Sıfır Güven Federatif Bilgi Grafiği ile Çok Kiracılı Anket Otomasyonu

Giriş

Güvenlik ve uyum anketleri, SaaS satıcıları için sürekli bir darboğazdır. Her satıcı, birden fazla çerçeveyi kapsayan (örneğin SOC 2, ISO 27001, GDPR ve sektöre özgü standartlar) yüzlerce soruya yanıt vermek zorundadır. Kanıt bulma, geçerliliğini doğrulama ve her müşteri için yanıtları özelleştirme amacıyla harcanan manuel çaba hızla maliyet merkezi haline gelir.

Federatif bir bilgi grafiği (FKG)—kanıt, politika ve kontrollerin dağıtık, şema‑zengin temsili—bu darboğazı aşmanın bir yolunu sunar. Sıfır‑güven güvenliği ile birleştirildiğinde, FKG başka bir kiracının verilerini hiç ortaya çıkarmadan birçok kiracıyı (farklı iş birimleri, bağlı şirketler ya da ortak organizasyonlar) güvenli bir şekilde hizmet edebilir. Sonuç, şu özelliklere sahip bir çok‑kiracılı, AI‑destekli anket otomasyon motoru olur:

Kanıtları farklı depolardan (Git, bulut depolama, CMDB’ler) toplar.
Erişim politikalarını düğüm ve kenar seviyesinde (sıfır‑güven) zorunlu kılar.
RAG (Retrieval‑Augmented Generation) kullanarak AI‑üretimli yanıtları orkestre eder, sadece kiracının izin verilen bilgiden faydalanır.
Değişmez bir defter aracılığıyla kökeni ve denetlenebilirliği izler.

Bu makalede, bu sistemi Procurize AI platformu üzerinde nasıl inşa edebileceğinizi, mimariyi, veri akışını ve uygulama adımlarını derinlemesine inceleyeceğiz.

1. Temel Kavramlar

Kavram	Anket otomasyonu için ne anlama geliyor
Sıfır Güven	“Hiçbir zaman güvenme, her zaman doğrula.” Grafiğe yapılan her istek kimlik doğrulaması, yetkilendirme ve politikalar çerçevesinde sürekli değerlendirme sürecinden geçer.
Federatif Bilgi Grafiği	Bağımsız grafik düğümlerinin (her biri bir kiracıya ait) ortak bir şema paylaştığı, ancak verilerinin fiziksel olarak izole edildiği bir ağ.
RAG (Retrieval‑Augmented Generation)	LLM‑tabanlı yanıt üretiminin, yanıtı oluşturmadan önce grafikten ilgili kanıtları getirerek gerçekleştiği bir yöntem.
Değişmez Defter	Her kanıt değişikliğini kaydeden yalnızca ekleme‑tabanlı bir depolama (ör. blockchain‑stil Merkle ağacı), tahrif edildiğini kanıtlar.

2. Mimari Genel Bakış

Aşağıda, ana bileşenleri ve etkileşimlerini gösteren yüksek seviyeli bir Mermaid diyagramı bulunuyor.

  graph LR
    subgraph Tenant A
        A1[Policy Store] --> A2[Evidence Nodes]
        A2 --> A3[Access Control Engine<br>(Zero Trust)]
    end
    subgraph Tenant B
        B1[Policy Store] --> B2[Evidence Nodes]
        B2 --> B3[Access Control Engine<br>(Zero Trust)]
    end
    subgraph Federated Layer
        A3 <--> FK[Federated Knowledge Graph] <--> B3
        FK --> RAG[Retrieval‑Augmented Generation]
        RAG --> AI[LLM Engine]
        AI --> Resp[Answer Generation Service]
    end
    subgraph Audit Trail
        FK --> Ledger[Immutable Ledger]
        Resp --> Ledger
    end
    User[Questionnaire Request] -->|Auth Token| RAG
    Resp -->|Answer| User

Diyagramdan çıkan temel noktalar

Kiracı izolasyonu – Her kiracı, kendi Politika Deposunu ve Kanıt Düğümlerini çalıştırır; ancak Erişim Kontrol Motoru, çapraz‑kiracı istekleri yönetir.
Federatif Grafik – FK düğümü şema meta verilerini toplar, ham kanıtları şifreli ve silo halinde tutar.
Sıfır‑Güven Kontrolleri – Her erişim isteği, rol, cihaz durumu ve istek amacını değerlendiren Erişim Kontrol Motorundan geçer.
AI Entegrasyonu – RAG, kiracının yetkili olduğu sadece kanıt düğümlerini çeker, ardından bir LLM’e yanıt sentezi için verir.
Denetlenebilirlik – Tüm veri çekme ve üretilen yanıtlar, uyum denetçileri için değişmez bir deftere kaydedilir.

3. Veri Modeli

3.1 Evrensel Şema

Varlık	Öznitelikler	Örnek
Policy	`policy_id`, `framework`, `section`, `control_id`, `text`	`SOC2-CC6.1`
Evidence	`evidence_id`, `type`, `location`, `checksum`, `tags`, `tenant_id`	`evid-12345`, `log`, `s3://bucket/logs/2024/09/01.log`
Relationship	`source_id`, `target_id`, `rel_type`	`policy_id -> evidence_id` (evidence_of)
AccessRule	`entity_id`, `principal`, `action`, `conditions`	`evidence_id`, `user:alice@tenantA.com`, `read`, `device_trust_score > 0.8`

Tüm varlıklar özellik grafikleri (Neo4j, JanusGraph vb.) olarak saklanır ve GraphQL‑uyumlu bir API aracılığıyla sunulur.

3.2 Sıfır‑Güven Politika Dili

İnce taneli kuralları ifade eden hafif bir DSL:

allow(user.email =~ "*@tenantA.com")
  where action == "read"
    and entity.type == "Evidence"
    and entity.tenant_id == "tenantA"
    and device.trust_score > 0.8;

Bu kurallar, Erişim Kontrol Motoru tarafından gerçek‑zaman politikalarına derlenir.

4. İş Akışı: Sorudan Yanıta

Soru Alımı – Bir güvenlik denetçisi anketi (PDF, CSV ya da API JSON) yükler. Procurize, bunu tek tek sorulara ayırır ve her birini bir ya da daha çok çerçeve kontrolüyle eşleştirir.
Kontrol‑Kanıt Eşlemesi – Sistem, hedef kontrolü ile aynı kiracıya ait kanıt düğümlerine bağlayan kenarları FKG üzerinden sorgular.
Sıfır‑Güven Yetkilendirmesi – Her kanıtın çekilmesinden önce, Erişim Kontrol Motoru, kullanıcı, cihaz, konum ve zaman gibi bağlamı doğrular.
Kanıt Çekimi – Yetkilendirilmiş kanıt, RAG modülüne akıtılır. RAG, hibrit TF‑IDF + gömme (embedding) benzerliği modelini kullanarak kanıtı alaka düzeyine göre sıralar.

LLM Üretimi – LLM, soruyu, çekilen kanıtları ve yalnızca sağlanan kanıtları kullanmasını zorunlu kılan bir prompt şablonunu alır. Örnek prompt:

You are a compliance specialist for {tenant_name}. Answer the following security questionnaire item using ONLY the supplied evidence. Do not fabricate details.
Question: {question_text}
Evidence: {evidence_snippet}

Türkçe çevirisi

Siz {tenant_name} için bir uyumluluk uzmanısınız. Aşağıdaki güvenlik anket sorusunu SADECE sağlanan kanıtları kullanarak yanıtlayın. Detay uydurmayın.
Soru: {question_text}
Kanıt: {evidence_snippet}

Yanıt Gözden Geçirme & İş Birliği – Oluşturulan yanıt, Procurize’ın gerçek‑zaman iş birliği arayüzünde uzmanların yorum yapıp, düzenleyip onaylayabileceği bir alanda gösterilir.
Denetim Günlüğü – Her veri çekme, üretim ve düzenleme olayı, orijinal kanıt sürümüne bağlayan kriptografik bir özetle Değişmez Deftere eklenir.

5. Güvenlik Garantileri

Tehdit	Azaltma Yöntemi
Kiracılar arası veri sızıntısı	Sıfır‑Güven Erişim Kontrolü, `tenant_id` eşleşmesini zorunlu kılar; tüm veri iletimleri uçtan uca şifrelenir (TLS 1.3 + Mutual TLS).
Kimlik bilgisi çalınması	Kısa ömürlü JWT’ler, cihaz doğrulaması ve davranış analitiğiyle sürekli risk puanlaması; anormallik tespitinde token’lar geçersiz kılınır.
Kanıtın manipülasyonu	Değişmez Defter, Merkle kanıtları kullanır; herhangi bir değişiklik, denetçilere görünür bir uyarı üretir.
Modelin hayal üretmesi	RAG, LLM’i yalnızca çekilen kanıtlara kısıtlar; üretim sonrası bir doğrulayıcı, desteklenmeyen ifadeleri kontrol eder.
Tedarik zinciri saldırıları	Tüm grafik eklentileri / bağlayıcıları imzalanır ve CI/CD kapısında statik analiz ve SBOM kontrollerinden geçer.

6. Procurize Üzerinde Uygulama Adımları

Kiracı Grafik Düğümlerini Kur
- Her kiracı için ayrı bir Neo4j örneği dağıt (veya satır‑düzeyi güvenlikli çok‑kiracılı bir veri tabanı kullan).
- Mevcut politika belgelerini ve kanıtları Procurize’ın içe aktarma boru hatlarıyla yükle.
Sıfır‑Güven Kurallarını Tanımla
- Procurize politika editörünü kullanarak DSL kurallarını oluştur.
- Cihaz durumu entegrasyonunu (MDM, uç nokta tespiti) etkinleştirerek dinamik risk puanlaması ekle.
Federatif Senkronizasyonu Yapılandır
- procurize-fkg-sync mikro hizmetini kur.
- Şemayı ortak bir şema kayıt defterine yayınlarken, verileri şifreli ve izole tut.
RAG Boru Hattını Entegre Et
- procurize-rag konteynerini dağıt (vektör deposu, Elasticsearch ve ince ayarlı bir LLM içerir).
- RAG uç noktasını FKG GraphQL API’sine bağla.
Değişmez Defteri Aktive Et
- procurize-ledger modülünü (Hyperledger Fabric veya hafif ekleme‑sadece log) etkinleştir.
- Uyum gereksinimlerine göre saklama politikalarını ayarla (örn. 7‑yıllık denetim izi).
İş Birliği UI’sını Aç
- Gerçek‑zaman İş Birliği özelliğini aç.
- Rol‑bazlı görüntüleme izinlerini tanımla (İnceleyen, Onaylayan, Denetçi).
Pilot Çalıştır
- Yüksek hacimli bir anket (ör. SOC 2 Type II) seç ve şu ölçütleri izle:
  - Yanıt süresi: manuel vs. AI‑destekli.
  - Doğruluk: denetçi onayının geçtiği yanıt yüzdesi.
  - Uyum maliyeti: tasarruf edilen FTE saatleri.

7. Fayda Özeti

İşletme Faydası	Teknik Sonuç
Hız – Anket yanıt süresi günlerden dakikalara düşer.	RAG, ilgili kanıtı < 250 ms içinde çeker; LLM yanıtı < 1 s içinde oluşturur.
Risk Azaltma – İnsan hataları ve veri sızıntısı ortadan kalkar.	Sıfır‑güven zorlamaları ve değişmez günlük, yalnızca yetkili kanıtların kullanılmasını garanti eder.
Ölçeklenebilirlik – Veri çoğaltmadan yüzlerce kiracıyı destekler.	Federatif grafik, depolamayı izole tutarken ortak şema analitiğe izin verir.
Denetim Hazırlığı – Regülatörler için kanıtlanabilir iz sağlanır.	Her yanıt, kullanılan kanıtın kriptografik özetiyle eşlenir ve deftere yazılır.
Maliyet Verimliliği – Uyumluluk OPEX’i düşer.	Otomasyon, manuel çabayı %80’e kadar azaltarak güvenlik ekiplerini stratejik çalışmalara yönlendirir.

8. Gelecek Geliştirmeler

Federatif Öğrenme ile LLM İnce Ayarı – Her kiracı, ham veriyi ifşa etmeden anonimleştirilmiş gradyan güncellemeleriyle alan‑özel LLM’yi iyileştirebilir.
Kod‑olarak‑Politika Üretimi – Aynı sıfır‑güven kurallarını bulut altyapısında (Terraform, Pulumi) zorunlu kılan otomatik politikalar oluşturulabilir.
Açıklanabilir AI Katmanları – Kanıt → prompt → yanıt yolunu doğrudan UI’da Mermaid sekans diyagramlarıyla görselleştir.
Zero‑Knowledge Proof (ZKP) Entegrasyonu – Denetçilere, belirli bir kontrolün sağlandığını kanıt sunmadan ispatlayabilen ZKP’ler eklenebilir.

9. Sonuç

Sıfır‑Güven Federatif Bilgi Grafiği, güvenlik anket yönetiminin sıkıcı ve silo‑tabanlı dünyasını, güvenli, iş birliğine dayalı ve AI‑güçlendirilmiş bir iş akışına dönüştürür. Kiracı‑izole grafiği, ince taneli erişim politikaları, Retrieval‑Augmented Generation ve değişmez bir denetim defteri birleştirilerek, organizasyonlar soruları daha hızlı, daha doğru ve tam uyum içinde yanıtlayabilir.

Bu mimariyi Procurize AI platformu üzerinde hayata geçirmek, mevcut veri alma boru hatlarından, iş birliği araçlarına ve güvenlik primitiflerine kadar tüm bileşenleri bir araya getirir—ekiplerin tekrar veri toplama yerine stratejik risk yönetimine odaklanmasını sağlar.

Uyumluluğun geleceği federatif, güvenilir ve zekidir. Bugün bu yaklaşımı benimseyerek denetçiler, ortaklar ve regülatörler karşısında bir adım önde olun.