Bizi Takip Edin :
Veri Güvenliği

Zero Trust Mimarisi Türkiye Rehberi: Microsoft Entra ID, Intune ve Defender ile 5 Adımda Sıfır Güven

Zero Trust (Sıfır Güven) modelinin arkasındaki fikir basittir: kimseye ve hiçbir cihaza otomatik güvenme. Kurumsal ağın “içinde” olmak, artık erişim izni anlamına gelmiyor. Her erişim isteğinde kim, hangi cihazla, nereden ve hangi bağlamda soruyor sorularına yeniden cevap istiyoruz.

Zero Trust yıllardır konuşuluyor ama Türkiye’de pratik uygulaması hâlâ sınırlı. Sebep, mimarinin karmaşık ve pahalı algılanması. Oysa Microsoft ekosistemine yatırım yapmış olan bir işletme için Zero Trust’ın çekirdek adımları Entra ID + Intune + Defender üçlüsüyle uygulanabiliyor — çoğu zaman zaten sahip olduğunuz lisanslarla. Bu yazıda 5 somut adımda Türkiye pazarındaki bir işletme için Zero Trust geçişini nasıl planladığımızı anlatıyoruz.

Zero Trust nedir, neden şimdi konuşuluyor?

Klasik güvenlik yaklaşımında bir “güvenli iç ağ” ve bir “tehlikeli internet” vardı. Kullanıcı VPN ile içeriye girer, giriş sonrası neredeyse her şeye erişebilirdi. Bu model üç gerçek karşısında çöktü:

  1. Bulut: Uygulamaların önemli bir kısmı artık iç ağda değil (Microsoft 365, Salesforce, Slack, ERP-SaaS). “İçeri girmek” ne demek?
  2. Hibrit çalışma: Kullanıcılar ofis dışından, kendi cihazından, kimi zaman güvensiz Wi-Fi’dan erişiyor.
  3. Kimlik odaklı saldırılar: Fidye yazılımı, iş e-postası dolandırıcılığı (BEC), sosyal mühendislik — hepsi çalınmış kimlik bilgisiyle “meşru” oturumla ilerliyor.

Zero Trust bu üç gerçeğe cevap verir: her istekte kimliği + cihazı + bağlamı yeniden doğrula, en az yetkiyi ver.

Microsoft’un Zero Trust rehberinde üç ilke tanımlanır:

  • Açıkça doğrula (Verify explicitly): Her erişim için tüm sinyalleri (kimlik, konum, cihaz, iş yükü, veri sınıfı) değerlendir.
  • En az yetkiyi ver (Use least-privileged access): Just-In-Time, Just-Enough-Access, veri koruma politikaları.
  • İhlali varsay (Assume breach): Yatay yayılımı sınırla, uçtan uca şifreleme, analitik ile tehdidi tespit et.

Bu üç ilkeyi Türkiye pazarındaki bir işletmede pratik olarak nasıl uyguladığımızı 5 adımda anlatıyoruz.

Adım 1 — Kimlik zeminini güçlendir: MFA, Passkey ve Conditional Access

Zero Trust’ın kalbi kimliktir. Kimliği güçlendirmeden diğer katmanlar anlamsız.

Uygulama:

  1. Kullanıcı MFA’yı zorunlu kıl: Tüm hesaplarda çok faktörlü kimlik doğrulama açık olmalı. SMS yerine Microsoft Authenticator veya FIDO2 anahtarı (passkey) tercih edilmeli.
  2. Yönetici hesapları için ayrı politikalar: Yönetici oturumları yalnızca yönetilen cihazlardan, yalnızca kurumsal ağ veya belirli konumlardan.
  3. Conditional Access politikaları:
    • “Riskli oturum” tespit edildiğinde ek doğrulama iste
    • Yönetilmeyen cihazdan hassas veri indirmeyi engelle
    • Coğrafi olarak beklenmedik konumdan erişimi bloke et
  4. Passwordless geçiş yol haritası: Uzun vadeli hedef parolayı tamamen ortadan kaldırmak. FIDO2 anahtarı + Windows Hello for Business ile 12-18 aylık plan yapılır.

Bu adım Microsoft Entra ID (eski adıyla Azure Active Directory) üzerinde çalışır. Microsoft 365 Business Premium veya E3+ paketinde Entra ID P1 dahildir; risk-tabanlı Conditional Access için P2 gereklidir.

Adım 2 — Cihazları yönetim altına al: Intune ve uyumluluk politikaları

Kimlik doğrulanmış olsa bile cihaz güvenilir değilse erişim vermek Zero Trust ile çelişir. Cihaz uyumluluğu ikinci sütundur.

Uygulama:

  1. Tüm son kullanıcı cihazlarını Intune’a kaydet: Windows, macOS, iOS, Android — hepsi tek yönetim platformundan.
  2. Uyumluluk politikası tanımla:
    • Disk şifreleme (BitLocker/FileVault) zorunlu
    • Güncel işletim sistemi sürümü (kritik yamalar 14 gün içinde)
    • Antimalware koruması aktif
    • Ekran kilitleme + parola karmaşıklığı politikası
  3. Uyumlu olmayan cihazlar için Conditional Access ile kısıtlama: Örneğin uyumlu değilse SharePoint’e “sadece web, indirme yok” modunda eriş; e-postayı ancak yönetilen uygulamadan aç.
  4. BYOD (kendi cihazın) senaryosu için Mobile Application Management (MAM): Kişisel cihazlarda tam yönetim gerekmez; sadece kurumsal uygulama içindeki verinin korunması yeterli olabilir.

Intune için gerekli lisans: Microsoft Intune Plan 1 — Microsoft 365 Business Premium ve E3+ paketlerinde dahildir.

Adım 3 — Uç noktayı gözle: Defender for Endpoint ve otomatik müdahale

Cihaz yönetim altında olsa bile aktif bir tehdit tespit ve müdahale katmanı gereklidir. Zero Trust’ın “ihlali varsay” ilkesi burada devreye girer.

Uygulama:

  1. Defender for Endpoint (veya alternatif EDR) tüm uç noktalarda: Sadece antivirüs değil; davranış tabanlı algılama, ağ trafiği analizi, otomatik izolasyon.
  2. Attack Surface Reduction (ASR) kuralları: Ofis dokümanlarından kod çalıştırma engeli, script dosyalarının davranış izleme, WMI üzerinden yayılım önleme.
  3. Otomatik izolasyon: Tehdit tespit edilen cihaz saniyeler içinde ağdan izole edilir; yatay yayılım kesilir.
  4. Yönetilen algılama ve müdahale (MDR) katmanı: Uç nokta izleme 7/24 canlı analiz olmadan işe yaramaz. Xen Bilişim MDR hizmeti veya Microsoft Defender Experts, uç nokta uyarılarını 24 saat işler.

Defender for Endpoint Plan 1 M365 Business Premium’a dahildir; Plan 2 (gelişmiş hunt ve otomasyon) E5 veya ayrı lisansla gelir.

Adım 4 — Veriyi sınıflandır ve koru: Purview ve DLP

Kimlik + cihaz + uç nokta korunuyor olsa bile veri sınıflandırılmamışsa kritik dosyalar kazara sızabilir. Veri koruma Zero Trust’ın en sık atlanan sütunudur.

Uygulama:

  1. Veri sınıflandırma etiketleri: Herkese Açık / İç / Gizli / Yüksek Gizli — 3-4 seviyeden fazlası çalışmaz.
  2. Otomatik sınıflandırma: Microsoft Purview tarayıcısı belirli kalıpları (TC kimlik, IBAN, kart numarası) otomatik bulur ve etiketler.
  3. DLP (Data Loss Prevention) politikaları: Gizli etiketli dosyanın kişisel e-posta veya USB’ye kopyalanmasını engelle.
  4. Sensitivity label + şifreleme: Yüksek gizli belgeler yalnızca yetkili kullanıcının cihazında açılabilir; şifreleme dosyaya yolculuk boyunca eşlik eder.
  5. KVKK örtüşmesi: Bu adım aynı zamanda KVKK teknik tedbirleriyle doğrudan örtüşür — kişisel veri sınıflandırma, sızıntı önleme, erişim yetkilendirme.

Microsoft Purview çekirdek işlevleri M365 E5 paketinde tam; E3 + Compliance Add-on ile de erişilebilir.

Adım 5 — Ağ ve uygulama katmanını Zero Trust’a taşı

Klasik VPN “içeri girdikten sonra her şeye eriş” modelini sürdürür. Zero Trust ağ katmanında ilkeler değişir:

Uygulama:

  1. VPN yerine kimlik + uygulama tabanlı erişim: Her uygulamaya ayrı ayrı erişim politikası — kullanıcı VPN’e değil, uygulamaya bağlanır.
  2. Entra ID Application Proxy: İç web uygulamalarına internetten güvenli erişim; kullanıcı önce Entra ID’de doğrulanır, sonra uygulamaya proxy üzerinden yönlendirilir.
  3. Microsoft Global Secure Access / SASE: VPN, ağ segmentasyonu, güvenlik gateway’i tek bulut hizmetinde birleşir. Kullanıcı ofiste veya kafedeyken aynı politika uygulanır.
  4. Segmentasyon: Sunucular arası ve iş yükü içi trafik ilkesel olarak kapalı; ihtiyaç oldukça mikro-segmentle aç.
  5. Log toplama ve analiz — Microsoft Sentinel: Tüm kimlik, cihaz, uygulama, ağ logları merkezi SIEM’de toplanır; KQL ile threat hunting ve otomatik playbook aksiyon.

Zero Trust olgunluk modeli — kendinizi konumlandırın

Zero Trust bir “ya sıfırdayız ya %100’deyiz” ikilemi değildir. Microsoft’un olgunluk modelinde üç seviye vardır:

SeviyeKarakteristik
TraditionalVPN + firewall merkezli, kimlik tek başına parola, uç nokta tek başına antivirüs
AdvancedMFA yaygın, Conditional Access başlangıç, uç noktalarda EDR, veri sınıflandırma başlangıç
OptimalRisk tabanlı Conditional Access, passwordless, Purview + DLP tam kapsamı, Sentinel ile analiz, SASE mimarisi

Çoğu Türk işletmesi Traditional ile Advanced arasındadır. Advanced’e geçiş 3-6 ay, Optimal 12-18 ay tipik takvimdir. Xen Bilişim, bu geçişi işletmenin mevcut yatırımlarına (Microsoft 365 lisansı, cihaz filosu, iş süreçleri) göre fazlı olarak planlar.

KVKK ve Zero Trust — doğal örtüşme

KVKK teknik tedbirlerinin çoğu Zero Trust ilkeleriyle örtüşür:

  • Erişim yetkilendirme → En az yetki + Conditional Access
  • Kişisel veri sınıflandırma → Purview + Sensitivity Labels
  • Veri sızıntısı önleme → DLP + BitLocker + Intune uyumluluk
  • Erişim logları + izleme → Sentinel + Defender + Entra ID logları
  • Kullanıcı doğrulama güvenliği → MFA + Passkey

Zero Trust’a yatırım yapmak aynı zamanda KVKK teknik tedbir uyum notunuzu belirgin biçimde iyileştirir. İki proje ayrı planlanır ama teknoloji katmanı örtüşür.

Xen Bilişim Zero Trust yol haritası — 3 fazlı yaklaşım

Xen Bilişim, Zero Trust geçişini 3 fazda planlar:

Faz 1 (0-30 gün) — Kimlik ve kritik uç nokta

  • Tüm kullanıcılar için MFA + basit Conditional Access
  • Yönetici hesapları için sıkı politika
  • Kritik uç noktalarda Defender for Endpoint aktivasyonu

Faz 2 (30-90 gün) — Cihaz ve uygulama

  • Tüm son kullanıcı cihazları Intune’da
  • Uyumluluk politikaları + Conditional Access entegrasyonu
  • Uç noktada Attack Surface Reduction kuralları

Faz 3 (90-180 gün) — Veri ve ağ

  • Purview ile veri sınıflandırma + DLP
  • Sentinel ile SIEM/SOAR
  • SASE mimarisine geçiş (varsa Global Secure Access)

Ortalama teklif yanıt süremiz 4 saattir. Zero Trust yol haritanız için ücretsiz ön değerlendirme talep edebilirsiniz.

İlgili sayfalar

Sık Sorulan Sorular

Zero Trust’a geçmek için ayrı ürün almam gerekir mi? Genellikle hayır. Microsoft 365 Business Premium veya E3+ paketine sahipseniz Entra ID + Intune + Defender for Endpoint zaten dahildir. Purview ve gelişmiş Sentinel için E5 veya ayrı add-on gerekir. Yatırım çoğu zaman var olan lisansları doğru yapılandırmaktır, yeni ürün satın almak değil.

Zero Trust hibrit çalışma senaryosu için gerekli mi? Evet, hibrit çalışma modeli Zero Trust’ı zorunlu kılar. Klasik VPN modeliyle ofis dışı çalışma, hem kullanıcı deneyimi hem güvenlik açısından yetersizdir.

Zero Trust ne kadar zamanda tamamlanır? Advanced seviye 3-6 ay, Optimal 12-18 ay tipiktir. Ancak faz 1 (kimlik + MFA + kritik uç nokta) 30 gün içinde çoğu işletmede tamamlanabilir. Xen Bilişim fazlı geçişi 6 aya kadar kısaltabilir.

Zero Trust ile VPN’i tamamen kaldırabilir miyim? Faz 3’te evet — Entra ID Application Proxy + Global Secure Access ile VPN’siz mimari mümkündür. Ancak legacy iç uygulamaları olan bazı işletmelerde VPN küçük bir kapsamla kalabilir.

Xen Bilişim Zero Trust danışmanlığında hangi metodolojiyi kullanıyor? Microsoft Zero Trust olgunluk modelini + Cloud Adoption Framework güvenlik pillar’ını temel alıyoruz; müşteriye özel mevcut lisans envanteri, cihaz filosu ve süreçler analiz edilir; 3 fazlı yol haritası çıkarılır.


Bu yazı siber güvenlik hizmetleri sayfamızın bir devamıdır. Zero Trust yol haritanız veya mevcut mimarinizin olgunluk değerlendirmesi için ücretsiz ön değerlendirme talep edebilirsiniz — ortalama yanıt süremiz 4 saat.

Bu yazıyı paylaşın

İlgili Yazılar

Felaket Kurtarma Planı Nasıl Hazırlanır? KOBİ İçin RTO/RPO Rehberi

Yedeğiniz olması, kriz anında işi ayağa kaldıracağınız anlamına gelmez. RTO ve RPO hedeflerini sistem sistem nasıl belirlersiniz, iş etki analizi (BIA) ile kurtarma sırasını nasıl çıkarırsınız ve felaket kurtarma planını tatbikatla nasıl test edersiniz — KOBİ ölçeğinde, sahadan örneklerle anlatıyoruz.

Devamını Oku: Felaket Kurtarma Planı Nasıl Hazırlanır? KOBİ İçin RTO/RPO Rehberi

İş E-postası Ele Geçirme (BEC): Sahte Ödeme Talimatına Karşı KOBİ Rehberi

Tedarikçinizden 'IBAN'ımız değişti' diyen sahte bir e-posta, antivirüsün asla yakalayamayacağı en pahalı saldırı türüdür. İş e-postası ele geçirme (BEC) nasıl çalışır, KOBİ'leri neden vuruyor ve teknik artı süreçsel olarak nasıl korunulur?

Devamını Oku: İş E-postası Ele Geçirme (BEC): Sahte Ödeme Talimatına Karşı KOBİ Rehberi