Yazılım Şirketinde Altyapı ve Güvenlik Standartları Oluşturma

Yazılım şirketlerinde sürdürülebilir büyüme, müşteri güveni ve operasyonel verimlilik için altyapı ve güvenlik standartları kurumsal DNA’nın ayrılmaz bir parçası olmalıdır. Gelişen tehdit ortamı, bulut-yerel mimariler, mikroservisler ve uzaktan çalışma dinamikleri; hem ağ topolojisini hem de güvenlik kontrollerini yeniden düşünmeyi gerektirir. Bu makalede, stratejiden tekniğe, süreçten kültüre kadar uzanan kapsamlı bir çerçeve sunarak, uygulanabilir adımlar ve ölçülebilir kazanımlar üzerinde duracağız. Anahtar kavramlar arasında zero trust, devsecops, siem, soc, kubernetes, sbom, iam, mfa, edr, dlp, kvkk, iso 27001 ve mitre att&ck bulunuyor.

1) Vizyon, Kapsam ve Yönetişim: Standartların Temeli

Öncelik, üst yönetim sponsorluğunda net bir güvenlik vizyonu ve yönetişim modeli belirlemektir. Güvenlik komitesi; CTO, CISO, ürün, altyapı ve hukuk (KVKK, GDPR) temsilcilerinden oluşmalı, kararlar risk temelli alınmalıdır. Bu yapı, iş hedefleriyle uyumlu bir güvenlik yol haritası, ölçülebilir hedefler (OKR’ler) ve düzenli raporlama döngüleri sağlar.

• Yetki matrisi, rol ve sorumluluklar (RACI) netleştirilmelidir.
• Uyum kapsamı: iso 27001, SOC 2, PCI DSS gibi çerçevelere göre haritalandırma yapılmalıdır.
• Kurumsal risk kaydı oluşturularak olasılık/etki değerlendirmesi yapılmalıdır.

2) Altyapı Mimarisi: Dayanıklı, Ölçeklenebilir ve Güvenli

Modern altyapı; bulut-yerel servisler, kubernetes orkestrasyonu, altyapı-kod olarak (IaC) ve gözlemlenebilirliği temel alır. Ağ mimarisinde mikrosegmentasyon, katmanlı güvenlik ve zero trust ilkesi uygulanmalıdır.

Ağ ve Uç Bileşenleri

• VPC/VNet segmentasyonu, yönlendirme ve güvenlik grupları ile “en az ayrıcalık” yaklaşımı.
• Güvenli tüneller (IPsec/SSL VPN), mfa zorunluluğu ve cihaz sağlık kontrolleri.
• İstemci uçları için edr/xdr, dlp ve şüpheli davranış analitiği.

Bulut ve Kapsayıcı Güvenliği

• Görüntü tarama (image scanning), imzalama ve kayıt politikaları (sbom üretimi ve doğrulaması).
• Çalışma zamanında ilke tabanlı kontroller (PodSecurity, eBPF izleme).
• Gizli veri yönetimi: KMS/HSM, rotasyon, “never store secrets in code”.

3) Kimlik ve Erişim Yönetimi (IAM)

İnsan ve makine kimlikleri merkezi bir IAM üzerinde yönetilmelidir. Tek oturum açma (SSO), mfa, oauth2/oidc ve hizmet hesapları için kısa ömürlü kimlik bilgileri kritik önemdedir.

• Rol tabanlı erişim kontrolü (RBAC) ve gereğinde NIST ABAC.
• Privileged Access Management (PAM) ve ayrılmış yönetim oturumları.
• Just-in-Time erişim, onay iş akışları ve erişim kayıtlarının denetimi.

4) Uygulama Güvenliği ve DevSecOps

devsecops kültürü, güvenliği “sola kaydırarak” geliştirme döngüsüne gömer. CI/CD hatlarında statik/dinamik analizler (SAST/DAST), bağımlılık taraması, lisans uyumu ve konteyner imaj denetimleri otomatik çalışmalıdır.

Güvenli Kodlama ve İnceleme

• Geliştirici eğitimleri (OWASP Top 10, mitre att&ck taktiklerine farkındalık).
• Çift yönlü kod incelemesi, imzalı commit ve zorunlu Pull Request şablonları.
• API güvenliği: Oransal rate-limit, csp, HSTS, tls 1.3, mTLS ve güvenli varsayılanlar.

Yazılım Tedarik Zinciri

• Kaynak imzalama, reproducible builds, sbom ve bağımlılık sabitleme (pinning).
• Güvenli paket depoları, imzalı artefakt dağıtımı, kenar (edge) doğrulamaları.
• Üçüncü taraf risk değerlendirmesi ve anlaşmalara güvenlik ekleri.

5) Veri Güvenliği ve Gizlilik

Veri sınıflandırması, şifreleme ve asgari veri tutma (data minimization) ilkeleri; KVKK/GDPR uyumu için temel gereksinimlerdir.

• Uygun şifreleme: At-rest (AES-256), in-transit (tls 1.3), kolon/seviye bazlı şifreleme.
• Ayrıcalıklı veri erişimi için izleme, maskleme, tokenization.
• Gizlilik etkisi değerlendirmesi (PIA/DPIA) ve hak sahipliği süreçleri.

6) İzleme, Günlükleme ve Olay Yönetimi

Merkezi günlük yönetimi ve siem platformu; anomali tespiti, uyum raporlaması ve adli analiz için vazgeçilmezdir. soc süreçleri; triyaj, eskalasyon ve post-mortem ile tamamlanmalıdır.

• Gözlemlenebilirlik: metrik, log, trace üçlüsü ve SLO/SLA takibi.
• Uyarı yorgunluğunu azaltan kural kümeleri, koşullu bastırma ve “noise” temizliği.
• Tehdit istihbaratı beslemeleri ve mitre att&ck eşlemesi.

7) İş Sürekliliği, Yedeklilik ve Felaket Kurtarma

Dayanıklılık; çok-bölge dağıtım, otomatik failover, olağanüstü durum tatbikatları ve düzenli yedekleme testleriyle sağlanır. Kurtarma hedefleri (RTO/RPO) iş kritikliğiyle hizalanmalıdır.

• Yedekleme şifrelemesi, “immutable” depolar ve siber felaket senaryoları (ransomware).
• Runbook’lar, masaüstü tatbikatlar ve kaos mühendisliği ile doğrulama.
• İş etki analizi (BIA) ve alternatif çalışma senaryoları.

8) Uyum, Denetim ve Sürekli İyileştirme

Standartlar yaşayan dokümanlardır. İç/dış denetimler, kırmızı/mavi/pembe (purple) takım tatbikatları, bug bounty ve güvenlik topluluğu etkileşimi ile sürekli iyileştirilmelidir.

• Kontrol hedefleri ile kanıt (evidence) eşlemesi ve denetim hazırlığı.
• Güvenlik borcu (security debt) panosu ve kapanış süreleri (MTTR) hedefleri.
• Yıllık strateji gözden geçirme ve çeyreklik yol haritası güncellemeleri.

9) İnsan Faktörü ve Güvenlik Kültürü

Teknik kontrol kadar önemli olan; insan ve süreçtir. Kimlik avı simülasyonları, rol bazlı eğitimler ve açık iletişim kanalları güvenlik olgunluğunu artırır.

• Yeni başlayanlar için “güvenlik başlangıç paketi” ve zorunlu eğitim takvimi.
• Geliştirici odaklı güvenlik klinikleri ve güvenli kod kütüphaneleri.
• Ödüllendirme: Güvenlik bulgusu bildiren çalışanlar için teşvik.

10) Ölçüm, Metrikler ve Raporlama

“Ölçmediğini yönetemezsin.” Stratejik, taktik ve operasyonel metriklerle pano (dashboard) oluşturun.

• Stratejik: Risk trendi, uyum durumu, kritik kontrol kapsaması.
• Taktik: Açık zafiyet sayısı, yama uygulama süresi, SAST/DAST bulgu oranı.
• Operasyonel: Alarm gürültüsü, ortalama tespit süresi (MTTD), siem kural etkinliği.

11) Yol Haritası: 90/180/360 Gün

İlk 90 Gün

• Risk değerlendirmesi, kritik “hızlı kazanımlar” (MFA zorunluluğu, SIEM temel kurulumu).
• Varlık envanteri ve veri sınıflandırma.
• İlke setleri, kabul edilebilir kullanım, parola ilkeleri.

180 Gün

• CI/CD’ye devsecops entegrasyonu, SAST/DAST, bağımlılık taraması.
• kubernetes güvenlik sertleştirmesi (CIS Benchmarks), imaj imzalama.
• Olay müdahale planı, oyun kitapları ve tatbikatlar.

360 Gün

• iso 27001 uyum programı, iç denetimler ve kanıt yönetimi.
• Gelişmiş tehdit avcılığı, mitre att&ck eşlemesi, kırmızı takım.
• Tedarik zinciri güvenliği ve sbom otomatizasyonu.

12) Sık Yapılan Hatalar ve Kaçınma Stratejileri

• “Kâğıt üstü” uyum: Gerçek kontrollerle desteklenmeyen politika bolluğu.
• Teknolojiye aşırı güven: İnsan ve süreç boyutunun ihmal edilmesi.
• Gözlemlenebilirlik eksikliği: Kör noktalar ve gecikmeli algılama.
• Yama yönetimi gecikmeleri: Otomasyon ve pencere planlamasının yokluğu.

Altyapı ve güvenlik standartları; bir defalık proje değil, iteratif ve ölçülebilir bir dönüşümdür. zero trust yaklaşımı, devsecops entegrasyonu, güçlü iam ve merkezi siem/soc yapısı; ölçeklenebilir, dirençli ve uyumlu bir yazılım organizasyonunun temelini atar. Bu çerçeve, teknolojik borcu azaltırken müşteri güvenini artırır ve pazara çıkış hızını düşürmeden güvenliği yerleşik hâle getirir.

• Gürkan Türkaslan
• 9 Eylül 2025, 14:53:30