Citrix, Zero Trust modeliyle ilgili genel çerçeveyi daha uygun anlamanız için Zero Trust’a ait birtakım temel ve kıymetli noktaları açıkladı.
Zero Trust yeni bir şey mi yoksa bir geçmişi var mı? Zero Trust güvenlik modelinin tarihçesi nedir?
Hayır, Zero Trust geçen yıl ya da bu yıl çıkan çok yeni bir şey değil. Zero Trust’a dayalı güvenlik modelinin kökleri en azından 2000’li yılların başına kadar uzanıyor. O yıllarda etraf hududunun kaldırılması (de-perimeterization) olarak bilinen misal bir dizi siber güvenlik kavramı vardı. Forrester’da bir analist olan John Kindervag Zero Trust’a dayalı güvenlik terimini buldu. Zero Trust’ın asıl gündeme oturması; 2009 yılında, Google’a yapılan Aurora siber atağıyla oldu. APT tipi bu hücum; klasik siber güvenlik mimarilerinden kaçan gelişmiş daima tehditler içeriyordu. Google; bu gelişmiş tehditler karşısında, BeyondCorp Zero Trust mimarisini geliştirdi.
Zero Trust mimarisinin temel mantığı; “güvenme ve her vakit doğrula” dır. Karmaşık siber güvenlik tehditlerinin ve sayısız uygulamalarla ve aygıtlarla donanmış taşınabilir işgüçlerinin olduğu bir dünyada Zero Trust; bir isteğin, kurumsal güvenlik duvarının içinde doğmuş olsa bile, asla sağlam bir kaynaktan geldiğini varsaymadan kapsamlı bir muhafaza sağlamayı amaçlar. Her şey inançlı olmayan açık bir ağdan geliyormuş üzere kıymetlendirilir ve inanç, Zero Trust çerçevesi içinde bir yükümlülük olarak görülür. Zero Trust, etraf sonu olmayan güvenlik olarak da isimlendirilebilir. Zero trust mimarisi; gelen isteği, kuşku bırakmıyacak formda bir doğrulama ve temas boyunca daima onaylama, en düşük düzeyde yetkiyi sağlayıp, tehdit yüzeyini azaltma presnsiplerine dayalı kurulmuştur.
Peki Zero Trust neden bu kadar değerli ve de kritik?
Zero Trust bilgi güvenliği; farklı pozisyonlar ve farklı aygıtlar ortasında sık sık hareket eden, dinamik iş yükleri bulunan karmaşık BT ortamlarındaki gelişmiş ataklara karşı muhafaza sağlayan en sağlam siber güvenlik çerçevesi olduğu için kıymetlidir. Çoklu bulut ve hibrit bulut ortamları daha yaygın hale geldiği ve şirketlerin kullandığı bütün uygulamalara yayıldığı için, Zero Trust mimarisi artık özel bir değer taşıyor.
Geleneksel siber güvenlik yolları; sıradan bir kuruluştaki uç noktaların sayısının artıyor olması ve çalışanların bulut uygulamalarına ve şirket datalarına erişmek için kendi şahsî aygıtlarını kullanması hasebiyle aslında data ihlallerini muteber bir formda önleyemiyor. Şirket ağına, VPNle bağlanmış olan makus niyetli bir dahili kullanıcıya; davranışı olağandışı olsa da örneğin, çok büyük ölçülerde data yüklüyor ya da daha evvel yanına bile yaklaşmaya yürek edemediği oturumlara erişiyor olsa bile, temas kurduğu andan itibaren güveniliyor.
Zero Trust modeli ise tam bilakis; ağdaki her bir kimliği, geçen datanın içeriğini, gerçek vakitli aktiviteyi sıkı bir nezaret altına alarak risk açısından her vakit kıymetlendirir. Zero Trust çerçeveleri bir kimliğin muteber olduğunu katiyen varsaymaz ve buna nazaran kelam konusu kimliğin ağda hareket etmesine müsaade vermeden evvel kendisini kanıtlamasını gerektirir. Zero Trust modeli; kullanıcı, aygıt ya da pozisyon yetkilendirilmiş olsa bile bunlara bağımlı kalmadan, uygulamaları ve bilgileri korumak hedefiyle daima olarak ölçeklenen ve gelişen, etraf sonlarından bağımsız, yazılım tarifli bir model olarak da düşünülebilir.
Zero Trust’ın şirketler, iş ve BT önderleri için en önemli avantajları nedir?
Zero Trust modelinin esas avantajları şunlardır:
Güvenlik açıklarının kapatılması ve ağ üzerindeki yanal hareketin kontrol altına alınması münasebetiyle riski azaltma.
Araştırma şirketi Gartner’ın da vurguladığı üzere, taşınabilir ve uzak çalışanlar için gelişmiş siber güvenlik ve dayanak.
İster bulutta ister şirket içinde olsun, uygulama ve datalar için güçlü muhafaza.
Gelişmiş daima tehditler üzere tehditlere karşı sağlam savunma.
Zero Trust modelinin mimarisi karmaşık mıdır? Zero Trust mimarisi nasıl inşa edilir?
Bu model mutlaka karmaşık değildir. Zero Trust modeli yeterince uygulandığında bir şirket ağına yönelik bütün taleplerle ilişkili davranış kalıplarıyla ve data noktalarıyla ahenk sağlar. Zero Trust, coğrafik pozisyon, günün saati, işletim sistemi ve sabit yazılım sürümü, aygıtın durumu ve uç nokta donanım tipi üzere kriterlere dayanarak erişime müsaade verebilir ya da erişimi engelleyebilir. Tesirli Zero Trust güvenlik modeli üst seviyede otomatikleştirilmiştir ve sunduğu muhafazalar bulut üzerinden ve/veya şirket içi uygulamadan sağlanabilir.
Kimlik sağlayıcılar örnekleri aşağıda verilen birtakım kimlik ve erişim kontrolü tedbirleri sağladıkları için her türlü Zero Trust çerçevesinin temel bileşenleridir:
Çok faktörlü kimlik doğrulaması: Gerçek bir parolayla birlikte ek aygıtlar ve tek seferlik kodlar üzere ikinci faktörler istenebilir.
Tek oturum açma: Ortak bir dizi kimlik bilgisi birden çok uygulamaya erişime müsaade verir, modüllü olarak yönetilebilir ve her vakit iptal edilebilir.
Yaşam çevrimi idaresi: Çalışanların işe başlaması ve işten ayrılması üzere iş akışları kimlik dizinlerinin kıymetlendirilmesi ve ilişkilendirilmesiyle kolaylaştırılabilir.
Kurumsal itimattan Zero Trust modeline hakikat seyahat, inanç yapısı kurmaya yönelik bir strateji gerektirir. Kuruluşların aktüel tasalarını tanımlaması ve dijital dönüşümü destekleyecek inanç yapısını belirlemesi gerekir. Erişim, bilgilerin hassasiyetiyle ve bilgilerin istendiği ve kullanıldığı durumla uyumlu hale getirilmelidir. Zero Trust ağdaki çalışanları, aygıtları, bilgileri ve iş yüklerini modüllü olarak tanımlamalıdır.
Peki VPN’leri neden kullanmamalıyız?
VPN’ler uzun müddettir, kullanıcıların şirket merkezlerinin dışında bulunduğu durumlarda kurumsal uygulamalara ve datalara erişim için kullanılan klâsik bir yol niteliğinde. Bu model son kullanıcıların kurumsal ağa sırf onaylı, şirket tarafından yönetilen aygıtlardan eriştiği kullanım senaryolarında işe yarıyordu. VPN modelinin değişen kullanım senaryolarının muhtaçlıklarını gereğince karşılamamasının nedeni de bu. Uygulamalar web tabanlı erişime uygun biçimde modernize edildi ve çoklu bulut ortamlarında devreye alındı. Uygulamalar, bilgiler ve hizmetler sadece data merkezi hudutları içinde bulunmuyor. Pozisyonlar yer değiştirdi, daha dinamik hale geldi; kullanıcılar kaynaklara her yerden erişiyor ve kuruluşların üretkenliği yavaşlatmadan bütün kaynaklara kolay erişime müsaade veren bir çerçeveye muhtaçlığı var. Kullanıcıyı bir bulut uygulamasına kurumsal bir VPN üzerinden erişmeye zorlamak son kullanıcı tecrübesi açısından bekleneni sağlamıyor. Zero Trust modeli bu kale ve hendek yaklaşımı yerine, kullanıcı aygıtlarıyla kullanıcıların gereksinim duyduğu, kurumsal hizmet-olarak yazılımlardan (SaaS) onaylanmamış web uygulamalarına kadar uzanan bütün uygulama yelpazesi ortasında yer alan, özel olarak ayrılmış VPN’siz bir yetkili sunucu kullanır. Bu yetkili sunucu, bağlamdaki delillerin bunu desteklemesi halinde yazdırmayı, kopyalamayı ve uç noktaya yapıştırmayı engelleme üzere modüllü siber güvenlik tedbirlerini uygulayabilir.
Bir Zero Trust ağı nasıl tasarlanır ve oluşturulur? Bu, maliyetli bir süreç midir ve BT önderleri ve grupları için çok fazla çalışma ve iş yükü manasına mı gelir?
Zero Trust modeli tek bir eser değildir; bir ortam genelinde riskin daima olarak kıymetlendirilmesi ve erişimin denetlenmesine yönelik kapsamlı bir çerçevedir. Hasebiyle, bir Zero Trust modelini desteklemek için, üstte açıklananlar dahil, lakin bunlarla sonlu olmayan birden çok tahlil peş peşe devreye alınabilir. Zero Trust güvenlik modelinin tasarlanması ve oluşturulmasına ait süreç kuruluşa ve tahlil kümesine nazaran değişecektir, lakin, ortak ilerleyiş şu biçimde olacaktır:
Mevcut siber güvenlik kontrollerinin kıymetlendirilmesi ve temel ağ akışlarının ve güvenlik açıklarının belirlenmesi.
Zero Trust’e dayalı güvenlik tedbirleriyle ziyandan korunacak muhafazalı bir yüzeyin belirlenmesi.
Çok faktörlü kimlik doğrulaması, VPN’siz yetkili sunucular ve inançlı yerleşik tarayıcılar üzere makul teknolojilerin uygulanması.
Şüpheli aktiviteyi yakından takip etmek ve tahlil bileşiminde ve genel siber güvenlik yaklaşımda muhtaçlığa nazaran ince ayar gerçekleştirmek için ağın daima olarak izlenmesi.
Bir Zero Trust Mimarisi ağ kesitlerini değil kaynakları muhafazaya odaklanır. Kullanıcının, aygıtın ya da kaynağın ağdaki pozisyonu artık güvenlik yapısının en değerli bileşeni olarak görülmez. Lakin, ağı kısımlara ayırma, yalıtma ve denetleme yeteneği güvenliğin temel direği ve Zero Trust ağı için çok değerli bir öge olmaya devam eder. Ayrıyeten, uygun uygulamayı ve çalışma alanı sağlama modelini seçme yeteneği “Nerede” sorusunun ikinci kısmını oluşturur.
Zero Trust ağları bazen “çevre sınırsız” olarak tanımlanır. Kimileri etraf sonu muhafazalarının ağlar ve operasyonlar için gitgide daha kıymetsiz hale geldiğini argüman ediyor. Aslında etraf hududu hâlâ orada duruyor ancak çok daha kesimli bir halde. Zero Trust ağları gerçekte etraf hudutlarını ağın kenarından içeriye taşımaya ve kritik dataları öbür bilgilerden yalıtmak için kısımlar oluşturmaya çalışıyor. Müdafaaların ve kontrollerin güçlendirilmesi için etraf sonunun dataların yakınına gelmesi gerekiyor.
