Sıfır Güven Mimarisi Uygulaması: İşletmeler İçin Pratik Bir Kılavuz

Geleneksel çevre tabanlı güvenlik modeli - "ağ içindeki her şeye güven, dışarıdaki her şeyi engelle" - temelden bozulmuştur. Uzaktan çalışma, bulut uygulamaları ve mobil cihazlar ağ çevresini yok etti. Forrester'ın araştırması, veri ihlallerinin yüzde 80'inin, çevre güvenliğinin hiçbir koruma sağlamadığı ağ içinde kullanılan, güvenliği ihlal edilmiş kimlik bilgilerinden kaynaklandığını gösteriyor.

Sıfır güven, örtülü güvenin yerini açık doğrulamayla değiştirir. Prensip basit: Asla güvenme, her zaman doğrula. Her erişim isteği, nereden geldiğine bakılmaksızın doğrulanır, yetkilendirilir ve şifrelenir. Bu kılavuz, her ölçekteki işletme için pratik bir uygulama yol haritası sağlar.

---

Sıfır Güven Temel İlkeleri

İlke 1: Açıkça Doğrulayın

Her erişim isteği, mevcut tüm veri noktalarına göre doğrulanmalıdır:

• Kullanıcı kimliği (kim talep ediyor?)
• Cihaz sağlığı (cihaz uyumlu mu?)
• Konum (bu bilinen bir konum mu?)
• Hizmet/iş yükü (neye erişmeye çalışıyorlar?)
• Veri sınıflandırması (kaynak ne kadar hassas?)
• Anormallik tespiti (bu davranış bu kullanıcı için normal mi?)

İlke 2: En Az Ayrıcalıklı Erişimi Kullanın

Gereken minimum süre boyunca görev için gereken minimum izinleri verin.

İlke 3: İhlal Varsayalım

Sistemleri sanki saldırganlar zaten ağınızın içindeymiş gibi tasarlayın:

• Yanal hareketi sınırlamak için ağları segmentlere ayırın
• Tüm trafiği, hatta dahili trafiği bile şifreleyin
• Anormal davranışları sürekli olarak izleyin
• Tehdit yanıtını otomatikleştirin
• Ayrıntılı denetim günlüklerini koruyun

---

Sıfır Güvenin Beş Sütunu

Sütun 1: Kimlik

Kimlik yeni çevredir. Her erişim kararı kimliğin doğrulanmasıyla başlar.

Uygulama kontrol listesi:

• Tüm kullanıcılar için çok faktörlü kimlik doğrulama (MFA), istisna yok
• Tüm uygulamalarda tek oturum açma (SSO)
• Uygun uygulamalar için şifresiz kimlik doğrulama (FIDO2, biyometri)
• Koşullu erişim politikaları (yeni konumlardan/cihazlardan MFA gerektir)
• Yönetici hesapları için ayrıcalıklı erişim yönetimi (PAM)
• Kimlik yönetimi (düzenli erişim incelemeleri, otomatik yetkilendirmeyi kaldırma)
• İmkansız seyahat tespiti (aynı kullanıcı iki uzak konumdan oturum açtığında uyarı)

Bölüm 2: Cihazlar

Güvenliği ihlal edilmiş bir cihazdaki doğrulanmış bir kullanıcı hâlâ bir tehdittir.

Uygulama kontrol listesi:

• Cihaz envanteri ve yönetimi (MDM/UEM)
• Erişim izni verilmeden önce cihazın sağlık durumu değerlendirmesi
• Tüm cihazlarda şifreleme gerekli (tam disk şifrelemesi)
• İşletim sistemi ve yazılım güncel olmalıdır (yama uyumluluğu)
• Uç nokta algılama ve yanıt (EDR) yüklü ve etkin
• Minimum güvenlik gereksinimlerine sahip kişisel cihaz politikası (BYOD)
• Cihaz uyumluluğu yalnızca kayıtta değil, her erişim talebinde kontrol edilir

Sütun 3: Ağ

Ağı, ihlalleri içerecek ve yanal hareketi sınırlandıracak şekilde bölümlere ayırın.

Uygulama kontrol listesi:

• Mikro segmentasyon (uygulama düzeyinde ağ politikaları)
• Uygulama erişimi için yazılım tanımlı çevre (SDP)
• Bilinen kötü amaçlı etki alanlarını engellemek için DNS filtreleme
• Şifrelenmiş dahili trafik (tüm dahili API'ler ve hizmetler için TLS)
• Fiziksel ağ bağlantıları için ağ erişim kontrolü (NAC)
• Uzak kullanıcılar için sıfır güven ağ erişimi (ZTNA) ile [ ] VPN değişimi
• Doğu-batı trafiğini izleme (yanal hareketi tespit etme)

Bölüm 4: Uygulamalar ve İş Yükleri

Uygulamalar erişim kontrollerini uygulamalı ve kullanımdaki verileri korumalıdır.

Uygulama kontrol listesi:

• Uygulama düzeyinde kimlik doğrulama ve yetkilendirme
• API güvenliği (kimlik doğrulama, hız sınırlama, giriş doğrulama)
• Konteyner ve sunucusuz güvenlik taraması
• Anormallikler için uygulama davranışını izleme
• Gölge BT keşfi ve yönetimi
• SaaS güvenlik duruşu yönetimi (SSPM)
• Herkese açık uygulamalar için web uygulaması güvenlik duvarı (WAF)

Sütun 5: Veri

Veri nihai varlıktır. Sıfır güven, konumdan bağımsız olarak verileri korumalıdır.

Uygulama kontrol listesi:

• Veri sınıflandırma şeması (genel, dahili, gizli, kısıtlı)
• Uygulanan veri kaybı önleme (DLP) politikaları
• Hassas veriler için beklemede ve aktarım sırasında şifreleme
• Tüm hassas veri işlemleri için günlük kaydına erişim
• Belge düzeyinde koruma için veri hakları yönetimi
• Yedekleme şifrelemesi ve erişim kontrolleri
• Düzenlemeye tabi veriler için veri ikameti uyumluluğu

---

Uygulama Yol Haritası

Aşama 1: Temel (1-3. Aylar)

Yüksek güvenlik etkisi ile hızlı kazançlar:

1. Tüm kullanıcılar için MFA'yı etkinleştirin (aşamalıysa yönetici hesaplarıyla başlayın)
2. Tüm SaaS uygulamaları için SSO'yu uygulayın
3. Uç nokta tespitini ve yanıtını (EDR) tüm cihazlara dağıtın
4. Kritik uygulamalar için koşullu erişim politikalarını etkinleştirin
5. Tüm uygulamaların ve veri depolarının envanterini çıkarın

Bütçe tahmini: KOBİ için 5.000 - 30.000 $, orta ölçekli pazar için 30.000 - 150.000 $

2. Aşama: Görünürlük (3-6. Aylar)

1. Doğu-batı trafiği için ağ izlemeyi devreye alın
2. Kimlik analitiğini uygulayın (anormal erişim modellerini tespit edin)
3. Bir veri sınıflandırma çalışması yapın
4. Bulut güvenliği duruş yönetimini dağıtın
5. Güvenlik operasyonlarının izlenmesini sağlayın (SIEM veya eşdeğeri)

Bütçe tahmini: KOBİ için 10.000 - 50.000 $, orta ölçekli pazar için 50.000 - 250.000 $

3. Aşama: Uygulama (6-12. Aylar)

1. Kritik uygulamalar için mikro segmentasyonu uygulayın
2. VPN'in yerine ZTNA'yı dağıtın
3. Uygulama erişimi için cihaz uyumluluk gerekliliklerini zorunlu kılın
4. Gizli veriler için DLP politikalarını uygulayın
5. Kullanıcı yetkilendirmesini ve yetkilendirmeyi kaldırmayı otomatikleştirin

Bütçe tahmini: KOBİ için 20.000 - 100.000 $, orta ölçekli pazar için 100.000 - 500.000 $

Aşama 4: Optimizasyon (12-18. Aylar)

1. Risk bazlı uyarlanabilir kimlik doğrulamayı uygulayın
2. Otomatik tehdit yanıtını (SOAR) dağıtın
3. Sıfır güveni OT/IoT cihazlarına kadar genişletin (varsa)
4. Olay ve denetim bulgularına dayalı sürekli iyileştirme
5. Yıllık penetrasyon testleri ve kırmızı takım çalışmaları

---

Sıfır Güven Olgunluk Modeli

| Yetenek | Seviye 1: Geleneksel | Seviye 2: Başlangıç ​​| Seviye 3: İleri | Seviye 4: Optimum | |---------------------|----------|---------------------| | Kimlik | Yalnızca şifreler | Yöneticiler için MFA | Herkes için MFA + SSO | Şifresiz + uyarlanabilir | | Cihazlar | Yönetim yok | Temel envanter | MDM + uyumluluğu | Sürekli değerlendirme | | Ağ | Çevre güvenlik duvarı | Temel segmentasyon | Mikro segmentasyon | Yazılım tanımlı | | Uygulamalar | Ağ tabanlı erişim | SSO entegrasyonu | Uygulama başına yetkilendirme | Sürekli doğrulama | | Veri | Sınıflandırma yok | Temel sınıflandırma | DLP politikaları | Otomatik koruma | | İzleme | Periyodik günlük incelemesi | SIEM dağıtıldı | Gerçek zamanlı analiz | Yapay zeka odaklı yanıt |

---

Sıfır Güven Etkinliğini Ölçmek

---

İlgili Kaynaklar

• Kurumsal için Sıfır Güven Mimarisi --- Gelişmiş sıfır güven kavramları
• Bulut Güvenliği En İyi Uygulamaları --- Bulut ortamlarına sıfır güven
• Olay Müdahale Planı Şablonu --- Sıfır güven bir ihlal tespit ettiğinde
• Güvenlik Uyumluluğu Çerçeve Kılavuzu --- Uyumluluk uyumu

---

Sıfır güven, satın aldığınız bir ürün değildir; zaman içinde oluşturduğunuz bir mimaridir. Kimlikle başlayın (herkes için MFA), görünürlük ekleyin (ağınızda ne olduğunu ve nasıl davrandığını öğrenin), ardından uygulayın (her erişim isteğini doğrulayın). Yolculuk 12-18 ay sürüyor ancak güvenlik duruşunun iyileştirilmesi hemen başlıyor. Sıfır güven mimarisi değerlendirmesi ve uygulama planlaması için ECOSIRE ile iletişime geçin.