ETİK
KÜLTÜR & SANAT
Operasyonel Teknoloji (OT) için Sıfır Güven - Bölüm 3
Operasyonel Teknoloji (OT) için Sıfır Güven
Bölüm 3
"Ağlar "
Celal Ünalp
[Yayım Tarihi: 6 Nisan 2026]
OT ağları yıllarca dışarıya kapatma, fiziksel ayrıştırma ve kararlı olduğu varsayılan protokollerle korundu. Günümüzde buluta bağlı aygıt ve fabrikalar, uzaktan bakım, zorunlu tedarikçi bağlantıları, IIoT bulut veri toplama ve analitiği artık operasyonların doğal bir parçası. Bu bağlantılı durum, OT ağlarında saldırı yüzeyini büyütürken, ağ güvenliği sıfır güven varsayımı içinde başlı başına bir mimari sütun haline gelmiştir.
Sıfır Güven, "varsayılan olarak hiçbir şeye güvenme" der, her isteği kimlik, bağlam ve cihaz durumu ile yeniden doğrulamayı ifade eder. OT için bu ilkeyi ağ tarafına taşımak, yalnızca kademeli bölgeleme (zone) ile yetinmeden, öznitelik ve davranış temelli uygulama kontrolleri, güvenli erişim ve makineden makineye şifrelemeyi standartlaştırmak anlamına gelir. Bu yazımızda, üretim sürekliliğini bozmadan yanal hareketi sınırlamak ve anormallikleri gerçek zamanlı yakalamak için ağlarda sıfır güven mimarisini detaylandıracağız.
Modern OT ağ güvenliği, klasik güvenlik duvarları ve IDS/IPS’in yanına 802.1X/NAC tabanlı erişim, SDN/SASE mantığıyla programlanabilir iletişim yolları, makine öğrenmesi destekli tehdit koruması, veri akış haritaları ve etiketleme gibi yetenekler ekler. Önceki yazılarımızda ele aldıklarımızla hepsi birlikte çalıştığında, yalnızca ağ koruması değil, ölçülebilir yönetişim ve denetlenebilirlik de en üst düzeyde sağlanabilecektir.
Aşağıda yer alan çerçeve, bu yetenekleri onboarding → bölgeleme/segmentasyon → iletişim güvenliği → erişim yetkilendirmesi → görünürlük/telemetri → analitik/yanıt → yönetişim sırasıyla düzenler.
Böylece hem devreye alma hem de sürekli operasyon fazlarında uygulanabilir bir yol haritası elde edilebilir.
OT ağları yıllarca dışarıya kapatma, fiziksel ayrıştırma ve kararlı olduğu varsayılan protokollerle korundu. Günümüzde buluta bağlı aygıt ve fabrikalar, uzaktan bakım, zorunlu tedarikçi bağlantıları, IIoT bulut veri toplama ve analitiği artık operasyonların doğal bir parçası. Bu bağlantılı durum, OT ağlarında saldırı yüzeyini büyütürken, ağ güvenliği sıfır güven varsayımı içinde başlı başına bir mimari sütun haline gelmiştir.
Sıfır Güven, "varsayılan olarak hiçbir şeye güvenme" der, her isteği kimlik, bağlam ve cihaz durumu ile yeniden doğrulamayı ifade eder. OT için bu ilkeyi ağ tarafına taşımak, yalnızca kademeli bölgeleme (zone) ile yetinmeden, öznitelik ve davranış temelli uygulama kontrolleri, güvenli erişim ve makineden makineye şifrelemeyi standartlaştırmak anlamına gelir. Bu yazımızda, üretim sürekliliğini bozmadan yanal hareketi sınırlamak ve anormallikleri gerçek zamanlı yakalamak için ağlarda sıfır güven mimarisini detaylandıracağız.
Modern OT ağ güvenliği, klasik güvenlik duvarları ve IDS/IPS’in yanına 802.1X/NAC tabanlı erişim, SDN/SASE mantığıyla programlanabilir iletişim yolları, makine öğrenmesi destekli tehdit koruması, veri akış haritaları ve etiketleme gibi yetenekler ekler. Önceki yazılarımızda ele aldıklarımızla hepsi birlikte çalıştığında, yalnızca ağ koruması değil, ölçülebilir yönetişim ve denetlenebilirlik de en üst düzeyde sağlanabilecektir.
Aşağıda yer alan çerçeve, bu yetenekleri onboarding → bölgeleme/segmentasyon → iletişim güvenliği → erişim yetkilendirmesi → görünürlük/telemetri → analitik/yanıt → yönetişim sırasıyla düzenler.
Böylece hem devreye alma hem de sürekli operasyon fazlarında uygulanabilir bir yol haritası elde edilebilir.
.png)
Temel Mimari Tasarım ve Bölgeleme Stratejisi (Zonning)
♦ Bölgelere ayırma: Tesis, farklı güvenlik seviyelerine sahip iş merkezleri ve risk etki alanlarına ayrılır.
♦ Geleneksel kademeli ve/veya hizmet tabanlı düzlem segmentasyonu uygulanır.
♦Yanal hareketi sınırlamak için mantıksal bölgeler kullanılarak yerleşke, kampüs, bina ve eklentilerde segmentasyon uygulanır.
♦Saha cihazları için endüstriyel PoE/PoDL, iç mekanda planlı LoRaWAN GW konumları, dış alanlarda NB‑IoT/Sigfox telemetri yoğunluk, kablolama ve RF planlaması yapılır.
♦ Tesis içi veri merkezi ve bulut arasında EVPN/VXLAN overlay, üretim OT verileri için endüstriyel kenar, kuzey-güney yönlü güvenli çift omurga (dual‑core), dağıtım ve erişim katmanları kurulur.
♦ Bölgeleme, tüm diğer kontrollerin yerleşeceği güvenlik sınırlarını ve trafiğin “normal” akış güzergahlarını tanımlar.
Çevresel ve İç Segment Savunması (Koruma Kabuğu)
♦ Ağları korumak için IT/OT – İç/Dış/Uygulama/Endüstriyel güvenlik duvarları, IPS/IDS, DDoS önleme kullanılır.
♦ Yanal hareketi engellemek için sanal ağlar (VLAN) segmentlere ayrılır.
♦ Ayrıntılı erişim kuralları ve politikaları, Operasyonel BT ve uygun olduğunda Kurumsal BT için oluşturulur ve OT ağ kaynaklarına uygulanır.
♦ L3/L4/L7 tam çok katmanlı segmentasyon, kimlik ve öznitelik tabanlı mikro‑segmentasyon (SDN/SDA), zon‑conduit modeline göre zorlanır.
Konumsal, mekansal ve mantıksal tipik sınırlar, OT ağının (tesis/mülkün) çevresini ve çalışma bölgelerini ifade etmektedir.
Sınır tanımları, toplam alan ve iş merkezi yükü açısından olabilir, ancak, değerlendirilmekte olan OT ağı buluta kadar uzanan ve ortak olarak kabul edilen ortam ve ekipmanların konfigürasyon unsurlarını da içerecektir.
Ayrıca IEC 62443 standart serisi, organizasyonel sınır güvenliği konusunu da açık bir şekilde ele alır ve fiziksel güvenliğe eşlik edecek kurumsal ve kavramsal önlemler talep eder.
Güvenlikle ilgili diğer birçok bağlamda da ortaya çıkan bir başka kavram, iç içe geçmiş Derinlemesine Savunma'dır (Defense-in-depth). Bu konsept tek bir güvenlik önleminin aşılarak yetkisiz erişime karşı varlıkların korunması için birden fazla güvenlik önlemi alınması anlamına gelir.
OT ağ güvenliği için sınırların etiketlenmesi, kelimenin tam anlamıyla, fiziksel bariyerlerden oluşan güvenlik çevrelerinin soğan kabuğu benzeri bir konfigürasyonda düzenlenmesi gerektiğini ifade etmektedir.
IEC 62443 standart serisi , OT ağlarının çeşitli alanlarının sınıflandırılabileceği dört koruma hiyerarşisi tanımlar. Örneğin, proses alanı, operasyon alanı, depolama alanı vb. bilgisayar sistem odalarına kıyasla farklı bir koruma sınıfı derecesine sahip olmalıdır.
Tesisin boyutundan veya amacından bağımsız olarak OT ağı mahalleri ve güzergahlarının her biri, belirli bir Koruma Sınıfı olarak belirlenir.
IEC 62264 standart serisi , ANSI ISA-95.00 , dört Koruma Sınıfından (PC) oluşan bu sistemi kullanır. En güçlü korumayı gerektiren varlıklar, erişim kazanma kriterlerinin en kısıtlayıcı olduğu en yüksek sınıf olan Koruma Sınıfı 4 (PC4)'te yer alacaktır.
Bu bağlamda OT ağlarında varlık yönetimi, tesis, mahaller ve güzergahlarının değerlendirileceği her bir hiyerarşik derecelendirme seviyesinde yukarıdan aşağıya veya dıştan içe doğru yapılacaktır.
Kenar ve ara bölge kontrolleri, temel bölgelemenin “zorlayıcı” mekanizmalarıdır.
Legacy Uyarısı: Düz (flat) L2 alanlarda PROFIBUS/USS/CANopen gibi seri saha-bus’lar (RS‑485/CAN) ve şifrelenmeyen Modbus RTU/TCP, BACnet/IP tek VLAN’da dolaşır. Bölgeleme çoğunlukla fiziksel ayırma/DMZ ile sınırlıdır.
Legacy Uyarısı: Dış çevrede tek güvenlik duvarı/IDS, Modbus/BACnet/PROFIBUS/CANopen trafiğinde derin paket denetimi (DPI) yapılamaz, içte yanal hareket kolaylaşır.
Erişim Kontrolleri ve Bağlam Temelli Yetkilendirme (Sıfır Güven İlkesi)
♦ Güvenli ağ erişim yönetimi (802.1X, NAC) ile ağ segmentleri korunur.
♦ Kullanıcı/cihaz/konum/varlık‑kritiklik/cihaz‑uyumluluk birleşik değerlendirme—zone‑conduit mikro‑kurallarına doğrudan yansır.
♦ Yerleşke/kampüs/bina genelinde tanımlanmış erişim politikalarını uygulamak için öznitelik ve davranış tabanlı uygulama kontrolleri devrededir.
♦ Kimlik/öznitelik-bazlı ayrıntılı erişim kuralları/politikaları, kim, nereden, hangi cihazla, hangi bağlamda erişir sorularına dinamik yanıt verir.
♦ RAMI 4.0 İletişim katmanında saha cihazlarının bağlı dünya ile güvenli bütünleşmesi için kampüs içinde LoRaWAN‑baz istasyonları ve Sigfox erişimi “edge‑to‑cloud” modeline göre yerleştirilir.
♦ NB‑IoT kullanılacaksa operatör çekirdeği üzerinden kurumsal DMZ’e sonlanacak şekilde tasarlanır.
♦ M2M APN/VPN uçları micro‑segmentation ile sınırlanır.
Böylece LPWAN akışları IT/OT zonlarına ayrı politikalarla bağlanır, LPWAN/M2M akışları “çevre + iç” katmanda savunulur.
Legacy Uyarısı: MAC/IP listeleri ve paylaşılan parolalar, seri bus tarafında (PROFIBUS/USS/CANopen) kimlik dogrulamayı neredeyse imkansız kılar. BACnet/IP ve Modbus/TCP’de şifreleme/kimlik yoktur.
İletişim Güvenliği ve Kriptografi (Makineden Makineye M2M)
♦ Sertifikalar kullanarak tüm ağ iletişimi (M2M dahil) şifrelenir.
♦ Programlanabilir iletişim yolları, Operasyonel BT ortamında uygulanır, segmentasyon ağ geçitleri ve kimlik doğrulama karar noktaları SDN’e entegre edilir.
♦ OT operasyonlarına riski en aza indirmek için, belirli iletişim yolları (SDN dahil) için gerekli API’ler/programatik arayüzler devreye almadan önce tanımlanır ve test edilir.
♦ NB‑IoT cihazları için SIM/eSIM tabanlı kimlik ve operatör doğrulaması yapılır ve 3GPP Rel‑13’le tanımlı hücresel güvenlik kullanılır.
♦ LoRaWAN’da OTAA ile cihaz‑başına AES‑128 kök anahtarından türetilen NwkSKey/AppSKey (Join‑Server) atanır ve uçtan uca şifrelenir.
♦ Sigfox’ta cihaz kimliği ve MAC doğrulaması yapılırak bölgesel kripto profilleri desteklenir.
♦ M2M için hat‑bazlı kimlik (IMSI/APN), TLS/DTLS ile uygulama‑katmanı şifreleme ve kurumsal IdP eşlemesi uygulanır.
Bu pratikler, RAMI 4.0’ın İletişim katmanındaki standartlaştırma/üniform veri formatı hedefiyle uyumluluk, Entegrasyon katmanlarında yetki kararlarına girdi sağlar.
İletişimin kimliği ve bütünlüğü sağlanmadan, segmentasyon ve erişim kontrolleri tek başına yeterli olmaz.
Legacy Uyarısı: Modbus/TCP, BACnet/IP, PROFINET ilk sürümleri şifresizdir. PROFIBUS/USS/CANopen kripto desteği yoktur.
Veri Akış Yönetimi ve Etiketleme (Gizlilik–Bütünlük–Kullanılabilirlik)
♦ Kalıcı ve geçici verileri kapsayan veri akış modelleri tanımlanır.
♦ Veri etiketleme modelleri uygulanır.
♦ Ayrıntılı bilgi akışı haritası geliştirilir.
♦ NB‑IoT’ta operatör çekirdeğinden gelen telemetri akışları veri sınıflarıyla etiketlenip kurumsal veri gölüne yönlenir.
♦LoRaWAN’da ağ‑sunucusu → uygulama‑sunucusu ayrımı sayesinde NwkSKey/AppSKey haritalamasıyla gizlilik/etiketleme ayrık taşınır.
♦ Sigfox’ta bulut servislerinden gelen payload akışları zone temelli ve düşük bant genişliği özellikleriyle işaretlenir.
♦ M2M’de akış etiketi APN/IMEI/eSIM’e bağlanır.
Hangi verinin nereden nereye gittiği bilinmeden kartografisi çıkarılamayan bir ağ, ne izlenebilir ne de denetlenebilir.
Legacy Uyarısı: Yayın/ağ keşif ağırlıklı BACnet/IP (BBMD, UDP) ve şifresiz Modbus için veri sınıflaması/etiketleme zayıftır.
Görünürlük, Telemetri ve Kayıt (Sürekli Doğrulama)
♦ OT hücrelerinde deterministik trafiğe uygun hassas zaman (PTP/1588) ve ağ genelinde NTP hiyerarşisi ile kesintisiz zaman senkronizasyonu sağlanır.
♦ Günlükler, standartlaştırılmış bir depoya aktarılır. (SIEM/SOAR)
♦ Analitik veriler, operasyon merkezlerine (NoC/SoC) ve analitik araçlara otomatik olarak gönderilir.
♦ LoRaWAN Join/Up/Down çerçeve sayaçları ve MIC doğrulamaları merkezi SIEM’e aktarılır.
♦ Sigfox’ta uplink tekrarlama ve bölgesel duty‑cycle parametreleri anomali eşiği olarak izlenir.
♦ NB‑IoT için hücresel taraf (PSM/eDRX olayları, bağlantı kesitleri) ile uygulama logları korele edilir.
♦ M2M’de operatör CDR/PGW logları ile kurumsal ağ kayıtları birleştirilir.
Bu pratikler, RAMI 4.0’da yaşam döngüsü boyunca gözlemlenebilirlik hedefini destekler.
Gözlemlenebilirlik olmadan anomaliyi yakalamak mümkün değildir. Bu adım ayrıca tüm analitiğin kaynağıdır.
Legacy Uyarısı: PROFIBUS/USS/CANopen (seri çerçeveler) ve Modbus/BACnet (düz metin) gibi saha cihazlarında sınırlı log, protokol düzeyinde görünürlüğü düşürür.
Analitik, Tehdit Koruması ve Otomasyon (Algılama–Yanıt)
♦ Makine öğrenmesi temelli tehdit koruması ve bağlam temelli sinyallerle filtreleme kullanılır.
♦ Davranış analizi motorları ile öznitelik/kalıp/işaret bazlı uygulama kontrolleri oluşturulur.
♦ Telemetri kör noktaları belirlenir ve giderilir.
♦ ML/UEBA ile LoRaWAN için anormal frame counter sıçramaları/OTAA anomalileri izlenir.
♦ Sigfox için mesaj sayısı/duty‑cycle ihlalleri izlenir.
♦ NB‑IoT için hücresel “sessizlik pencereleri” (PSM/eDRX) ile sensör telemetrisinin beklenen periyodu arasındaki sapmalar izlenir.
♦ M2M için APN bazlı akış profillerinde normal dışı hedefler otomatik yanıt kurallarını tetikler.
Bu pratikler, RAMI 4.0’ın katmanlar arası secure‑by‑design yaklaşımıyla uyumludur.
Sıfır Güven’in “sürekli değerlendirme” kısmı burada hayata geçer. ML/UEBA, OT ağlarında deterministik desenleri bozan ihlalleri yakalar.
Legacy Uyarısı: İmza‑tabanlı IDS’e bağımlılık,OT’ye özgü davranış analitiği yapamaz. Modbus/BACnet/PROFIBUS/CANopen protokol zafiyetleri hemen herkes tarafından kolayca istismar edilebilir.
Yönetişim, Operasyonel Tasarım ve Uygulama (Kurumlaştırma)
♦ Concept of Operations (ConOps) geliştirilir. Model‑dışı değişikliklere direnç, “config as code”, altın imajlar, imzalı konfigürasyon ve yaşam döngüsü boyunca uyumluluk sağlanır.
♦ ConOps’a “bağlantı türü‑bazlı politika” eklenir.
♦ OT ağ kaynaklarına, operasyonel prosedürlerle bağlanmış ayrıntılı erişim kuralları ve politikaları uygulanır.
♦ NB‑IoT, LoRaWAN, Sigfox, M2M için ayrı kabul, test ve yaşam döngüsü süreçleri tanımlanır.
♦ EoL/EoS cihazlar özelinde istisna yönetimi, izolasyon bölgeleri, kripto/sertifika uyumsuzlukları ve telemetri kör noktaları için politikalara ekler yapılır.
Yapılan düzenlemelerin tümü RAMI 4.0’ın İletişim katmanındaki standart‑haritalaması ve Bağlı-Dünya entegrasyon noktaları ile ilişkilendirilir.
Teknik kontrolleri süreçlerle birleştirmeden olgunluk sağlanamaz. ConOps, süreklilik ve denetlenebilirliği güvenceye alır.
Legacy Uyarısı: Tedarikçi‑varsayılan ayarları veya ad‑hoc protokol geçişleri OT ağlarında yaşam döngüsü yönetimini zayıflatır.
İleri Seviye ve Üst Düzey Kontroller
♦ OT ortamında topyekün mikro segmentasyon uygulanır.
♦ Mikro segmentasyon, kişisel varlıklar, kişi olmayan varlıklar ve uç noktalar için rol, özellik ve koşula dayalı erişim denetimleri, ağ kaynakları için ayrıcalıklı erişim yönetimi hizmetleri, API erişiminde politika tabanlı denetim ve mantıksal ağ bölgeleri kullanılarak tüm bilgi akışında uygulanır.
♦ İnsan onayı sonrasında Yapay Zeka destekli otomatik politika değişiklikleri etkinleştirilir.
♦ Veriler, OT ortamında aktarım sırasında (in-transit) politika bazlı dinlenir, izlenir ve korunur.
Virtual patching, özellikle üretim ekipmanları ve OT cihazları gibi anlık yamalanması mümkün olmayan veya yama uygulanması üretimi durduracak varlıklar için geçici bir koruma katmanıdır. RAMI 4.0’ın İletişim ve Entegrasyon katmanları doğrultusunda, bu yaklaşım fiziksel yamayı beklemeden, tehditleri ağ seviyesinde (mikro‑segmentasyon, DPI, kural tabanlı engelleme, imza/alışkanlık analizi) durdurarak güvenliği sürdürür. Böylece varlığın dijital temsili (Administration Shell) üzerinde güvenlik durumu korunurken, üretim sürekliliği de riske atılmaz.
♦ Bölgelere ayırma: Tesis, farklı güvenlik seviyelerine sahip iş merkezleri ve risk etki alanlarına ayrılır.
♦ Geleneksel kademeli ve/veya hizmet tabanlı düzlem segmentasyonu uygulanır.
♦Yanal hareketi sınırlamak için mantıksal bölgeler kullanılarak yerleşke, kampüs, bina ve eklentilerde segmentasyon uygulanır.
♦Saha cihazları için endüstriyel PoE/PoDL, iç mekanda planlı LoRaWAN GW konumları, dış alanlarda NB‑IoT/Sigfox telemetri yoğunluk, kablolama ve RF planlaması yapılır.
♦ Tesis içi veri merkezi ve bulut arasında EVPN/VXLAN overlay, üretim OT verileri için endüstriyel kenar, kuzey-güney yönlü güvenli çift omurga (dual‑core), dağıtım ve erişim katmanları kurulur.
♦ Bölgeleme, tüm diğer kontrollerin yerleşeceği güvenlik sınırlarını ve trafiğin “normal” akış güzergahlarını tanımlar.
Çevresel ve İç Segment Savunması (Koruma Kabuğu)
♦ Ağları korumak için IT/OT – İç/Dış/Uygulama/Endüstriyel güvenlik duvarları, IPS/IDS, DDoS önleme kullanılır.
♦ Yanal hareketi engellemek için sanal ağlar (VLAN) segmentlere ayrılır.
♦ Ayrıntılı erişim kuralları ve politikaları, Operasyonel BT ve uygun olduğunda Kurumsal BT için oluşturulur ve OT ağ kaynaklarına uygulanır.
♦ L3/L4/L7 tam çok katmanlı segmentasyon, kimlik ve öznitelik tabanlı mikro‑segmentasyon (SDN/SDA), zon‑conduit modeline göre zorlanır.
Konumsal, mekansal ve mantıksal tipik sınırlar, OT ağının (tesis/mülkün) çevresini ve çalışma bölgelerini ifade etmektedir.
Sınır tanımları, toplam alan ve iş merkezi yükü açısından olabilir, ancak, değerlendirilmekte olan OT ağı buluta kadar uzanan ve ortak olarak kabul edilen ortam ve ekipmanların konfigürasyon unsurlarını da içerecektir.
Ayrıca IEC 62443 standart serisi, organizasyonel sınır güvenliği konusunu da açık bir şekilde ele alır ve fiziksel güvenliğe eşlik edecek kurumsal ve kavramsal önlemler talep eder.
Güvenlikle ilgili diğer birçok bağlamda da ortaya çıkan bir başka kavram, iç içe geçmiş Derinlemesine Savunma'dır (Defense-in-depth). Bu konsept tek bir güvenlik önleminin aşılarak yetkisiz erişime karşı varlıkların korunması için birden fazla güvenlik önlemi alınması anlamına gelir.
OT ağ güvenliği için sınırların etiketlenmesi, kelimenin tam anlamıyla, fiziksel bariyerlerden oluşan güvenlik çevrelerinin soğan kabuğu benzeri bir konfigürasyonda düzenlenmesi gerektiğini ifade etmektedir.
Tesisin boyutundan veya amacından bağımsız olarak OT ağı mahalleri ve güzergahlarının her biri, belirli bir Koruma Sınıfı olarak belirlenir.
IEC 62264 standart serisi , ANSI ISA-95.00 , dört Koruma Sınıfından (PC) oluşan bu sistemi kullanır. En güçlü korumayı gerektiren varlıklar, erişim kazanma kriterlerinin en kısıtlayıcı olduğu en yüksek sınıf olan Koruma Sınıfı 4 (PC4)'te yer alacaktır.
Bu bağlamda OT ağlarında varlık yönetimi, tesis, mahaller ve güzergahlarının değerlendirileceği her bir hiyerarşik derecelendirme seviyesinde yukarıdan aşağıya veya dıştan içe doğru yapılacaktır.
Kenar ve ara bölge kontrolleri, temel bölgelemenin “zorlayıcı” mekanizmalarıdır.
Legacy Uyarısı: Düz (flat) L2 alanlarda PROFIBUS/USS/CANopen gibi seri saha-bus’lar (RS‑485/CAN) ve şifrelenmeyen Modbus RTU/TCP, BACnet/IP tek VLAN’da dolaşır. Bölgeleme çoğunlukla fiziksel ayırma/DMZ ile sınırlıdır.
Legacy Uyarısı: Dış çevrede tek güvenlik duvarı/IDS, Modbus/BACnet/PROFIBUS/CANopen trafiğinde derin paket denetimi (DPI) yapılamaz, içte yanal hareket kolaylaşır.
Erişim Kontrolleri ve Bağlam Temelli Yetkilendirme (Sıfır Güven İlkesi)
♦ Güvenli ağ erişim yönetimi (802.1X, NAC) ile ağ segmentleri korunur.
♦ Kullanıcı/cihaz/konum/varlık‑kritiklik/cihaz‑uyumluluk birleşik değerlendirme—zone‑conduit mikro‑kurallarına doğrudan yansır.
♦ Yerleşke/kampüs/bina genelinde tanımlanmış erişim politikalarını uygulamak için öznitelik ve davranış tabanlı uygulama kontrolleri devrededir.
♦ Kimlik/öznitelik-bazlı ayrıntılı erişim kuralları/politikaları, kim, nereden, hangi cihazla, hangi bağlamda erişir sorularına dinamik yanıt verir.
♦ RAMI 4.0 İletişim katmanında saha cihazlarının bağlı dünya ile güvenli bütünleşmesi için kampüs içinde LoRaWAN‑baz istasyonları ve Sigfox erişimi “edge‑to‑cloud” modeline göre yerleştirilir.
♦ NB‑IoT kullanılacaksa operatör çekirdeği üzerinden kurumsal DMZ’e sonlanacak şekilde tasarlanır.
♦ M2M APN/VPN uçları micro‑segmentation ile sınırlanır.
Böylece LPWAN akışları IT/OT zonlarına ayrı politikalarla bağlanır, LPWAN/M2M akışları “çevre + iç” katmanda savunulur.
Legacy Uyarısı: MAC/IP listeleri ve paylaşılan parolalar, seri bus tarafında (PROFIBUS/USS/CANopen) kimlik dogrulamayı neredeyse imkansız kılar. BACnet/IP ve Modbus/TCP’de şifreleme/kimlik yoktur.
İletişim Güvenliği ve Kriptografi (Makineden Makineye M2M)
♦ Sertifikalar kullanarak tüm ağ iletişimi (M2M dahil) şifrelenir.
♦ Programlanabilir iletişim yolları, Operasyonel BT ortamında uygulanır, segmentasyon ağ geçitleri ve kimlik doğrulama karar noktaları SDN’e entegre edilir.
♦ OT operasyonlarına riski en aza indirmek için, belirli iletişim yolları (SDN dahil) için gerekli API’ler/programatik arayüzler devreye almadan önce tanımlanır ve test edilir.
♦ NB‑IoT cihazları için SIM/eSIM tabanlı kimlik ve operatör doğrulaması yapılır ve 3GPP Rel‑13’le tanımlı hücresel güvenlik kullanılır.
♦ LoRaWAN’da OTAA ile cihaz‑başına AES‑128 kök anahtarından türetilen NwkSKey/AppSKey (Join‑Server) atanır ve uçtan uca şifrelenir.
♦ Sigfox’ta cihaz kimliği ve MAC doğrulaması yapılırak bölgesel kripto profilleri desteklenir.
♦ M2M için hat‑bazlı kimlik (IMSI/APN), TLS/DTLS ile uygulama‑katmanı şifreleme ve kurumsal IdP eşlemesi uygulanır.
Bu pratikler, RAMI 4.0’ın İletişim katmanındaki standartlaştırma/üniform veri formatı hedefiyle uyumluluk, Entegrasyon katmanlarında yetki kararlarına girdi sağlar.
İletişimin kimliği ve bütünlüğü sağlanmadan, segmentasyon ve erişim kontrolleri tek başına yeterli olmaz.
Legacy Uyarısı: Modbus/TCP, BACnet/IP, PROFINET ilk sürümleri şifresizdir. PROFIBUS/USS/CANopen kripto desteği yoktur.
Veri Akış Yönetimi ve Etiketleme (Gizlilik–Bütünlük–Kullanılabilirlik)
♦ Kalıcı ve geçici verileri kapsayan veri akış modelleri tanımlanır.
♦ Veri etiketleme modelleri uygulanır.
♦ Ayrıntılı bilgi akışı haritası geliştirilir.
♦ NB‑IoT’ta operatör çekirdeğinden gelen telemetri akışları veri sınıflarıyla etiketlenip kurumsal veri gölüne yönlenir.
♦LoRaWAN’da ağ‑sunucusu → uygulama‑sunucusu ayrımı sayesinde NwkSKey/AppSKey haritalamasıyla gizlilik/etiketleme ayrık taşınır.
♦ Sigfox’ta bulut servislerinden gelen payload akışları zone temelli ve düşük bant genişliği özellikleriyle işaretlenir.
♦ M2M’de akış etiketi APN/IMEI/eSIM’e bağlanır.
Hangi verinin nereden nereye gittiği bilinmeden kartografisi çıkarılamayan bir ağ, ne izlenebilir ne de denetlenebilir.
Legacy Uyarısı: Yayın/ağ keşif ağırlıklı BACnet/IP (BBMD, UDP) ve şifresiz Modbus için veri sınıflaması/etiketleme zayıftır.
Görünürlük, Telemetri ve Kayıt (Sürekli Doğrulama)
♦ OT hücrelerinde deterministik trafiğe uygun hassas zaman (PTP/1588) ve ağ genelinde NTP hiyerarşisi ile kesintisiz zaman senkronizasyonu sağlanır.
♦ Günlükler, standartlaştırılmış bir depoya aktarılır. (SIEM/SOAR)
♦ Analitik veriler, operasyon merkezlerine (NoC/SoC) ve analitik araçlara otomatik olarak gönderilir.
♦ LoRaWAN Join/Up/Down çerçeve sayaçları ve MIC doğrulamaları merkezi SIEM’e aktarılır.
♦ Sigfox’ta uplink tekrarlama ve bölgesel duty‑cycle parametreleri anomali eşiği olarak izlenir.
♦ NB‑IoT için hücresel taraf (PSM/eDRX olayları, bağlantı kesitleri) ile uygulama logları korele edilir.
♦ M2M’de operatör CDR/PGW logları ile kurumsal ağ kayıtları birleştirilir.
Bu pratikler, RAMI 4.0’da yaşam döngüsü boyunca gözlemlenebilirlik hedefini destekler.
Gözlemlenebilirlik olmadan anomaliyi yakalamak mümkün değildir. Bu adım ayrıca tüm analitiğin kaynağıdır.
Legacy Uyarısı: PROFIBUS/USS/CANopen (seri çerçeveler) ve Modbus/BACnet (düz metin) gibi saha cihazlarında sınırlı log, protokol düzeyinde görünürlüğü düşürür.
Analitik, Tehdit Koruması ve Otomasyon (Algılama–Yanıt)
♦ Makine öğrenmesi temelli tehdit koruması ve bağlam temelli sinyallerle filtreleme kullanılır.
♦ Davranış analizi motorları ile öznitelik/kalıp/işaret bazlı uygulama kontrolleri oluşturulur.
♦ Telemetri kör noktaları belirlenir ve giderilir.
♦ ML/UEBA ile LoRaWAN için anormal frame counter sıçramaları/OTAA anomalileri izlenir.
♦ Sigfox için mesaj sayısı/duty‑cycle ihlalleri izlenir.
♦ NB‑IoT için hücresel “sessizlik pencereleri” (PSM/eDRX) ile sensör telemetrisinin beklenen periyodu arasındaki sapmalar izlenir.
♦ M2M için APN bazlı akış profillerinde normal dışı hedefler otomatik yanıt kurallarını tetikler.
Bu pratikler, RAMI 4.0’ın katmanlar arası secure‑by‑design yaklaşımıyla uyumludur.
Sıfır Güven’in “sürekli değerlendirme” kısmı burada hayata geçer. ML/UEBA, OT ağlarında deterministik desenleri bozan ihlalleri yakalar.
Legacy Uyarısı: İmza‑tabanlı IDS’e bağımlılık,OT’ye özgü davranış analitiği yapamaz. Modbus/BACnet/PROFIBUS/CANopen protokol zafiyetleri hemen herkes tarafından kolayca istismar edilebilir.
Yönetişim, Operasyonel Tasarım ve Uygulama (Kurumlaştırma)
♦ Concept of Operations (ConOps) geliştirilir. Model‑dışı değişikliklere direnç, “config as code”, altın imajlar, imzalı konfigürasyon ve yaşam döngüsü boyunca uyumluluk sağlanır.
♦ ConOps’a “bağlantı türü‑bazlı politika” eklenir.
♦ OT ağ kaynaklarına, operasyonel prosedürlerle bağlanmış ayrıntılı erişim kuralları ve politikaları uygulanır.
♦ NB‑IoT, LoRaWAN, Sigfox, M2M için ayrı kabul, test ve yaşam döngüsü süreçleri tanımlanır.
♦ EoL/EoS cihazlar özelinde istisna yönetimi, izolasyon bölgeleri, kripto/sertifika uyumsuzlukları ve telemetri kör noktaları için politikalara ekler yapılır.
Yapılan düzenlemelerin tümü RAMI 4.0’ın İletişim katmanındaki standart‑haritalaması ve Bağlı-Dünya entegrasyon noktaları ile ilişkilendirilir.
Teknik kontrolleri süreçlerle birleştirmeden olgunluk sağlanamaz. ConOps, süreklilik ve denetlenebilirliği güvenceye alır.
Legacy Uyarısı: Tedarikçi‑varsayılan ayarları veya ad‑hoc protokol geçişleri OT ağlarında yaşam döngüsü yönetimini zayıflatır.
İleri Seviye ve Üst Düzey Kontroller
♦ OT ortamında topyekün mikro segmentasyon uygulanır.
♦ Mikro segmentasyon, kişisel varlıklar, kişi olmayan varlıklar ve uç noktalar için rol, özellik ve koşula dayalı erişim denetimleri, ağ kaynakları için ayrıcalıklı erişim yönetimi hizmetleri, API erişiminde politika tabanlı denetim ve mantıksal ağ bölgeleri kullanılarak tüm bilgi akışında uygulanır.
♦ İnsan onayı sonrasında Yapay Zeka destekli otomatik politika değişiklikleri etkinleştirilir.
♦ Veriler, OT ortamında aktarım sırasında (in-transit) politika bazlı dinlenir, izlenir ve korunur.
Virtual patching, özellikle üretim ekipmanları ve OT cihazları gibi anlık yamalanması mümkün olmayan veya yama uygulanması üretimi durduracak varlıklar için geçici bir koruma katmanıdır. RAMI 4.0’ın İletişim ve Entegrasyon katmanları doğrultusunda, bu yaklaşım fiziksel yamayı beklemeden, tehditleri ağ seviyesinde (mikro‑segmentasyon, DPI, kural tabanlı engelleme, imza/alışkanlık analizi) durdurarak güvenliği sürdürür. Böylece varlığın dijital temsili (Administration Shell) üzerinde güvenlik durumu korunurken, üretim sürekliliği de riske atılmaz.
Paylaş:
SON YAZILAR
ETP Yangın Güvenliği Teknik Kılavuzlar Bölüm-3
07 Nisan 2026
Operasyonel Teknoloji (OT) için Sıfır Güven - Bölüm 3
06 Nisan 2026
Türkiye, Dünyanın En Az Gülümseyen Ülkesi!
05 Nisan 2026
E-BÜLTEN KAYIT
Güncel makalelerimizden haberdar olmak için e-bültene kayıt olun!
Güncel makalelerimizden haberdar olmak için e-bültene kayıt olun!