Modern işletmeler, çalışmak için birçok teknolojik sisteme ve hizmete güvenir. Karmaşık bir teknoloji yığını, şirketlerin dijital çağda tüketicilerin ihtiyaçlarına ayak uydurmasına yardımcı olur, ancak bu aynı zamanda siber suçluların yararlanabileceği daha fazla açık kapı oluşturur.
Siber güvenliğe yönelik geleneksel yaklaşımlar, halihazırda ağın içinde bulunan tüm cihaz ve kullanıcıların güvenilir olduğunu ve erişim için tamamen temizlendiğini varsayarken, şirketin ağ çevresini sağlam bir şekilde korumaya önem verir. Ancak, son birkaç yılda siber saldırılardaki önemli artışlarla birlikte, bu yaklaşım artık yeterli olmamaktadır.
Peki şirketler şimdi ne yapacak?
Küçük ve orta ölçekli işletmelerin siber suçluların bir adım önünde olmasına yardımcı olan bir güvenlik stratejisi olan sıfır güven modelini duymuş olabilirsiniz. Bu tür bir güvenlik mimarisi, bilgisayar korsanlarının yalnızca bir şirketin ağına girmesini zorlaştırmakla kalmaz, aynı zamanda girseler bile hesap ve uygulamalara tam erişim elde etmelerini de engelleyebilir.
Bulutistan hizmetlerinin detaylarına ulaşmak için tıklayınız.
Zero Trust Nedir?
Sıfır güven yani zero trust, bir ihlalin kaçınılmaz olduğu varsayımına dayalı olarak korumaları en üst düzeye çıkaran BT sistem uygulaması ve tasarımı için modern bir güvenlik mimarisidir.
Sıfır güven, güvenliğe yönelik geleneksel “güven ama doğrula” yaklaşımının ötesine geçer ve bunun yerine “asla güvenme, her zaman doğrula” modelini kullanır; bu, bir ağa bağlı olsalar bile hiçbir cihaza, uygulamaya veya kullanıcıya varsayılan olarak güvenilmediği anlamına gelir.
Bir şirketin güvenlik duvarındaki herhangi bir şeyin veya herhangi birinin güvenli olduğunu varsaymak yerine sıfır güven yaklaşımı, her bir ağ erişim isteğini, sanki açık veya bilinmeyen bir kaynaktan geliyormuş gibi tam olarak doğrular. Ek olarak, tüm erişim en aza indirilir. Bir şirkette daha yüksek pozisyonlara sahip olanlar da dahil olmak üzere tüm kullanıcılara “yeterince erişim” politikası uygulanır. Ayrıca, veri toplama ve analiz, meydana gelen herhangi bir anormalliği tespit etmek ve bunlara müdahale etmek için kullanılır.
Sıfır güven modelinde, bir şirketin teknoloji yığınının her bir bileşenine kendi güvenlik çevresi verilir. Bu, tek bir oturum açma ile tüm ağa erişim sağlayan geleneksel kapsamlı güvenlik altyapısından farklıdır. Bu segmentlere ayrılmış ve kimliği doğrulanmış yaklaşımın nedeni, bir hesaba veya uygulamaya sızılsa bile bir siber suçlunun şirket ağının geri kalanına erişemeyecek olması ve böylece bir ihlalin etkilerinin en aza indirilmesidir.
Ağ güvenliğine yönelik bu proaktif ve uyarlanabilir yaklaşım, özellikle hibrit ve uzaktan çalışmanın yaygın olduğu ve çeşitli konumlardaki kullanıcıların bir şirketin ağına erişmesine yol açtığı bir çağda, geleneksel BT güvenlik modellerine kıyasla sürekli gelişen siber ortama daha iyi ayak uydurabilir.
Sıfır Güvenin Tarihi
“Sıfır güven” terimi ilk olarak 1994 yılında Sterling Üniversitesi’nde felsefe alanında doktora öğrencisi olan Stephen Paul Marsh tarafından kullanılmıştır. Tezinde güveni, insan faktörlerinin veya muhakeme ve etiğin ötesine geçen sonlu ve matematiksel bir nicelik olarak tanımlamıştır.
15 yılı aşkın bir süre sonra, “sıfır güven” kavramı ilk olarak bilgisayar ve ağ güvenliğine Forrester Research’ten siber güvenlik uzmanı John Kindervag tarafından uygulanmıştır. Bu terimi, “asla güvenme, her zaman doğrula” sloganını oluşturarak, şirketlerdeki katı siber güvenlik protokollerini ve erişim kontrolünü tanımlamak için kullanmıştır.
Google, 2009 yılında sıfır güven güvenlik modelini uygulayan ilk şirket olmuştur. O zamandan beri, mobil ve bulut hizmetlerinin işletmeler tarafından giderek daha fazla benimsenmesi, zero trust güvenlik modellerinin yaygınlığının artmasına yol açmıştır.
Sıfır Güven vs Geleneksel BT Ağ Güvenliği
Geleneksel BT güvenlik yaklaşımları, bir kullanıcının veya cihazın nereden geldiğine çok değer verir; bu, konumun veya IP adresinin doğrulanmadan yasal olduğuna güvenildiğini varsayar. Öte yandan, zero trust güvenliği hiçbir zaman herhangi bir düzeyde güven sağlamaz. Herhangi bir sisteme erişim vermeden önce önemli ölçüde kimlik doğrulaması gerektirir ve yalnızca bir kişinin işini tamamlaması için gereken minimum erişimi sağlar.
Daha önceki siber güvenlik en iyi uygulamaları kavramlarında, “castle-and-moat” modeli BT güvenliği için standarttı. Bu model, ağ dışındaki herkesin verilere erişmesini engelledi, ancak ağ içindeki herkese tam erişim sağladı. Bir kullanıcı veya cihaz ağa girmek için ağ çevresini geçtiğinde, şirketin ağındaki tüm uygulama ve verilere serbestçe erişebildi.
BT güvenliğine yönelik bu daha doğrudan yaklaşım, daha hızlı ve daha geniş erişim sağlayarak çalışanların işini azalttığı için çekici görünebilir, ancak önemli siber güvenlik açıkları yaratır. Bir bilgisayar korsanı, bir castle-and-moat sisteminde bir şirketin ağ çevresine sızarsa, şirketin tüm veri ve hesaplarına sınırsız erişim elde eder. Sıfır güven, bir çalışan belirli bir uygulamaya veya hesaba her erişmek istediğinde benzersiz oturum açma ve kimlik doğrulama işlemleri gerektirse de, bu yavaşlama, işletmeye sağladığı ek korumaya fazlasıyla değerdir.
Zero Trust’ı Benimse
Sıfır güven, siber tehditlere karşı dayanıklılığını artırması gereken şirketler içindir. Bazıları için, yöneticilerin kullanıcılar ve varlıklar üzerinde çok fazla kontrole sahip olmadığı ve onları etkili bir şekilde koruyamadığı çevrimiçi alanda gerçekleşen büyük miktarda ticari faaliyet nedeniyle bir zorunluluktur.
Sıfır güven mimarisinin avantajları aşağıdaki şekildedir:
Gelişmiş güvenlik – Zero trust güvenlik yaklaşımları, yetkisiz erişimin önlenmesine ve dış ve iç tehditlere karşı korunmaya yardımcı olur.
İyileştirilmiş görünürlük – Zero trust güvenlik çözümleri, ortamınız genelinde kullanıcı ve cihaz erişimine ilişkin daha fazla görünürlük sağlar. Bu, şüpheli etkinliklerin ve potansiyel tehditlerin gerçek zamanlı olarak belirlenmesine yardımcı olur.
Azaltılmış risk – İşletmeler, zero trust güvenlik modeli uygulayarak veri ihlalleri ve diğer siber saldırı risklerini azaltabilir.
Artan verimlilik – Zero trust güvenlik çözümleri, kimlik doğrulama ve yetkilendirme süreçlerini kolaylaştırmaya yardımcı olabilir, bu da verimliliğin ve üretkenliğin artmasına neden olabilir.
Geliştirilmiş uyumluluk – Zero trust güvenlik çözümleri, kapsamlı güvenlik izleme ve raporlama sağlayarak işletmelerin uyumluluk gereksinimlerini karşılamasına yardımcı olabilir.
Zero Trust Güvenliğinin Temel İlkeleri
Şirketlerin verileri olabildiğince güvenli tutmak için izlemesi gereken zero trust güvenliğinin beş temel ilkesi vardır. Bunlar aşağıdaki şekildedir:
1. En kötüsünü varsayın
En kötüsünü varsaymak, tüm zero trust güvenlik sistemlerinin temelidir. Ağınıza erişmeye çalışan cihaz ve kullanıcılar söz konusu olduğunda, masumiyeti kanıtlanana kadar herkesi suçlu olarak kabul etmeniz gerekir.
2. Dahili ve harici ağ tehditlerinin sabit olduğunu kabul edin
Geleneksel siber güvenlik modelleri, bir BT ağının bir tehdit tespit edilene kadar güvenli olduğunu varsayarken, modern sıfır güven modelleri, ağın hiçbir zaman güvenli olmadığını varsayar.
3. Geleneksel IP adresi güvenlik kurallarına uymayın
Bir cihazın veya kullanıcının konumu, sahte olabileceğinden güven sağlamak için yeterli kanıt değildir.
4. Her kullanıcı, hesap ve cihaz için MFA’yı uygulayın
Ağa ne sıklıkta erişirlerse erişsinler veya şirkette ne kadar üst sıralarda olurlarsa olsunlar, her bir kullanıcının her oturum açma işlemi için birden fazla kimlik doğrulama düzeyinden geçmesi gerekir.
5. Şirket siber güvenlik politikaları oluşturun
Siber tehditler sürekli olarak gelişmektedir ve siber güvenlik de öyle olmalıdır. İşletmelerin siber güvenlik politikaları dinamik olmalı ve mümkün olduğu kadar çok veri kaynağını dikkate almalıdır. İzleme ve tehdit tespiti, tüm çalışanların üzerinde eğitim aldığı bir müdahale planına sahip olmak kadar önemlidir.
Bulutistan hizmetlerinin detaylarına ulaşmak için tıklayınız.
Şirketlerde Zero Trust Güvenliği Nasıl Uygulanır?
İşletmeniz için zero trust güvenlik mimarisi uygulamanın birkaç yolu vardır. Kullanabileceğiniz kaynaklara bağlı olarak şirket içi güvenlik yönetimini seçebilir, güvenlik hizmetleriyle ortak olabilir veya hibrit bir yaklaşım benimseyebilirsiniz.
Tamamen yinelenen sıfır güven mimarisi şunları içerir: gelişmiş kimlik doğrulama, gelişmiş tehdit algılama, tutarlı ve yinelenebilir güvenlik prosedürleri, çeşitli veri kaynakları ve yaygın veri toplama. Temel olarak, ağınıza yönelik potansiyel tehditleri tespit ettikçe gelişebilecek bir sistem kurmanız gerekir.