Üretim Tesisinde OT/IT Ağ Ayrımı: KOBİ Fabrika için Pratik Mimarisi
Özet: Üretim tesislerinde OT (operasyonel teknoloji) ve IT (bilgi teknolojisi) ağlarının ayrımı, PLC/SCADA segmentasyonu ve endüstriyel firewall mimarisi.
Özet: Üretim tesislerinde IT (bilgi teknolojisi) ve OT (operasyonel teknoloji) ağlarının aynı düz ağda olması, ofiste açılan tek bir phishing e-postasının PLC ve üretim hattına sıçramasına yol açar. Doğru OT/IT ayrımı Purdue Modeli temellidir: ofis IT ağı, üretim DMZ, kontrol katmanı (SCADA), saha cihazları (PLC, sensör) farklı segmentlerde tutulur. Aralarına endüstriyel sınıf firewall, sıkı tek yönlü trafik kuralları ve OT'ye uyarlanmış izleme yerleştirilir; KOBİ ölçeğinde de bu mimari uygulanabilir ve ransomware'in üretimi durdurma riskini ciddi ölçüde düşürür.
Bir fabrikada muhasebe departmanından açılan sahte fatura eki, ağda şifreleme yaymaya başlar. Ofis dosya sunucusu, çalışan bilgisayarları derken — saatler içinde üretim hattının SCADA istasyonu da kilitlenir. Üretim durur, son ürünler hatlarda kalır, müşteri teslimatları ertelenir. Fabrikalardaki ransomware vakaları artık nadir senaryo değil; bilinçli bir OT/IT ayrımının olmaması en yaygın sebep.
Bu yazıda KOBİ üretim tesisi sahipleri ve fabrika IT sorumluları için OT/IT ağ ayrımının pratik mimarisini ele alıyoruz. Hedef ölçeğimiz 20-300 çalışanlı, bir veya iki üretim hattı olan KOBİ fabrikaları.
OT ve IT Aynı Ağda Olmamalı — Neden?
OT ve IT ağları farklı amaçlara hizmet eder, farklı tehdit profilleri vardır.
IT (Bilgi Teknolojisi)
- Ofis bilgisayarları, e-posta, web, dosya sunucusu, ERP
- Yüksek değişim hızı, sık güncelleme
- Geniş internet erişimi
- Phishing, ransomware, kullanıcı hatası ana risk
OT (Operasyonel Teknoloji)
- PLC (Programmable Logic Controller), SCADA, sensör, robot kol
- Düşük değişim hızı, "çalışıyorsa dokunma" kültürü
- Genellikle internete kapalı veya çok sınırlı erişim
- Eski işletim sistemleri (Windows XP/7 SCADA istasyonları sık)
- Hata = üretim durması veya fiziksel zarar
Bu iki ortamın aynı broadcast domain'de olması, bir ortamdaki tehdidin diğerine sıçramasını teknik olarak mümkün kılar.
Risk Karşılaştırması
| Ofis ransomware → IT | Ofis ransomware → OT'ye sıçrama |
|---|---|
| Dosyalar şifrelenir | Üretim hattı durur |
| Yedekten geri yükle | PLC programı bozulabilir |
| 1-2 gün toparlanma | 1-2 hafta toparlanma |
| Ekonomik zarar | Ekonomik + müşteri + güvenlik |
Purdue Modeli ve KOBİ Uyarlaması
Endüstriyel ağ segmentasyonunun referans modeli Purdue Reference Architecture'dır. Beş katmandan oluşur, KOBİ ölçeğinde sadeleştirilebilir.
Standart Purdue Katmanları
| Seviye | Adı | İçerik |
|---|---|---|
| 5 | Kurumsal | Ofis IT, ERP, e-posta, web |
| 4 | Site iş ağı | Üretim raporlama, MES |
| 3.5 | DMZ | OT/IT arası izole bölge |
| 3 | Site operasyon | SCADA, HMI, tarihçi (historian) |
| 2 | Kontrol | PLC, RTU |
| 1 | Saha | Sensör, aktüatör |
| 0 | Fiziksel | Robot kol, motor, valf |
KOBİ Sadeleştirilmiş Üç Katmanlı Model
KOBİ fabrika için 3 katman pratik:
- IT (Ofis): ERP, e-posta, web tarama, çalışan bilgisayarları
- DMZ (Geçiş bölgesi): Üretim raporlama sunucusu, manuel veri aktarımı
- OT (Saha): SCADA, PLC, sensör, aktüatör
Aralarında endüstriyel firewall ve sıkı kurallar.
Endüstriyel Firewall ile Ayrım
OT/IT ayrımı sadece VLAN ile değil, mutlaka firewall ile yapılmalıdır. Standart kurumsal firewall yetmez; endüstriyel protokollerin (Modbus, S7, EtherNet/IP, OPC UA, Profinet) anlaşılması için OT-aware firewall önerilir.
Tipik Endüstriyel Firewall Çözümleri
- Fortinet FortiGate Rugged — Endüstriyel sınıf donanım, OT protokol farkındalığı
- Cisco Industrial Security Appliance (ISA) — Otomasyon ortamlarına özel
- Hirschmann EAGLE — Modüler, harsh ortam dayanımlı
- Tofino / Belden — Modbus ve Profinet odaklı
- Phoenix Contact mGuard — KOBİ ölçeği için makul fiyat
Trafik Kural Örnekleri
| Kaynak | Hedef | İzin |
|---|---|---|
| IT (ofis) | OT (PLC) | Reddet (default) |
| IT | DMZ raporlama sunucusu | Sınırlı (sadece raporlama portu) |
| OT (SCADA) | DMZ (historian) | İzin (read-only) |
| OT | Internet | Reddet |
| Mühendis laptop | OT (özel oturum) | İzin (jump host üzerinden, MFA, kayıtlı) |
Default deny prensibi: tanımlı olmayan her şey reddedilir.
Tek Yönlü Veri Diyodu (Data Diode)
Çok kritik tesislerde data diode kullanılır: OT'den IT'ye sadece tek yönlü veri akışı, IT'den OT'ye tek bir paket bile geçemez. Donanımsal olarak garanti edilir. KOBİ ölçeğinde nadiren gerekli, ama hava kirliliği denetimi gibi resmi raporlama yapan fabrikalarda mantıklı yatırım.
OT Ortamında Eski Sistemlere Yaklaşım
OT ortamlarının çoğunda Windows XP/7 SCADA istasyonları, yamalanmamış PLC'ler bulunur. Bu cihazlar yamalanamayabilir veya yenilemek milyonlarca TL gerektirebilir.
Etrafında Koruma Stratejisi
- Eski cihazları tamamen izole bir VLAN'a alın
- Bu VLAN'a internet erişimi yok
- Mühendis erişimi sadece jump host üzerinden (MFA, oturum kaydı)
- USB politikası sıkı: yalnızca whitelist edilmiş cihazlar
- Her dış erişim olayı kayıtlı, izlenir
- Aylık zafiyet taraması (cihazları crash etmemek için non-intrusive)
Asset Inventory Şart
Her OT cihazı kayıtlı olmalı: marka, model, firmware versiyonu, IP, fonksiyon, mühendis sorumlu. Bilinmeyen cihaz = bilinmeyen risk.
OT Ortamında Yedekleme
OT yedekleme, IT'den farklı yaklaşım gerektirir.
PLC Programları
PLC içindeki ladder logic veya FBD programı fabrikanın IP'si kadar değerlidir. Mühendisin laptop'unda olabilir ama merkezi yönetilmemişse risklidir.
- PLC programları haftalık merkezi sunucuda yedeklenir
- Versiyon kontrolü (Git veya endüstriyel doküman yönetimi)
- Üretici bağımsız format (yoksa üreticinin kendi formatı)
SCADA İmajı
SCADA istasyonları görece değişmez; aylık disk imajı yeterli. Disk arızasında 1-2 saatte aynı sistem ayağa kalkar.
Reçete (Recipe) ve Konfigürasyon
Üretim formülleri, kalibrasyon değerleri, alarm eşikleri — bunların kaybı üretim duruşu demektir. Ayrı yedeklenmelidir.
OT/IT Arası Veri Akışı: Raporlama
Üretim verisi yönetime ulaşmalı: günlük üretim adedi, hat duruş süreleri, kalite metrikleri. Bu akış tehlikeli olmadan nasıl tasarlanır?
Tek Yönlü Raporlama Mimarisi
OT (SCADA) → DMZ (historian/raporlama sunucusu) → IT (ERP, dashboard)
(read-only) (read-only)
- SCADA verisi DMZ'deki historian'a yazar
- IT, DMZ historian'dan okur — OT'ye doğrudan ulaşamaz
- Raporlama sunucusu sıkı yönetilir, üzerinde fazla yazılım yok
- Güncel yamalı, EDR korumalı
MES (Manufacturing Execution System)
Daha gelişmiş entegrasyonlar MES kullanır. Kurumsal düzeyde standart bir MES (örn. Wonderware, AVEVA, SAP MES) kullanılıyorsa entegrasyon iki yönlü olabilir; ancak yine DMZ üzerinden ve sıkı kurallarla.
Ransomware'in OT'ye Sıçramasını Önleme
KOBİ fabrikalarda en sık ransomware sıçrama vektörleri:
1. Mühendis Laptop'u
Mühendis evden çalışırken phishing'e maruz kalır, ertesi gün laptop'u OT'ye bağlar → şifreleme başlar.
Önlem: Mühendis laptop'u kurumsal yönetimde, EDR korumalı, OT erişimi yalnızca jump host üzerinden — kişisel laptop OT'ye direkt bağlanmaz.
2. Tedarikçi Bakım
Üretici yetkilisi PLC bakımı için geliyor, kendi laptop'unu OT'ye bağlıyor.
Önlem: Tedarikçi cihazları kurumsal "hot zone"da taranır, sadece o cihaz için sınırlı erişim açılır, oturum kaydedilir.
3. USB ile Veri Transfer
OT'den IT'ye veya tersi yönde veri taşımak için USB kullanmak.
Önlem: USB tarayıcı kiosk (USB takıldığında otomatik tarama), şifreli kurumsal USB sadece, taşıma kayıtlı.
4. Ofis ile OT Aynı VLAN
En basit ve en yaygın hata.
Önlem: VLAN ayrımı ve firewall.
Yamanlar Bilişim Olarak Sunduğumuz Hizmetler
Üretim ölçeğine göre uçtan uca destek alanlarımız:
- OT/IT envanter çıkarma ve risk değerlendirmesi
- Endüstriyel firewall seçimi ve yapılandırma
- VLAN segmentasyonu (Purdue model uyarlaması)
- Eski OT cihazları için izolasyon mimarisi
- PLC yedekleme ve versiyonlama
- DMZ raporlama sunucusu kurulumu
- Mühendis erişimi için jump host
- Yıllık OT güvenlik tatbikatı
Sıkça Sorulan Sorular
Sonuç
Üretim tesisinde IT ve OT'nin aynı ağda olması artık tartışılır bir karar değil — zaten ihlal edilmiş bir güvenlik prensibidir. KOBİ ölçeğinde de Purdue modelinin sadeleştirilmiş hali uygulanabilir; üç katmanlı (IT, DMZ, OT) bir mimari endüstriyel firewall ile birleştiğinde ransomware'in fabrika hattına sıçramasını ciddi ölçüde önler. Eski SCADA istasyonları yamalanamasa bile etrafında doğru koruma kurulduğunda riskli unsurdan yönetilebilir bir parçaya dönüşür.
Yamanlar Bilişim olarak fabrika ölçeğinize ve mevcut OT envanterinize göre özelleştirilmiş ağ ayrımı projeleri yürütüyor; üretim duruşunu maliyetli bir olağan üstü hâlden, tasarımla önlenebilir bir senaryoya dönüştürüyoruz.
Sıkça Sorulan Sorular
KOBİ fabrika için Purdue Modeli abartı değil mi?
Sadeleştirilmiş 3 katmanlı versiyonu KOBİ ölçeğinde tamamen uygulanabilir ve ekonomiktir. Tam Purdue (5 katman) büyük petrokimya, otomotiv ana sanayi gibi tesisler için. KOBİ versiyonu: IT — DMZ — OT. Üç katmanlı yapı dahi ransomware in OT ye sıçramasını büyük ölçüde önler.
SCADA istasyonum Windows XP, ne yapmalıyım?
Yenilemek milyonlarca TL ise mümkün değil; bu durumda etrafında koruma : tamamen izole VLAN, internet erişimi sıfır, mühendis erişimi sadece jump host tan, USB politikası sıkı. Bu yaklaşımla XP cihaz çalışmaya devam eder ama saldırı yüzeyi minimum olur. Uzun vadede yenileme planı yapılmalı.
Endüstriyel firewall standart kurumsal firewall a göre çok mu pahalı?
Marka ve özelliğe göre değişir. Phoenix Contact mGuard veya Hirschmann EAGLE gibi ürünler KOBİ ölçeğinde 1.500-5.000 USD aralığında bulunabilir. Standart kurumsal firewall a göre %30-100 fazla; ancak OT protokol farkındalığı ve ortam dayanımı bu farkı haklı çıkarır. Eğer bütçe çok kısıtlıysa kurumsal sınıf firewall + sıkı VLAN/ACL ile başlangıç yapılabilir.
Mühendis OT ye doğrudan bağlanmak istiyor, jump host ek yük değil mi?
Doğru kurulmuş bir jump host saniyeler içinde erişim sağlar. Ek yük asgari, getiri büyük: tüm erişim kayıtlı, MFA zorunlu, mühendisin kendi laptop undaki tehdit OT ye sıçramaz. Hız değil güvenlik kuralı OT için geçerlidir.
Bulut tabanlı SCADA / endüstriyel IoT KVKK ve güvenlik açısından ne durumda?
Bulut SCADA / IIoT sağlayıcıları (Siemens MindSphere, GE Predix, AWS IoT, Azure IoT) güvenlik mimarileri olgun. KVKK boyutunda işlenen kişisel veri varsa (örn. çalışan vardiya bilgisi, üretim takibi) dikkat edilmeli — sağlayıcı veri lokasyonu Türkiye/AB tercih edilmeli, veri işleyen sözleşmesi imzalanmalı. Üretim ölçüm verisi (sıcaklık, basınç) genelde kişisel veri kapsamında değil, daha esnek.
OT de patch yönetimi nasıl yapılmalı?
OT de her yamayı hemen uygula yaklaşımı tehlikelidir — yama üretim hattını çökertebilir. Doğru akış: (1) Yama yayınlandığında üretici onayı bekle, (2) test ortamında dene, (3) planlı bakım penceresinde uygula. Acil güvenlik yamaları için bile aynı akış izlenir, sadece pencere daha sık açılır. Yama testi yapacak test ortamı üretim ölçeğinden küçük ama tipolojik olarak benzer olmalı.
Yazar
Serdar
Yamanlar Bilişim Uzmanı
Yamanlar Bilişim bünyesinde IT altyapısı, siber güvenlik ve dijital dönüşüm konularında içerikler üretmektedir. Sorularınız için iletişime geçebilirsiniz.
Profesyonel Destek
Bu konuda destek alın
Sektörel BT Çözümleri alanında ihtiyaç duyduğunuz çözümü birlikte tasarlayalım. Uzman ekibimiz 1 iş günü içinde size geri döner.
support@yamanlarbilisim.com.tr · Yanıt süresi: 1 iş günü
Devamını Oku
İlgili Makaleler
Filo Kiralama Şirketleri için Sözleşme Arşivi ve KVKK Uyum Mimarisi
Filo ve araç kiralama şirketlerinde sözleşme arşivi, sürücü verisi KVKK uyumu, e-imza entegrasyonu ve site-to-site VPN ile şube bağlantısı.
Doktor ve Klinik Bilgisayarlarında Endpoint Güvenliği: EDR Uygulaması
Klinik ve muayenehanelerde doktor bilgisayarları için EDR seçimi, hasta verisi taşıyan istemcilerde ek önlemler ve USB politikası.
Site Yönetiminde IT Altyapısı: IP Kamera, Asansör IoT ve Aidat Sistemleri
Site ve apartman yönetiminde IP kamera, asansör IoT, aidat ve sakin yönetim sistemleri için entegre IT altyapısı ve KVKK uyum rehberi.