Kurumsal ağ ekiplerinde en pahalı sorunlardan biri yanlış kural yazmak değil, hangi kuralın gerçekten çalıştığını geç fark etmektir. Firewall kural setleri, yönlendirme politikaları, NAT istisnaları ve segment geçişleri zamanla birbirinin üstüne biner. Doküman güncel görünür, değişiklik kaydı düzgün tutulur, hatta otomasyon da vardır; fakat üretim ağının davranışı yine de niyetten sapar. Bu sapmaya politika drift diyoruz.
Neden klasik CMDB yaklaşımı yetmez?
CMDB ya da kural envanteri, ağın ne olması gerektiğini kaydeder. Drift problemi ise ağın gerçekte nasıl davrandığıyla ilgilidir. Özellikle çok üreticili kurumsal topolojilerde şu boşluklar oluşur:
- Aynı niyet farklı cihazlarda farklı sözdizimiyle uygulanır
- Geçici incident kuralı kalıcı hale gelir
- Rota tercihleri beklenen güvenlik yolunu baypas eder
- Yeni segment açılır ama eski istisnalar temizlenmez
Bu nedenle yalnızca konfigürasyon listesine bakmak, davranışsal sapmayı yakalamaya yetmez.
Dijital ikiz katmanı ne yapar?
Dijital ikiz katmanı, üretim ağının cihaz durumu, topoloji bilgisi ve politika niyetini modelleyip sorgulanabilir hale getirir. Amaç, üretimi emüle eden kusursuz bir laboratuvar kurmak değil; değişiklik ve mevcut durum arasında anlamlı farkı görünür kılan bir kontrol yüzeyi üretmektir.
Bu katman tipik olarak üç kaynaktan beslenir:
- Cihazlardan çekilen güncel konfigürasyon ve durum bilgisi
- Kaynak koddaki niyet tanımı veya politika deposu
- Akış testi, reachability ve yol doğrulama çıktıları
Bu veriler aynı modelde toplandığında, “hangi kural var?” sorusundan “hangi trafik hangi koşulda nereye gidebilir?” sorusuna geçersiniz.
Nerede değer üretir?
Dijital ikiz yaklaşımı özellikle şu alanlarda güçlüdür:
- Segmentasyon politikasının fiili etkisini görmek
- Güvenlik zonları arasında örtük geçişleri bulmak
- Firewall değişikliği öncesi etki analizi yapmak
- Rota değişikliğinin güvenlik zincirini bozup bozmadığını doğrulamak
- Denetim sırasında niyet ile gerçek davranışı aynı tabloda göstermek
Bu sayede ağ ekibi yalnızca konfigürasyon yöneten ekip olmaktan çıkıp davranış yöneten ekibe dönüşür.
Hangi modeli kurmak gerekir?
Ben pratikte dört katmanlı modelin işe yaradığını görüyorum:
- Niyet katmanı: Segmentler arası izin matrisi, zorunlu inspeksiyon noktaları, zorunlu loglama kuralları
- Topoloji katmanı: Cihazlar, VRF’ler, VLAN’lar, transit ağlar, servis zincirleri
- Gerçekleşen politika katmanı: ACL, firewall policy, route-map, NAT ve service insertion kuralları
- Doğrulama katmanı: Akış testi, yol çözümleme ve ihlal raporları
Bu ayrım yapılmadığında dijital ikiz aracı yalnızca konfigürasyon arşivine dönüşür. Oysa kıymet, niyet ile gerçekleşme arasındaki farkı gösterebilmesindedir.
Hangi sorular sorulmalı?
Sağlam bir kontrol düzlemi şu sorulara cevap verebilmelidir:
- Bu segment gerçekten yalnızca izinli servislerle konuşabiliyor mu?
- İnternete çıkması yasaklanan ağlar yine de dolaylı egress alıyor mu?
- Yeni rota, zorunlu güvenlik kontrolünü baypas etti mi?
- Aynı servis için birbirini çürüten iki politika oluştu mu?
- Incident sırasında açılan geçici kural hâlâ aktif mi?
Bu soruların cevabı görünür değilse, segmentasyon iddiası büyük ölçüde varsayıma dayanır.
Operasyon modeli nasıl kurulmalı?
Dijital ikiz katmanı tek başına ağ mimarisi projesi değildir; değişiklik sürecine bağlanmalıdır. En sağlıklı model genelde şöyledir:
- Politika değişikliği merge öncesi ikizde simüle edilir
- Gece canlıya alınan kritik değişiklik ertesi gün drift taramasından geçer
- Haftalık raporda açık ihlaller ve geçici istisnalar gözden geçirilir
- Denetim ekipleri cihaz ekran görüntüsü yerine model çıktısı kullanır
Böylece dijital ikiz, operasyon dışında çalışan yan araç değil, değişiklik yönetiminin parçası olur.
Sonuç
Kurumsal ağlarda politika drift için dijital ikiz katmanı, görünürde düzgün çalışan ama davranışsal olarak sapmış ağları erken fark etmek için güçlü bir yaklaşımdır. Değeri cihaz sayısını merkezileştirmesinde değil, niyet ile gerçek akış arasındaki farkı sürekli görünür kılmasında yatar. Ağ olgunluğu da tam burada başlar: yalnızca kural yazabilmekte değil, yazılan kuralın sahada nasıl davrandığını savunulabilir biçimde gösterebilmekte.