Zero Trust Mimari: Sunucu Güvenliğinde Yeni Standart
Geleneksel "güvenlik duvarının arkası güvenlidir" anlayışı artık geçerliliğini yitirdi. Zero Trust, her isteği doğrulamayı ve hiçbir şeye varsayılan olarak güvenmemeyi temel alan modern bir güvenlik yaklaşımıdır.
Zero Trust Nedir?
Zero Trust (Sıfır Güven) mimarisi, ağ içindeki veya dışındaki hiçbir kullanıcıya, cihaza veya servise otomatik olarak güvenilmemesi gerektiğini savunan bir güvenlik modelidir. Her erişim talebi, kaynağına bakılmaksızın doğrulanır, yetkilendirilir ve şifrelenir.
Temel prensipleri:
- Asla güvenme, her zaman doğrula
- En az yetki prensibi: Kullanıcılara sadece ihtiyaç duydukları erişimi ver
- İhlal varsay: Her zaman bir saldırı olabileceğini varsay ve buna göre tasarla
- Mikro-segmentasyon: Ağı küçük, izole bölümlere ayır
SSH Hardening
Sunucu güvenliğinin ilk adımı SSH yapılandırmasıdır. Aşağıdaki ayarlar temel güvenlik katmanını oluşturur:
# /etc/ssh/sshd_config Port 2222 # Varsayılan portu değiştir PermitRootLogin no # Root girişini kapat PasswordAuthentication no # Parola ile girişi kapat PubkeyAuthentication yes # Sadece anahtar ile giriş MaxAuthTries 3 # Maksimum deneme sayısı ClientAliveInterval 300 # 5 dakika inaktivite timeout AllowUsers deploy # Sadece belirli kullanıcılar Protocol 2 # Sadece SSH v2
SSH Anahtar Yönetimi
# Ed25519 anahtar oluşturma (önerilen) ssh-keygen -t ed25519 -C "deploy@novpix.com" # Sunucuya kopyalama ssh-copy-id -i ~/.ssh/id_ed25519.pub deploy@sunucu-ip -p 2222
Firewall Yapılandırması (UFW)
Sadece gerekli portları açın, gerisi varsayılan olarak kapalı olmalıdır:
# Varsayılan politika: gelen trafiği reddet sudo ufw default deny incoming sudo ufw default allow outgoing # Sadece gerekli portlar sudo ufw allow 2222/tcp # SSH sudo ufw allow 80/tcp # HTTP sudo ufw allow 443/tcp # HTTPS # Aktifleştir sudo ufw enable
Fail2ban ile Brute-Force Koruması
Fail2ban, tekrarlanan başarısız giriş denemelerini tespit ederek ilgili IP adresini otomatik olarak engeller:
# /etc/fail2ban/jail.local [sshd] enabled = true port = 2222 filter = sshd logpath = /var/log/auth.log maxretry = 3 bantime = 3600 findtime = 600
WAF (Web Application Firewall)
Web uygulamalarınızı SQL injection, XSS ve diğer yaygın saldırılara karşı korumak için bir WAF kullanın. Seçenekler:
- ModSecurity: Açık kaynak, Nginx/Apache ile entegre
- Cloudflare WAF: DNS tabanlı, kolay kurulum
- AWS WAF: AWS altyapısı ile entegre
Nginx Güvenlik Header'ları
# Nginx SSL ve güvenlik yapılandırması
server {
listen 443 ssl http2;
# SSL
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
# Güvenlik header'ları
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header Strict-Transport-Security
"max-age=31536000; includeSubDomains" always;
add_header Content-Security-Policy
"default-src 'self'; script-src 'self'" always;
add_header Referrer-Policy "strict-origin-when-cross-origin";
}
Düzenli Güvenlik Denetimi
Zero Trust sadece bir kere yapılandırılıp bırakılacak bir şey değildir. Düzenli denetimler şarttır:
- Haftalık: Log analizi, Fail2ban raporları, açık port taraması
- Aylık: Sistem güncellemeleri, sertifika yenileme kontrolü, yetki gözden geçirmesi
- Üç aylık: Penetrasyon testi, güvenlik yapılandırma auditi
Güvenlik bir ürün değil, sürekli bir süreçtir. Zero Trust bu süreci sistematik hale getiren bir çerçevedir.
Sonuç
Zero Trust mimarisi, modern sunucu güvenliğinin temelini oluşturur. SSH hardening, güçlü firewall kuralları, Fail2ban, WAF ve düzenli güvenlik denetimleri ile sunucularınızı koruma altına alabilirsiniz.
novpix olarak güvenlik denetimi, penetrasyon testi ve zero-trust altyapı tasarımı konusunda uzman destek sağlıyoruz.