Fortinet ile Zero Trust Network Architecture Nasıl Kurgulanır? Rehber (2026)

Fortinet ile Zero Trust Network Architecture kurmak, klasik VPN tünelini başka bir ürünle değiştirmek değildir. Güçlü model; kullanıcı kimliğini, cihaz kimliğini, güvenlik duruşunu, uygulama seviyesinde erişimi ve merkezi politika yönetimini aynı akışta birleştirmektir. Kısa cevap şudur: Fortinet tarafında doğru Zero Trust mimarisi, FortiGate'i trust broker olarak konumlandırır; FortiClient EMS ile cihaz güveni kurar, posture tag'lerle erişimi daraltır, access proxy üzerinden uygulama bazlı kontrol sağlar ve SSL VPN'den aşamalı göçle operasyonel riski düşürür.

Bu rehber özellikle şu ekipler içindir:

• ağ ve güvenlik ekipleri
• FortiGate ve FortiClient yöneticileri
• uzaktan erişim mimarisini yeniden tasarlayan BT liderleri
• Zero Trust yaklaşımını politika ve uygulama katmanında birlikte kurmak isteyen kurumlar

Hızlı Özet

• Fortinet'in What is ZTNA? konsept rehberi, Zero Trust yaklaşımında hiçbir kullanıcı veya cihazın doğrulanıp posture uyumu görülmeden güvenilmemesi gerektiğini açıkça söyler.
• FortiOS 7.6.5 dokümanına göre ZTNA; cihaz kimliği, kullanıcı doğrulaması ve security posture tag'leri ile role-based application access sağlar.
• Fortinet'in access proxy örneğinde FortiGate, kullanıcı kimliği, cihaz kimliği ve trust context doğrulanmadan korunan web uygulamasına erişim vermez.
• SSL VPN'den ZTNA'ya geçiş rehberi, uzak kullanıcının tünel yerine HTTPS access proxy'ye bağlanıp istemci sertifikası ve posture check üzerinden doğrulanmasını tarif eder.
• Fortinet 7.2.4 yönetim kılavuzunda ZTNA için 50 thousand concurrent endpoint desteği dokümante edilir.
• Fortinet 7.6.0 kılavuzu, 2 GB RAM veya daha düşük modelllerde 7.4.4 sonrasında ZTNA'nın desteklenmediğini, sağlıklı çalışma için en az 4 GB RAM önerildiğini belirtir.

İçindekiler

• Fortinet İçin Zero Trust Network Architecture Ne Demektir?
• Temel Bileşenler Nasıl Konumlanır?
• Erişim Politikası ve Mikro Segmentasyon Nasıl Kurulur?
• SSL VPN'den ZTNA'ya Geçiş Nasıl Planlanmalıdır?
• Kapasite ve Platform Sınırları Neden Baştan Kontrol Edilmelidir?
• En Sık Yapılan Hatalar Nelerdir?
• İlgili İçerikler
• Kontrol Listesi
• LeonX ile Sonraki Adım
• Sık Sorulan Sorular
• Kaynaklar

Görsel: Wikimedia Commons - Network Diagram.

Fortinet İçin Zero Trust Network Architecture Ne Demektir?

Fortinet'in resmi ZTNA konsept rehberi, Zero Trust yaklaşımını net biçimde tanımlar: kullanıcı ve cihaz, kimlikleri ve güvenlik duruşları doğrulanana kadar güvenilmez kabul edilir. Bu bakış açısı, kurumsal mimaride çok kritik bir fark yaratır. Klasik VPN modelinde kullanıcı çoğu zaman ağa girer ve ardından hangi kaynağa ne kadar erişeceği kontrol edilir. ZTNA modelinde ise erişim ağ bazında değil, uygulama ve oturum bazında verilir.

Bu yüzden Fortinet ile Zero Trust mimarisi kurarken asıl tasarım soruları şunlardır:

• kullanıcı kimliği nerede doğrulanacak
• cihaz güveni hangi sistem üzerinden gelecek
• güvenlik posture bilgisi hangi koşullarda erişime dönüşecek
• erişim ağ segmentine mi, uygulamaya mı verilecek
• bu model log, denetim ve review tarafında nasıl izlenecek

Pratikte doğru Zero Trust Network Architecture şu katmanları birlikte içerir:

• kimlik doğrulama
• cihaz sertifikası ve cihaz kaydı
• posture tag ve risk bağlamı
• access proxy üzerinden uygulama bazlı erişim
• role-based policy
• loglama ve olay korelasyonu

Temel Bileşenler Nasıl Konumlanır?

1. FortiGate trust broker rolünü üstlenir

Fortinet'in ZTNA konsept rehberi, FortiGate'i trust broker olarak konumlandırır. Bu şu anlama gelir: erişim kararı yalnız IP veya subnet bazlı verilmez; kimlik, cihaz ve posture birlikte değerlendirilir.

Bu modelde FortiGate:

• erişim isteğini karşılar
• kimlik ve cihaz bilgilerini yorumlar
• ilgili ZTNA kuralını uygular
• yalnız ilgili uygulama veya kaynağa geçiş verir

Bu nedenle Zero Trust mimarisi yalnız firewall kural seti değildir; aynı zamanda güven kararını merkezileştiren uygulama erişim düzlemidir.

2. FortiClient EMS cihaz güvenini taşır

Fortinet dokümantasyonuna göre EMS, endpoint'ten aşağıdaki bilgileri alır:

• cihaz bilgisi
• oturum açmış kullanıcı bilgisi
• güvenlik posture bilgisi

FortiClient, EMS'e kayıt olduğunda istemci cihaz sertifikası da alabilir. Bu, mimaride çok değerlidir çünkü yalnız kullanıcı adı ve parola ile değil, cihazın kendisiyle de güven ilişkisi kurulmuş olur.

3. Access proxy mimarinin uygulama katmanıdır

Fortinet'in ZTNA HTTPS access proxy example içeriği, access proxy'nin korunan web sunucu adına reverse proxy gibi çalıştığını ve erişim vermeden önce kullanıcı kimliği, cihaz kimliği ve trust context doğruladığını açıkça gösterir.

Bu yaklaşım şu avantajı sağlar:

• kullanıcıya tüm ağı açmaz
• yalnız ilgili uygulamaya erişim verir
• role ve posture bazlı daha dar erişim alanı oluşturur
• lateral movement riskini düşürür

Erişim Politikası ve Mikro Segmentasyon Nasıl Kurulur?

FortiOS 7.6.5 ZTNA introduction dokümanı, ZTNA'nın device identification, authentication ve security posture tag'leri ile role-based application access sağladığını açıkça söyler. Buradaki kritik ifade “application access”tir. Yani amaç “kullanıcı ofis ağına bağlandı” değil, “kullanıcı bu uygulamaya şu koşullarla erişebiliyor” modelidir.

Sağlıklı politika tasarımı için şu ayrımlar net olmalıdır:

Uygulama seviyesi erişim

Her kaynak için ayrı erişim düzeyi tanımlanmalıdır:

• ERP
• intranet
• yönetim panelleri
• geliştirici araçları
• üçüncü taraf SaaS geçişleri

Rol bazlı erişim

Aynı uygulamaya herkes aynı hakla girmemelidir. Fortinet'in temel ZTNA kural yapısı, security posture tag veya tag groups ile erişimi sınırlandırmayı destekler. Bu da Zero Trust rol bazlı erişim mantığını gerçek politikaya dönüştürür.

Mikro segmentasyon ve politika standardı

Zero Trust sadece uzaktan erişim için düşünülmemelidir. İç ağda da aynı mantığın uzantısı gerekir. Bu noktada İş ve Yönetim Hizmetleri altında sunduğumuz Ağ Güvenlik Politika Yönetimi çalışmaları, policy standardının yazılı ve gözden geçirilebilir hale gelmesini sağlar. Uygulama tarafındaki cihaz ve entegrasyon kurulumu için Donanım & Yazılım Hizmetleri ve Router, Switch ve Firewall Kurulum Hizmeti doğrudan ilgili altyapı katmanını tamamlar.

SSL VPN'den ZTNA'ya Geçiş Nasıl Planlanmalıdır?

Fortinet'in Migrating from SSL VPN to ZTNA rehberi, eski tunnel veya web portal modelinden daha kontrollü bir geçiş akışı sunar. Dokümana göre kullanıcı artık SSL VPN tüneline değil, HTTPS access proxy'ye bağlanır ve erişim ancak şu adımlar sonrası verilir:

1. FortiClient EMS bağlantısı
2. ZTNA tag kurgusu
3. EMS erişimi için gerekli yayınlama
4. ZTNA server tanımı
5. authentication scheme ve rule tanımı

Geçiş modelinin kritik avantajları şunlardır:

• istemci sertifikası ile cihaz doğrulaması eklenir
• posture check ile cihaz uyumu erişim kararına bağlanır
• kullanıcıya tüm ağa değil, ilgili kaynağa erişim verilir
• eski SSL VPN politikaları aşamalı kapatılabilir

Bu nedenle en güvenli yöntem “VPN'i bir gecede kapatıp ZTNA açmak” değildir. Önce şu kontroller yapılmalıdır:

• desteklenen FortiClient sürümleri kuruldu mu
• endpoint'ler EMS'e kayıt olabiliyor mu
• kullanıcı grupları yeniden kullanılabilir mi
• access proxy trafiği pilot kullanıcılarla test edildi mi
• eski SSL VPN kuralları parça parça kapatılabiliyor mu

Kapasite ve Platform Sınırları Neden Baştan Kontrol Edilmelidir?

50 bin endpoint desteği neyi değiştirir?

Fortinet 7.2.4 yönetim kılavuzu, ZTNA scalability tarafında 50 thousand concurrent endpoints desteğini açık biçimde dokümante eder. Bu, özellikle büyük kampüsler veya çok sayıda uzak kullanıcıya sahip kurumlar için önemlidir. Ancak bu sayı yalnız pazarlama verisi olarak değil, EMS-FortiGate veri akışı ve tag cache mantığıyla birlikte değerlendirilmelidir.

2 GB RAM sınırı neden kritiktir?

Fortinet 7.6.0 administration guide, 7.4.4 ve sonrası için 2 GB RAM veya daha düşük modellerde ZTNA dahil proxy tabanlı özelliklerin desteklenmediğini söylüyor. Aynı rehber, sağlıklı çalışma için en az 4 GB RAM tavsiye eder.

Bu şu anlama gelir:

• Zero Trust planı cihaz modelinden bağımsız düşünülemez
• küçük şube cihazları aynı capability set'i vermez
• rollout öncesi donanım envanteri gözden geçirilmelidir

Bu yüzden mimari kararı yalnız güvenlik hedefiyle değil, platform yeterliliğiyle birlikte alınmalıdır.

En Sık Yapılan Hatalar Nelerdir?

ZTNA'yı sadece VPN alternatifi sanmak

ZTNA, sadece yeni erişim yöntemi değil; kimlik, cihaz ve uygulama bazlı politika modelidir. Sadece “VPN yerine bunu açalım” yaklaşımı eksik kalır.

EMS ve posture bilgisini ikincil görmek

Endpoint güveni ve posture check olmadan Zero Trust mimarisi kağıt üstünde kalır. Kullanıcı doğrulaması tek başına yeterli değildir.

Tüm uygulamaları tek policy altında toplamak

Role-based access ve uygulama bazlı ayrım yapılmazsa Zero Trust mantığı zayıflar.

Donanım sınırlarını geç fark etmek

2 GB RAM sınırlaması veya proxy tabanlı özellik gereksinimleri baştan değerlendirilmezse proje tasarımı saha aşamasında kırılır.

SSL VPN'den geçişi aşamasız planlamak

Pilot, tag doğrulaması ve access proxy testi olmadan yapılan göçler kullanıcı deneyimi ve operasyon yükü üretir.

İlgili İçerikler

• Fortinet Firewall Nasıl Çalışır? FortiGate Packet Flow Rehberi
• FortiGate SSL Inspection Nedir ve Nasıl Planlanır?
• FortiGate VLAN Configuration Nasıl Yapılır? Rehber
• Siber Güvenlik Danışmanlığı: KOBİ’ler İçin 2026 Kontrol Listesi

Kontrol Listesi

• FortiGate'in trust broker rolü ve hedef uygulamalar netleştirildi
• EMS bağlantısı, cihaz sertifikası ve posture tag modeli doğrulandı
• ZTNA access proxy pilot ortamda test edildi
• SSL VPN'den geçiş için aşamalı kapatma planı hazırlandı
• cihaz envanterinde 2 GB ve altı RAM sınırı kontrol edildi
• role-based application access politikaları yazılı hale getirildi
• loglama ve olay korelasyonu için SIEM akışı belirlendi
• iletişim, teklif ve rollout takvimi sahipleri tanımlandı

LeonX ile Sonraki Adım

Fortinet ile Zero Trust Network Architecture kurmak, tek ekranda birkaç obje açmaktan ibaret değildir; politika standardı, cihaz güveni, access proxy tasarımı ve aşamalı geçiş planının birlikte yönetilmesini gerektirir. LeonX, İş ve Yönetim Hizmetleri altında özellikle Ağ Güvenlik Politika Yönetimi ile Zero Trust karar modelini yazılı hale getirir; teknik devreye alma tarafında ise Donanım & Yazılım Hizmetleri ve Router, Switch ve Firewall Kurulum Hizmeti ile Fortinet altyapınızı uygulama bazlı erişim modeline taşır. Mevcut ortamı değerlendirmek veya teklif almak için İletişim sayfasından ilerleyebilirsiniz.

İlgili sayfalar:

• İş ve Yönetim Hizmetleri
• Ağ Güvenlik Politika Yönetimi
• Donanım & Yazılım Hizmetleri
• Router, Switch ve Firewall Kurulum Hizmeti
• İletişim

Sık Sorulan Sorular

Fortinet ile Zero Trust Network Architecture kurmak için ilk bileşen nedir?

FortiGate, EMS ve istemci tarafındaki cihaz güveni birlikte düşünülmelidir. Tek başına firewall kuralı yeterli değildir.

ZTNA ile VPN tamamen aynı işi mi yapar?

Hayır. ZTNA ağ erişimi değil, uygulama bazlı ve posture kontrollü erişim verir.

Fortinet tarafında posture tag neden önemlidir?

Çünkü erişim kararı yalnız kullanıcıya göre değil, cihazın güvenlik duruşuna göre de verilir.

Küçük şube cihazlarında ZTNA her zaman çalışır mı?

Hayır. Fortinet dokümantasyonuna göre 2 GB RAM ve altı modellerde 7.4.4 sonrası ZTNA desteklenmez.

SSL VPN'den ZTNA'ya tek adımda geçmek doğru mu?

Hayır. Pilot kullanıcı, EMS kayıt doğrulaması ve access proxy testleriyle aşamalı geçiş daha güvenlidir.

Sonuç

Fortinet ile Zero Trust Network Architecture, kullanıcı ve cihazı aynı anda doğrulayan, erişimi uygulama bazında daraltan ve posture bilgisini gerçek politika kararına dönüştüren bir modeldir. Sağlam yaklaşım; EMS, access proxy, role-based access, kapasite kontrolü ve SSL VPN'den aşamalı geçiş adımlarını aynı mimari plan altında toplamaktır.

Kaynaklar

• Fortinet Document Library - What is ZTNA?
• Fortinet Document Library - Zero Trust Network Access introduction (FortiGate / FortiOS 7.6.5)
• Fortinet Document Library - Basic ZTNA configuration (FortiGate / FortiOS 7.4.7)
• Fortinet Document Library - ZTNA HTTPS access proxy example (FortiGate / FortiOS 7.6.4)
• Fortinet Document Library - Migrating from SSL VPN to ZTNA (FortiGate / FortiOS 7.2.0)
• Fortinet Document Library - ZTNA scalability support for up to 50 thousand concurrent endpoints (FortiGate / FortiOS 7.2.4)
• Fortinet Document Library - Proxy-related features not supported on FortiGate 2 GB RAM models (FortiGate / FortiOS 7.6.0)
• Wikimedia Commons - Network Diagram