vCTO / Ortak Yönetilen Güvenlik

vCTO ve Ortak Yönetilen Güvenlik

Sorumlu olduğumuz katmanların tek yetkili otoritesini kuruma yerleştiriyoruz: ekibiniz günlük operasyonu sürdürür, ayrıcalıklı erişim ve yapılandırma yetkisi bizdedir.

Sorun

Çoğu orta ölçekli kurumda güvenlik bir kurulum projesidir. Bir firewall alınır, bir antivirüs yüklenir, bir denetim raporu tamamlanır, sonra herkes işine döner. Altyapı kurulduğu gün doğrudur, ertesi gün eskimeye başlar. Ama daha derin bir sorun var: kurum çoğu zaman neye sahip olduğunu bile bilmiyor. Korunacak varlıkların bir kısmı hiçbir envanterde görünmüyor. Görünmeyeni koruyamazsınız.

Dört sonuç

vCTO çalışmasının çıktısı bir ürün listesi değil, dört ölçülebilir sonuçtur:

Görünürlük

Alan adlarından sunuculara, lisanslardan erişim haklarına kadar tam dijital varlık envanteri. Yönetim ilk kez neye sahip olduğunu ve neyin kimin kontrolünde olduğunu görür.

Daralan saldırı yüzeyi

Segmentasyon, egress kilitleme, e-posta kimlik doğrulama, savunmacı alan adı kilitleri ve MFA ile saldırganın kullanabileceği kapılar sistematik olarak kapanır.

Doğru kaynak kullanımı

Mevcut donanımın yeniden değerlendirilmesi, açık kaynakla lisans kalemlerinin eliminasyonu, kullanıcı/cihaz analiziyle fazla lisans alımının önlenmesi. Güvenlik bütçesi ihtiyaca gider, rafa değil.

Felaket hazırlığı

Yedekleme (3-2-1, immutable kasa), DR ortamı ve tatbikatları, internet sürekliliği (BGP multihoming), fiziksel risklerin (su, elektrik, güç) tespiti. Kötü gün planı kağıtta değil, test edilmiş halde durur.

C-level'ın görmediği katman: dijital varlık envanteri

Güvenlik projelerinin çoğu, kurumun neye sahip olduğunu bildiği varsayımıyla başlar. Sahada gördüğümüz gerçek farklı: üst yönetim genellikle kendi dijital envanterinden bihaberdir. Bir vCTO çalışmasının en değerli ilk çıktısı çoğu zaman bir firewall kuralı değil, kimsenin yazmadığı bir varlık haritasıdır.

Somut ve anonim bir örnek. Yakın zamanlı bir çalışmada, kurumun bütün markalı alan adı portföyünü (web siteleri, e-posta, marka kimliği hepsi bu alanlara bağlı) tek bir teknisyenin kendi adına açtığı bir bayi hesabında bulduk. Hesabın kapısı kişisel bir telefona gelen SMS koduyla korunuyordu. Kurumsal bir sahiplik kaydı yoktu. Bu bir kişi hatası değil, tanımlanmamış bir süreçtir. İlgili kişinin ayrılması, hesabı devretmemesi ya da telefon hattının SIM-swap ile ele geçirilmesi durumunda kurum, bütün markalarının internet kimliği üzerindeki kontrolü kaybedebilirdi.

vCTO'nun ilk işi bu: görünmeyeni görünür kılmak, sonra tek elden, kurumsal ve denetlenebilir bir yönetişime bağlamak. Alan adı gibi varlıkları rol bazlı erişim (RBAC), TOTP tabanlı iki adımlı doğrulama, otomatik yenileme takibi ve değiştirilemez denetim izi bulunan kendi yönetilen panelimize (Ops Hub) taşıyoruz; SMS tabanlı doğrulamaya bağımlılık tamamen kaldırılır. Ders alan adlarıyla sınırlı değil: her kurumda kimsenin envantere almadığı, tek kişinin dikkatine asılı bir varlık sınıfı vardır.

Yaklaşım

Önce mimari, sonra ürün. Hiçbir tekil ürün tek başına güvenlik sağlamaz, sıra değişmez. Savunmayı dört katmanda kuruyoruz:

  1. 1Saldırı yüzeyini daraltmak: segmentasyon, güven zonları, yatay yayılmanın baştan kapatılması.
  2. 2Kimliği korumak: merkezi MFA, kademeli yönetim, ayrıcalıklı erişimin tek elde toplanması.
  3. 3Yayılmayı kesmek: e-posta katmanından başlayan giriş savunması, sıkı egress kontrolü.
  4. 4Tespit ve yanıt: SIEM korelasyonu, XDR, değişmez denetim izi.

Bu sıralama tehdidin işleyişinden çıkar. Tipik fidye zincirinin kökeninde çoğunlukla oltalanmış bir kimlik bilgisi vardır. En güçlü EDR bile geçerli kullanıcı adı ve parolayla yapılan girişi meşru kullanıcı olarak görür. Bu yüzden ilk savunma e-posta ve kimlik katmanındadır.

Yetenek envanteri

KatmanNe yapıyoruzStandart karşılığı
Dijital varlık keşfi ve envanteriSalt-okunur alan adı/DNS/WHOIS keşfi, e-posta kimlik doğrulama durumu, shadow-mail tespiti, varlık envanterinin çıkarılıp yönetişime bağlanmasıISO 27001 A.5.9 · PCI DSS 12.5.1
Mimari ve segmentasyonGüven zonları, ERP/satış/OT ayrımı, Purdue benzeri OT katmanı, çok lokasyonlu IPSecISO A.8.22 · PCI DSS Gereksinim 1
SanallaştırmaVMware ESXi'den Proxmox'a göç, çift host HA kümesi (QDevice hakemli), çökme testi, PBS imaj yedeklemeISO A.8.14
Kimlik ve MFAAD/LDAP entegre merkezi MFA (privacyIDEA, RADIUS/PAM), kademeli yönetim, LAPS, FortiGate için FortiTokenISO A.5.17, A.8.2, A.8.5 · PCI DSS Gereksinim 8
Güvenlik duvarı ve ağFortiGate tek elden yönetim (IP whitelist + MFA), FortiManager, FortiAnalyzer, en az 6 ayda bir kural gözden geçirmeISO A.8.20, A.8.21 · PCI DSS Gereksinim 1
İnternet sürekliliği ve BGPKuruma ait /24 IP bloğu ve ASN ile çoklu operatör (BGP multihoming), RPKI ROA, rDNS/PTR kontrolü, FortiGate HA çifti; operatör bağımsızlığı ve saniyeler içinde hat devriISO A.5.29, A.5.30, A.8.14
SIEM ve izlemeWazuh ile log toplama, korelasyon, anomali tespiti, FIM (AD/SYSVOL değişiklikleri dahil), değişmez denetim iziISO A.8.15, A.8.16 · PCI DSS Gereksinim 10
E-posta güvenliğiProofpoint (kurumsal) ve Barracuda (KOBİ): oltalama, BEC, hesap ele geçirme, ek/URL sandbox, e-posta DLP. SPF/DKIM/DMARC yönetimi ve fazlı DMARC. Teslimat: FCrDNS/PTR ve IP itibarıISO A.5.14, A.8.7
Uç noktaPalo Alto Cortex XDR, politika yönetimi, periyodik taramaISO A.8.7 · PCI DSS Gereksinim 5
Yedekleme ve DRPBS imaj yedeği, Oracle RMAN, Proxmox replikasyonu, VeriTeknik veri merkezinde DR ortamı, silinemeyen offsite immutable kasa, periyodik geri yükleme testleriISO A.8.13, A.5.30
BGYS (ISO 27001) danışmanlığı5x5 risk matrisi (Madde 6.1.2), Uygulanabilirlik Bildirgesi (SoA) güncelleme, CAPA planı, iç denetim ve yönetim gözden geçirme takvimi, tatbikatlar; belgelenmiş sistemin sahadaki kontrollerle hizalanmasıISO Madde 6.1, 9.2, 10.2
Fiziksel ve çevresel değerlendirmeSistem odası yerleşim ve su riski, elektrik güvenliği (RCD/RCBO), UPS mimarisi, erişim loglama; bulgular kalite sistemine (ISO 9001) bağlanırISO A.7.x · ISO 9001 7.1.3, 7.1.4
CDR ve airgapZonlar arası denetimli dosya transferi: yeniden render, aktif içerik söküm, çok motorlu tarama (VeriTeknik geliştirmesi)ISO A.5.14, A.8.22
Yama yönetimiWSUS, yerel apt mirror, FortiGate egress kilitleme (default deny + FQDN whitelist), kritik yamalar 1 ay içindeISO A.8.8 · PCI DSS Gereksinim 6
Yazılım varlık ve lisans uyumuLisans envanteri, kullanıcı/cihaz (CAL) analiziyle fazla alım önleme, korsan etkinleştirme aracı taraması (bilinen zararlı dağıtım vektörü)ISO A.5.32 · FSEK 5846
Regülasyon ve resmi yazışma desteğiKamu kurumu yazılarına teknik cevap ve proaktif önlem ekleri, 7545 sayılı Kanun bağlam takibi, KVKK bildirim süreçleri7545 · KVKK

VMware'den Proxmox'a göç

Broadcom'un VMware'i abonelik paketlerine taşıması, bayi düzenini daraltması ve lisans fiyatlarındaki agresif artış, birçok kurumu sanallaştırma katmanını yeniden düşünmeye zorladı. Proxmox VE bu ölçekte olgun, denetlenebilir ve lisans maliyetsiz bir alternatiftir; yerleşik yedekleme sunucusu (PBS) ile Veeam sınıfı ayrı bir lisans kalemini de ortadan kaldırır.

Göç projelerimiz şu adımlarla yürür: envanter ve keşif, VM dönüşümü, paylaşımlı storage'ın (FC/iSCSI, multipath) yeni hypervisor'a bağlanması, PBS ile imaj yedekleme, test ve geri dönüş planı, ihtiyaca göre QDevice hakemli çift host HA ve çökme testi. Göç tek başına bir proje olarak tekliflenebilir; yönetilen hizmetle birlikte alındığında kurulum sonrası işletim, sıkılaştırma ve izleme de aynı çatı altında sürer.

Açık kaynak öncelikli, gerektiğinde kanıtlanmış ticari

Uygun olan her yerde açık kaynak konumlandırıyoruz: Proxmox, Wazuh, PBS, Zimbra, Nextcloud, privacyIDEA. Kaynak kodun denetlenebilirliği ve tedarikçi kilidinin olmaması kontrolü artırır, lisans maliyeti düşer. Açık kaynağın yetmediği veya kritikliğin ticari desteği zorunlu kıldığı katmanlarda ise kendini kanıtlamış ürünlerin yetkili iş ortağıyız:

ÜrünSegmentİlişki
BarracudaKOBİ e-posta güvenliği2007'den bayi, 2008'den distribütör
ProofpointKurumsal e-posta güvenliğiPartner
Palo Alto (Cortex XDR)Uç nokta tespit ve yanıtPartner
Fortinet (FortiGate)Ağ güvenliğiKurulum ve tek elden yönetim

Seçim kriterimiz dogma değil ihtiyaçtır: açık kaynak uyduğu yerde, ticari ürün gerektiği yerde. Aynı ilke kaynak tarafında da geçerlidir: mevcut donanım gözden çıkarılmaz, güvenli silme sonrası DR veya yedeklilik için yeniden değerlendirilir.

Aylık yönetilen hizmet ne yapar

Değeri üreten şey her gün sürdürülen işletimdir; kurulum yalnızca başlangıç noktasıdır. Sorumluluklar RACI ile netleştirilmiştir. Ritim:

PeriyotYapılan iş
GünlükSIEM triyajı, kritik yama takibi, yedek doğrulama, kimlik ve erişim olaylarının izlenmesi
HaftalıkFirewall kural seti gözden geçirme, anomali raporu, egress kontrolü, e-posta tehdit özeti
AylıkYama uyum raporu, erişim hakları denetimi, DR geri yükleme testi örneklemi, değişiklik kayıtları, log ve güvenlik olaylarının ortak gözden geçirimi
Üç aylıkMimari gözden geçirme, segmentasyon doğrulaması, DR tatbikatı, uyum durumu raporu (PCI DSS, ISO 27001, KVKK)

Tek elden yönetim, net sorumluluk

Sorumlu olduğumuz katmanların tek yetkili otoritesi (single source of authority) biziz. Root ve ayrıcalıklı erişim VeriTeknik'tedir, her yapılandırma değişikliği yardım masası üzerinden bizim onayımızdan geçer. Günlük rutin operasyon ve L1 izleme ekibinizde kalır. Güvenlik duvarı yönetici erişimi yalnızca VeriTeknik'e açıktır (IP whitelist + MFA). Loglar, EDR ve yedekler kullanan taraftan ayrı bir otoritede tutulur; kullanan taraf bunları değiştiremez.

İlke net: çift başlı yönetimde sorumluluk takip edilemez. Kimin neyi değiştirdiği belirsizse, bir olay yaşandığında kök neden de belirsiz kalır. Uygulama katmanı (IFS, SAP ve benzeri ERP'ler) yetkili firmanın sorumluluğundadır; platform, işletim sistemi ve hypervisor tek elden bizde kalır. Bir işe sonradan dahil olursak, önceki adli analiz ve forensic çalışmasını açıkça kapsam dışında tutarız; geçmiş anlatıyı doğrulamaz veya sahiplenmeyiz, ileriye dönük önleyici aksiyonla başlarız.

Nasıl başlıyoruz

1

Keşif (1-2 hafta)

Salt-okunur dijital varlık keşfi, saha ve fiziksel ortam değerlendirmesi, lisans ve kaynak envanteri, mevcut durum analizi, risk ve boşluk haritası. Hiçbir sisteme müdahale edilmez.

2

Yol haritası

Bulgular üç katmanlı tek raporda sunulur (yönetici özeti, bulgular, teknik ekler), risk matrisi ve CAPA planıyla birlikte. Katman bazlı öncelik sırası ve kapsam birlikte netleştirilir.

3

Ortak yönetime geçiş

RACI ve yetki sınırları imzalanır, ayrıcalıklı erişim devralınır, ekibinize L1 operasyon aktarımı ve eğitim verilir. İlk 90 günde hızlı kazanımlar (MFA, egress kilitleme, e-posta kimlik doğrulama, savunmacı alan adı kilitleri) devreye alınır.

Kimlere uygun

PCI DSS, ISO 27001 veya KVKK yükümlülüğü olan, kendi bünyesinde tam zamanlı bir güvenlik ekibi taşımayan, çok lokasyonlu orta ölçekli kurumlar. Üretim (gıda dahil süreç üretimi), finans teknolojisi, sağlık ve OT katmanı bulunan işletmeler için uygundur.

Sık sorulan sorular

Ayrıcalıklı erişim sizde olursa iç BT ekibimiz ne olur?

Ekibiniz küçülmez, rolü netleşir. Kullanıcı desteği, fiziksel kontrol, envanter ve L1 izleme ekibinizde kalır; biz gözetim, değişiklik onayı ve ayrıcalıklı icrayı üstleniriz. Görev ve yetki sınırları yazılı bir belgeyle tanımlanır, herkes neyi yapıp neyi talep edeceğini bilir.

Neden tüm ayrıcalıklı erişim tek elde toplanıyor?

Kuvvetler ayrılığı için. Bir sistemi kullanan taraf aynı sistemin güvenliğini, loglarını ve yedeklerini kontrol ederse önleme, tespit ve hesap verebilirlik aynı anda çöker. İki ayrı ayrıcalıklı otorite olduğunda ise arıza anında sorumlu belirsizleşir. Standartlar da bunu şart koşar (ISO 27001 A.5.3, PCI DSS Gereksinim 7).

Sözleşme biterse ne olur, kilitlenir miyiz?

Hayır. Çıkış ve devir planı sözleşmede tanımlanır: güncel mimari ve yapılandırma dokümantasyonu, erişim envanteri ve devir prosedürü tarafınıza veya belirleyeceğiniz yeni sağlayıcıya düzenli biçimde teslim edilir. Açık kaynak ağırlıklı yığın, tedarikçi kilidini zaten yapısal olarak azaltır.

Açık kaynak kurumsal ortamda riskli değil mi?

Açık kaynak otomatik olarak daha güvenli veya daha riskli değildir. Güvenliği üreten şey doğru yapılandırma, denetlenebilirlik ve sürekli işletimdir. Bu yüzden açık kaynağı disiplinle işletiyor, kritik katmanlarda kendini kanıtlamış ticari ürünleri konumlandırıyoruz.

Fiyatlandırma nasıl çalışır?

Keşif sonrası kapsam bazlı tekliflenir. Model tipik olarak aylık yönetilen hizmet bedeli (kur korumalı) ile ayrı faturalanan donanım/lisans tedariğinden oluşur; kurulum eforu yönetilen hizmet dönemine dahil edilir.

Miras ve referanslar

2015'ten bu yana 50'den fazla PCI DSS sertifikasyonu, Türkiye'nin ilk Level 1 servis sağlayıcısı olarak sıfır başarısızlıkla. Bünyemizde iki TSE sertifikalı ISO/IEC 27001 iç denetçi görev yapar. E-posta güvenliğinde 2007'den itibaren Barracuda'nın Türkiye bayisi, 2008'den distribütörü; 17 yılı aşkın deneyimle bugün Proofpoint partneri. Bankacılık ve elektronik para kuruluşlarında olgunlaşan yüksek güvenlik disiplinini, aynı tehdide maruz kalan orta ölçekli kurumlara taşıyoruz.

İlgili içerik

Görüşelim

Kapsamı birlikte çıkaralım. Dijital varlık keşfi, mevcut durum analizi ve katman bazlı yol haritasıyla başlıyoruz. Fiyatlandırma kapsama göre tekliflenir.

Görüşme planlayın