Network Segmentation Nedir 
Yanal Hareketi Engellemenin Temel Stratejisi
“Bir ağı korumak, her kapıyı kilitlemek değil; odaları akıllıca ayırmaktır.”
— Ersan Karavelioğlu
Network Segmentation Nedir
Network Segmentation, bir ağı mantıksal veya fiziksel parçalara bölerek trafiği
kontrollü kapılardan geçirmektir.
Amaç, ihlal olduğunda hasarı sınırlamak.
Güvenlik, yayılmayı durdurur.
Yanal Hareket (Lateral Movement) Nedir
Saldırganın bir sistemi ele geçirdikten sonra ağ içinde
yanlara doğru ilerlemesi.
Asıl zarar çoğu zaman ilk girişten sonra olur.
Segmentasyon bu yolu keser.
Neden Tek Bir Düz Ağ Risklidir
Herkes herkesle konuşabiliyorsa,
Bir açık tüm ağa yayılır.
“Düz ağ” saldırganın en sevdiği ortamdır.
Segmentasyon Güvenliği Nasıl Artırır
Bölümler arası geçiş
kurallara bağlanır.
Yetkisiz erişim durdurulur.
Bir ihlal, bir bölümde kalır.
Fiziksel vs Mantıksal Segmentasyon
Fiziksel: Ayrı switch, ayrı kablo.
Mantıksal: VLAN, ACL, firewall kuralları.
Günümüzde mantıksal daha esnektir.
VLAN Segmentasyonu
VLAN’lar ağı sanal bölümlere ayırır.
VLAN tek başına yeterli değildir.
VLAN + firewall birlikte çalışmalıdır.
Güvenlik Duvarı ile Segmentasyon
Segmentler arası trafik
firewall’dan geçer.
Kim, neye, ne zaman erişebilir belirlenir.
Politika burada işler.
Mikro-Segmentasyon Nedir
Sunucu veya uygulama seviyesinde bölme.
Her iş yükü kendi güvenlik adasında.
Zero Trust’un bel kemiğidir.
Segmentasyon ve En Az Ayrıcalık
Her segment sadece
gerekli trafiği alır.
“İhtiyacın kadar” ilkesi.
Fazlalık saldırı yüzeyidir.
Saldırı Senaryosunda Etkisi
Bir kullanıcı makinesi ele geçirildi.
Kritik veritabanına geçiş engellendi.
Zarar lokal kaldı.
İç Tehditlere Karşı Koruma
Yetkili kullanıcılar da sınırlandırılır.
Hata veya kötü niyet yayılmaz.
Segmentasyon içeride de çalışır.
Segmentasyon ve Performans
Doğru tasarlanırsa gecikme minimaldir.
Trafik düzenli akar.
Güvenlik performans düşmanı değildir.
Loglama ve Görünürlük
Segmentler arası geçişler kayda alınır.
Anormal hareket erken fark edilir.
Görünürlük = erken müdahale.
Yaygın Hatalar
“VLAN yaptım, bitti” düşüncesi.
Tüm segmentleri birbirine açmak.
Segmentasyon disiplin ister.
Bulut Ortamlarında Segmentasyon
VPC, subnet, security group.
Uygulama bazlı sınırlar.
Bulutta da mantık aynıdır.
Küçük Ağlar İçin Gerekli mi
Evet.
IoT, misafir Wi-Fi, yönetim ağı ayrılmalı.
Küçük ağlar daha savunmasızdır.
Segmentasyon Ne Zaman Alarmdır
Tüm segmentler arası “any-any” izin varsa.
Kurallar dokümante edilmemişse.
Güvenlik kağıt üzerinde kalmıştır.
Yanlış Anlaşılan Nokta
Segmentasyon karmaşa yaratmaz.
Aksine düzen getirir.
Kaos, sınırsızlıktır.
Son Söz Yayılmayı Durduran Mimari
Network Segmentation, saldırıyı engellemez;
yayılmasını durdurur.
Modern güvenlik, tek kale değil
çok odalı bir evdir.
Ve doğru bölünmüş bir ağ, en sessiz savunmadır.
“Güvenlik, saldırıyı beklemek değil; yayılacak alan bırakmamaktır.”
— Ersan Karavelioğlu
