Zero Trust Nedir?
Zero Trust (Sıfır Güven), "hiçbir kullanıcıya, cihaza veya ağa varsayılan olarak güvenme — her erişim isteğini doğrula" prensibine dayalı güvenlik mimarisidir. Geleneksel güvenlik modellerindeki "iç ağ güvenlidir" varsayımını tamamen reddeder.
Zero Trust'ın temel ilkeleri:
- Asla güvenme, her zaman doğrula: Ağ içinde bile her istek kimlik doğrulamadan geçer
- En az ayrıcalık: Kullanıcı yalnızca ihtiyacı olan kaynağa erişebilir
- Mikro segmentasyon: Ağ küçük segmentlere bölünerek lateral hareket engellenir
- Sürekli doğrulama: Oturum süresince cihaz ve kullanıcı güveni anlık değerlendirilir
Neden Zero Trust?
Geleneksel güvenlik modeli, kurumsal ağı bir kale gibi düşünür — dışarısı tehlikeli, içerisi güvenli. Ancak modern tehdit ortamında bu yaklaşım yetersiz kalır:
- Uzaktan çalışma ile "iç ağ" kavramı bulanıklaştı
- Bulut ve SaaS uygulamaları veriyi çevre dışına taşıdı
- İç tehditler (insider threat) ve lateral movement saldırıları arttı
- VPN tüneli açıldığında cihaz tüm ağa erişebiliyor — gereğinden fazla ayrıcalık
ZTNA Nedir?
ZTNA (Zero Trust Network Access), Zero Trust prensiplerini uzaktan erişim senaryolarına uygulayan teknolojidir. Kullanıcı VPN gibi tüm ağa bağlanmak yerine yalnızca erişim yetkisi olan uygulamaya bağlanır.
VPN vs ZTNA Farkı
| Özellik | Geleneksel VPN | ZTNA |
|---|---|---|
| Erişim kapsamı | Tüm ağ segmenti | Yalnızca yetkili uygulama |
| Cihaz kontrolü | Bağlantı sonrası kontrol yok | Sürekli cihaz posture kontrolü |
| Lateral movement | Mümkün | Engellenir |
| Kimlik doğrulama | Bağlantı başında tek seferlik | Sürekli ve granüler |
| Uygulama görünürlüğü | Sınırlı | Tam görünürlük |
FortiGate ZTNA Mimarisi
Fortinet'in ZTNA çözümü üç ana bileşenden oluşur:
- FortiClient: Son kullanıcı cihazında çalışan agent — kimlik, cihaz durumu ve bağlantıyı yönetir
- FortiClient EMS (Enterprise Management Server): FortiClient politikalarını merkezi yönetir, cihaz güven skorunu hesaplar
- FortiGate (ZTNA Access Proxy): Uygulama erişim noktası — kimlik ve cihaz bilgisine göre erişimi izin verir veya reddeder
ZTNA Erişim Akışı
- Kullanıcı korunan uygulamaya erişmek ister
- FortiClient, kullanıcı kimliğini (AD/LDAP/SAML) ve cihaz durumunu (OS güncel mi? AV aktif mi? Disk şifreli mi?) FortiClient EMS'e bildirir
- FortiClient EMS cihaza güven skoru atar ve FortiGate'e iletir
- FortiGate, politikayı değerlendirir: kullanıcı yetkili mi? Cihaz uyumlu mu?
- Her iki koşul da sağlanıyorsa FortiGate uygulamaya şifreli proxy tüneli açar
- Oturum süresince cihaz durumu anlık izlenir — uyumsuz hale gelen cihazın erişimi kesilir
FortiGate'de ZTNA Yapılandırması
1. ZTNA Server Tanımı
config firewall access-proxy
edit "Internal-App-Proxy"
set vip "ZTNA-VIP"
set client-cert enable
config api-gateway
edit 1
set url-map "/app1"
set service tcp
set realservers
edit 1
set ip 10.0.0.100
set port 443
next
end
next
end
next
end2. ZTNA Politikası
config firewall policy
edit 100
set name "ZTNA-App-Access"
set srcintf "wan1"
set dstintf "internal"
set srcaddr "all"
set dstaddr "ZTNA-VIP"
set action accept
set ztna-status enable
set ztna-tags-match-logic and
next
endCihaz Posture Kontrolü Örnekleri
ZTNA'da cihazın güvenilir kabul edilmesi için örnek koşullar:
- FortiClient güncel sürümde yüklü mü?
- İşletim sistemi son yamalarla güncel mi?
- Antivirüs aktif ve güncel mi?
- Disk şifrelemesi (BitLocker/FileVault) etkin mi?
- Cihaz domain'e kayıtlı mı?
- Güvenlik duvarı aktif mi?
Bu koşullardan herhangi biri sağlanmıyorsa kullanıcı kimlik doğrulaması başarılı olsa bile erişim reddedilir.
Zero Trust Yolculuğuna Nereden Başlanmalı?
- Varlık envanteri: Ağınızdaki tüm kullanıcı, cihaz ve uygulamaları listeleyin
- Kritik uygulamaları belirleyin: ZTNA'yı önce en kritik uygulamalara uygulayın
- FortiClient EMS kurun: Endpoint yönetimini merkezi hale getirin
- Pilot grup oluşturun: Küçük bir kullanıcı grubuyla test edin
- Kademeli genişletin: Başarılı pilot sonrası tüm uygulamalara yayın
Sonuç
Zero Trust, "iç ağ güvenlidir" varsayımının geçerliliğini yitirdiği modern tehdit ortamında en doğru güvenlik yaklaşımıdır. Fortinet'in ZTNA çözümü, FortiGate, FortiClient ve EMS üçlüsüyle geleneksel VPN'e güçlü bir alternatif sunar. Lider Network olarak ZTNA mimari tasarımı, FortiClient EMS kurulumu ve Zero Trust yolculuğunuzda NSE sertifikalı mühendislerimizle yanınızdayız.