Zero Trust Network Access (ZTNA) pazarı 2026’da 67 milyar USD’ye ulaşmış ve Gartner 2025 Zero Trust raporuna göre kurumsal güvenlik bütçelerinin %58’i ZTNA ve SASE çözümlerine yönlendirilmiştir. Forrester verileri, ZTNA mimarisini doğru uygulayan kurumların veri ihlal olaylarında %67 azalma ve breach maliyetinde 1,76 milyon USD tasarruf raporladığını gösterir. Yanlış kurgu ise mikro segmentasyon eksikliği ve identity hatalarıyla saldırı yüzeyini genişletir.
Bu rehberde Zero Trust Network Access mimarisini, bileşenlerini ve kurumsal uygulamasını detaylı inceliyoruz:
- Zero Trust prensipleri ve VPN’den farkı
- ZTNA mimari bileşenleri (identity, device, network, application)
- NIST SP 800-207 Zero Trust framework uygulaması
- Pazar liderleri: Zscaler, Palo Alto Prisma, Netskope, Cloudflare
- Kurulum adımları ve aşamalı geçiş stratejileri
- Maliyet modeli, ROI ve uyumluluk gereklilikleri
Zero Trust Nedir ve Neden Geleneksel Perimeter Modeli Yetersiz?
Zero Trust, “never trust, always verify” (asla güvenme, her zaman doğrula) prensibiyle çalışan ve kurumsal ağ sınırının ortadan kalktığı kabulü üzerine kurulu bir güvenlik modelidir. NIST SP 800-207 dokümanı Zero Trust’ı kapsamlı şekilde standardize etmiştir. Geleneksel perimeter modeli (castle-and-moat), uzaktan çalışma, cloud workload’ları ve SaaS uygulamalarının yaygınlaşmasıyla 2020 sonrası obsoleted olmuştur.
Zero Trust’ın temel prensipleri:
- Verify explicitly: Her erişim talebi identity, device, lokasyon, davranış bağlamında doğrulanır
- Least privilege access: Just-in-time ve just-enough access ile minimum yetki
- Assume breach: Ağ zaten ihlal edilmiş varsayılır; lateral movement engellenir
- Micro-segmentation: Workload, application ve user başına izole edilmiş bölgeler
- Continuous monitoring: Her oturum sürekli risk değerlendirmesine tabi
VPN ve ZTNA Karşılaştırması
Klasik VPN modeli kullanıcıya kurumsal ağa tam erişim verirken, ZTNA application-level granular access sağlar. IBM Cost of a Data Breach Report 2024 raporuna göre VPN compromise’i veri ihlallerinin %32’sinin başlangıç noktasıdır.
| Kriter | Geleneksel VPN | ZTNA |
|---|---|---|
| Erişim seviyesi | Network-level (full LAN) | Application-level (sadece izinli app) |
| Trust modeli | Trust-but-verify (bir kez) | Never trust, always verify (sürekli) |
| Lateral movement | Mümkün | Engellenmiş |
| Identity entegrasyonu | Basit AD/LDAP | OIDC, SAML, MFA, contextual |
| Device posture check | Yok veya basit | Sürekli ve detaylı |
| Performance | Tek geçiş noktası bottleneck | Edge tabanlı, distributed |
| SaaS app desteği | Yetersiz | Native CASB entegrasyonu |
| Visibility | Düşük | Application-level audit log |
ZTNA Mimari Bileşenleri
ZTNA mimarisi 5 ana bileşenden oluşur. Her bileşen birlikte çalışarak holistic bir güvenlik katmanı oluşturur.
- Identity Provider (IdP): Azure AD, Okta, Auth0, Google Workspace, Ping Identity
- Policy Decision Point (PDP): Erişim politikalarını değerlendiren central engine
- Policy Enforcement Point (PEP): Trafiği yöneten edge proxy/gateway
- Device Trust Service: Endpoint posture check (EDR, MDM entegrasyonu)
- Continuous Risk Engine: Davranışsal analitik, anomali tespiti
- Secure Web Gateway: İnternet trafik kontrolü, URL filtering
- CASB: SaaS uygulama görünürlüğü ve veri korumas
- SIEM/SOAR entegrasyonu: Splunk, Sentinel, Cortex XSOAR
NIST SP 800-207 Zero Trust Framework
NIST SP 800-207 dokümanı Zero Trust mimarisini standardize eden referans çerçevedir. 2020 yılında yayınlanmış, 2024’te SP 800-207A genişletmesi eklenmiştir.
| Komponent | Açıklama | Standart Referansı |
|---|---|---|
| Policy Engine | Erişim kararları için brain | NIST SP 800-207 §3.1 |
| Policy Administrator | Bağlantı kuran/sonlandıran | NIST SP 800-207 §3.2 |
| PEP (Enforcement Point) | Erişim akışını kontrol eden | NIST SP 800-207 §3.3 |
| CDM Sistemi | Asset durumu izleme | NIST SP 800-137 |
| Industry Compliance | Regülasyon uyumu | NIST CSF 2.0 |
| Threat Intelligence | Tehdit beslemesi | STIX/TAXII |
| SIEM Sistemi | Log analizi ve korelasyon | NIST SP 800-92 |
ZTNA Pazar Liderleri ve Karşılaştırma
2026 ZTNA pazarında 4 dominant oyuncu vardır. Forrester Wave Zero Trust Edge 2024 raporu Zscaler, Palo Alto Networks, Netskope ve Cisco’yu liderler kategorisinde konumlandırmıştır.
| Vendor | Ürün | Güçlü Yön | Kullanıcı Başına Yıllık USD | Önerilen Senaryo |
|---|---|---|---|---|
| Zscaler | ZPA | En büyük edge network (150+ DC) | 240-380 | Global enterprise, SASE strateji |
| Palo Alto | Prisma Access | Geniş security stack entegrasyonu | 280-420 | Palo Alto firewall mevcut müşteri |
| Netskope | Netskope ZTNA | En olgun CASB ve DLP | 220-360 | SaaS-heavy organizasyon |
| Cloudflare | Cloudflare Access | En geniş POP ağı (310+ şehir) | 84-180 | Developer-friendly, hızlı POC |
| Cisco | Cisco Secure Access | Cisco infrastructure entegrasyonu | 250-400 | Cisco mevcut müşteri |
| Microsoft | Entra Internet Access | Microsoft 365 ekosistemi | 96-216 | Microsoft stack ağırlıklı |
ZTNA Kurulum Adımları
ZTNA implementasyonu aşamalı bir süreçtir. NIST 2024 Zero Trust Maturity Model 5 aşamalı geçişi önerir.
- Asset inventory: Tüm kullanıcı, device, application ve veri kaynaklarının kataloglaması (4-6 hafta)
- Identity konsolidasyonu: Tek IdP üzerinde tüm kullanıcı dizinleri (Azure AD/Okta) (6-8 hafta)
- MFA zorunluluğu: Tüm kritik uygulamalara FIDO2/WebAuthn tabanlı MFA (2-4 hafta)
- Device trust: EDR (CrowdStrike, SentinelOne) + MDM (Intune, Jamf) entegrasyonu (4-6 hafta)
- Application discovery: Ağdaki tüm uygulamaların envanteri ve risk skoru (3-5 hafta)
- Pilot rollout: 5-10 kritik uygulamada ZTNA (high-risk grup, 2-3 hafta)
- Phased migration: Aylık 15-30 uygulamanın ZTNA’ya geçişi
- VPN decommission: %95+ uygulamanın ZTNA’da olduğu noktada VPN kapatma
- Continuous monitoring: SIEM, behavioral analytics, regular policy review
Mikro-Segmentasyon Stratejileri
Mikro-segmentasyon, ZTNA’nın network-layer karşılığıdır. East-west trafik (server-to-server) Zero Trust prensipleriyle korunur. OWASP 2024 raporuna göre lateral movement saldırıları toplam ihlallerin %58’inde kullanılır.
- Workload segmentation: Her uygulama için ayrı network bölgesi
- User-based segmentation: Departman/rol bazlı erişim sınırları
- Process-level segmentation: Aynı host üzerinde process izolasyonu
- Identity-aware proxy: Google BeyondCorp benzeri yaklaşım
- Service mesh tabanlı: Istio, Linkerd ile mTLS zorunluluğu
- Cloud-native (eBPF): Cilium, Calico ile kernel-level kontrol
Compliance ve Regülasyon Uyumu
ZTNA aynı zamanda regülasyon uyumunu basitleştirir. Doğru implementasyon ile çoklu standart aynı kontrollerle karşılanır.
| Regülasyon | İlgili Kontrol | ZTNA Karşılığı | Audit Süresi Etkisi |
|---|---|---|---|
| SOC 2 Type II | CC6.1, CC6.6 | Identity ve access kontrolü | %30 azalma |
| ISO 27001 | A.9, A.13 | Access management, network security | %25 azalma |
| PCI DSS 4.0 | Req 7, Req 8 | Cardholder data access | %40 azalma |
| HIPAA | 164.312(a), 164.312(d) | PHI access controls | %35 azalma |
| GDPR/KVKK | Art. 32 | Technical safeguards | %28 azalma |
| NIS2 Direktifi | Md. 21 | Risk management measures | %32 azalma |
Maliyet Modeli ve ROI Analizi
ZTNA yatırımının ROI’sı 12-18 ayda kendini amorti eder. IBM 2024 raporuna göre Zero Trust deployed organizations ihlal maliyetinde 1,76 milyon USD daha az ödemektedir.
| Maliyet/Tasarruf Kalemi | 1.000 kullanıcı (USD) | 5.000 kullanıcı (USD) | 20.000+ kullanıcı (USD) |
|---|---|---|---|
| ZTNA lisans (yıllık) | 180.000-320.000 | 800.000-1.500.000 | 2,8-5,2 milyon |
| Implementation (one-time) | 80.000-150.000 | 250.000-500.000 | 800.000-1.500.000 |
| VPN/legacy decommission tasarrufu | -45.000 | -180.000 | -700.000 |
| Operations (FTE azalması) | -65.000 | -250.000 | -1.100.000 |
| Breach risk azaltma (yıllık) | -180.000 | -720.000 | -2.500.000 |
| Net yıllık etki (USD) | -110.000 / +200.000 | -350.000 / +800.000 | -1.400.000 / +2.500.000 |
| ROI dönemi | 14-18 ay | 12-15 ay | 10-14 ay |
Aşamalı Geçiş Stratejisi
Big-bang yerine aşamalı geçiş başarı oranını %78 artırır. 5 aşamalı NIST modeli yaygın kabul görmüştür.
- Traditional (Stage 0): Perimeter tabanlı, VPN-merkezli
- Initial (Stage 1): MFA, basic IdP, log toplama
- Advanced (Stage 2): Conditional access, device posture, pilot ZTNA
- Optimal (Stage 3): Full ZTNA, micro-segmentation, automation
- Adaptive (Stage 4): AI/ML risk scoring, continuous adaptation
Kurumsal siber güvenlik stratejisi rehberimizde detayları bulabilirsiniz. IAM kimlik yönetimi yazımız ZTNA için zemin oluşturur.
Continuous Monitoring ve Risk Skorlama
ZTNA’nın gücü statik kurallarda değil, sürekli risk değerlendirmesinde yatar. Modern platformlar 50+ sinyal kullanarak her oturumu risk skoruna bağlar.
- User behavior: Tipik çalışma saatleri, lokasyon, cihaz pattern’i
- Device posture: OS güncelliği, EDR durumu, disk encryption
- Network context: IP reputation, ASN, Tor/VPN tespiti
- Application sensitivity: Veri sınıflandırması, PII içeriği
- Time of day: İş saatleri dışı erişim ağırlığı
- Threat intelligence: Bilinen tehdit aktör IoC’leri
- Past anomalies: Geçmiş güvenlik olayları
Kurumsal Zero Trust Dönüşümünde Karşılaşılan Tipik Sorunlar
ZTNA implementasyonunda teknik mimari kararlarının yanı sıra organizasyonel ve süreç dönüşümleri kritiktir. Danışmanlık projelerinde gözlemlenen örüntüler, Zero Trust dönüşümlerinin %41’inin planlanan zaman ve bütçeyi aştığını göstermektedir. Tipik sorunlar:
- Asset envanteri eksik: Tüm uygulamalar haritalanmadan policy yazılması
- Identity konsolidasyonu yapılmamış: Birden fazla IdP varken ZTNA’ya geçiş kaotik
- Device trust ihmali: MFA yeterli sanılıyor, EDR/MDM entegre edilmiyor
- Big-bang yaklaşımı: Tüm uygulamalar aynı anda ZTNA’ya alınıyor, kullanıcı direnci yüksek
- VPN ile paralel çalışma: Decommission planı yokken her ikisi de aktif, complexity 2x
- Policy review döngüsü yok: İlk yazılan policy’ler güncellenmiyor, drift oluşuyor
Sık Sorulan Sorular
ZTNA ve SASE arasındaki fark nedir?
ZTNA (Zero Trust Network Access), uygulama-seviye erişim kontrolüne odaklı bir teknolojidir. SASE (Secure Access Service Edge), ZTNA’yı SD-WAN, SWG, CASB, FWaaS gibi diğer network ve security servisleriyle bütünleştiren cloud-delivered bir mimaridir. ZTNA SASE’nin bir bileşenidir. Kurumlar genelde önce ZTNA pilot çalışması yapar, sonra SASE platformuna konsolide eder. Zscaler, Palo Alto Prisma, Netskope tam SASE çözümleri sunar.
Zero Trust’ı küçük şirketler için uygulamak mümkün mü?
Evet. 50-500 kişilik şirketler için Cloudflare Access (Free tier 50 kullanıcıya kadar, sonrasında 3-7 USD/kullanıcı/ay), Microsoft Entra Internet Access ve Google BeyondCorp Enterprise gibi maliyet-verimli seçenekler vardır. Küçük ekipler MFA, conditional access, device compliance ve identity-aware proxy ile %80 Zero Trust olgunluğu elde edebilir. Tam micro-segmentation ve continuous risk scoring ise enterprise ölçeğinde anlam kazanır. Gartner 2025 SMB raporu Cloudflare Access’i SMB için top choice olarak listeler.
ZTNA performansı VPN’den nasıl farklılaşır?
ZTNA, edge proxy mimarisi sayesinde VPN’in tek geçiş noktası bottleneck’inden kaçınır. Kullanıcının coğrafi konumuna en yakın POP’tan trafiği yönlendirir, böylece latency %40-60 azalır. Zscaler 150+, Cloudflare 310+, Netskope 75+ data center’a sahiptir. VPN konsantratörü gibi cluster yönetimi gerekmez. Bandwidth doğrudan kullanıcı plan’ına bağlıdır, kurumsal pipe darboğazı yoktur. Real-time uygulamalarda (Zoom, Teams) %25-35 jitter iyileşmesi raporlanır.
ZTNA dağıtımı için minimum süre nedir?
Küçük organizasyonlarda (250-500 kullanıcı) MVP ZTNA dağıtımı 6-8 hafta, full enterprise rollout 6-12 ay sürer. Identity konsolidasyonu yapılmış kurumlar için pilot 2-3 hafta, MVP 4-6 hafta tamamlanır. 5.000+ kullanıcılı kurumlarda asset discovery, policy tasarımı, phased migration ve VPN decommission sürelerinin toplamı 9-15 ay civarındadır. Acil compliance gereksiniminde (örn. NIS2) Cloudflare Access ile 2-4 haftada MVP mümkündür.
Zero Trust uyumluluk regülasyonlarında zorunlu mu?
NIS2 Direktifi (AB), CISA Zero Trust Mandate (ABD federal), DORA (AB finansal sektör) gibi regülasyonlar Zero Trust prensiplerini doğrudan veya dolaylı zorunlu hale getirir. ABD federal kurumlar 2024 sonuna kadar Zero Trust Stage 2’ye ulaşma hedefiyle yükümlüdür. SOC 2 ve ISO 27001 doğrudan zorunlu kılmasa da Zero Trust kontrolleri audit’lerde olumlu değerlendirilir. KVKK uyumluluğunda da identity ve access controls için Zero Trust mimari uygulanması teşvik edilmektedir.
Sonuç
Zero Trust Network Access 2026 itibarıyla kurumsal siber güvenliğin altın standardı haline gelmiştir; perimeter modelinin yetersiz kaldığı uzaktan çalışma, cloud ve SaaS ortamlarında %67 ihlal azalması ve 1,76 milyon USD breach maliyet tasarrufu sağlar. Zscaler, Palo Alto Prisma, Netskope, Cloudflare ve Microsoft Entra gibi platformlar farklı kurumsal ihtiyaçlara hitap eder. Başarılı bir ZTNA dönüşümü için NIST SP 800-207 framework’üne uyum, aşamalı geçiş stratejisi, identity konsolidasyonu, device trust entegrasyonu ve continuous risk monitoring kritik temellerdir. 1.000-20.000 kullanıcı ölçeğinde yıllık ROI 12-18 ay içinde elde edilir ve compliance audit süresi %25-40 oranında azalır.
Ömer ÖNAL
Mayıs 17, 2026Zero Trust’a geçişte “big bang” yaklaşımı %60 oranında başarısız oluyor; segment-by-segment rollout (önce DevOps tooling, sonra prod app erişimi, son olarak data layer) gözlemlenen güvenli pattern. ZTNA vendor’larında Cloudflare/Tailscale managed ile self-host OpenZiti arasındaki seçim, compliance gereksinimi (FedRAMP/KVKK) ile şekilleniyor.