Blog
Siber GüvenlikKVKKFirewallAğ GüvenliğiUyumluluk

KVKK Uyumlu Güvenlik Duvarı Yapılandırması: Kurumsal Ağlarda Neler Yapılmalı?

June 16, 2026 · 10 min read

KVKK denetimlerinde en sık karşılaştığımız soru şu: "Kişisel veriye erişimi nasıl kontrol ediyorsunuz?" Birçok kurumun cevabı "antivirüs var, firewall var" oluyor — ancak bu yeterli değil.

KVKK, teknik güvenlik önlemlerini somut olarak zorunlu kılar. Güvenlik duvarı yapılandırması bu önlemlerin merkezindedir. İşte teknik detaylar.

KVKK'nın Teknik Yükümlülükleri

6698 sayılı Kanun'un 12. maddesi ve Kişisel Veri Güvenliği Rehberi, kurumlara şunları zorunlu kılar:

  • Kişisel veriye yetkisiz erişimi engelleme
  • Veri akışlarını izleme ve kayıt altına alma
  • Ağ segmentasyonu ile kritik verileri izole etme
  • Güncel tehditlerle başa çıkabilecek teknik önlemler

Güvenlik duvarı bu gereksinimlerin tamamında merkezi rol oynar.

1. Ağ Segmentasyonu: Veriyi İzole Et

KVKK denetimlerinde en çok sorun yaşanan alan: kişisel veri barındıran sistemlerin (CRM, İK, muhasebe, veritabanları) kurumsal ağın geri kalanıyla aynı düzlemde olması.

Önerilen Segment Yapısı

[İnternet]
    │
[DMZ — Web Sunucuları, API Gateway]
    │
[Firewall Katmanı]
    │
    ├── [Kullanıcı Ağı] — ofis bilgisayarları, yazıcılar
    ├── [Sunucu Ağı] — genel iş uygulamaları
    ├── [KV Ağı (Kişisel Veri)] — CRM, İK, veritabanları ← izole
    └── [OT Ağı] — varsa üretim sistemleri

"KV Ağı" segmenti yalnızca yetkili sistemlerden ve yetkili portlardan erişime açık olmalıdır. Bir kullanıcı bilgisayarının doğrudan CRM veritabanına bağlanabilmesi, KVKK ihlali için yeterli bir zayıflıktır.

Firewall Kural Örneği (iptables / nftables)

# KV segmentine yalnızca uygulama sunucusundan erişim
iptables -A FORWARD -s 10.10.1.0/24 -d 10.10.50.0/24 -j DROP      # kullanıcı ağından engelle
iptables -A FORWARD -s 10.10.2.10 -d 10.10.50.5 -p tcp --dport 5432 -j ACCEPT  # app sunucusuna izin
iptables -A FORWARD -d 10.10.50.0/24 -j DROP                        # geri kalan her şeyi engelle

2. Erişim Kontrol Kuralları: En Az Yetki Prensibi

KVKK'da "kişisel veriye erişimin kısıtlanması" yükümlülüğü, teknik olarak şu anlama gelir: yalnızca ihtiyacı olan sisteme, ihtiyacı olan port üzerinden, ihtiyacı olan zamanlarda erişim verilmeli.

Uygulama Katmanı Firewall Kuralları

KaynakHedefPortİzin
App Sunucu (10.10.2.10)DB Sunucu (10.10.50.5)5432/tcp
Yönetim TerminaliDB Sunucu5432/tcp✅ (belirli IP)
İnternet / DMZDB SunucuHerhangi
Kullanıcı ağıDB SunucuHerhangi
App Sunucuİnternet (dışarı)80, 443Sadece beyaz liste

Beyaz Liste (Whitelist) Yaklaşımı

Varsayılan davranış: her şeyi engelle, yalnızca izin verilen trafiği geçir. Birçok kurum tersini uygular — her şeyi geçirir, sorunlu trafiği engeller. Bu KVKK açısından savunulamaz.

# Varsayılan politika: DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# Yalnızca gerekenler açık
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 10.10.0.0/16 -p tcp --dport 443 -j ACCEPT

3. Log Yükümlülüğü: KVKK'nın Gizli Şartı

Kişisel veri güvenliği rehberi açıkça belirtir: erişim kayıtları tutulmalı ve belirli süre saklanmalıdır. Bu kayıtlar denetimde somut kanıt olarak sunulur.

Güvenlik duvarı logları ne içermeli:

  • Kaynak IP ve port
  • Hedef IP ve port
  • Zaman damgası (UTC)
  • İzin/engel kararı
  • Protokol

Firewall Log Yönlendirme (rsyslog)

# /etc/rsyslog.d/firewall.conf
:msg, contains, "FIREWALL" /var/log/firewall/kvkk.log
& stop

# Logları merkezi SIEM'e gönder
*.* @@siem-sunucu:514

# iptables kuralına log ekle
iptables -A FORWARD -d 10.10.50.0/24 \
  -j LOG --log-prefix "FIREWALL-KV-ERISIM: " --log-level 4

Saklama süresi: KVKK ve ilgili mevzuat kapsamında en az 2 yıl önerilen süre. Bazı sektörlerde (finans, sağlık) daha uzun.

4. Dışarı Çıkan Trafik: Veri Sızıntısını Önle

KVKK, kişisel verinin yetkisiz yurt dışına çıkarılmasını da düzenler. Kurumsal ağdan dışarı çıkan trafik kontrol edilmeli.

# Veri sunucusundan dışarıya yalnızca belirli servislere izin
iptables -A OUTPUT -s 10.10.50.5 -d YEDEK_SUNUCU_IP -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 10.10.50.5 -j DROP  # geri kalan dışarı trafiği engelle

Next-Generation Firewall (NGFW) kullanıyorsanız, uygulama katmanı kontrolü (DPI) ile hangi uygulamanın hangi veriye eriştiğini de görebilirsiniz. Palo Alto, Fortinet, Cisco FTD bu alanda yaygın.

5. Uzaktan Erişim: VPN ve MFA Zorunluluğu

Uzaktan çalışma ile birlikte kişisel veri ağlarına uzaktan erişim yaygınlaştı. KVKK açısından uzaktan erişimin güvenliği kritik.

Minimum gereksinimler:

  • Uzaktan erişim yalnızca VPN üzerinden
  • VPN + MFA (çok faktörlü kimlik doğrulama) zorunlu
  • Kullanıcıya minimum yetki (sadece ihtiyacı olan segmente erişim)
  • Oturum süresi sınırlaması
# OpenVPN'de belirli kullanıcıyı belirli ağa yönlendir
# /etc/openvpn/ccd/kullanici_adi
iroute 10.10.50.0 255.255.255.0
push "route 10.10.50.0 255.255.255.0"

6. Periyodik Güvenlik Denetimi

Firewall kuralları zamanla bozulur: geçici açılan portlar kalıcı hale gelir, eski sistemlere ait kurallar temizlenmez. KVKK uyumu statik değil, süreçtir.

6 ayda bir kontrol edilmeli:

# Tüm aktif kuralları listele ve incele
iptables -L -n -v --line-numbers

# Kullanılmayan kuralları tespit et (0 paket/byte olan)
iptables -L FORWARD -v | awk '$1 == 0 && $2 == 0'

# Açık portları dışarıdan tara (izinli test ortamında)
nmap -sS -O --open SUNUCU_IP

KVKK Denetimi İçin Belgeleme

Teknik önlemler kadar belgeler de önemli. Denetimde sorulacaklar:

  1. Ağ topoloji diyagramı — hangi sistem nerede, nasıl izole?
  2. Firewall kural seti — tarihli, onaylı
  3. Erişim logları — kimler erişti, ne zaman?
  4. Değişiklik kaydı — kural değişikliklerinin tarihi ve onaylayanı
  5. Güvenlik açığı tarama raporları — periyodik tarama sonuçları

Firewall yapılandırmanızın KVKK uygunluğunu değerlendirmek veya ağ segmentasyonu mimarisi oluşturmak için teknik görüşme talep edebilirsiniz.