Balıkesir merkezli 380 çalışanlı bir holdingde (gıda + tarım + lojistik), pandemi sonrası uzaktan çalışmanın kalıcı olmasıyla VPN tabanlı “perimeter security” yetersiz kaldı. 9 ayda Zero Trust mimarisi devreye alındı. Bu yazı 5 katmanlı yaklaşımın sahadaki teknik notları.
Zero Trust 5 Katmanı
| Katman |
İlke |
Microsoft araç |
| Identity |
Her erişim kim olduğunu kanıtlamalı |
Entra ID + Conditional Access + Identity Protection |
| Device |
Sadece sağlıklı + uyumlu cihaz |
Intune + Defender for Endpoint |
| Network |
Mikrosegmentation, varsayılan deny |
Entra Private Access, Azure Firewall, NSG |
| Application |
Her uygulamaya bağımsız erişim |
App Proxy, Conditional Access per app |
| Data |
Veri sınıflandırma + DLP + encryption |
Purview Information Protection |
Faz 1: Identity (1-2. Ay)
MFA Tüm Kullanıcılara
Conditional Access Policy: "Require MFA - All Users"
Assignments:
- Users: All users
- Excluded: Break-glass accounts (2 hesap), Service accounts
Cloud apps: All cloud apps
Conditions: Any
Grant: Require MFA
Block Legacy Auth
Policy: "Block Legacy Auth"
Conditions:
- Client apps: "Other clients" (POP3, IMAP, SMTP basic, ActiveSync basic)
Grant: Block access
Etki: 23 user'da Outlook eski versiyon güncellendi
Identity Protection – Riskli Sign-in Block
Policy: "Block High Risk Sign-ins"
Conditions:
- Sign-in risk: High
Grant: Block access
Policy: "MFA Medium Risk"
Conditions:
- Sign-in risk: Medium
Grant: Require MFA
Faz 2: Device (3-4. Ay)
Intune’a 380 Cihaz Onboard
- Windows: Autopilot ile sıfırdan setup
- iOS / Android: Company Portal app
- BYOD ayrı policy (compliance + app protection)
Compliance Policy
Policy: "Windows Compliance"
Settings:
- Encryption: Required (BitLocker)
- Antivirus: Required (Defender or 3rd party)
- Firewall: On
- OS minimum: Windows 11 23H2
- Defender for Endpoint risk score: Medium veya altı
- Password: 8+ char, complex, 90 gün
Actions:
- Mark non-compliant after 24 hours
- Send notification to user
- Block access via Conditional Access
Conditional Access: Compliant Device Required
Policy: "Require Compliant Device for M365"
Cloud apps: Office 365
Grant: Require compliant device
Etki: 14 cihaz uyumsuz, kullanıcılar self-service düzeltti
Faz 3: Network (5-6. Ay)
VPN’den Entra Private Access’e Geçiş
Eski: Always-on VPN → tüm intranet erişilebilir (lateral movement riski)
Yeni: Entra Private Access → tek tek uygulama bazlı tunnel
Senaryo:
- SAP B1 → erişim sadece Finance grubu, MFA + compliant device
- File server → erişim departmanlara göre, granular
- Internal portal → tüm çalışanlar, MFA
Connector Deployment
3 Windows Server 2022 → Entra Private Access Connector
Konum: Hub VNet, on-prem'le ExpressRoute üzerinden bağlı
Yük dengelemesi: connector group "tr-prod"
Faz 4: Application (7. Ay)
Per-App Conditional Access
| Uygulama |
Şart |
| SAP B1 |
MFA + compliant + Finance grubu |
| HR portali |
MFA + IP TR location |
| Üretim panosu |
MFA + sadece kurumsal device |
| Pazarlama analytics |
MFA |
| Admin portal |
MFA + PIM eligible + sertifikalı device |
App Proxy: Eski On-prem Web App
App Proxy ile internal web app (intranet, ERP self-service)
public URL: https://intranet-tr.msappproxy.net
Pre-auth: Entra ID
Avantaj: VPN gerekmiyor, Conditional Access uygulanıyor
Faz 5: Data (8-9. Ay)
Sensitivity Labels
| Label |
Encryption |
Watermark |
| Public |
Yok |
Yok |
| Internal |
Yok |
“Internal” footer |
| Confidential |
Yes (org-wide) |
“Confidential – {user}” diagonal |
| Highly Confidential |
Yes (named users) |
“Highly Confidential” + user info |
Auto-labeling
Pattern detected: TC kimlik numarası, IBAN, "Müşteri Listesi" keyword
Action: Auto-apply "Confidential" label
Coverage: Exchange + SharePoint + OneDrive
DLP Policy
Policy: "Türkiye Hassas Veri Dış Paylaşım"
Sensitive: TC kimlik, IBAN, kredi kart
Action: Block external sharing + notify + audit log
Sonuçlar
| Metrik |
Önce |
Sonra |
| VPN bağlantı |
%100 (always-on) |
%5 (legacy app için) |
| MFA coverage |
%18 |
%100 |
| Compliant device coverage |
— |
%96 |
| Riskli sign-in block |
— |
~~25/ay |
| Lateral movement saldırı sürüsü (test) |
~~14 host hopla erişebildi |
0 hop (segmentation) |
| Defender Secure Score |
38 |
78 |
Sahada Düşülen Üç Tuzak
- “Big bang” Zero Trust’a geçmeye çalışmak: Faz faz + pilot grup şart. 380 user’a aynı anda zorlamak iş kesilmesi demek.
- Break-glass account’ları unutmak: MFA bozulursa tüm admin kilitli kalabilir. 2 cloud-only break-glass + güvenli vault.
- Service account’ları perimeter modelinde bırakmak: Workload identity (managed identity) + IP restriction + sertifika tabanlı auth şart, password değil.
CloudSpark olarak Zero Trust mimarisi, Conditional Access politika tasarımı, Intune deployment, Entra Private Access geçişi ve Microsoft Purview data protection programları için danışmanlık veriyoruz.
