top of page
Ara

VLAN, NAC, Multitenant… Hangisi Gerçek Çözüm?


ree

Gerçek İzolasyon Nerede Başlıyor?

Şimdi düşünün ki , çoğu şirketin ağ yapısı şöyle ,


  • Omurga switch L3 modda

  • Tüm VLAN’lar burada tanımlı

  • NAC var, cihazı doğru VLAN’a atıyor

  • Firewall sadece internet çıkışını kontrol ediyor

  • İçeride binlerce uç cihaz, onlarca kritik uygulama çalışıyor


Kağıt üzerinde segmentasyon var gibi görünüyor. Ama gerçek bu değil. Routing açık, ACL yok, VLAN’lar arası erişim serbest. Yani herkes herkese ulaşabiliyor.

VLAN Mantığı , Kağıt Üstünde Güzel, Pratikte Sınırlı

VLAN mantığı basit cihazları mantıksal olarak ayırırsınız.


  • VLAN 10 → Muhasebe

  • VLAN 20 → Ar-Ge

  • VLAN 30 → Üretim


Ama VLAN tek başına güvenlik sağlamaz. Neden ?


  • Routing açıksa VLAN’lar birbirine ulaşır

  • VLAN spoofing mümkün, izolasyon kolayca delinebilir

  • Yönetim basit gibi görünür ama çok VLAN varsa iş kabusa döner


3 VLAN’lı bir yapıdaysanız sıkıntı yok, ACL’lerle idare edersiniz. Ama 20-30 VLAN varsa her geçişi kontrol etmek demek yüzlerce kural, binlerce satır ACL anlamına geliyor. Yanlış bir kural yazılırsa kritik sistemler devre dışı kalabilir mi ? Karmaşıklık artıyor, yönetilebilirlik kayboluyor.

NAC Mantığı , Doğru VLAN’a Atarsınız Ama Sonrası Boşlukta

NAC aslında VLAN yönetimini kolaylaştırır. Kim hangi VLAN’a bağlanacak, cihaz doğru yerde mi, bunları yönetirsiniz.

Ama NAC’ın sınırı burada başlıyor


  • NAC cihazı doğru VLAN’a atar

  • VLAN’lar arasında erişimi engellemez

  • İçerideki trafik kontrolü yoksa, NAC tek başına bir şey çözmez


Yani NAC, VLAN’ın eksiklerini tamamlamaz, sadece otomasyon sağlar.

ACL’lerle Güvenlik Sağlamak , Küçükte Olur, Büyükte Olmaz

Teorik olarak VLAN’lar arası erişim ACL’lerle kapatılabilir. Ama pratikte zor.


  • 3 VLAN için belki olur, yazarsınız, yönetirsiniz

  • Ama 20-30 VLAN varsa binlerce kural demektir

  • Yeni bir uygulama geldiğinde tekrar ACL güncelle

  • Yanlış bir satır bir şeyler erişilemez, üretim hattı durur falan filan.


ACL küçük yapılarda mantıklı, büyük ortamlarda sürdürülemez.

Multitenant Mimari Tasarımda İzolasyon

Burada oyun değişiyor. Zadara gibi multitenant-native platformlarda segmentasyon VLAN seviyesinde değil, tasarım seviyesinde çözülür.


  • Her tenant kendi compute, storage ve network kaynağına sahip

  • Varsayılan politika Deny All , tenant’lar birbirini görmez

  • VLAN etiketiyle uğraşmazsınız, izolasyon tenant seviyesinde sağlanmış olur

  • Snapshot, SLA, backup, loglama hepsi tenant bazlı olur

  • Routing açık olsa bile tenant dışına trafik çıkamaz

  • Zero Trust mimarisi altyapının içine gömülü olur


Sonuç ACL karmaşası yok, firewall bağımlılığı yok, yönetim kolay.


Sonuç: Güvenlik Tasarımda Başlar
Sonuç: Güvenlik Tasarımda Başlar

3 VLAN’lı küçük bir ortamda VLAN + NAC yeterli olabilir. Ama onlarca VLAN, binlerce uç cihaz, karmaşık bağımlılıklar varsa bu model sürdürülemez.

Multitenant mimariyle ne olur peki 


  • İzolasyon VLAN seviyesinden tenant seviyesine çıkar

  • ACL karmaşası biter

  • Zero Trust yaklaşımı altyapının içine yerleşir

  • Yönetim sadeleşir, risk minimize edilir


“Gerçek güvenlik, kuralla değil tasarımla sağlanır.”

 
 
 

Yorumlar

logo..png
bottom of page