Fexyn
Fexyn
All posts

İşveren VPN'de ne yaptığını görebilir mi? İş yeri izleme

Fexyn Team··7 min read

İşveren VPN'le ne yaptığını görebilir mi? Uzaktan çalışma çağı, şirket cihazlarında kişisel gezinti yapan, kişisel cihazlarda iş gezintisi yapan ve çeşitli ağlarda çeşitli kombinasyonlar deneyen bir nesil çalışan üretti. "İşverenim ne yaptığımı görebilir mi?" sorusunun cevabı kuruluma göre değişir ve çoğu genel VPN içeriği bunu yanlış anlatır.

İşte matris. Cihaz, ağ ve VPN'in her makul kombinasyonu — ve işverenin her birinde ne görebileceği veya göremeyeceği.

Hızlı kural

İşveren cihaza sahipse, her şeyi gördüklerini varsay. VPN bunu değiştirmez.

Cihaza sen sahipsen, cevap ağa ve hangi VPN'in çalıştığına bağlı.

Uzun versiyon aşağıda.

Senaryo 1: şirkete ait cihaz

Modern kurumsal cihazlar izleme altyapısıyla birlikte gelir. Kategoriler:

Mobile Device Management (MDM). Intune, Jamf, Kandji, Workspace ONE. IT'nin politikalar göndermesine, uygulama kurmasına, cihaz durumunu izlemesine izin verir. 2026'da çoğu kurumsal laptop ve telefon MDM kayıtlı.

Endpoint Detection and Response (EDR). CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, Carbon Black. Süreç davranışı, ağ aktivitesi, dosya erişiminin sürekli izlenmesi. Malware yakalamak için tasarlandı; bu süreçte her şeyi görüyor.

Data Loss Prevention (DLP). Symantec, Forcepoint, Microsoft Purview. Dosya transferleri, pano, ekran görüntüleri, e-postayı izler. Veri sızıntısı yakalamak için tasarlandı.

Tarayıcı seviyesinde izleme. Bazı şirketler tarayıcı eklentileri kurar veya ziyaret edilen her URL'yi loglayan yönetilen tarayıcı politikaları kullanır. Bazıları tam içerik kaydıyla daha da ileri gider.

Ekran kaydı. Daha az yaygın ama var. Uyumluluk veya verimlilik izleme için sürekli veya örnek tabanlı ekran kaydı.

Tuş vuruşu loglama. Nadir ama belgelenmiş. Çoğunlukla finansal hizmetler ve yüksek güvenlik bağlamlarında.

Şirket cihazında çalışan VPN bunların hiçbirini aşmaz. VPN trafiği cihaz ile VPN sunucusu arasında şifreler. İzleme ajanları girdiyi, ekran içeriğini, dosya aktivitesini ve ağ hedeflerini şifrelemeden ÖNCE görür. VPN izlemenin alt akışında.

Şirket cihazları için pratik cevap: hangi VPN kurulu olursa olsun işverenin cihazda yaptığın her şeyi görebileceğini varsay. İş hassassa ona göre davran.

Dar istisna: kurumsal izleme tamamen ağ tabanlıysa (uç nokta ajanı yok), VPN bazı hedef metadata'sını kurumsal ağdan gizleyebilir. 2026'da bu nadir. Çoğu kurumsal kurulum birincil kontrol olarak uç nokta tabanlı izleme kullanıyor.

Senaryo 2: şirket Wi-Fi'ında kişisel cihaz

Laptop'a sen sahipsin. Ofise götürüyorsun (veya evin tüm trafiği şirket ağları üzerinden tunelleyen kurumsal VPN'de). İşveren ne görür?

VPN'siz: şirket ağı DNS sorgularını, TLS handshake'lerinde SNI'yi, hedef IP'leri, trafik paternlerini görür. HTTPS içeriğini görmezler ama saat 14:00'te Reddit'e girip toplantılar sırasında YouTube izlediğini bilirler.

Kişisel VPN ile: şirket ağı şifreli VPN tünel trafiği görür. Hedefleri tanımlayamazlar. VPN çalıştırdığını TANIMLAYABİLİRLER. Bazı şirketler buna izin verir; bazıları bilinen VPN sağlayıcı IP'lerini bloklar; bazılarında şirket ağında VPN kullanımını yasaklayan politikalar var.

Dürüst çerçeveleme: şirket ağında trafiğin senin değil, şirketin ağ sorunu. İzleme yapma yasal yetkileri var ve (çoğu ABD yargı yetkisinde) gözlemlediklerine göre eylemde bulunabilirler. VPN içeriği gizler ama ağ politikalarından muaf tutmaz.

Şirket politikası kurumsal ağda VPN kullanımını yasaklıyorsa, VPN kullanmak — VPN üzerinden ne yaptığından bağımsız — politika ihlali olabilir. AUP'yi oku.

Senaryo 3: kişisel cihazda şirket VPN'i

Evden çalışıyorsun. İşveren iç kaynaklara erişmek için şirket VPN'i (Cisco AnyConnect, GlobalProtect, Pulse, özel OpenVPN kurulumu) üzerinden bağlanmanı zorunlu kılıyor.

Şirket VPN'i açıkken tüm trafiğin genelde onun üzerinden yönlenir. Şirket görür:

  • Şirket VPN'i üzerinden ziyaret ettiğin her web sitesi
  • DNS sorguları (şirket VPN sağlayıcısının resolver'ları)
  • Trafik paternleri
  • Her hedefe harcanan süre

Ev ISP'in şirket VPN'ine şifreli trafik görür. İşveren şifrelenmemiş hedefleri görür (veya şirket-yönetimli sertifika denetimi olan TLS-şifreli siteleri — bazı kurulumlar tam TLS denetimi için cihaza kurumsal root CA kurar).

Şirket VPN'i üstünde kişisel VPN de çalıştırırsan: teknik olarak mümkün (split-tunneling veya kişisel VPN'i şirket VPN tüneli içinde çalıştırma) ama genelde tespit edilir. Şirket kendi tünelinin içinde beklenmedik şifreli tünel görür; bu kendi başına bir bayrak ve genelde politikaya aykırı.

En temiz ayrım: iş aktiviteleri için şirket VPN'i, full-tunnel; kişisel VPN SADECE şirket VPN'ine bağlı değilken, kişisel-cihaz kişisel-ağ kullanımı için.

Senaryo 4: ev ağında kişisel cihaz, şirket VPN'i yok

Evden çalışıyorsun. İşveren şirket VPN'i istemiyor — bulut tabanlı iş araçları (Slack, Microsoft 365, Salesforce) sağlıyor; ev internetinden erişiyorsun.

İşverenin gördüğü:

  • Şirket uygulamalarındaki aktivite (Slack mesajları, e-posta, doküman düzenlemeleri, uygulamalarda harcanan süre)
  • Bağlandığın IP adresi (ev IP'in veya çalıştırırsan VPN çıkış IP'i)
  • Giriş zamanları ve süreler

İşverenin görmediği:

  • Şirket uygulamaları dışında yaptıkların
  • Kişisel gezinmen
  • Kişisel e-postan, kişisel uygulamaların, şirket hesaplarına giriş yapmadığın hiçbir şey

Ev ISP'inin gördüğü:

  • Tüm ağ trafiği hedeflerin (iş araçların ve kişisel gezinmen)
  • Kullandığın şirket uygulamaları (SNI ve IP yoluyla)

Bu kurulumda kişisel VPN trafiğini ISP'inden gizler ama uygulamaları üzerinden işverenin gördüklerini değiştirmez. Slack'e hâlâ sen olarak giriyorsun, sen olarak Slack mesajı atıyorsun; VPN kimlik doğruladığın servislere karşı seni anonim yapmaz.

Senaryo 5: kişisel cihaz, kişisel ağ, şirket SaaS

En yaygın modern kurulum. Ev Wi-Fi'ında kişisel laptop'tan Microsoft 365 veya Google Workspace'e giriş yapıyorsun. Şirket işveren; cihaz ve ağ sana ait.

İşverenin gördüğü: uygulamaları içindeki aktivite. Giriş zamanı, eriştiğin dokümanlar, gönderdiğin e-postalar.

İşverenin görmediği: laptop'ta yaptığın diğer şeyler. Kişisel gezinme, kişisel e-posta, uygulamaları dışındaki hiçbir şey.

Kişisel VPN'in eklediği: ev ISP'inden gizlilik. ISP'in hangi siteleri ziyaret ettiğini veya ne kadar zaman harcadığını görmez. İşveren değişiklik görmez çünkü zaten sadece uygulamalarında ne yaptığını görüyor.

Always On VPN politikaları?

Bazı şirketler always-on VPN gerektirir — şirket VPN'i sen çalışırken (bazen cihaz online olduğunda) sürekli bağlı kalır. Şirket-tarafı izleme bunu varsayar; her şey onların tüneli üzerinden yönlenir.

Always-on VPN politikaları finansal hizmetler, sağlık, savunma yüklenicileri, devlet çalışanları için tipiktir. Genel kurumsal IT'de güvenlik nedenleriyle giderek yaygınlaşıyor.

Sonuçlar:

  • Tüm trafiğin şirket üzerinden yönlenir. Her şeyi görürler.
  • Üstüne kişisel VPN kullanamazsın — tespit edilir ve neredeyse kesinlikle politikaya aykırı.
  • Kişisel gezinme için kurumsal cihaz yerine kişisel ağda kişisel cihaz kullan.

Always-on VPN politikalarının uygun olup olmadığına dair yasal sorular yargı yetkisine göre değişir. Çoğu ABD bağlamında işverenlerin şirkete ait cihazlarda çalışan izleme üzerinde geniş yetkisi var. AB çalışanlarının GDPR ve ulusal iş yasaları altında biraz daha güçlü korumaları var, ama kurumsal cihazların işveren izlemesi geniş ölçüde izinli.

Kişisel VPN'in uzaktan çalışanlar için gerçekte yaptığı

Dürüst özet:

Kişisel ağda kişisel cihazda kişisel VPN:

  • Trafiğini ev ISP'inden gizler
  • İşverenin uygulamaları üzerinden gördüklerini değiştirmez
  • Kişisel gezinme için gizlilik avantajı, şirket SaaS içindeki iş aktivitesi için nötr

Şirket ağında kişisel cihazda:

  • Belirli hedefleri şirket ağından gizler
  • Üzerinden ne yaptığından bağımsız politika ihlali tetikleyebilir
  • Uç nokta izlemesi varsa onu aşamaz

Şirket cihazında:

  • Uç nokta izlemesi VPN şifrelemesinden önce her şeyi gördüğü için neredeyse hiç gizlilik avantajı sağlamaz
  • Kurumsal izleme altyapısını aşmaz
  • Politika ihlali olarak tespit edilebilir

Şirket VPN'i zorunluyken:

  • Üstüne kişisel VPN genelde tespit edilebilir ve politikaya aykırı
  • İş için şirket VPN'i kullan; sadece şirket VPN'inde değilken kişisel VPN kullan

Sıkça sorulan

İşverenim iş laptop'umda kişisel e-postamı kontrol edersem görebilir mi?

Evet. Uç nokta izlemesi uygulama aktivitesini görür, bazen içeriği. Gmail'e HTTPS ile erişsen bile EDR veya tarayıcı seviyesi izleme URL veya içeriği yakalayabilir.

Evde onların VPN'i ile çalışırken işverenim ev gezinmemi görebilir mi?

VPN'leri üzerinden yönlenen trafik için evet. Always-on VPN gerekiyorsa tüm trafiğin onlardan geçer. Split-tunneling kişisel trafiğinin VPN dışına çıkmasına izin veriyorsa, o trafik ev ISP'inin sorunu, işvereninin değil.

İşverenim VPN kullandığımı bilir mi?

Şirket cihazında veya şirket ağında, evet. Kişisel ağda kişisel cihazda, ticari VPN aralığı olarak işaretlenen VPN-yönlendirilmiş IP'den şirket uygulamasına giriş yapmadıkça (bazı şirketler bunu loglar) bilmenin yolu yok.

İşte VPN kullanmaktan kovulabilir miyim?

Şirket politikasına bağlı, muhtemelen. Çoğu şirket kurumsal ağlarda VPN kullanımını yasaklar. İhlal tipik olarak önce IT'nin seninle iletişime geçmesiyle, ihlal tekrarlanırsa veya veri-sızıntısı-ilgili olarak yorumlanırsa disiplin işlemiyle sonuçlanır.

İşverenden korunmak için kişisel ev ağımda VPN kullanmalı mıyım?

Kişisel ağda kişisel cihazda kişisel VPN, işverenin uygulamaları üzerinden gördüklerini etkilemez. Tehdit modeli işveren değil, ISP. ISP'inden gizlilik istiyorsan VPN uygun; bu senaryoda işveren açısı alakasız.

Fexyn'i 7 gün ücretsiz dene — kişisel-cihaz kişisel-ağ gizliliği için. Uzaktan çalışma güvenliği için VPN genel uzaktan çalışma güvenlik resmini kapsar; ISP'in ne gördüğü özellikle ISP seviyesi gizliliği kapsar.

Son inceleme 2026-05-09.

İşveren VPN'de ne yaptığını görebilir mi? İş yeri izleme | Fexyn VPN