← Tüm terimler
Sıçrama Sunucusu (Bastion Host)

Bastion Host (Sıçrama Sunucusu) Nedir?

Bastion host, yöneticilerin iç sistemlere ulaşmak için geçmek zorunda olduğu sıkılaştırılmış bir geçittir; uzak erişimi tek bir kontrollü ve denetlenebilir noktada toplar.

Son güncelleme: 14 Temmuz 2026

Bastion Host Nasıl Çalışır

Sıçrama sunucusu olarak da bilinen bastion host, güvenilmeyen ağlar ile yöneticilerin yönetmesi gereken sistemler arasında konumlanır. Her sunucuda SSH veya RDP portlarını dışa açmak yerine kuruluş, sıkılaştırılmış tek bir makineyi açar: kullanıcılar önce bastion sunucusuna bağlanır, orada kimlik doğrulaması yapar ve ardından iç hedefe atlar. Güvenlik duvarı kuralları, iç sunuculardaki yönetim portlarının yalnızca bastion üzerinden gelen bağlantıları kabul etmesini sağlar.

Tek giriş noktası olduğu için bastion olabildiğince yalın ve sıkı tutulur: asgari yazılım, agresif yama yönetimi, güçlü kimlik doğrulama ve her bağlantının ayrıntılı kaydı. Modern uygulamalar, ham Linux atlama kutusunun yerine giderek daha sık; oturumları aracılayan, politika uygulayan ve trafiği yalnızca iletmek yerine faaliyeti kaydeden protokol farkındalıklı bir geçit koyuyor.

Neden Önemli

Yönetim portu dışarıdan erişilebilir olan her sunucu bir saldırı fırsatıdır. Erişimi bir bastion üzerinden toplamak, bu yüzeyi yüzlerce uç noktadan tek bir noktaya indirir; bu noktayı yamalamak, izlemek ve savunmak çok daha kolaydır. Ayrıca güvenlik ekiplerine doğal bir kontrol noktası sunar: anormal oturum açmalar, kaba kuvvet denemeleri ve yatay hareket tek bir kayıt akışında görünür hale gelir.

Klasik atlama kutusunun bir zayıflığı vardır: kullanıcı sunucuya girdikten sonra sonraki adımları çoğu zaman görünmezdir ve ortak bastion kimlik bilgileri hesap verebilirliği bulanıklaştırır. Bu nedenle denetçiler ile PCI DSS ve ISO 27001 gibi çerçeveler yalnızca bir geçit değil; arkasında bireysel kimlik doğrulama, oturum düzeyinde denetim ve kontrollü kimlik bilgisi yönetimi de bekler.

Uygulamada Bastion Host

Ekipler genellikle DMZ içinde bir SSH atlama sunucusu veya RDP geçidiyle başlar, üzerinde MFA zorunlu kılar ve hiçbir bağlantının onu atlayamaması için iç güvenlik duvarı kurallarını sıkılaştırır. Bir sonraki olgunluk adımı, atlama kutusunu kimlik bilgilerini otomatik enjekte eden, tam zamanında onaylar uygulayan ve her oturumu kaydeden bir PAM geçidiyle değiştirmek veya güçlendirmektir; böylece bastion basit bir aktarıcı yerine bir politika uygulama noktasına dönüşür.

Monopam bu rolü tarayıcı tabanlı bir geçit olarak üstlenir: kullanıcılar ajan kurmadan ve kimlik bilgileri ifşa edilmeden tarayıcıdan RDP ve SSH oturumları açar; oturumlar onaya bağlanır, kaydedilir ve bireysel kimliklerle ilişkilendirilir.

Sık sorulan sorular

Bastion host ile sıçrama sunucusu arasındaki fark nedir?
Günlük kullanımda ikisi aynı şeydir: iç sistemlere ulaşmak için kullanılan sıkılaştırılmış bir ara makine. Tarihsel olarak "bastion host" dışa açık her türlü sıkılaştırılmış sunucuyu (posta veya web geçitleri dahil) tanımlarken, "sıçrama sunucusu" özellikle yönetimsel erişim için kullanılan atlama noktası anlamına geliyordu. Bugün iki terim de neredeyse her zaman yönetimsel geçidi ifade eder.
PAM geçidi bastion host yerine geçer mi?
İşlevsel olarak evet. Bir PAM oturum geçidi, sıçrama sunucusunun yaptığı her şeyi yapar; buna ek olarak kimlik bilgisi enjeksiyonu, onay akışları ve tam oturum kaydı sağlar. Birçok kuruluş ağ segmentasyonunu aynen korurken çıplak atlama kutusunu PAM geçidiyle değiştirir ve mimarisini değiştirmeden hesap verebilirlik kazanır.
VPN veya sıfır güven varken bastion host hâlâ gerekli mi?
VPN yalnızca ağda olduğunuzu kanıtlar; hangi sunucuları yönetebileceğiniz veya orada ne yaptığınız hakkında hiçbir şey söylemez. Sıfır güven mimarileri aslında bastion modelini güçlendirir: oturum bazında doğrulama ve en az ayrıcalık talep ederler; modern ve politika uygulayan bir erişim geçidinin sağladığı da tam olarak budur.