Güncelleme Tarihi:
Citrix, Zero Trust modeliyle ilgili genel çerçeveyi daha iyi anlamanız için Zero Trust’a ilişkin bazı temel ve önemli noktaları açıkladı.
Zero Trust yeni bir şey mi yoksa bir geçmişi var mı? Zero Trust güvenlik modelinin tarihçesi nedir?
Hayır, Zero Trust geçen yıl ya da bu yıl çıkan çok yeni bir şey değil. Zero Trust’a dayalı güvenlik modelinin kökleri en azından 2000’li yılların başına kadar uzanıyor. O yıllarda çevre sınırının kaldırılması (de-perimeterization) olarak bilinen benzer bir dizi siber güvenlik kavramı vardı. Forrester’da bir analist olan John Kindervag Zero Trust’a dayalı güvenlik terimini buldu. Zero Trust’ın asıl gündeme oturması; 2009 yılında, Google’a yapılan Aurora siber saldırısıyla oldu. APT tipi bu saldırı; geleneksel siber güvenlik mimarilerinden kaçan gelişmiş sürekli tehditler içeriyordu. Google; bu gelişmiş tehditler karşısında, BeyondCorp Zero Trust mimarisini geliştirdi.
Zero Trust mimarisinin temel mantığı; “güvenme ve her zaman doğrula” dır. Karmaşık siber güvenlik tehditlerinin ve sayısız uygulamalarla ve cihazlarla donanmış mobil işgüçlerinin olduğu bir dünyada Zero Trust; bir isteğin, kurumsal güvenlik duvarının içinde doğmuş olsa bile, asla güvenilir bir kaynaktan geldiğini varsaymadan kapsamlı bir koruma sağlamayı hedefler. Her şey güvenli olmayan açık bir ağdan geliyormuş gibi değerlendirilir ve güven, Zero Trust çerçevesi içinde bir yükümlülük olarak görülür. Zero Trust, çevre sınırı olmayan güvenlik olarak da adlandırılabilir. Zero trust mimarisi; gelen isteği, şüphe bırakmıyacak şekilde bir doğrulama ve bağlantı boyunca sürekli onaylama, en düşük seviyede yetkiyi sağlayıp, tehdit yüzeyini azaltma presnsiplerine dayalı kurulmuştur.
Peki Zero Trust neden bu kadar önemli ve de kritik?
Zero Trust veri güvenliği; farklı konumlar ve farklı cihazlar arasında sık sık hareket eden, dinamik iş yükleri bulunan karmaşık BT ortamlarındaki gelişmiş saldırılara karşı koruma sağlayan en güvenilir siber güvenlik çerçevesi olduğu için önemlidir. Çoklu bulut ve hibrit bulut ortamları daha yaygın hale geldiği ve şirketlerin kullandığı bütün uygulamalara yayıldığı için, Zero Trust mimarisi artık özel bir önem taşıyor.
Geleneksel siber güvenlik yöntemleri; sıradan bir kuruluştaki uç noktaların sayısının artıyor olması ve çalışanların bulut uygulamalarına ve şirket verilerine erişmek için kendi kişisel cihazlarını kullanması dolayısıyla aslında veri ihlallerini güvenilir bir şekilde önleyemiyor. Şirket ağına, VPNle bağlanmış olan kötü niyetli bir dahili kullanıcıya; davranışı olağandışı olsa da örneğin, çok büyük miktarlarda veri yüklüyor ya da daha önce yanına bile yaklaşmaya cesaret edemediği oturumlara erişiyor olsa bile, bağlantı kurduğu andan itibaren güveniliyor.
Zero Trust modeli ise tam aksine; ağdaki her bir kimliği, geçen verinin içeriğini, gerçek zamanlı aktiviteyi sıkı bir gözetim altına alarak risk açısından her zaman değerlendirir. Zero Trust çerçeveleri bir kimliğin güvenilir olduğunu kesinlikle varsaymaz ve buna göre söz konusu kimliğin ağda hareket etmesine izin vermeden önce kendisini kanıtlamasını gerektirir. Zero Trust modeli; kullanıcı, cihaz ya da konum yetkilendirilmiş olsa bile bunlara bağımlı kalmadan, uygulamaları ve verileri korumak amacıyla sürekli olarak ölçeklenen ve gelişen, çevre sınırlarından bağımsız, yazılım tanımlı bir model olarak da düşünülebilir.
Zero Trust’ın şirketler, iş ve BT liderleri için başlıca avantajları nedir?
Zero Trust modelinin başlıca avantajları şunlardır:
Güvenlik açıklarının kapatılması ve ağ üzerindeki yanal hareketin denetim altına alınması dolayısıyla riski azaltma.
Araştırma şirketi Gartner’ın da vurguladığı gibi, mobil ve uzak çalışanlar için gelişmiş siber güvenlik ve destek.
İster bulutta ister şirket içinde olsun, uygulama ve veriler için güçlü koruma.
Gelişmiş sürekli tehditler gibi tehditlere karşı güvenilir savunma.
Zero Trust modelinin mimarisi karmaşık mıdır? Zero Trust mimarisi nasıl inşa edilir?
Bu model kesinlikle karmaşık değildir. Zero Trust modeli gereğince uygulandığında bir şirket ağına yönelik bütün taleplerle bağlantılı davranış kalıplarıyla ve veri noktalarıyla uyum sağlar. Zero Trust, coğrafi konum, günün saati, işletim sistemi ve sabit yazılım sürümü, cihazın durumu ve uç nokta donanım türü gibi kriterlere dayanarak erişime izin verebilir ya da erişimi engelleyebilir. Etkili Zero Trust güvenlik modeli üst düzeyde otomatikleştirilmiştir ve sunduğu korumalar bulut üzerinden ve/veya şirket içi uygulamadan sağlanabilir.
Kimlik sağlayıcılar örnekleri aşağıda verilen birtakım kimlik ve erişim denetimi önlemleri sağladıkları için her türlü Zero Trust çerçevesinin temel bileşenleridir:
Çok faktörlü kimlik doğrulaması: Doğru bir parolayla birlikte ek cihazlar ve tek seferlik kodlar gibi ikinci faktörler istenebilir.
Tek oturum açma: Ortak bir dizi kimlik bilgisi birden çok uygulamaya erişime izin verir, parçalı olarak yönetilebilir ve her zaman iptal edilebilir.
Yaşam çevrimi yönetimi: Çalışanların işe başlaması ve işten ayrılması gibi iş akışları kimlik dizinlerinin değerlendirilmesi ve ilişkilendirilmesiyle kolaylaştırılabilir.
Kurumsal güvenden Zero Trust modeline doğru yolculuk, güven yapısı kurmaya yönelik bir strateji gerektirir. Kuruluşların güncel endişelerini tanımlaması ve dijital dönüşümü destekleyecek güven yapısını belirlemesi gerekir. Erişim, verilerin hassasiyetiyle ve verilerin istendiği ve kullanıldığı durumla uyumlu hale getirilmelidir. Zero Trust ağdaki çalışanları, cihazları, verileri ve iş yüklerini parçalı olarak tanımlamalıdır.
Peki VPN’leri neden kullanmamalıyız?
VPN’ler uzun süredir, kullanıcıların şirket merkezlerinin dışında bulunduğu durumlarda kurumsal uygulamalara ve verilere erişim için kullanılan geleneksel bir yöntem niteliğinde. Bu model son kullanıcıların kurumsal ağa yalnızca onaylı, şirket tarafından yönetilen cihazlardan eriştiği kullanım senaryolarında işe yarıyordu. VPN modelinin değişen kullanım senaryolarının ihtiyaçlarını yeterince karşılamamasının nedeni de bu. Uygulamalar web tabanlı erişime uygun şekilde modernize edildi ve çoklu bulut ortamlarında devreye alındı. Uygulamalar, veriler ve hizmetler yalnızca veri merkezi sınırları içinde bulunmuyor. Konumlar yer değiştirdi, daha dinamik hale geldi; kullanıcılar kaynaklara her yerden erişiyor ve kuruluşların üretkenliği yavaşlatmadan bütün kaynaklara kolay erişime izin veren bir çerçeveye ihtiyacı var. Kullanıcıyı bir bulut uygulamasına kurumsal bir VPN üzerinden erişmeye zorlamak son kullanıcı deneyimi açısından bekleneni sağlamıyor. Zero Trust modeli bu kale ve hendek yaklaşımı yerine, kullanıcı cihazlarıyla kullanıcıların ihtiyaç duyduğu, kurumsal hizmet-olarak yazılımlardan (SaaS) onaylanmamış web uygulamalarına kadar uzanan bütün uygulama yelpazesi arasında yer alan, özel olarak ayrılmış VPN’siz bir yetkili sunucu kullanır. Bu yetkili sunucu, bağlamdaki kanıtların bunu desteklemesi halinde yazdırmayı, kopyalamayı ve uç noktaya yapıştırmayı engelleme gibi parçalı siber güvenlik önlemlerini uygulayabilir.
Bir Zero Trust ağı nasıl tasarlanır ve oluşturulur? Bu, maliyetli bir süreç midir ve BT liderleri ve ekipleri için çok fazla çalışma ve iş yükü anlamına mı gelir?
Zero Trust modeli tek bir ürün değildir; bir ortam genelinde riskin sürekli olarak değerlendirilmesi ve erişimin denetlenmesine yönelik kapsamlı bir çerçevedir. Dolayısıyla, bir Zero Trust modelini desteklemek için, yukarıda açıklananlar dahil, ancak bunlarla sınırlı olmayan birden çok çözüm peş peşe devreye alınabilir. Zero Trust güvenlik modelinin tasarlanması ve oluşturulmasına ilişkin süreç kuruluşa ve çözüm kümesine göre değişecektir, ancak, ortak ilerleyiş şu şekilde olacaktır:
Mevcut siber güvenlik denetimlerinin değerlendirilmesi ve temel ağ akışlarının ve güvenlik açıklarının belirlenmesi.
Zero Trust’e dayalı güvenlik önlemleriyle zarardan korunacak korumalı bir yüzeyin belirlenmesi.
Çok faktörlü kimlik doğrulaması, VPN’siz yetkili sunucular ve güvenli yerleşik tarayıcılar gibi belirli teknolojilerin uygulanması.
Şüpheli aktiviteyi yakından takip etmek ve çözüm bileşiminde ve genel siber güvenlik yaklaşımda ihtiyaca göre ince ayar gerçekleştirmek için ağın sürekli olarak izlenmesi.
Bir Zero Trust Mimarisi ağ kesimlerini değil kaynakları korumaya odaklanır. Kullanıcının, cihazın ya da kaynağın ağdaki konumu artık güvenlik yapısının en önemli bileşeni olarak görülmez. Ancak, ağı kesimlere ayırma, yalıtma ve denetleme yeteneği güvenliğin temel direği ve Zero Trust ağı için çok önemli bir unsur olmaya devam eder. Ayrıca, uygun uygulamayı ve çalışma alanı sağlama modelini seçme yeteneği “Nerede” sorusunun ikinci bölümünü oluşturur.
Zero Trust ağları bazen “çevre sınırsız” olarak tanımlanır. Bazıları çevre sınırı korumalarının ağlar ve operasyonlar için gittikçe daha önemsiz hale geldiğini iddia ediyor. Aslında çevre sınırı hâlâ orada duruyor ama çok daha parçalı bir şekilde. Zero Trust ağları gerçekte çevre sınırlarını ağın kenarından içeriye taşımaya ve kritik verileri diğer verilerden yalıtmak için kesimler oluşturmaya çalışıyor. Korumaların ve denetimlerin güçlendirilmesi için çevre sınırının verilerin yakınına gelmesi gerekiyor.