Network Segmentation Derinleştirme: Mikro-Segmentasyon

Özet: Klasik VLAN bazlı network segmentasyonu (kullanıcılar farklı VLAN'da, sunucular farklı VLAN'da) günümüz tehdit ortamı için artık yeterli değil. Mikro-segmentasyon; aynı VLAN içindeki cihazları bile birbirinden izole eder, "doğru" sayılan iletişimi tek tek tanımlar, geri kalanını reddeder. Zero Trust mimarisinin temel taşıdır — "ağda olan otomatik güvenli sayılmaz". KOBİ ölçeğinde tam mikro-segmentasyon (VMware NSX, Illumio, Cisco Tetration) genelde aşırı; ancak host-tabanlı firewall, identity-aware policy ve segment-içi izolasyon prensipleri hibrit yaklaşımla uygulanabilir. Bu yazıda klasik segmentasyondan derinleştirilmiş yaklaşıma geçişin pratik adımlarını ele alıyoruz.

KOBİ'lerde "VLAN'larımız var, segmentasyon tamam" anlatımı yaygın. Halbuki saldırgan ağa girdiğinde gördüğü tablo: kendi VLAN'ı içinde 50 cihaz, hepsi birbirini görüyor, hepsiyle 80/443/445/3389 portları açık. Lateral movement (yanlamasına yayılma) için ideal bir tabloyla karşılaşıyor. Mikro-segmentasyon; "VLAN içinde kim kiminle konuşabilir?" sorusunu sıkı kuralla cevaplayarak bu yayılmayı dramatik biçimde yavaşlatır.

Bu yazıda KOBİ ölçeğinde mikro-segmentasyon kavramını, Zero Trust ile ilişkisini ve uygulanabilir derinleştirme adımlarını ele alıyoruz. Hedef kitlemiz IT yöneticileri, ağ yöneticileri ve mevcut VLAN segmentasyonunun ötesine geçmek isteyen karar vericiler.

Klasik Segmentasyon vs Mikro-Segmentasyon

Klasik VLAN Segmentasyonu

[VLAN 20: Çalışan]    [VLAN 30: Sunucu]    [VLAN 100: Misafir]
   ↓ ↓ ↓                ↓ ↓ ↓                  ↓ ↓ ↓
   Bilgisayarlar       Web/DB/AD              Cihazlar

VLAN'lar arası geçiş firewall'da kontrol edilir. VLAN içinde ise cihazlar birbirini görür, herhangi bir port açık (varsayılan).

Mikro-Segmentasyon

[VLAN 30: Sunucu]
   ├─ AD-DC ⟷ Yalnızca: standart kullanıcılar (LDAP, DNS, Kerberos)
   ├─ SQL Server ⟷ Yalnızca: Web sunucusu (port 1433)
   ├─ Web Server ⟷ Yalnızca: Internet (80/443) + SQL (1433)
   ├─ File Server ⟷ Yalnızca: kullanıcılar (445)
   └─ Backup Server ⟷ Yalnızca: backup target (kendi protokol)

Aynı VLAN'daki sunucular bile birbirini varsayılan olarak göremez. Sadece tanımlanan, gerekli iletişim açıktır.

Mikro-Segmentasyon Neden Önemli?

Lateral Movement Engelleme

Saldırgan bir kullanıcı bilgisayarını ele geçirdiğinde:

Klasik: Aynı VLAN'daki tüm cihazlar tarama yapılabilir. Açık port 445 → SMB üzerinden yayılma → diğer cihazlara erişim.

Mikro-segmente: Kullanıcı bilgisayarı yalnızca AD ve gerekli sunuculara konuşabilir. Diğer kullanıcı bilgisayarlarını göremez. Lateral movement kapalı.

Ransomware Yavaşlatma

Modern ransomware ağda hızlı yayılır. Mikro-segmentasyon her sıçramayı engeller veya yavaşlatır; tespit ve müdahale için zaman kazandırır.

İçeriden Tehdit

Çalışan kötü niyetli olursa bile sadece kendi işine ait kaynaklara ulaşır. CRM çalışanı yedek sunucuya, finans çalışanı geliştirme ortamına erişemez.

Uyum

KVKK, ISO 27001, PCI-DSS — uyum çerçevelerinde "yeterli teknik tedbir" kapsamında ağ izolasyonu beklentisi var. Mikro-segmentasyon bu beklentiyi karşılar.

Zero Trust ile İlişkisi

Zero Trust güvenlik felsefesinin temel iddiası: "ağda olan otomatik olarak güvenli sayılmaz".

Geleneksel "Castle and Moat"

• Dış ağ tehlikeli, iç ağ güvenli
• Firewall sınırı korur
• İç ağda her şey serbest

Zero Trust

• Hiçbir kullanıcı/cihaz otomatik güvenli sayılmaz
• Her bağlantı doğrulanır
• En az yetki prensibi
• Sürekli izleme ve teyit

Mikro-segmentasyon Zero Trust'un ağ tarafının pratik karşılığıdır.

East-West vs North-South Trafiği

Veri merkezi/ofis trafiği iki yön:

• North-South: Internet ↔ İç ağ (firewall klasik koruma alanı)
• East-West: İç ağ içindeki cihazlar arası (klasik firewall göremez)

Saldırı sonrası yayılma genellikle east-west olur. Klasik firewall east-west'i görmez; mikro-segmentasyon bu boşluğu kapatır.

Mikro-Segmentasyon Yaklaşımları

KOBİ ölçeğinde uygulanabilir yaklaşımlar:

1. Host-Tabanlı Firewall

En ekonomik. Her sunucunun kendi firewall'ı (Windows Firewall, iptables, ufw) sıkı yapılandırılır.

• "Bu sunucuya hangi IP/protokollerden bağlantı kabul edilir?"
• Tek tek tanımlama
• KOBİ ölçeğinde 5-20 sunucu yönetilebilir

2. VLAN İçi Private VLAN (PVLAN)

Switch seviyesinde feature:

• Aynı VLAN'daki cihazlar birbirini görmez (isolated PVLAN)
• Sadece "promiscuous" porta (gateway) konuşurlar
• KOBİ switch'ler bu özelliği destekleyebilir

3. SDN ve Microsegmentation Platform

VMware NSX, Illumio, Cisco Tetration, Akamai Guardicore:

• Yazılım tanımlı ağda her VM/host arası kural
• Görsel arayüz, kural otomatik öneri
• Maliyet yüksek (KOBİ için genelde aşırı)

4. Kubernetes Network Policy

Container ortamında:

• Pod'lar arası iletişim kuralları
• Ingress/egress tanımları
• Calico, Cilium gibi CNI'ler ile

5. Identity-Aware Policy (Zero Trust Network Access)

Cloudflare Access, Tailscale, Twingate, Zscaler ZTA:

• IP/port temelli değil, kullanıcı/cihaz kimliği temelli erişim
• VPN alternatifi
• Modern, KOBİ ölçeğinde popülerleşiyor

KOBİ İçin Pratik Derinleştirme Planı

Tam SDN platform yerine kademeli yaklaşım:

Aşama 1: Mevcut VLAN Sıkılaştırma

VLAN yapısını gözden geçir, gereksiz ulaşılabilirlik kaldır:

• Çalışan VLAN → Sunucu VLAN: hangi servisler gerçekten gerekli?
• Misafir VLAN → İç VLAN: tamamen reddedilmeli
• IoT VLAN → diğer VLAN'lar: minimum

Aşama 2: Host Firewall Sıkılaştırma

Her sunucuda Windows Firewall veya iptables aktif:

• Inbound: yalnızca gerekli portlar açık
• Inbound source: yalnızca gerekli IP/subnet'ler
• Outbound: gereksiz dışa çıkış kısıtlı
• Logging: anormal trafik tespit

Aşama 3: Sunucu Grupları Arası İzolasyon

Sunucuları rolüne göre grupla, gruplar arası kuralı tanımla:

• AD/DC: sadece kullanıcı VLAN'larından LDAP/Kerberos
• DB: sadece uygulama sunucularından
• Web: sadece internet + DB
• Backup: sadece yedeklenecek hedeflerden

Aşama 4: Identity-Aware Erişim

Kullanıcının kim olduğuna göre erişim:

• Active Directory grupları → kaynak erişim
• VPN yerine ZTNA çözümü
• MFA her erişim için

Aşama 5: Sürekli İzleme

• East-west trafik logging
• Anomali tespiti (NDR çözümleri)
• Yıllık erişim denetimi

Pratik Uygulama Örneği

10 sunuculu KOBİ için derinleştirilmiş tasarım:

Sunucu Envanteri

• DC1, DC2 (Active Directory)
• SQL01 (üretim DB)
• WEB01 (kurum web sitesi)
• APP01 (CRM uygulaması)
• FILE01 (dosya sunucu)
• BACKUP01 (yedek server)
• MON01 (Zabbix izleme)
• MAIL01 (e-posta gateway)
• PROXY01 (web filtre)

Trafik Matrisi

Kaynak → Hedef	İzin
Çalışan → DC1, DC2	LDAP, Kerberos, DNS
Çalışan → FILE01	SMB
Çalışan → APP01	HTTPS
Çalışan → MAIL01	SMTP, IMAP
Çalışan → İnternet (PROXY01 üzerinden)	HTTPS
APP01 → SQL01	TDS 1433
WEB01 → İnternet	HTTPS dışa
WEB01 → SQL01	TDS 1433
BACKUP01 → Tüm sunucular	Yedek protokolü
MON01 → Tüm sunucular	SNMP, WMI, agent
Diğer her şey	REDDEDİLİR

Bu matriste eksik olan trafik default olarak engellenir.

Mikro-Segmentasyon Riskleri

Yanlış uygulandığında sorun yaratır.

Riskler

• Aşırı kısıtlama: İş süreçleri kırılır, çalışanlar yapamaz
• Bilinmeyen bağımlılıklar: Eski uygulamalar gizli iletişim kullanıyor
• Yönetim karmaşası: 100+ kural ezberlenmez
• False positive: Meşru trafik bloke edilirse log gürültüsü

Önlemler

• Log first, block later: İlk hafta sadece log, gerçek trafiği gözle
• Pilot: Bir alan/uygulama ile başla, ölçek arttır
• Dokümantasyon: Hangi kural niye eklenmiş?
• Periyodik gözden geçirme: Kullanılmayan kural silinir

Yamanlar Bilişim Olarak Sunduğumuz Hizmetler

KOBİ ölçeğinde mikro-segmentasyon destek alanlarımız:

• Mevcut VLAN/segmentation denetimi
• Trafik matrisi çıkarma (gerçek iletişim haritalama)
• Host firewall sertleştirme (Windows, Linux)
• Private VLAN yapılandırması
• ZTNA çözüm danışmanlığı
• Pilot uygulama ve aşamalı yaygınlaştırma
• Yıllık güvenlik denetimi

Sıkça Sorulan Sorular

1. Bir hafta tüm trafiği logla (Wireshark, NetFlow, packet capture)
2. Gerçek iletişim haritası çıkar
3. Beklenmedik portları araştır (vendor dokümanı, yazılım tedarikçi)
4. Whitelist kuralı yaz
5. Sonra reddet kuralları aktif

"Önce gözle, sonra blokla" yaklaşımı sürpriz olmaz.

KOBİ olarak ZTNA'ya geçmek için hangi çözümler var?

• Cloudflare Access / Cloudflare Zero Trust: Ücretsiz tier var, kurulum kolay
• Tailscale: WireGuard tabanlı, KOBİ için pratik
• Twingate: Modern UX, kullanıcı dostu
• Zscaler Private Access: Enterprise odaklı, daha pahalı

KOBİ ölçeğinde Cloudflare Zero Trust veya Tailscale en sık tercih edilen başlangıç noktaları.

Sonuç

Network segmentasyonu; klasik VLAN modelinin ötesine geçtiğinde KOBİ ağ güvenliğine ciddi derinlik katar. Mikro-segmentasyon; lateral movement'ı yavaşlatır, ransomware yayılımını azaltır, içeriden tehdit etkisini sınırlar ve uyum çerçevelerini destekler. Tam SDN platform yerine; host firewall, Private VLAN ve identity-aware erişim kombinasyonu, KOBİ ölçeğinde uygulanabilir, kademeli ve ekonomik bir derinleştirme yolu sunar.

Yamanlar Bilişim olarak ölçeğinize uygun derinleştirilmiş ağ tasarımı, pilot uygulama ve aşamalı yaygınlaştırma hizmetleri sunuyor; klasik VLAN'larınızı Zero Trust felsefesine yakın, ölçülebilir bir savunma derinliğine taşıyoruz.