Zero Trust (ZT), kale-hendek modelinin yerini alan modern güvenlik paradigması. NIST SP 800-207 7 prensibi. CISA 5 sütun (Identity, Devices, Networks, Applications, Data). Google BeyondCorp, Microsoft Entra ID + Defender + Intune. SASE/SSE çerçevesi. KOBİ için pratik (M365 Business Premium). ZT olgunluk modeli (Traditional → Initial → Advanced → Optimal). 90 günlük yol haritası.

Zero Trust Mimari: "Asla Güvenme, Her Zaman Doğrula" Prensibinde Kurumsal Güvenlik

Yıllarca kurumsal güvenlik tek bir varsayım üzerine kuruldu. Şirket ağının içi güvenliydi, dışı tehlikeliydi. Güvenlik duvarı bir kale duvarı, VPN ise hendek üzerindeki köprü gibi düşünüldü. İçeri bir kez girdiğinizde, sistemler size güvendi. Bu modele "kale ve hendek" (castle and moat) deniyor ve 2026 itibarıyla resmi olarak öldü.

Uzaktan çalışma, bulut göçü, BYOD, SaaS patlaması ve gelişmiş tehditler bu modeli paramparça etti. Saldırgan tek bir kimlik bilgisini ele geçirdiğinde, kalenin içine giriyor ve haftalarca fark edilmeden yanal hareket ediyor. Türkiye'de yaşanan büyük olayların ardındaki ortak hikâye bu. Detaylı manzara için Türkiye siber tehdit raporumuz referansımız.

Cevap, Zero Trust (Sıfır Güven) mimarisi. Bu yazıda Zero Trust'ın ne olduğunu, NIST'in resmi tanımını, CISA'nın 5 sütun modelini, BeyondCorp tarihçesini, Microsoft entegrasyonunu ve KOBİ için 90 günlük yol haritasını anlatacağız.

Zero Trust Nedir?

Zero Trust bir ürün değil, bir mimari yaklaşım. Temel önermesi tek cümlede özetleniyor: "Asla güvenme, her zaman doğrula" (Never trust, always verify).

Ağın içinde veya dışında olması fark etmez. Her erişim talebi, sanki halka açık internetten geliyormuş gibi doğrulanır. Kullanıcı kimliği, cihaz sağlığı, konum, davranış, talep edilen kaynağın hassasiyeti, her seferinde yeniden değerlendirilir. Güven statik değil, dinamiktir ve her oturumda yeniden kazanılır.

Resmî referans çerçeve NIST SP 800-207 Zero Trust Architecture belgesidir. ABD federal hükümeti dahil dünya genelinde standart kabul edilen doküman budur.

NIST SP 800-207: 7 Temel Prensip

NIST Zero Trust'ı 7 kural üzerine inşa eder.

1. Tüm veri kaynakları ve hesaplama hizmetleri "kaynak" olarak kabul edilir. Yalnızca sunucular değil, IoT cihazlar, SaaS uygulamaları, kişisel cihazlar da koruma kapsamında.

2. Tüm iletişim, ağ konumundan bağımsız olarak güvenli hale getirilir. Şirket içi ağ "güvenli bölge" sayılmaz. LAN trafiği de şifrelenir, kimliklenir.

3. Erişim, oturum bazında verilir. Bir kez doğrulanıp süresiz erişim verilmez. Her oturum yeniden kontrol edilir.

4. Kaynaklara erişim dinamik politika ile belirlenir. Kullanıcı kimliği, cihaz durumu, davranış, isteğin hassasiyeti birlikte değerlendirilir.

5. Şirket tüm sahip olduğu ve ilişkili varlıkların bütünlüğünü ve güvenlik durumunu izler. Cihaz uyumluluğu, yama seviyesi, EDR varlığı sürekli izlenir.

6. Tüm kaynak kimlik doğrulama ve yetkilendirme dinamik ve sıkıca uygulanır. MFA standart, sürekli yeniden doğrulama beklenir.

7. Şirket varlıklar, ağ altyapısı ve iletişim hakkında olabildiğince çok bilgi toplar ve güvenlik duruşunu iyileştirmek için kullanır. Telemetri ve analitik ZT'nin yakıtıdır.

CISA 5 Sütun: Olgunluk Modeli

CISA Zero Trust Maturity Model Zero Trust'ı 5 sütun (pillar) üzerinden değerlendirir.

Sütun 1: Identity (Kimlik)

Kim olduğunuzu kanıtlamadan hiçbir şeye erişemezsiniz. Kimlik artık yeni güvenlik perimetresi. MFA, parolasız kimlik doğrulama (FIDO2, Windows Hello), koşullu erişim politikaları, ayrıcalıklı erişim yönetimi (PAM), kimlik tehdit tespiti bu sütunun bileşenleri.

Sütun 2: Devices (Cihazlar)

Cihazın kimliği ve sağlık durumu doğrulanır. Yamalı mı, disk şifreli mi, EDR aktif mi, jailbreak/root mu? Cihaz uyumluluk politikaları sağlanmadıkça erişim yok. EDR vs antivirus yazımızda cihaz seviyesi koruma detayını anlattık.

Sütun 3: Networks (Ağlar)

Düz "iç ağ güvenli" varsayımı yerine mikrosegmentasyon. Ağ küçük bölgelere ayrılır, her bölge arası geçiş ayrıca yetkilendirilir. Saldırgan bir bölgeye düşse bile yanal hareket edemiyor.

Sütun 4: Applications and Workloads (Uygulamalar ve İş Yükleri)

SaaS, IaaS, PaaS uygulamalarına erişim kullanıcı, cihaz, oturum bağlamı ile yönetilir. Uygulama içi davranış izlenir (UEBA). Geliştirme süreci güvenli (DevSecOps).

Sütun 5: Data (Veri)

Veri sınıflandırması, etiketleme, şifreleme (rest + transit + use), DLP (Data Loss Prevention), hak yönetimi (Microsoft Purview / IRM). Veri "altın" kabul edilir, erişimi en sıkı seviyede yönetilir.

CISA her sütun için 4 olgunluk seviyesi tanımlar: Traditional → Initial → Advanced → Optimal. Bu, ZT yolculuğunda nerede olduğunuzu görmenizi sağlar.

Tarihçe: Google BeyondCorp

Zero Trust kavramının ilk büyük gerçek-dünya uygulaması Google'ın BeyondCorp projesi oldu. 2009'daki Operation Aurora saldırısının ardından Google klasik VPN yaklaşımını terk etti. 10 yıl içinde 100.000+ çalışanını VPN olmadan, doğrudan internetten kurumsal uygulamalara erişen bir mimariye taşıdı.

BeyondCorp'un kuralları basit:

Ağ konumu güven sağlamaz
Erişim cihaz ve kullanıcı kimliğine bağlıdır
Tüm uygulamalara erişim kimlik doğrulamalı, yetkilendirilmiş ve şifreli olur

Bugün BeyondCorp Enterprise, Google Cloud üzerinden ticari ürün olarak sunuluyor. Forrester'ın Zero Trust eXtended (ZTX) çerçevesi ve John Kindervag'ın orijinal 2010 araştırması da bu evrimin akademik temelini oluşturuyor.

Microsoft Zero Trust: Entra ID + Defender + Intune

Microsoft Zero Trust yaklaşımı, BeyondCorp'un kurumsal ürün karşılığı. Üç sütun:

Microsoft Entra ID (eski Azure AD): Kimlik sütunu. MFA, Conditional Access, Privileged Identity Management (PIM), Identity Protection (risk tabanlı erişim).

Microsoft Defender (XDR ailesi): Endpoint, Office 365, Cloud Apps, Identity için tek panelde tehdit görünürlüğü. EDR + email security + CASB + ITDR (Identity Threat Detection and Response).

Microsoft Intune: Cihaz yönetimi. Uyumluluk politikaları, app protection, BYOD ayrımı, conditional access cihaz sağlığı sinyali.

Bu üçü Microsoft 365 E5 veya Business Premium lisansında birlikte geliyor. KOBİ için kritik nokta şu: Business Premium aylık kullanıcı başına yaklaşık 22 USD'ye ZT'nin temel taşlarını veriyor. Ayrı ayrı CrowdStrike, Okta, Cloudflare Access almaktan çok daha ekonomik.

SASE ve SSE Çerçevesi

Zero Trust ağ tarafının modern paketi SASE (Secure Access Service Edge) ve onun güvenlik alt kümesi SSE (Security Service Edge).

SASE şu bileşenleri tek buluta toplar:

ZTNA (Zero Trust Network Access): VPN'in yerine geçen kimlik tabanlı erişim
SWG (Secure Web Gateway): Web trafiği filtreleme
CASB (Cloud Access Security Broker): SaaS güvenliği
FWaaS (Firewall as a Service): Bulutta güvenlik duvarı
DLP: Veri sızıntısı önleme

Lider tedarikçiler: Zscaler, Netskope, Palo Alto Prisma Access, Cloudflare One, Cisco Umbrella + Duo. KOBİ için Cloudflare One ücretsiz seviyede başlangıç imkânı veriyor.

"Never Trust, Always Verify" Pratiği

Slogan güzel, peki pratikte ne demek? 5 somut uygulama:

1. MFA her yerde. SMS değil, authenticator app veya FIDO2 anahtar. Yönetici hesaplarında zorunlu, mümkünse parolasız.

2. Conditional Access politikaları. "Türkiye dışından gelen oturum açma + yeni cihaz + yönetici rolü = block veya step-up MFA." Microsoft Entra Conditional Access bunu sağlıyor.

3. Mikrosegmentasyon. Üretim sunucusu pazarlama VLAN'inden erişilemesin. Veritabanı sadece uygulama sunucusundan, belirli portlardan ulaşılabilsin. Saldırgan finans sistemine yanal hareket edemesin.

4. JIT ve JEA (Just-in-Time, Just-Enough-Access). Yönetici rolleri kalıcı verilmez. İhtiyaç anında, onaylı ve süreli verilir. Microsoft PIM bunun standart aracı.

5. Encryption everywhere. TLS 1.2+ tüm trafikte (LAN dahil), disk şifrelemesi tüm endpointlerde (BitLocker), veri katmanında alan bazlı şifreleme (Always Encrypted, TDE).

KOBİ için Pratik Zero Trust

Zero Trust kurumsal devleri için değildir. KOBİ için de erişilebilir. Minimum paket:

Microsoft 365 Business Premium (Entra ID P1 + Defender for Business + Intune dahil)
Conditional Access politikaları (3-4 temel kural yeterli)
MFA zorunlu tüm kullanıcılarda
BitLocker tüm dizüstülerde
Intune compliance politikaları (yama, antivirüs, ekran kilidi)
Cloudflare One ücretsiz seviye ile ZTNA başlangıcı
Defender for Business EDR olarak

Bu paket, KOBİ siber güvenlik rehberimizdeki temel pakete sıkıca uyumlu. Ek olarak çalışan eğitimi (phishing rehberi) ve olay müdahale planı (fidye 24 saat) tablo tamamlanır.

ISO/IEC 27001 ile Bağ

ISO 27001 sertifikasyonu Annex A kontrolleri Zero Trust ile büyük örtüşme gösterir:

A.5.15-18: Erişim kontrolü, ayrıcalıklı erişim, kimlik doğrulama
A.8.1-3: Endpoint, ayrıcalıklı yardımcı programlar, erişim sınırlama
A.8.12: DLP
A.8.20-23: Ağ güvenliği, segmentasyon, web filtreleme

Zero Trust mimarisi ISO 27001 sertifikasyon yolculuğunu kolaylaştırır, çünkü kontrol çerçevesi zaten Zero Trust prensipleriyle hizalı.

Olgunluk Modeli: Nerede Durduğunuzu Görmek

CISA seviyelerine göre kabaca sınıflandırma:

Traditional: Statik politikalar, çevresel güvenlik duvarı, VPN, yerel AD, MFA yok veya sınırlı. Türkiye'de KOBİ'lerin büyük kısmı burada.

Initial: Bazı bulut kimlik (Entra ID), kısmi MFA, temel EDR, log toplama başladı. Bilinçli orta ölçek burada.

Advanced: Conditional Access, mikrosegmentasyon, XDR korelasyonu, ZTNA pilot, DLP devrede. Olgun kurumsal.

Optimal: Davranışsal analitik (UEBA), tam parolasız, otomatik yanıt (SOAR), sürekli adaptif risk değerlendirmesi. Lider seviye.

Hedef her sütunda en az "Advanced" seviyesine ulaşmak. "Optimal" çok yıllık yatırım gerektirir ve her firma için zorunlu değildir.

90 Günlük Zero Trust Yol Haritası

Gün 1-30: Temel kimlik ve cihaz

Microsoft 365 Business Premium veya E5 lisans plan
Tüm kullanıcılara MFA zorunlu
3 temel Conditional Access politikası: block legacy auth, require MFA for admins, require compliant device
BitLocker tüm endpointlere
Defender for Business aktif

Gün 31-60: Cihaz uyumluluğu ve veri

Intune compliance policies (yama, antivirüs, parola)
Conditional Access "require compliant device" tüm uygulamalara
Veri sınıflandırma başlangıç (Sensitivity Labels)
DLP temel kurallar (kredi kartı, TCKN sızıntı engelleme)
Privileged Identity Management (PIM) yöneticilere

Gün 61-90: Ağ ve uygulamalar

Mikrosegmentasyon planı ve pilot
ZTNA pilot (Cloudflare Access veya Entra Private Access)
VPN bağımlılığı azaltma yol haritası
Tedarikçi/dış erişim ZTNA üzerinden
SOC entegrasyonu (Defender XDR + SIEM)
ZT olgunluk değerlendirmesi (CISA modeline göre)

90 günün sonunda CISA modelinde her sütunda "Initial" seviyesinden "Advanced" seviyesine doğru somut ilerleme görünür hâle gelir.

Telemetri ve Sürekli İzleme

Zero Trust'ın 7. NIST prensibi tesadüf değil. Sürekli izleme olmadan ZT çalışmaz. Politikalar dinamik karar verebilmek için sinyale ihtiyaç duyar.

Toplanması gereken telemetri kaynakları:

Entra ID Sign-in logs: Kim, nereden, hangi cihaz, MFA durumu, risk skoru
Defender XDR alerts: Endpoint, email, identity, cloud app sinyalleri tek korelasyon
Intune compliance state: Cihazların gerçek zamanlı uyumluluk durumu
DNS ve proxy logları: Komuta-kontrol trafiği avı
DLP olayları: Veri sızıntısı denemeleri
PIM aktivasyon logları: Ayrıcalıklı erişim kullanımı

Bu veriler bir SIEM'de (Microsoft Sentinel, Splunk, Elastic) toplanır. Sentinel Microsoft ekosisteminde en hızlı entegrasyonu sunar. KOBİ için Defender XDR'ın yerleşik korelasyonu çoğu zaman SIEM yatırımı olmadan yeterli görünürlük sağlar.

Kültürel Boyut: ZT Sadece Teknoloji Değil

Zero Trust geçişinde en sık karşılaşılan engel teknik değil, kültürel. Kullanıcılar "neden yine giriş yapıyorum" diye sorar. Yöneticiler "neden bu klasöre erişemiyorum" diye yakınır. IT ekibi "VPN'i kapatmak istemiyoruz" diye direnir.

Çözüm üç ayaklı:

İletişim: ZT'nin neden gerekli olduğunu, hangi tehdide karşı koruduğunu basit dille anlatın
Aşamalı geçiş: Bir gecede değil, 90-180 günlük plana yayarak ilerleyin
Kullanıcı deneyimi: Parolasız (Windows Hello, FIDO2) uygulayın, sürtünmeyi azaltın

Üst yönetim sponsorluğu olmadan ZT projesi yarıda kalır. CEO veya genel müdür düzeyinde sahiplenme şart.

Sık Yapılan Yanlışlar

Zero Trust'ı tek ürün satın alıp bitmiş saymak. ZT bir yolculuk, bir ürün değil.
VPN'i bir gecede kapatmaya çalışmak. ZTNA geçişi aşamalı yapılmalı.
Kullanıcı deneyimini görmezden gelmek. Aşırı sıkı politikalar üretkenliği keser, gölge IT'yi tetikler.
Sadece kimlik sütununa odaklanıp veri sütununu unutmak. Her 5 sütun dengeli ilerlemeli.
Olay müdahale planını güncellememek. ZT yapısı IR akışını da değiştirir.

Sıkça Sorulan Sorular

Zero Trust VPN'i tamamen ortadan kaldırır mı? Uzun vadede evet. ZTNA çözümleri (Entra Private Access, Cloudflare Access, Zscaler Private Access) VPN'in yerini alır. Geçiş 6-18 ay arası sürer.

MFA'mız var, Zero Trust'tayız diyebilir miyiz? Hayır. MFA Zero Trust'ın temel taşlarından biri ama tek başına yeterli değil. Cihaz uyumluluğu, mikrosegmentasyon, koşullu erişim, veri koruma da gerekli.

KOBİ için Zero Trust ne kadar maliyetli? Microsoft 365 Business Premium kullanıcı başına aylık yaklaşık 22 USD. 50 kişilik firma için aylık ~1.100 USD, yıllık ~13.000 USD. Bu, tek bir fidye olayının onda biri.

Zero Trust uzaktan çalışma için zorunlu mu? Modern uzaktan çalışma modelinde fiilen zorunlu. VPN'lerin yetersizliği pandemi sonrası dönemde net görüldü.

Mikrosegmentasyon zor mu? Başlangıçta evet, derin envanter ve trafik analizi gerektirir. Illumio, Akamai Guardicore, Microsoft Azure NSG/ASG, Cisco ACI gibi araçlar süreci hızlandırır. Tam segmentasyon 6-12 ay alır.

Cloud-only şirketim, Zero Trust'a ihtiyacım var mı? Evet, hatta daha çok. Cloud-only ortamda kimlik tek perimetre. ZT olmadan Entra ID'niz tek başına yeterli koruma sağlamaz.

ISO 27001 sertifikasyonum var, Zero Trust gerekir mi? ISO 27001 yönetişim çerçevesi, ZT teknik mimari. İkisi farklı katman, birlikte güçlü. ISO 27001 ZT'yi gerektirmez ama ZT 27001 kontrollerini büyük ölçüde karşılar.

Sıfır Güven Türkiye'de yaygın mı? Bankacılık ve büyük telekom sektöründe ileri seviyede. KOBİ ve orta ölçekte hâlâ başlangıç aşamasında. KVKK ve sektörel düzenlemeler yaygınlaşmayı hızlandırıyor.

DSET ile Zero Trust Migration

Hacettepe Teknokent Ankara merkezli DSET ekibi, KOBİ ve orta ölçek kurumlar için Zero Trust geçiş danışmanlığı sağlar. Hizmet kapsamımız:

Mevcut durum değerlendirmesi (CISA olgunluk skorlama)
90 günlük öncelikli yol haritası
Microsoft 365 / Entra ID / Intune / Defender entegrasyon kurulumu
Conditional Access politika tasarımı
ZTNA pilot ve VPN geçiş planı
Mikrosegmentasyon mimarisi
ISO 27001 hizalama

Zero Trust yolculuğunu bir ürün satın almakla değil, doğru mimari ile başlatmak fark yaratır. Demo ve ücretsiz ön değerlendirme için +90 536 662 38 09 üzerinden ekibimize ulaşın.

Referanslar:

NIST SP 800-207: https://csrc.nist.gov/pubs/sp/800/207/final
CISA Zero Trust Maturity Model: https://www.cisa.gov/zero-trust-maturity-model
Microsoft Zero Trust: https://www.microsoft.com/en-us/security/business/zero-trust
Google BeyondCorp: https://cloud.google.com/beyondcorp
Forrester ZTX (John Kindervag, 2010 orijinal araştırma)
ISO/IEC 27001:2022 Annex A kontrolleri

Zero Trust Mimari: Asla Güvenme, Her Zaman Doğrula Prensibinde Kurumsal Güvenlik