Her yönetici ekibi artık aynı rahatsız edici toplantıyı yaşamıştır. Mühendislik kod incelemesi için Claude istiyor. Satış teklif yazmak için GPT-4 istiyor. Müşteri destek ekibi, birinin kişisel API anahtarıyla destek taleplerini sessiz sedasız bir chatbot’a aktarıyor. Hukuk içeri girer, tek bir soru sorar — “O veri nereye gidiyor?” — ve tüm program donar.
Bu donma akılcıdır. İleri düzey modeller gerçekten başkasının altyapısında çalışıyor. Müşteri kayıtlarınız, birleşme-devralma taslaklarınız, kaynak kodunuz, sağlık verileriniz — bunlar tam olarak üçüncü tarafa gönderemeyeceğiniz veriler. Ama yapay zekâyı iyi entegre eden ekipler ile etmeyenler arasındaki verimlilik farkı, artık haftalar ile çeyrekler arasındaki fark.
Klasik cevap — “açık bir modeli kendi sunucumuzda barındıralım” — milyonlara mal olur, sahip olmadığınız bir ekibe ihtiyaç duyar ve sonunda Anthropic’in geçen hafta çıkardığı modelin %30 gerisinde benchmark yapan bir modelle kalırsınız.
Üçüncü bir yol var. Yapay zekâyı duvarlarınızın içine almazsınız. Verileriniz ile yapay zekâ arasında duran bir duvar inşa edersiniz. Bu yazı o duvar hakkında: ne olduğu, neye mal olduğu, nasıl ölçeklendiği ve mevcut tek bir sistemi bile bozmadan 30 günde nasıl konuşlandırılacağı.
Tek cümleyle mimari
Veri sanitizasyon katmanı, uygulamalarınız ile herhangi bir harici LLM sağlayıcısı arasındaki çıkış yolunda duran programlanabilir bir proxy’dir. Dışa giderken: istemde hassas varlıkları tespit eder, geri döndürülebilir belirteçlerle (token) değiştirir, eşlemeyi sizin kasanızda saklar ve yalnızca belirteçlenmiş istemi iletir. İçe gelirken: modelin cevabını alır, orijinal değerleri kasadan geri yükler ve kullanıcıya eksiksiz bir yanıt verir.
Sağlayıcı yapıyı görür. Siz özü saklarsınız. Eşleme güven sınırınızı asla geçmez, bu yüzden sağlayıcı kendisine hiç ulaşmamış bir veriyi tanımı gereği sızdıramaz — uyum sorumlunuz vaatler yerine garantiler istediğinde son derece önemli olan bir özellik.
Temel fikir. Bu bir model değildir. Tesisattır. İleri düzey model hâlâ düşünmeye devam eder; siz sadece neyin üzerinde düşündüğünü değiştirirsiniz.
Neden doğru ilkel yapı budur?
Dört yaygın alternatif vardır ve her birinin ölümcül bir kusuru bulunur.
Kendi sunucunuzda barındırılan açık ağırlık modelleri (Llama 3.1 70B, Qwen 2.5, DeepSeek V3) kulağa hoş gelir — ta ki GPU faturasını, model operasyonları için gereken kadroyu ve açık modelle kapalı sınır arasındaki yetenek farkını hesaplayana kadar. En cömert kendi-sunucu planları bile ciddi çıkarım trafiği için aylık 30.000–120.000 dolara oturur, üstüne MLOps’ta iki-üç tam zamanlı eleman gerekir. Çoğu kurum için bu, iki dünyanın en kötüsüdür: yüksek maliyet, daha düşük yetenek. Bu dengeyi yapay zekâ dönüşüm kılavuzumuzda daha ayrıntılı ele alıyoruz.
Sağlayıcı veri işleme sözleşmeleri (“verinizle eğitim yapmayacağımıza söz veriyoruz” sayfaları) gereklidir ama yeterli değildir. Bunlar davranış üzerine sözleşmelerdir, teknik kapasite üzerine değil. Sağlayıcıyı hackleyen bir saldırgan, yanlış erişimi olan bir içeriden kişi veya verinizi yanlışlıkla ezberleyen gelecekteki bir model — bunların hiçbiri sözleşmeyle durdurulamaz. Modern güvenlik düşüncesi kararlı bir şekilde vaat etmekten kanıtlamaya doğru kaydı. Sağlayıcıya güvenin neden artık yeterli olmadığını anlamak için OWASP’ın LLM Top 10 belgesine bakın.
İstemci tarafında düz redaksiyon (tarayıcıda veya SDK’da regex stripping) doğru sezginin yanlış yönüdür. İstemci tarafında her şey atlanabilir, tutarsız ve denetlenmesi imkânsızdır. Merkezi bir katman, her ekibin otomatik miras aldığı tek bir politikayı dayatır.
Sentetik veri üretimi zarif gelir — küçük bir modeli gerçek verinizin sentetik versiyonları üzerinde eğitin — ama yalnızca eğitimi çözer. Çıkarım hâlâ gerçek kullanıcı verisi içerir, ki asıl problem budur.
Sanitizasyon katmanı, size aynı anda sınır yeteneği, merkezi dayatma ve temiz bir denetim izi veren tek mimaridir.
Tek bir istekte ne olur?
Bir satış operasyon analistinin, altı haneli bir sipariş veren müşteriye yönelik takip e-postası taslağını yapay zekâdan istediğini düşünün. İstem doğal olarak bir isim, müşteri kimliği ve sipariş tutarı içerir — yani tam da kamuya açık bir API’ye ham haliyle ulaşmaması gereken veriler.
Duvarın arkasında, milisaniyeler içinde:
- Tespit. Bir varlık tanıma modeli istemi tarar ve
Ahmet Yılmaz’ıPERSONolarak,12345678901’iNATIONAL_IDolarak,45.000 ₺’yiMONETARY_AMOUNTolarak işaretler. Tespit üç katmandan geçer: transformer NER (çok dilli, alanınıza özel ince ayar yapılmış), regex kuralları (IBAN, kredi kartı, IP adresi gibi şeyler için) ve alan sözlüğü (ürün isimleriniz, dahili proje kod adlarınız, iş ortağı şirketler). - Belirteçleme. Her hassas değer biçim-koruyan bir yer tutucuyla değiştirilir:
[PERSON_1],[ID_1],[AMOUNT_1]. Orijinal-belirteç eşlemesi ortamınızın içindeki şifreli kasaya gider — tipik olarak AES-256 saklamada, kiracı başına anahtarlar AWS KMS veya HashiCorp Vault üzerinden. - Politika kontrolü. İstek çevrenizden ayrılmadan önce politika motoru sorar: Bu kullanıcı
MONETARY_AMOUNTverisinigpt-4o’ya gönderebilir mi? Evet ise ilet. Hayır ise engelle, yükselt veya daha kısıtlı bir modele düşür. - İletim. Yalnızca temizlenmiş istem sağlayıcıya gider. Çıkış güvenlik duvarınız LLM sağlayıcı IP’lerine yalnızca duvar üzerinden izin verecek şekilde yapılandırılabilir — bir uygulamadan doğrudan çağrı politika ihlali olur.
- Üretim. Model belirteçleri kullanarak e-postayı yazar. Ahmet’in kim olduğunu veya ne aldığını bilmez.
- Geri yükleme. Cevap döner. Duvar cevap metnini gezer, her belirteci kasadaki orijinal değeriyle değiştirir ve nihai çıktıyı teslim eder.
- Loglama. İstek meta verisi — kullanıcı, zaman damgası, dahil olan varlık türleri, kullanılan model, uygulanan politika, token sayısı, maliyet — SIEM’inize yazılır. Gerçek hassas yük asla loglanmaz.
Duvarın eklediği uçtan uca gecikme: tipik olarak sıcak önbellekte 80–250ms, OpenAI’nin kendi cevap sürelerinin aynı istem üzerindeki varyansından daha az. Tespit ve belirteçleme paralel hale getirilebilir; geri yüklemede kasa araması sıcak yoldur.
Altı yetenek, doğru ölçekli
Sanitizasyon katmanı, tek bir API’nin arkasındaki sıkı kuplajlı altı hizmettir.
1. Tespit ve sınıflandırma. Çok dilli NER (biz Türkçe/İngilizce için ince ayar yapılmış bir XLM-RoBERTa kullanıyoruz) artı regex artı sözlükler. Kritik olan: dedektör sektör başına ayarlanabilir olmalıdır. Bir banka IBAN ve SWIFT kodlarını önemser. Bir hastane ICD-10 kodları ve ilaç adlarını önemser. Bir hukuk firması dava numaraları ve taraf isimlerini önemser. Kutudan çıkan PII tespiti başlangıç noktasıdır, hedef değil.
2. Belirteçleme ve maskeleme. Modelin doğru akıl yürütmesi için biçim-koruyan. Ahmet Yılmaz, [PERSON_1] olur ([REDACTED] değil) — böylece model bunun bir kişi olduğunu bilir ve “Sayın [PERSON_1],” yazar. Sayısal tutarlar doğru büyüklük sınıfıyla [AMOUNT_1] olur, böylece hesaplamalar çalışmaya devam eder. Tarihler korunan göreli sıralamayla [DATE_1] olur.
3. Politika motoru. (departman, model, veri sınıfı, eylem) üzerinde sade Türkçe kurallar. “Pazarlama, TIBBİ_KAYIT hariç her veri için gpt-4o kullanabilir. Mühendislik, AÇIK_REPO sınıfındaki her şey için claude-3.5-sonnet kullanabilir ancak ÖZEL_REPO sınıfındaki her şey için kurum-içi modeli kullanmalıdır.” Bu kurallar versiyonlanır, Git üzerinde incelenebilir ve harici çağrıdan önce dayatılır. Motor, uygulama katmanı güvenliğini düşünme biçimimizle yakından bağlantılıdır.
4. Denetim ve uyum. Her istek, her cevap, her politika kararı — hassas yük olmadan. KVKK, GDPR, ISO 27001 ve HIPAA altında yapay zekâyı bir uyum riskinden savunulabilir bir sürece dönüştüren şey budur. Denetim logu, hukuk ekibinizin ikinci yılda talep edeceği ve birinci yılda hiç sahip olmadığı şeydir.
5. Tehdit koruması. LLM’lerin benzersiz bir saldırı yüzeyi vardır: istem enjeksiyonu (kullanıcı verisinin içine gömülmüş talimatlar), jailbreak (güvenliği atlatan zekice istemler) ve sızdırma (modele sistem istemini veya eğitim verisini sızdırmasını söylemek). Duvar her iki yönü de bu kalıplara karşı inceler — gelen istemleri enjeksiyon denemeleri için, giden cevapları sızdırılmış sırlar veya uyumsuz içerik için.
6. Model yönlendiricisi. Farklı istekler, farklı modeller. Basit bir özetleme gpt-4o-mini’ye milyon giriş başına 0,15 dolardan gidebilir. Yüksek riskli bir sözleşme incelemesi claude-3.5-sonnet’e milyon başına 3 dolardan gider. Yönlendirici istek başına maliyet, gecikme ve yetenek için optimize eder — ve bir yan etki olarak size sağlayıcı bağımsızlığı verir. Maliyet-yönlendirme kalıbını mikroservis mimari yazımızda ele alıyoruz.
Kurumsal hacme nasıl ölçeklenir?
Saf uygulama — tek bir Node işlemi, bellek-içi kasa, sıralı tespit — pilot için işe yarar ama saniyede yaklaşık 200 istekte tıkanır. Gerçek kurumsal trafik tepe noktasında 5.000–50.000 RPS’ye benziyor. Üç mimari karar sizi oraya götürür.
Yük dengeleyici arkasında durumsuz tespit işçileri. Tespit ve belirteçleme, modelleriniz yüklendikten sonra CPU bağımlı ama durumsuzdur. Bunları 8–32 pod’luk bir Kubernetes deployment’ı olarak çalıştırın, CPU üzerinde yatay ölçeklendirin. Her pod NER modelini bellekte tutar; soğuk başlatma model yüklemesini bekleyen readiness probe’larıyla hafifletilir. Bu Kubernetes kalıbını DevOps iyi uygulamalar rehberimizde ele aldık.
Yönetilen hizmet olarak kasa. Kendi kasanızı inşa etmeyin. Vault Enterprise, AWS Secrets Manager + KMS veya GCP Secret Manager kullanın. Kasa mimarinizdeki en hassas bileşendir; onu özel yapmak mühendislik zamanı tasarrufu yapılacak tam olarak yanlış yerdir. Belirteç-değer aramaları, yazmak zorunda olmadığınız denetim loglarıyla yönetilen bir probleme dönüşür.
Model istemcisini önbelleğe alın. OpenAI tarzı HTTP/2 bağlantıları, bağlantı havuzlamasından muazzam fayda görür. Sağlayıcı başına işçi başına 10–20 sıcak bağlantı havuzu tutun; soğuk-bağlanma ile sıcak arasındaki gecikme farkı 200ms+ — tüm tespit hattınızdan büyük.
Büyük cevaplar için arka planda geri yükleme. Akış cevapları (server-sent events) akış geri yüklemesi gerektirir. Modelden token geldikçe anında geri yükleyin ve kullanıcıya akıtın. Tüm cevabı tamponlamayın — bu, LLM’leri büyülü hissettiren konuşmasal gecikme avantajını kaybeder.
50.000 RPS’de, doğru mimarileştirilmiş bir duvar kendi altyapınızda istek başına yaklaşık 0,0001 dolar ekler (model API maliyetindeki 0,001–0,020 dolara karşı), ~15ms tespit süresi kullanır ve kurumdaki her yapay zekâ etkileşimi için denetlenebilir tek bir kontrol noktası verir. Maliyet oranı o kadar uygundur ki duvar yalnızca model maliyeti optimizasyonu ile kendini geri öder — rutin istekleri amiral modelden yönlendirmek genellikle %40-60’lık bir harcama azalmasıdır. Bunun altındaki veritabanı operasyonları kendi disiplinlerini gerektirir; yüksek trafikli uygulamalar için veritabanı optimizasyonunda bunu ele alıyoruz.
Gerçekten işe yarayan 30 günlük konuşlandırma planı
Yeni güvenlik katmanlarının “big bang” yayılımları başarısız olur. İşte bir sanitizasyon katmanını hiçbir şeyi bozmadan bir ayda nasıl yayınlayacağınız.
1. Hafta — Tek bir iş akışı seçin. Veri hassasiyeti tarafından şu anda engellenen en yüksek-acılı, en yüksek-kaldıraçlı yapay zekâ kullanımını seçin. Müşteri destek yönlendirmesi. Sözleşme maddesi çıkarımı. Confluence veya Notion üzerinde dahili bilgi arama. Özel depolarda kod incelemesi. Tek bir iş akışı, tek bir ekip, tek bir model. Bu iş akışı için önemli olan varlık sınıflarını tanımlayın, başka hiçbir şey değil.
2. Hafta — Duvarı gölge modda kurun. Katmanı seçilen iş akışının önüne dağıtın ama yalnızca-gözlem modunda. Tespit eder, loglar, belirteçlemiş-olurdu, ama isteği değiştirmez. Artık kullanıcılarınızın hangi hassas varlıkları, hangi sıklıkta, hangi bağlamda gönderdiğini tam olarak gösteren gerçek bir veri kümeniz var. Bu veri sonraki adım için altın değerindedir.
3. Hafta — Tespiti ayarlayın. Gölge verilere dayanarak varlık kataloğunu ayarlayın. Hazır modelin atladığı alana özgü kalıpları ekleyin. Yanlış pozitifleri bastırın (her ekibin en az biri vardır — bizde tekrar tekrar “Stripe”ı kişi olarak işaretlemekti). Hukuk ekibinin kataloğu incelemesini sağlayın: bunların KVKK madde 6 / GDPR madde 9 / sektör düzenlemeniz için önemli olan kategoriler olduğuna katılıyorlar mı?
4. Hafta — Dayatmaya geçin, sonra genişletin. Pilot iş akışında gözlemden dayatmaya geçin. Hata oranlarını 48 saat boyunca izleyin. Denetim logunu hukuk ve uyumla birlikte inceleyin. Kalıp doğrulandıktan sonra ikinci iş akışı, katman zaten çalıştığı, politikalar zaten yazıldığı ve ekip zaten denetim izine güvendiği için çok daha az çabayla devreye girer.
Bu aşamalı yaklaşım, her kurumsal güvenlik ilkelinin (WAF’lar, sır yöneticileri, SIEM) gerçekte nasıl yayıldığıdır — ve sanitizasyon katmanının da böyle yayılması gerekir. Aynı kalıp, bulut göç rehberimizde ele aldığımız regüle iş yüklerini buluta taşıma için de geçerlidir.
Kısaca uyum tablosu
KVKK altında madde 9, kişisel verilerin yurt dışına aktarımını düzenler — bu da tam olarak birisi bir müşteri ismini ABD’de barındırılan bir API’ye her gönderdiğinde olan şeydir. Sanitizasyon katmanı, denetim kanıtıyla, kişisel verinin sınırı geçmediğini — çünkü tanımlı haliyle çevrenizden hiç ayrılmadığını — savunmanıza izin veren teknik kontroldür. Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kayıtlarınızda bu katmanı bir teknik tedbir olarak dökümante edebilirsiniz.
GDPR altında aynı mantık madde 44 (üçüncü ülkelere aktarım) üzerinden geçerlidir. Takma adlandırma (pseudonymization), madde 4(5)‘te materyal olarak risk azaltan bir mahremiyet artırıcı teknoloji olarak açıkça tanınır. Bir sanitizasyon katmanı, tanımı gereği, düzgün güvenli bir yeniden-tanımlama anahtarı olan takma adlandırmadır.
ISO 27001 Ek A 8.10 (bilgi silme) ve A 8.11 (veri maskeleme) altında, duvar denetçilerin aradığı teknik kontrol gereksinimlerini doğrudan karşılar.
HIPAA altında aynı mimari, Safe Harbor yöntemine göre bir tanımsızlaştırma katmanı olarak işlev görür; kasa, aksi takdirde PHI maruziyetini bildirilmesi gereken bir olaya çevirecek tanımlayıcıları tutar.
Aynı duvar, sektör başına yapılandırılarak, dört rejim arasında savunulabilir bir duruş verir. Güvenlik ekibiniz politikayı bir kez yazar; uygulama ekipleri uyumu otomatik miras alır. Bu, denetim genel giderinde büyük bir azalmadır.
BT için ne değişir?
Teknoloji liderliği için sanitizasyon katmanı bir mahremiyet aracından daha fazlasıdır — stratejik bir kontrol noktasıdır. Üç sonuç önemlidir.
Tek bir yönetişim noktası. Her yapay zekâ tedarikçisiyle veri işleme şartları müzakere edip her entegrasyonu ayrı denetlemek yerine, BT tek bir katmanı tek bir politika setiyle yönetir. Dahili LLM chatbot’tan pazarlama metin üreticisine, modern web mimarisiyle inşa ettiğimiz müşteri destek botuna kadar kurumdaki yapay zekâya dokunan her uygulama bu kontrolleri otomatik miras alır.
Sorumlulukların temiz ayrılması. Uygulama ekipleri özellik geliştirir. Duvar veri korumayı uygular. Güvenlik ekipleri onlarca yerine tek bir sınırı denetler. Uyum ekipleri tek bir log üzerinde çalışır.
Yapay zekâ kullanımına dair gözlemlenebilirlik. Bugünün dağınık yapay zekâ kullanımının cevaplanmasını imkânsız kıldığı sorulara BT ilk kez yanıt verebilir: hangi ekipler yapay zekâyı en çok kullanıyor, hangi veriler üzerinde, ne maliyetle, hangi risk profiliyle? Ekip başına token harcaması, model başına maliyet trendleri, politika ihlal oranları — hepsi asıl işi yapmanın yan ürünü olarak ortaya çıkar.
Stratejik çerçeve. Çoğu kurum eninde sonunda tek bir AI ağ geçidine sahip olacak. Soru, bunu kasıtlı olarak stratejik bir varlık olarak mı tasarlayacağınız, yoksa on farklı ekibin on farklı proxy inşa etmesiyle kazara mı biriktireceğinizdir. İlk yol bir çeyrek alır ve sonsuza dek temettü öder. İkincisi yıllarca sürer ve on farklı denetim sorumluluğu üretir.
Yaygın itirazlar, kısaca
“Sanitizasyon modelin doğruluğunu zedelemez mi?” Pratikte hayır — modern LLM’ler, yer tutucu varlığın türünü koruduğu sürece yapılandırılmış yer tutucular üzerinde mükemmel akıl yürütür. Doğruluğun zedelendiği yer, müşterinin gerçek kelimelerinin önemli olduğu müşteri geri bildirimi duygu analizi gibi doğal olarak yapılandırılmamış görevlerdir. Bu görevler için ya ödünleşmeyi kabul edersiniz ya da onları kurum-içi bir modelden geçirirsiniz. Yönlendirici bu yönlendirmeyi otomatik yapabilir.
“Gerçek veriler üzerinde gerçek eylemler yapması gereken ajanlar için ne dersiniz?” Duvar LLM çağrısı içindir, araç çağrısı değil. Model send_email_to([PERSON_1]) çıktısı verdiğinde, uygulama katmanınız e-posta aracını çağırmadan önce [PERSON_1]’i gerçek adrese geri yükler. Ajanın akıl yürütmesi belirteçler üzerinde olur; ajanın eylemleri çevrenizdeki gerçek veri üzerinde olur.
“Sağlayıcı bağlamdan kimliği çıkaramaz mı?” Teoride mümkün, pratikte varlık rotasyonu (aynı kişi farklı oturumlarda farklı belirteçler alır), agresif minimizasyon (yalnızca modele ulaşması gereken istem parçalarını gönderme) ve sağlayıcı tarafı mahremiyet politikalarıyla hafifletilir. Buradaki tehdit modeli artıktır; alternatif her şeyi açık metin olarak göndermektir.
Bir tane inşa etmeye hazır mısınız?
Kurumunuz şu anda kamuya açık LLM API’lerine ham müşteri verisi gönderiyorsa — ki çoğu gönderiyor — her gün uyum borcu biriktiriyorsunuz. Hukuk hayır dediği için yapay zekâ benimsemesini tamamen erteliyorsanız, verimlilik yarışını kaybediyorsunuz.
Sanitizasyon katmanı, her ikisini de durdurmanıza izin veren mimari ilkeldir. Veriniz evde kalır. Yapay zekâ yine de düşünür. Uyum savunulabilir bir cevap alır. Mühendislik teslim eder.
Hem Türkiye hem Avrupa’da regüle sektörler — finans, sağlık, hukuk — için sanitizasyon katmanları inşa ettik. Bunun sizin yığınınız, veriniz ve uyum rejiminiz için nasıl görüneceğini konuşmak isterseniz, iletişime geçin. İlk konuşma 30 dakikanızı alır ve bunun probleminiz için doğru ilkel yapı olup olmadığını netleştirir.
Veriniz sizde kalsın. Yapay zekâyı kullanın. Her ikisi de aynı anda doğru olabilir.
