SSL-VPN Neden Artık Yeterli Değil?
SSL-VPN teknolojisi 2000'lerin başında kurumsal uzaktan erişim için devrimsel bir çözümdü. Ancak 2020'lerden itibaren saldırı yüzeyi olarak ciddi bir hedef haline geldi. Fortinet dahil tüm büyük üreticilerin SSL-VPN ürünlerinde yıl boyunca kritik CVE'ler yayımlanıyor.
SSL-VPN'in temel problemi mimariseldir: kullanıcıya ağ erişimi verildiğinde, yetkilendirme kontrolü tek bir noktada (kimlik doğrulama) yapılır. Kullanıcı ağa girince içeride çok geniş bir hareket alanı bulur. Bu durum lateral movement saldırılarını kolaylaştırır.
SSL-VPN'in Bilinen Güvenlik Riskleri
- FortiOS SSL-VPN buffer overflow CVE'leri (CVE-2023-27997, CVE-2024-21762 vb.)
- Kimlik bilgisi çalınmasına karşı tek nokta savunması
- Bağlandıktan sonra uç nokta güvenliği kontrolü yapılmaması
- Granüler uygulama bazlı erişim kontrolünün zorluğu
- Ağ seviyesi erişim — uygulama seviyesi değil
ZTNA Nedir?
Zero Trust Network Access (ZTNA), "asla güvenme, her zaman doğrula" prensibine dayalı bir erişim modelidir. Kullanıcı veya cihazın ağın içinde mi dışında mı olduğundan bağımsız olarak, her uygulama erişimi ayrı ayrı doğrulanır ve yetkilendirilir.
FortiGate ZTNA, FortiOS 7.0 ile birlikte genel kullanıma sunuldu ve her sürümde olgunlaştırıldı. Temel fark şudur: SSL-VPN ağa erişim sağlarken, ZTNA uygulamaya erişim sağlar.
ZTNA Mimarisinin Bileşenleri
- ZTNA Access Proxy: FortiGate üzerinde çalışır, uygulama trafiğini proxy'ler
- FortiClient EMS: Uç nokta güvenlik durumunu merkezi olarak yönetir ve ZTNA etiketleri (tags) üretir
- FortiClient: İstemci tarafında çalışan ajan — cihaz durumunu EMS'e raporlar
- ZTNA Tags: Cihazın güvenlik durumuna göre üretilen etiketler (antivirüs aktif mi, disk şifreleme var mı, OS güncel mi vb.)
SSL-VPN ile ZTNA Karşılaştırması
| Özellik | SSL-VPN | ZTNA |
|---|---|---|
| Erişim seviyesi | Ağ (network) | Uygulama (application) |
| Kimlik doğrulama | Bağlantı başında bir kez | Her oturumda sürekli |
| Cihaz güvenlik kontrolü | Opsiyonel / zayıf | Zorunlu, granüler |
| Lateral movement riski | Yüksek | Çok düşük |
| Uygulama bazlı politika | Zor | Yerel, kolay |
| Saldırı yüzeyi | Büyük (ağ erişimi) | Küçük (sadece uygulama) |
FortiGate ZTNA Yapılandırması
1. FortiClient EMS Kurulumu
ZTNA'nın çalışması için FortiClient EMS (Endpoint Management Server) zorunludur. EMS, cihazların güvenlik durumunu toplar ve FortiGate'e ZTNA etiketleri olarak iletir.
# EMS bağlantısı FortiGate üzerinde
config endpoint-control fctems
edit "EMS-SERVER"
set server "ems.sirket.local"
set https-port 443
next
end
2. ZTNA Server Tanımı
Erişilecek uygulama için ZTNA server objesi oluşturun:
config firewall access-proxy
edit "RDP-PROXY"
set vip "ZTNA-VIP"
set client-cert enable
config api-gateway
edit 1
set url-map "/"
set service tcp-forwarding
config realservers
edit 1
set addr "RDP-SERVER"
set port 3389
next
end
next
end
next
end
3. ZTNA Policy
ZTNA erişim politikasında cihaz etiketlerini koşul olarak ekleyin:
config firewall policy
edit 0
set name "ZTNA-RDP-Policy"
set srcintf "wan1"
set dstintf "lan"
set action accept
set srcaddr "all"
set dstaddr "ZTNA-VIP"
set ztna-status enable
set ztna-tags "EMS-Compliant" "Antivirus-Active"
next
end
4. ZTNA Etiket Kuralları (EMS'te)
EMS üzerinde hangi koşullarda cihaza "uyumlu" etiketi verileceğini belirleyin:
- FortiClient sürümü ≥ belirli versiyon
- Real-time protection aktif
- OS patch seviyesi güncel
- Disk şifreleme (BitLocker/FileVault) aktif
- Güvenli olmayan yazılım yüklü değil
Geçiş Stratejisi: SSL-VPN'den ZTNA'ya
SSL-VPN'den ZTNA'ya tek seferde geçmek yerine aşamalı bir yaklaşım önerilir:
- Envanter: SSL-VPN üzerinden erişilen uygulamaları listeleyin (RDP, SSH, web uygulamaları, dosya paylaşımı)
- EMS kurulumu: FortiClient EMS'i devreye alın, mevcut endpoint'lere FortiClient dağıtın
- Pilot: Önce dahili BT ekibi için ZTNA erişimi kurun, SSL-VPN'i paralel çalıştırın
- Uygulama geçişi: Her uygulamayı birer birer ZTNA'ya taşıyın
- SSL-VPN kapatma: Tüm geçişler tamamlandıktan sonra SSL-VPN portalını devre dışı bırakın
Sonuç
ZTNA, SSL-VPN'in güvenlik açıklarını mimarisel olarak çözen modern bir yaklaşımdır. FortiGate + FortiClient EMS kombinasyonu ile kurumsal ortamlarda ZTNA geçişi artık pratikte uygulanabilir hale gelmiştir. Lider Network olarak ZTNA tasarımı, EMS kurulumu ve geçiş projelerinde yanınızdayız.