Ağ Segmentasyonu Nedir?
İngilizce: Network Segmentation
Ağ segmentasyonu, kullanıcı, sunucu ve sistemleri kontrollü ağ bölgelerine ayırarak yetkisiz geçişleri ve saldırı yayılımını sınırlar.
Ağ Segmentasyonu Nedir?
Ağ segmentasyonu, kurum ağını tek büyük ve düz bir yapı olarak bırakmak yerine kullanıcı, sunucu, misafir, üretim sistemi, ödeme ortamı veya yönetim ağı gibi bölgelere ayırma pratiğidir. Amaç her cihazın her sisteme doğrudan ulaşmasını engellemektir.
Bir çalışanın dizüstü bilgisayarı muhasebe veritabanına, kamera ağı üretim sunucularına veya misafir Wi-Fi iç sistemlere erişememelidir. Segmentasyon bu sınırları VLAN, subnet, firewall kuralı, erişim listesi veya yazılım tanımlı ağ politikasıyla kurar.
Nasıl Uygulanır?
- VLAN ve subnet: Trafiği mantıksal ağ bölgelerine ayırır.
- Firewall kuralları: Segmentler arasında hangi protokol ve portların geçebileceğini belirler.
- DMZ: İnternete açık servisleri iç ağdan ayrı bir bölgede tutar.
- Mikro segmentasyon: Sunucu veya iş yükü seviyesinde daha ince politikalar tanımlar.
- Kimlik temelli erişim: Kullanıcı, cihaz sağlığı ve rol bilgisine göre karar verir.
Güvenlikteki Rolü
Segmentasyon bir saldırıyı tamamen engellemez; ele geçirilmiş bir cihazdan diğer sistemlere yatay hareketi sınırlar. Fidye yazılımı, çalıntı VPN hesabı veya yanlış yapılandırılmış servis gibi olaylarda hasar alanını küçültür.
Firewall kuralları çok geniş bırakılırsa segmentasyon kağıt üzerinde kalır. Zero trust yaklaşımıyla birlikte düşünüldüğünde her ağ geçişi ayrı bir güven kararı olarak ele alınır. İyi bir uygulamada kural sahipliği, log izleme ve düzenli erişim gözden geçirmesi bulunur.
İlgili Terimler
Firewall, cihaz ve ağlar arasındaki trafiği kurallarla filtreleyerek izinli bağlantıları geçirir, şüpheli veya yetkisiz erişimi engeller.
Alt Ağ (Subnet)Alt ağ, IP adres uzayını daha küçük bölümlere ayırarak yönlendirme, güvenlik ve adres yönetimini düzenleyen ağ parçasıdır.
VLAN (Sanal Yerel Alan Ağı)VLAN, aynı fiziksel ağ üzerinde cihazları mantıksal gruplara ayırarak trafik izolasyonu ve erişim kontrolü sağlar.
Zero TrustZero Trust, ağ konumuna güvenmek yerine her kullanıcı, cihaz ve isteği kimlik, bağlam ve yetkiye göre sürekli doğrulayan güvenlik modelidir.