Zero Trust Network Architecture 2026 yılında kurumsal güvenliğin omurgası haline geldi. Forrester ZTA Wave 2025 raporu, Fortune 1000 şirketlerinin %73’ünün Zero Trust projesi başlattığını ancak yalnızca %19’unun mikro-segmentasyona kadar olgunlaştığını gösteriyor. Gartner 2025 verisi: ZTNA pazarı %31 büyüyerek 8,5 milyar dolara ulaştı.
Zero Trust Mimarisi: 2026 Tanım ve Pazar Bağlamı
Zero Trust, “never trust, always verify” ilkesiyle her erişim talebini kimlik, cihaz duruşu, davranış ve bağlam temelinde doğrulayan güvenlik modelidir. NIST SP 800-207 standartı 7 temel ilke tanımlar; kurumsal benimsemenin merkezinde Google’ın 2014’te yayınladığı BeyondCorp referans modeli yer alır. 2026 itibarıyla Zero Trust pazarı IDC verisine göre 38 milyar dolara ulaşmış, yıllık %24,3 büyümeye devam ediyor.
Geleneksel perimeter güvenliği, hibrit çalışma ve SaaS yaygınlaşmasıyla artık geçerli değil. Cybersecurity and Infrastructure Security Agency (CISA) Zero Trust Maturity Model 2.0, kurumları 5 sütunda (Identity, Devices, Networks, Applications and Workloads, Data) ve 4 olgunluk seviyesinde (Traditional, Initial, Advanced, Optimal) değerlendiriyor. Forrester’a göre kurumların yalnızca %12’si “Advanced” seviyede.
BeyondCorp Referans Mimarisi: 5 Katmanlı Yapı
Google BeyondCorp, kurumsal ağ konseptini terk eden ve her uygulama erişimini identity-aware proxy üzerinden geçiren modeldir. 5 katman: Single Sign-On (SSO), Device Inventory Service, Trust Inference (cihaz duruşu skorlama), Access Control Engine, Identity-Aware Proxy (IAP). Google internal’da 100.000+ çalışan ve 250.000+ cihazda 2017’den beri production’da.
| Katman | Sorumluluk | Açık Kaynak / Ürün | Olgunluk |
|---|---|---|---|
| SSO / IdP | Kimlik doğrulama, MFA | Keycloak, Okta, Azure AD | Yüksek |
| Device Inventory | Cihaz envanteri ve duruş | Jamf, Intune, Kandji | Yüksek |
| Trust Inference | Risk skorlama | Beyond Identity, Crowdstrike | Orta |
| Policy Engine | Erişim kararı | OPA, Cedar, Styra DAS | Orta |
| Identity-Aware Proxy | Trafik aracılığı | Cloudflare Access, Zscaler ZPA | Yüksek |
Identity-Aware Proxy Karşılaştırması: 4 Üretici
IAP, BeyondCorp mimarisinin trafik katmanını oluşturur. 2026’da pazarın 4 baskın oyuncusu Cloudflare Access, Zscaler Private Access (ZPA), Netskope Private Access ve Palo Alto Prisma Access. Forrester Wave ZTNA 2025’te Zscaler ve Cloudflare lider segmentte; Netskope güçlü oyuncu, Prisma niş.
- Cloudflare Access: 320+ edge lokasyon, ortalama 50 ms latency, ayda 10 kullanıcıya kadar ücretsiz tier
- Zscaler ZPA: 165 ülke kapsama, 200 milyar günlük transaction, sertifika tabanlı device posture
- Netskope: SASE konsolidasyonu güçlü, CASB+SWG+ZTNA birleşik dashboard
- Prisma Access: Palo Alto NGFW entegrasyonu, sanal güvenlik servis zincirleri
İlgili konu: SASE mimarisi karşılaştırması rehberimizde Zero Trust ile SASE birleşim noktalarını detaylandırdık.
Mikro-Segmentasyon: Lateral Hareketi Durdurmak
Mikro-segmentasyon, ağ trafiğini workload başına izole edilen güvenlik çevreleri ile sınırlar. IBM Cost of a Data Breach 2025 raporu, lateral hareketin önlendiği ortamlarda ihlal başına ortalama maliyetin 1,76 milyon dolar düşük olduğunu gösteriyor. 3 olgunluk seviyesi: VLAN tabanlı (legacy), host tabanlı agent (Illumio, Akamai Guardicore), eBPF/CNI tabanlı (Cilium, Calico).
Kubernetes ortamında NetworkPolicy tek başına yeterli değil; L7 görünürlük ve identity-aware policy için Cilium Hubble veya Istio AuthorizationPolicy tercih ediliyor. Cilium 1.16+ Service Mesh modu, Envoy proxy olmadan eBPF tabanlı L7 enforcement sunuyor; CNCF Annual Survey 2025’e göre Kubernetes kurumlarının %48’i Cilium kullanıyor.
Policy-as-Code: OPA ve Rego ile Yetkilendirme
Zero Trust’ın policy katmanı kod olarak yönetilmediğinde her uygulama kendi YAML’ında karar mantığı taşır. Open Policy Agent (OPA), CNCF Graduated proje ve 2025 itibarıyla 35.000+ GitHub yıldızıyla policy-as-code’un de facto standardı. Rego dilinde declarative kural yazımı, JSON girdiyle çağrı, sub-millisecond karar gecikmesi sağlar.
| Policy Engine | Dil | Kullanım | Olgunluk | Lisans |
|---|---|---|---|---|
| OPA / Rego | Rego (declarative) | Genel amaçlı | Production | Apache 2.0 |
| AWS Cedar | Cedar (analyzable) | Application authz | GA (2023+) | Apache 2.0 |
| Styra DAS | OPA tabanlı | Enterprise yönetim | Ticari | Subscription |
| Casbin | Adapter tabanlı | RBAC/ABAC | Production | Apache 2.0 |
| Permit.io | Hosted OPA | SaaS authz | Production | Subscription |
Sektörel Uygulama: Finans, Sağlık, Kamu
Finans sektöründe NYDFS Cybersecurity Regulation Part 500 (2023 revizyon) Zero Trust’ı zorunluluk olarak öne çıkarıyor; PCI DSS 4.0 (Mart 2025 zorunlu) Requirement 1.2.1 segmentasyonu açıkça istiyor. Sağlık sektöründe HIPAA Security Rule güncellemesi 2025’te “minimum necessary” prensibini ZTA bağlamında yeniden tanımladı.
Kamuda CISA Federal Zero Trust Strategy (Memorandum M-22-09), federal ajansların 2024 sonuna kadar Advanced seviyeye ulaşmasını şart koşmuştu; FY2025 verisi: ajansların %62’si hedefe ulaştı. Türkiye’de BDDK Bilgi Sistemleri Yönetmeliği 2025 revizyonu, finansal kurumlar için risk tabanlı erişim kontrolünü vurguluyor.
Kurumsal Zero Trust Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Identity provider konsolidasyonu yapılmadan ZTNA pilotuna başlanması — 4-6 IdP’li ortamda erişim politikaları yönetilemez hale geliyor
- Device posture envanterinin eksik veya güncel olmaması — Jamf/Intune coverage’ı %85 altında olan ortamlarda doğru karar verilemiyor
- Policy-as-code yerine vendor UI’da kural yazılması — değişiklik takibi, code review, test otomasyonu yapılamıyor
- Mikro-segmentasyonu “tüm ağı bir gecede izole edelim” diye başlatma — uygulama bağımlılıkları haritalanmadığı için kritik servisler patlıyor
- SASE ve ZTNA’yı ayrı projeler olarak yürütme — son kullanıcı için 2 ayrı agent ve performans cezası
- Audit log’ların SIEM’e entegre edilmemesi — olay sonrası forensik için veri yok
Sonuç
Zero Trust 2026’da artık opsiyonel değil; regülasyon, uzaktan çalışma ve supply chain saldırıları onu zorunlu kıldı. Doğru yaklaşım: 90 günlük identity konsolidasyonu, 180 günlük ZTNA pilot (3-5 kritik uygulamada), 365 günlük mikro-segmentasyon ve policy-as-code. Pilot için “düşük risk, yüksek görünürlük” prensibiyle dahili wiki veya geliştirici dashboard’undan başlayın; yönetim güvenini bu noktada kazanırsınız. Olgunluk skorunuzu CISA ZTMM 2.0’a göre çeyrekte bir ölçün, regresyonu önleyin.
Sıkça Sorulan Sorular
Zero Trust uygulamak için VPN’i tamamen kaldırmak gerekir mi?
Hayır, geçiş dönemi 12-24 ay sürer. Önce kritik SaaS ve internal web uygulamaları ZTNA’ya taşınır; legacy uygulamalar (özellikle TCP/UDP non-HTTP) için VPN ya geçici tutulur ya da Cloudflare Tunnel, Zscaler Private Service gibi ZTNA’nın TCP modu ile sarılır. Forrester 2025 verisine göre kurumların %71’i hibrit modda çalışıyor.
BeyondCorp ile SASE arasındaki fark nedir?
BeyondCorp identity-aware uygulama erişimine odaklanır (ZTNA’nın referans modeli); SASE ise ZTNA + SWG (secure web gateway) + CASB + FWaaS’i tek bulut platformda birleştirir. Gartner SASE Magic Quadrant 2025’te 6 lider var; SSE (Security Service Edge) ise SASE’nin güvenlik tarafı, SD-WAN olmadan.
OPA performansı uygulama latency’sini ne kadar etkiler?
Sidecar mod ile OPA çağrıları ortalama 0,8-2 ms ek getirir; embedded library (Go) ile sub-millisecond. Styra 2025 benchmark: 10.000 policy ve 50.000 entitlement ile p99 latency 4,3 ms. ROI: policy değişikliklerinin yayına alma süresi haftalardan dakikalara iner.
Mikro-segmentasyon Kubernetes’te NetworkPolicy ile yeterli mi?
Sadece L3/L4 izolasyon için yeterli ancak modern Zero Trust L7 görünürlük ve identity-aware enforcement gerektiriyor. Cilium veya Istio AuthorizationPolicy ile namespace/service account temelli policy yazılır; CNCF Survey 2025: kurumların %62’si NetworkPolicy üstüne service mesh policy ekliyor.
Türkiye’de KVKK ile Zero Trust uyumu nasıl kuruluyor?
KVKK Veri Güvenliği Rehberi, erişim kontrolünde “iş gereği ihtiyaç” prensibini öne çıkarıyor; Zero Trust’ın least privilege ilkesiyle birebir örtüşüyor. BDDK denetimli kurumlarda Bilgi Sistemleri Yönetmeliği EK-A kontrolleri ZTNA ile karşılanır; özellikle uzaktan erişim ve ayrıcalıklı hesap yönetimi maddeleri.
Ömer ÖNAL
Mayıs 23, 2026Zero Trust dönüşümünü ‘tüm trafiği SASE’ye taşıma’ olarak başlatan kurumların %60’ı 6 ay içinde performans şikayetiyle geri dönüyor. Doğru sıra: önce identity provider konsolidasyonu, sonra kritik 3 uygulamada identity-aware proxy pilotu, en son ağ mikro-segmentasyonu. Pilotu ‘düşük riskli ama yüksek görünür’ bir uygulamayla başlatın; yönetim desteği bu noktada inşa edilir. — Ömer Önal