Zero Trust Nedir 
Ağ Güvenliğinde ‘Asla Güvenme, Daima Doğrula’ Yaklaşımı
“Güvenlikte varsayım yoktur; her erişim yeniden kazanılır.”
— Ersan Karavelioğlu
Zero Trust Nedir Model mi, Zihniyet mi
Zero Trust, tek bir ürün değil;
bir güvenlik zihniyetidir.
İçeride–dışarıda ayrımını reddeder.
Her istek, her an
şüpheyle ve kanıtla değerlendirilir.
Neden Ortaya Çıktı
Bulut, uzaktan çalışma, mobil cihazlar.
Klasik “iç ağ güvenlidir” varsayımı çöktü.
Sınırlar dağıldıkça güvenlik de yeniden tanımlandı.
“Asla Güvenme” Ne Demek
Kimseye otomatik güvenme.
Kullanıcı, cihaz, uygulama fark etmez.
Güven
başlangıç değil, sonuçtur.
“Daima Doğrula” Ne Demek
Kimlik doğrulama tek seferlik değildir.
Oturum boyunca
sürekli doğrulama yapılır.
Davranış değişirse erişim yeniden sorgulanır.
Kimlik Merkezli Güvenlik
IP değil,
kimlik esastır.
Kullanıcı + cihaz + bağlam birlikte değerlendirilir.
Kimlik, yeni çevredir.
En Az Ayrıcalık İlkesi
Gerekenden fazla yetki verilmez.
Yetki
işe ve zamana bağlıdır.
Fazla yetki, görünmez saldırı yüzeyidir.
Mikro-Segmentasyon
Ağ küçük güvenlik adalarına bölünür.
Bir ihlal tüm ağa yayılmaz.
Yanal hareket zorlaşır.
Sürekli İzleme ve Analiz
Davranışlar izlenir.
Anomali varsa erişim kısıtlanır.
Güvenlik statik değil
dinamiktir.
Cihaz Güveni
Güncel mi, yamalı mı, güvenli mi?
Güvensiz cihaz, doğru kullanıcı olsa bile reddedilir.
Cihaz durumu kararın parçasıdır.
Zero Trust ve VPN Farkı
VPN “bağlanınca her şey açık” yaklaşımı sunar.
Zero Trust
uygulama bazlı erişim verir.
Erişim dar ve kontrollüdür.
Firewall, IDS/IPS ile İlişkisi
Zero Trust, bu sistemleri
tamamlar.
Kimlik ve bağlam ekler.
Katmanlar konuşur hâle gelir.
İç Tehditlere Karşı Güç
Yetkili ama kötü niyetli kullanıcılar.
Zero Trust, içeridekini de sınar.
Güven varsayımı yoktur.
Bulut Ortamlarında Zero Trust
SaaS, IaaS, PaaS hepsi uyumludur.
API ve uygulama bazlı kontrol sağlanır.
Bulutta sınır değil
kimlik korunur.
Performans ve Kullanıcı Deneyimi
Doğru tasarlanırsa gecikme minimaldir.
Kullanıcı fark etmeden güvenlik çalışır.
Güvenlik görünmez olduğunda etkilidir.
Yanlış Anlaşılan Nokta
Zero Trust güvensizlik değildir.
Kanıta dayalı güvendir.
İlişkiyi değil, varsayımı reddeder.
Geçiş Nasıl Yapılır
Bir günde olmaz.
Kimlik → cihaz → segmentasyon sırasıyla ilerlenir.
Kademeli dönüşüm esastır.
Ne Zaman Şarttır
Uzaktan erişim yoğunsa.
Hassas veri varsa.
Saldırı yüzeyi genişlediyse.
Riskler ve Zorluklar
Yanlış politika erişimi kesebilir.
İyi tasarım ve test şarttır.
Güvenlik, aceleye gelmez.
Son Söz Güven Varsayımı Değil, Güven Süreci
Zero Trust, “kim olduğuna” değil
ne yaptığınına bakar.
Her erişim bir sorudur, her cevap yeniden değerlendirilir.
Modern ağ güvenliği, işte bu bilinçle ayakta kalır.
“Güven, verilen değil; her an doğrulanan bir ayrıcalıktır.”
— Ersan Karavelioğlu
