE içinde kimlik doğrulama ve erişim kontrolü sağlayarak, “sıfır güven” prensibinin uygulanmasını mümkün kılar.

Kaynakça

  1. Zero Trust Network Access (ZTNA): Benefits and Key Features
  2. Zero Trust Network Access (ZTNA)
  3. What Is Zero Trust Network Access (ZTNA)
  4. About Zero Trust Network Access
  5. What is Zero Trust Network Access (ZTNA)?
  6. Zero Trust Best Practices: 7 ZTNA Tips for SMBs
  7. What is universal ZTNA?
  8. What is ZTNA and why does it matter to SMB
  9. Small Business, Big Targets: Real SMB Breaches That Could Have Been Stopped with ZTNA
  10. Zero Trust Network Access (ZTNA): A CISO’s Guide to Secure Access

Teklif Al Şimdi Ara

Size En Uygun Berqnet Çözümüyle Tanışın

Berqnet Firewall ve SASE Platformu

Teklif Al
İş Ortağı Olun

Size En Uygun Berqnet Çözümüyle Tanışın

Berqnet Firewall ve SASE Platformu

Teklif Al
İş Ortağı Olun