Ağ Segmentasyonu Nedir?

İngilizce: Network Segmentation

Ağ segmentasyonu, kullanıcı, sunucu ve sistemleri kontrollü ağ bölgelerine ayırarak yetkisiz geçişleri ve saldırı yayılımını sınırlar.

Ağ Segmentasyonu Nedir?

Ağ segmentasyonu, kurum ağını tek büyük ve düz bir yapı olarak bırakmak yerine kullanıcı, sunucu, misafir, üretim sistemi, ödeme ortamı veya yönetim ağı gibi bölgelere ayırma pratiğidir. Amaç her cihazın her sisteme doğrudan ulaşmasını engellemektir.

Bir çalışanın dizüstü bilgisayarı muhasebe veritabanına, kamera ağı üretim sunucularına veya misafir Wi-Fi iç sistemlere erişememelidir. Segmentasyon bu sınırları VLAN, subnet, firewall kuralı, erişim listesi veya yazılım tanımlı ağ politikasıyla kurar.

Nasıl Uygulanır?

  • VLAN ve subnet: Trafiği mantıksal ağ bölgelerine ayırır.
  • Firewall kuralları: Segmentler arasında hangi protokol ve portların geçebileceğini belirler.
  • DMZ: İnternete açık servisleri iç ağdan ayrı bir bölgede tutar.
  • Mikro segmentasyon: Sunucu veya iş yükü seviyesinde daha ince politikalar tanımlar.
  • Kimlik temelli erişim: Kullanıcı, cihaz sağlığı ve rol bilgisine göre karar verir.

Güvenlikteki Rolü

Segmentasyon bir saldırıyı tamamen engellemez; ele geçirilmiş bir cihazdan diğer sistemlere yatay hareketi sınırlar. Fidye yazılımı, çalıntı VPN hesabı veya yanlış yapılandırılmış servis gibi olaylarda hasar alanını küçültür.

Firewall kuralları çok geniş bırakılırsa segmentasyon kağıt üzerinde kalır. Zero trust yaklaşımıyla birlikte düşünüldüğünde her ağ geçişi ayrı bir güven kararı olarak ele alınır. İyi bir uygulamada kural sahipliği, log izleme ve düzenli erişim gözden geçirmesi bulunur.