Geleneksel VPN mimarilerinde tünel çoğu zaman kimlik politikasından ayrı yönetilir. Bir tarafta kurumsal dizin, diğer tarafta VPN doğrulama sistemi, ayrıca MFA servisi, cihaz güveni için başka bir araç ve denetim için ayrı log hattı bulunur. Bu parçalı yapı, uzak erişimi güvenli olmaktan çok operasyonel olarak kırılgan hâle getirir.
Kullanıcının doğru parolayı bilmesi tek başına yeterli değildir. Cihaz yönetiliyor mu, disk şifrelemesi açık mı, güvenlik yazılımı güncel mi, kullanıcı doğru grupta mı, kaynak IP veya zaman aralığı riskli mi? Bu sorular tünel açılmadan önce cevaplanmıyorsa VPN, kurumsal ağı genişleten kontrolsüz bir kapıya dönüşür.
Split tunneling, tam tünel ve segment bazlı erişim de yalnızca ağ rotası meselesi değildir. Finans kullanıcısı ile yüklenici aynı ağa erişmemelidir; yönetilen kurumsal cihaz ile kişisel cihaz aynı yetkiye sahip olmamalıdır. Tünel politikası kimlik, grup ve cihaz güveniyle birlikte tasarlanmadığında erişim kapsamı gereğinden geniş kalır.
Operasyon tarafında da sorun büyür. SSL VPN, IKEv2, MFA, grup politikası, oturum kaydı ve SIEM aktarımı ayrı ayrı yönetilirse güvenlik ekibi olay anında bütün resmi göremez. Kimin bağlandığı, hangi cihazla bağlandığı, hangi segmentlere eriştiği ve bağlantının neden kesildiği tek denetim izinde görünmelidir.
TR7 AAM'in yaklaşımı, VPN erişimini ayrı bir ağ servisi olarak değil; kimlik, MFA, cihaz postürü, koşullu erişim ve denetim kararlarının birleştiği kontrollü uzak erişim katmanı olarak ele alır.
TR7 AAM, istemcili uzak erişimi protokol seçiminden önce kimlik, cihaz güveni ve erişim kapsamı kararı olarak değerlendirir.
Kullanıcı LDAP/AD, RADIUS, OIDC, SAML veya lokal kullanıcı kaynağı üzerinden doğrulanabilir. Aynı kimlik kararı, SSL VPN veya IKEv2 gibi istemcili erişim seçenekleri için ortak politika temeli oluşturur.
Cihaz güven skoru, koşullu erişim kararının parçası olarak ele alınır. Yönetilen cihazlara geniş erişim, kişisel cihazlara kısıtlı erişim, güvensiz cihazlara ise erişim reddi modeli uygulanabilir.
TLS tabanlı SSL VPN yaklaşımı, port 443 üzerinden çalıştığı için kurumsal güvenlik duvarı ve proxy ortamlarında geçiş kolaylığı sağlar. Split tunneling veya tam tünel kararı politika modeline bağlanabilir.
IKEv2/IPsec, Windows, macOS, iOS ve Android gibi işletim sistemlerinin native VPN istemcileriyle uyumlu bir uzak erişim modeli sunar. Mobil ağ değişimlerinde tünel sürekliliği için IKEv2 yaklaşımı pratik avantaj sağlar.
TR7 SSL VPN ve IKEv2, tünel protokolünden çok AAM'in kimlik, MFA, postür ve erişim kapsamı kararını merkeze alır.
SSL VPN, HTTPS/TLS tabanlı tünel yaklaşımıyla kısıtlı ağlardan kurumsal kaynaklara erişim için konumlanır. Port 443 kullanımı, birçok kurum, otel, havaalanı veya dış ağ ortamında erişim kolaylığı sağlar. Bu model, özellikle ek istemci veya özel UDP portlarının kısıtlandığı durumlarda değerlidir.
IKEv2/IPsec, native işletim sistemi VPN istemcileriyle uyumlu kurumsal uzak erişim modeli için uygundur. Windows, macOS, iOS ve Android gibi platformlarda ek kullanıcı deneyimi karmaşasını azaltabilir. Mobil kullanıcıların ağ değiştirdiği senaryolarda IKEv2 mimarisi yeniden bağlanma açısından avantajlıdır.
VPN bağlantısı, AAM'in koşullu erişim politikasıyla birlikte değerlendirilebilir. Kullanıcı kimliği, grup üyeliği, kaynak IP, zaman penceresi, cihaz güveni ve risk sinyalleri tünel açılmadan önce karar sürecine alınır. Bu yaklaşım, VPN'i ağ seviyesinde açık kapı olmaktan çıkarır. Erişim kararı kullanıcı ve cihaz bağlamıyla sınırlandırılır.
TR7 AAM'in MFA yaklaşımı, VPN erişim kararına da uygulanacak ortak güven faktörü olarak kullanılabilir. TOTP, SMS OTP veya e-posta OTP gibi yöntemler kullanıcı doğrulamasını güçlendirir. Güvenilir cihaz veya risk bazlı doğrulama modeliyle kullanıcı deneyimi ve güvenlik dengelenebilir. Böylece VPN için ayrı MFA altyapısı işletme ihtiyacı azaltılır.
AAM, LDAP/AD, RADIUS, OIDC, SAML ve lokal kullanıcı kaynaklarıyla çalışabilen kimlik sağlayıcı modeline sahiptir. VPN erişimi ayrı bir kullanıcı veritabanı veya ayrı bir kimlik adası olarak ele alınmaz. Kullanıcı zaten kurumda hangi kimlikle yönetiliyorsa, tünel açma kararı da aynı kimlik bağlamına bağlanır. Bu yapı kullanıcı yaşam döngüsü yönetimini sadeleştirir.
Kullanıcının hangi ağ segmentlerine erişebileceği grup üyeliği veya AAM kullanıcı politikasıyla ilişkilendirilebilir. Finans ekibi yalnızca finans sistemlerine, yüklenici yalnızca proje servislerine, DevOps ekibi yalnızca geliştirme ortamına yönlendirilebilir. Bu model, VPN açıldıktan sonra tüm ağa erişim verilmesi hatasını azaltır. Tünel erişimi kimlik temelli segment kontrolüne dönüşür.
ETM cihaz postür sinyalleri, tünel erişiminde yönetilen ve yönetilmeyen cihazları ayırmak için kullanılabilir. Disk şifreleme, güvenlik yazılımı, yama durumu veya kurumsal yönetim sinyalleri erişim seviyesini etkileyebilir. Güvenilir cihaz tam ağa, düşük güvenli cihaz yalnızca sınırlı kurum servislerine yönlendirilebilir. Bu yaklaşım, uzaktan erişimde cihaz riskini görünür hâle getirir.
VPN oturumları kullanıcı kimliği, kaynak IP, oturum zamanı, bağlantı süresi ve politika sonucu gibi alanlarla denetim izine bağlanabilir. Bu kayıtlar SIEM akışına taşınarak güvenlik olaylarıyla ilişkilendirilebilir. Operasyon ekibi yalnızca bağlantının açıldığını değil, hangi güven kararlarıyla açıldığını da görebilir. Bu görünürlük uyumluluk ve olay incelemesi için kritiktir.
Split tunneling, yalnızca kurum IP aralıklarının veya belirli servislerin tünelden geçirilmesini sağlar. Tam tünel ise tüm istemci trafiğini kurumsal geçiş noktasına taşır. Hangi modelin uygulanacağı kullanıcı grubu, cihaz güveni, lokasyon veya risk seviyesine göre belirlenebilir.
Cihaz postürü bağlantı sırasında kötüleşirse, risk skoru değişirse veya kullanıcı politikası ihlal edilirse oturumun kesilmesi veya yeniden doğrulama istenmesi gerekir. TR7 AAM mimarisi bu kararı koşullu erişim ve denetim modeliyle ilişkilendirir. Bu yaklaşım, VPN erişimini bir kez açıldıktan sonra unutulan kalıcı kanal olmaktan çıkarır. Erişim, oturum boyunca gözlemlenebilir ve geri alınabilir olmalıdır.
SSL VPN ve IKEv2 mimarisinde doğrulanmış AAM kimlik yetenekleri, tünel operasyonu gereksinimleriyle birlikte ele alınmalıdır.
Kimlik sağlayıcılar, MFA, koşullu erişim ve ETM cihaz postür konsepti bu sayfanın güvenilir temelidir. Sayfanın ana mesajı VPN'in bu erişim motoruna bağlanmasıdır. Tünel protokolü, kimlik ve politika kararının uygulandığı kanal olarak konumlanır.
SSL VPN yaklaşımı TLS 1.2+ ve port 443 üzerinden konumlanır. Bu, kısıtlı ağlardan erişim açısından avantaj sağlar. Kurumsal güvenlik duvarı ve proxy ortamlarında geçiş kolaylığı, IKEv2'ye göre öne çıkan pratik avantajdır.
IKEv2/IPsec modelinde UDP 500 (IKE) ve UDP 4500 (NAT-T) portları, NAT-T davranışı ve güvenlik duvarı izinleri kritik hâle gelir. SSL VPN'e göre bazı kısıtlı ağlarda engellenme ihtimali daha yüksektir. Bu nedenle SSL VPN ve IKEv2, farklı erişim koşulları için tamamlayıcı seçeneklerdir.
VPN mimarisinde her oturuma atanacak tünel IP havuzu planlanmalıdır. Havuz tükenmesi durumunda yeni bağlantılar reddedilebilir veya bekletilebilir. Havuz boyutu ve yönetim modeli dağıtım gereksinimlerine göre yapılandırılmalıdır.
VPN erişiminde kurum domainlerinin iç DNS üzerinden, diğer domainlerin dış çözümleme üzerinden gitmesi gerekebilir. Split DNS, split tunneling tasarımının doğal tamamlayıcısıdır. Bu davranış dağıtım mimarisine ve politika yapılandırmasına bağlıdır.
Tünel protokolleri ek başlık maliyeti oluşturur. MTU/MSS ayarı, özellikle IPsec ESP ve TLS tünel performansı için önemlidir. Yanlış ayarlar parçalanma, düşük verim veya bazı uygulamalarda bağlantı sorunları üretebilir.
AAM gateway çiftli çalışırken VPN oturumlarının failover davranışı tünel teknolojisine bağlıdır. IKEv2 tarafında mobil yeniden bağlanma mimarisi avantajlı olabilir; SSL VPN tarafında VIP ve oturum sürekliliği tasarımı ayrıca ele alınmalıdır.
Evden veya seyahatten çalışan kullanıcı, kurumsal kimliği ve MFA ile AAM üzerinden doğrulanır. ETM cihaz güveni yeterliyse SSL VPN üzerinden intranet servislerine erişim verilir; kişisel cihazlarda erişim daha dar segmentlerle sınırlandırılır.
Saha teknisyeni, mobil cihazındaki native IKEv2 istemcisiyle kurumsal ağa bağlanabilir. Cihaz yönetilen profil ve yüksek ETM güven skoruna sahipse daha geniş erişim verilir; ağ değişimlerinde IKEv2 yaklaşımı mobil kullanım için daha uygundur.
Üçüncü taraf yükleniciye yalnızca proje süresi boyunca geçerli kullanıcı hesabı ve kısıtlı grup atanır. VPN erişimi yalnızca proje kurum servislerinin bulunduğu segmente açılır ve tüm oturumlar denetim kaydına bağlanır.
Fabrika otomasyon mühendisi yalnızca OT segmentine erişecek şekilde VPN politikası alır. Koşullu erişim mesai saati, kullanıcı grubu, kaynak IP ve cihaz güveniyle kararı sınırlar; genel kurumsal ağa geniş erişim verilmez.
SSL VPN ve IKEv2 tünelini AAM kimlik motoru, MFA ve ETM cihaz postürüyle birleştiren mimariye bakın. Kendi ortamınızda canlı bir kurulumda gezdirelim.