İçeriğe Atla
Teknoloji · 9 dk okuma · görüntülenme
100%

SD‑WAN Edge’de Trust Boundary: Çıkış Politikası, DNS ve Loglama

SD‑WAN’de DIA/DC/cloud çoklu çıkışta trust boundary’yi korumak için: trafik sınıflandırma, DNS stratejisi, split‑tunnel ve merkezi log modeli.

#network #sd-wan #security #dns #routing #operations
SD-WAN edge üzerinde çıkış politikası ve trust boundary katmanını gösteren kapak görseli

SD‑WAN’in en büyük vaadi “esneklik”tir: şube trafiği DIA’dan çıkar, kritik işler DC’ye gider, bazı servisler doğrudan cloud’a bağlanır. Ama bu esneklik doğru sınır çizilmezse şu soruyu cevapsız bırakır: Bu trafikte güvenlik nerede başlıyor, nerede bitiyor? İşte SD‑WAN edge’de trust boundary (güven sınırı) bu yüzden kritik bir mimari karardır.

SD-WAN edge üzerinde çıkış politikası ve trust boundary katmanını gösteren kapak görseli
Çıkış sayısı arttıkça, politikanın kanıtı ve log hattı daha da önemli hale gelir.

Problem: “çoklu çıkış” aslında çoklu güvenlik varsayımı demektir

Tek bir internet çıkışı varken, güvenlik kontrol katmanı çoğu zaman nettir: proxy, firewall, DLP, SIEM… Çoklu çıkış modelinde ise risk şuradan gelir:

  • Trafik bazen merkezi kontrolden “yan geçer”
  • DNS ve IP tabanlı kontroller tutarsızlaşır
  • Asimetrik routing, incident triage’ı yavaşlatır

1) Trafiği üç sınıfa ayır: her sınıfın çıkışı ve kanıtı farklıdır

Sahada işe yarayan minimal sınıflandırma:

  1. Kurum içi/özel: DC, private cloud, partner hatları
  2. İnternet/SaaS: M365, Google Workspace, CRM, CDN
  3. Yönetim: MDM, EDR, patch, monitoring ajanları

Her sınıf için şu kararları yazılı yap:

  • Çıkış noktası (DIA/DC)
  • NAT/egress IP beklentisi
  • Denetim/log hattı
  • İzin/engelle politikası

2) DNS stratejisi: split‑tunnel kararını DNS ile mühürle

SD‑WAN’de “split tunnel” tartışması çoğu zaman routing üzerinden yapılır, ama asıl etkisi DNS’tedir:

  • SaaS için bölgesel resolver mı, merkezi resolver mı?
  • İç isimler (split-horizon) nasıl çözülecek?
  • DNS logları nerede toplanacak?

Benim pratik önerim:

  • Kullanıcı/SaaS trafiği için bölgesel resolver + merkezi log (latency düşer, görünürlük korunur)
  • İç isimler için mutlaka kontrol edilen yol (sızıntıyı engelle)

3) Trust boundary’yi tek cümleye indir: “Bu çıkışta hangi kontroller var?”

Her egress için kontrol listesini standartlaştır:

  • TLS inspection var mı/yok mu?
  • Proxy zorunlu mu?
  • Zafiyetli kategori/URL kontrolü var mı?
  • DLP/AV nerede?
  • CASB/SSPM gibi SaaS kontrolleri nerede devreye giriyor?

Bu soruların cevabı “bazı yerlerde var” olursa, incident sırasında ekipler aynı anda farklı gerçekliklerde çalışır.

4) Log hattı: egress değişse bile olay kanıtı değişmemeli

SD‑WAN mimarisinde minimum kanıt seti:

  • Flow/NetFlow (site, app, path)
  • DNS log (hangi isim çözüldü)
  • Web gateway/proxy log (varsa)
  • Firewall log (deny/permit)
  • SD‑WAN controller event log (policy change, path flap)

Ama en önemli nokta: bir olayda bu logları tek yerde korele edebilmek.

5) Incident senaryoları: iki kısa tatbikat trust boundary’yi olgunlaştırır

Sahada iki tatbikat çok şey öğretir:

Senaryo A — SaaS erişim problemi (latency/timeout)

Kontrol soruları:

  • DNS mi bozuk, path mi?
  • Trafik DIA’dan mı çıktı, DC’den mi?
  • Asimetrik routing var mı?
  • Son 1 saatte policy değişmiş mi?

Senaryo B — Veri sızıntısı şüphesi (yükleme)

Kontrol soruları:

  • Hangi çıkış kontrol katmanından geçti?
  • Proxy/DLP logları var mı?
  • Egress IP, tenant/servis eşlemesi doğru mu?

Sonuç

SD‑WAN, ağ mimarisini esnekleştirir; ama trust boundary tasarlanmadıysa güvenliği belirsizleştirir. Benim sahada en stabil sonuç aldığım yaklaşım; trafiği sınıflandırmak, DNS’i stratejik olarak yerleştirmek, her egress için kontrol listesini yazılı hale getirmek ve log hattını tek korelasyon yüzeyine bağlamaktır. Böylece SD‑WAN, “çoklu çıkış karmaşası” değil; ölçülebilir ve yönetilebilir bir operasyon modeline dönüşür.

Paylaş:

Bu yazı faydalı oldu mu?

Yükleniyor...

Bu yazı nasıldı?

ME

Mustafa Erbay

Sistem Mimarisi · Network Uzmanı · Altyapı, Güvenlik ve Yazılım

2006'dan bu yana sistem mimarisi, network, sunucu altyapıları, büyük yapıların kurulumu, yazılım ve sistem güvenliği ekseninde çalışıyorum. Bu blogda sahada karşılığı olan teknik deneyimlerimi paylaşıyorum.

Kişisel Notlar

Bu notlar sadece sizde saklanır. Tarayıcınızda yerel olarak tutulur.

Hazır 0 karakter

Yorumlar

Sunucu Taraflı AI Moderasyon

Yorumlar sunucuda yapay zeka ile denetlenir ve kalıcı olarak saklanır.

?
0/2000

Sunucu taraflı AI denetim

Yeni yazılardan haberdar olun

Haftada bir yeni içerikler ve kaynaklar doğrudan e-postanıza gelsin.

Spam yok. Yalnızca yeni ve önemli içerikler için e-posta gönderilir.

Okuma İstatistikleriniz

0

Yazı Okundu

0dk

Okuma Süresi

0

Gün Serisi

-

Favori Kategori

İlgili Yazılar

Teknoloji

Kurumsal Ağlarda DNSSEC Doğrulayan Ayrık Resolver Katmanı

İsim çözümleme güvenini artırmak için DNSSEC doğrulamasını ayrı resolver katmanında konumlandıran kurumsal mimari yaklaşım.

Teknoloji

DDoS Scrubbing Center Tasarımı: GRE, BGP ve Failover

Saldırı anında trafiği scrubbing’e yönlendirip temizleyerek servisi ayakta tutmak için GRE tünel, BGP sinyali, kapasite ve operasyon runbook’u.

Teknoloji

BGP BMP ile Route Analytics: Görünürlük ve Incident Triage

Route leak, flap ve blackhole olaylarını dakikalara indirmek için BMP telemetrisini, rota analitiğini ve alarm modelini birleştiren pratik yaklaşım.