Sıfır Güvene Dayalı Güvenlik Nedir?

Deneyimli güvenlik uzmanları oldukça fazla durumla karşılaştı. 2000'lerde güçlü şifreler, güvenlik duvarları ve antivirüs ve yazılımlara yama uygulamak ön plandaydı. Daha sonra Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) ve Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS) gibi şartlar, odağı kimlik tabanlı erişim kontrolleri ve şifreleme de dahil olmak üzere veriye özel koruma önlemlerine kaydırdı. Bulut ve mobil cihazlar daha fazla yeni araç, süreç ve eğitimi beraberinde getirdi.

Saldırganlar da stratejilerini geliştirdiler. Buna karşılık, proaktif kuruluşlar, güvenlik duruşlarını güçlendirmek ve varlıkları yetkisiz erişim ve manipülasyona karşı korumak için giderek daha fazla sıfır güven ilkesinden yararlanıyor. Saldırı yüzeyini sınırlamak için parçalı segmentasyon kullanan ve düşmanın zaten içeriye sızmış olduğu varsayımını yapan "asla güvenme, her zaman doğrula" stratejisine geçiyorlar.

Artık önemli olan zararın kapsamını azaltmak.

Sıfır Güvene Dayalı Güvenlik Nedir?

Sıfır güvene dayalı güvenlik modeli, ihlal belirtilerini sürekli olarak izlerken varlıkları korumak için sık sık kullanıcı kimlik doğrulaması ve yetkilendirmeyi kullanır. Segmentlere ayırma, bir varlığın yeniden kimlik doğrulama yapmadan erişebileceği verileri ve varlıkları sınırlamak için kullanılır. Sıfır güven, ağa bir tehdit unsurunun nüfuz ettiğini varsaydığı için güvenlik önlemleri sadece çevreye değil, derinlemesine uygulanır. Bunu "kale ve hendek" modeline benzetebiliriz.

Sıfır güven mimarisi veya çevreye bağlı olmayan güvenlik olarak da bilinen sıfır güvene dayalı güvenlik, ağın içinde veya dışında hiç kimsenin ve hiçbir cihazın ya da uygulamanın evrensel olarak güvenilir olmadığını varsayar. Sürekli doğrulama gereklidir. Bu erişim, isteğin bağlamına, güven düzeyine ve varlığın duyarlılığına göre verilir. Sıfır güven mimarisi, özellikle bulut uygulamalarını kullanan ve çok sayıda uzaktan çalışana ve konuma sahip kuruluşlar için etkilidir.

Sıfır güven mimarisi, ağın sınırlı bir segmentine sınırlı bir süre için erişim vermeden önce her kullanıcıyı, hizmeti ve cihazı doğrulayan bir güvenlik modeli kullanır.

Ana Fikirler

• Sıfır güvene dayalı güvenlik, siber savunmaların odağını statik, ağ tabanlı çevrelerden kullanıcılara, varlıklara ve kaynaklara kaydırır.
• Günümüzde çoğu kuruluş, sıfır güven ilkesi olan ayrıntılı erişim deneyimlerini öne çıkaran veri gizliliği düzenlemelerine tabidir.
• Sıfır güven şu anlama gelir: Her kullanıcı, cihaz ve uygulama için sık ve güçlü doğrulama gereklidir.
• Ağı kapsayıcı bölgelerine ayıran ve aralarındaki hareketi kontrol eden mikrosegmentasyon, sıfır güvene dayalı güvenlikte başarının temel kriteridir.

Sıfır Güvene Dayalı Güvenliğin Açıklaması

Ulusal Standartlar ve Teknoloji Enstitüsü NIST, sıfır güveni, savunmaların odağını statik, ağ tabanlı çevrelerden kullanıcılara, varlıklara ve kaynaklara kaydıran, gelişen bir siber güvenlik paradigmaları kümesi olarak tanımlıyor. Sıfır güven, varlıklara veya kullanıcı hesaplarına yalnızca fiziksel komuna veya ağ konumuna (yerel ağ ve internet karşılaştırması) veya bir varlığın kuruma mı yoksa bireye mi ait olduğuna bağlı olarak verilen örtülü bir güven olmadığını varsayar.

Sıfır güvene dayalı güvenlik, örtülü güveni ortadan kaldırır ve bunun yerine kuruluşların sistemlerine ve verilerine yalnızca yetkili kişilerin, cihazların ve uygulamaların erişmesine olanak tanıyan güçlü kimlik ve erişim yönetimi (IAM) kontrollerine bağlıdır. Sıfır güvene dayalı güvenlik yaklaşımının bazı temel ilkeleri vardır:

• Tehdit aktörlerinin ağda zaten çalıştığı, bu yüzden BT ihlalleri olduğu varsayılır.
• Sıfır güven ortamı varsayılan olarak erişimi reddeder; işlem düzeyinde yetkilendirme/kimlik doğrulama sağlamak için tüm teknik kaynaklar ve insan kaynakları sorgulanır.
• Varlık koruma düzeyi değere dayalıdır. Kaynaklara sadece kimlik doğrulamadan sonra ve gerekli yetkilendirmeyle erişilebilir. Ayrıca, izinlerin sürekli doğrulanması ve gereksiz erişimin iptal edilmesi gerekir.
• Ağ segmentlere ayrılır ve güvenliğe ihtiyaç duymayan varlık ya da alan yoktur.
• Anormal davranışları tespit etmek ve saldırganları dışarıda tutmak için hemen harekete geçmek için genellikle yapay zeka kullanan gelişmiş analiz kullanılır.

Sıfır güven, savunmaya da derinlemesine bir yaklaşım benimser. Bazen katmanlı güvenlik olarak adlandırılan derinlemesine savunma, bir kuruluşun ağını, sistemlerini ve verilerini korumak için bir sistemdeki farklı noktalarda çeşitli güvenlik kontrollerinin uygulanmasını içerir. Bu, birden fazla savunma önlemi olan bir kaleye benzer. Hendeği aşmak size tacı getirmez. Ayrıca kapılar, güçlü kilitli kapılar ve kulelerde okçular da var.

Derinlemesine savunma kontrolleri fiziksel, teknik veya idari olabilir. Fiziksel güvenlik önlemleri arasında veri merkezlerini korumak için çitler, erişim kontrol sistemleri ve güvenlik görevlileri yer alır. Teknik kontroller, teknik engeller sağlamak için güvenlik duvarları, saldırı tespit/önleme sistemleri (IDS/IPS), veri şifreleme ve kötü amaçlı yazılımdan koruma yazılımlarını içerir. Politikalar, prosedürler, güvenlik farkındalığı eğitimi ve erişim kontrolleri gibi idari önlemler güvenliğin insan unsurunu ele almayı amaçlar.

Sıfır Güven Modeli Neden Önemlidir?

Sıfır güven modeli önemlidir çünkü örtülü bir güven bölgesi içinde veya bir VPN aracılığıyla bağlandıklarında kullanıcıları ve cihazları serbest bırakan geleneksel yaklaşım işe yaramamaktadır. Bu güncelliğini yitirmiş çevre savunma modelleri verilerimizin güvenliğini sağlamakta başarısız kalır çünkü kurumsal sınırlar artık şirket içi sistemlerle sınırlı değil. Uzaktan çalışanlar ve mobil cihazlar ağ çevresinin dışındadır ve bulut teknolojilerinin benimsenmesi güvenlik sınırını daha da genişletir. Öte yandan, siber saldırılar daha karmaşık ve etkili hale gelmeye devam ediyor. Başarılı bir fidye yazılımı saldırısı, bir kuruluşu kritik işlevsellik kaybına uğratabilir ve hassas bilgilerin ifşa olmasına neden olabilir. Hiçbir organizasyon tam bağışıklık geliştirmiş değildir; saldırganlar büyük şirketlerden, belediyelerden ve hatta hastanelerden başarılı bir şekilde fidye almışlardır.

Sistemlerimizi ve verilerimizi güvence altına almak için daha agresif bir yaklaşım benimsememiz çok önemlidir.

Bulut hizmetlerinin kullanımı hızla yaygınlaşırken, siber suçlular için de yeni hedefler yaratıyor. Popüler kötüye kullanım yöntemlerinden biri, ayrıcalıklı bir yöneticinin veya uygulamanın kimlik bilgilerini çalmak veya tahmin etmek ve ardından ağda serbestçe dolaşmaktır. Sıfır güven uygulamaları sistemlere, ağlara ve verilere erişimi ayrıntılı bir şekilde düzenlemeyi mümkün kılar. Bu nedenle giderek artan sayıda organizasyon veri ihlali riskini azaltmak, siber güvenlik olaylarını tespit etmek ve siber saldırılardan kaynaklanan zararı önlemek için sıfır güvene dayalı güvenlik modeline geçiyor.

Federal Hükümet Sıfır Güvene Dayalı Güvenlik Çerçeveleri

Sıfır güven konusu, Amerika Birleşik Devletleri Savunma Bakanlığı (DoD) ve genel olarak ABD hükümeti için önemli odak noktalarından biridir. Mayıs 2021'de Beyaz Saray, federal kurumları en iyi güvenlik uygulamalarını benimseyerek ve yetkililerin bu güvenlik stratejisini gerçekleştirmeye yönelik önemli bir araç olarak gördükleri sıfır güvene dayalı bir mimariye doğru ilerleyerek bilgisayar sistemlerini korumaya ve güvence altına almaya yönlendiren 14028 sayılı Başkanlık Emri'ni yayınladı.

Ekiplerin sıfır güven mimarisi geliştirmelerine yardımcı olacak çeşitli modeller ve çerçeveler bulunur. NIST Özel Yayın 800-207'de yayımlanmış altı ilkeyi temel alan bir model tasarladı. Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), kısa süre önce beş temelden oluşan Sıfır Güven Olgunluk Modeli'nin 2.0 sürümünü yayımladı.

Son olarak, Savunma Bilgi Sistemleri Dairesi (DISA) kurumsal teknolojiyi yedi temel ile uyumlu hâle getiren bir referans mimari yayınladı.

Tüm bu kurumlar, organizasyonların sıfır güven stratejisini benimsemelerine yardımcı olmayı amaçlamaktadır. Bu modeller ve ilgili mimarileri, başarı için gereken bütçe ve çabanın tanımlanmasına yardımcı olur ve yapı kazandırır.

Sıfır Güven Nasıl Çalışır?

Sıfır güven bir veri, uygulama veya kaynak talebine hiçbir zaman dolaylı olarak güvenmeyerek ve talep edenin kötü bir aktör olabileceğini varsayarak çalışır. Güvenliğe bu mercekten baktığınızda, sonuçta araçlarda ve politikalarda yeni ayrıntı düzeyleri ortaya çıkıyor. Sıfır güvene dayalı güvenlik mimarisi geliştirmek, hassas verilerin ve kritik uygulamaların yanı sıra yetkili kullanıcıları ve veri akışlarını tanımlamakla başlar. Bir politika denetleyicisinden oluşan bir kontrol düzlemi vardır ve otomasyon ve düzenleme kritik öneme sahiptir. BT ekiplerinin tek başlarına gerekli dikkat düzeyine ulaşmaları mümkün değildir. Bunun için yapay zeka/makine öğreniminin yanı sıra entegre bir yaklaşım gerekir.

Sıfır güven mimarisi, NIST tarafından belirtildiği gibi altı ilke uygular.

• Tüm veri kaynakları ve bilgi işlem hizmetleri, güvenlik hususları gerektiren kaynaklar olarak kabul edilir. Hiçbir şey güvensiz bırakılmamalıdır.
• Ağ konumuna bakılmaksızın tüm iletişim güvenli olmak zorundadır, ağ konumu güven teşkil etmez.
• Bireysel kurumsal kaynaklara erişim, bağlantı bazında sağlanır, istekte bulunan kişiye yönelik güven, erişim verilmeden önce değerlendirilir.
• Kaynaklara erişim, kullanıcı kimliğinin ve istenen sistemin gözlemlenebilir durumu dahil olmak üzere ilkeye göre belirlenir. Değerlendirmeye diğer davranışsal özellikler de dahil edilebilir.
• Organizasyon, sahip olunan ve ilişkili tüm sistemlerin mümkün olan en güvenli durumda olmasını sağlar ve bu şekilde kalmalarını sağlamak için sistemleri izler.
• Kullanıcı kimlik doğrulaması dinamiktir ve erişime izin verilmeden önce kesinlikle uygulanır. Bu, sürekli bir erişim , tehditleri tarama ve değerlendirme, uyarlama ve kimlik doğrulama döngüsüdür.

Sıfır güven mimarisi, ağın sınırlı bir segmentine sınırlı bir süre için erişim vermeden önce her kullanıcıyı, hizmeti ve cihazı doğrulayan bir güvenlik modeli kullanır.

Sıfır Güven Yaklaşımının Temel İlkeleri

Sıfır güven yaklaşımının temel ilkeleri, Birleşik Krallık hükümetinin Ulusal Siber Güvenlik Merkezi (NCSC) tarafından geliştirilen Sekiz Sıfır Güven İlkesi'nin merceğinden görülebilir. Bu ilkeler, organizasyonların sıfır güven mimarisi oluşturma yolculuğuna çıkarken göz önünde bulundurmaları gereken faydalı bir çerçeve oluşturmaktadır.

Buna ek olarak, sıfır güvene dayalı güvenlik uygulamak organizasyonlar için önemli bir kültürel uyum gerektirebilir.

1. Kullanıcılar, cihazlar, hizmetler ve veriler dahil olmak üzere mimarinizi tanıyın

Herhangi bir güvenlik mimarisi tasarlamak için mevcut varlıkların iyi anlaşılması gerekir. Çoğu organizasyon, korumaları gereken kullanıcıları, cihazları, hizmetleri ve verileri belgelemek ve değerlendirmek için düzenli olarak çalışır. Sıfır güvenliği uygulamak için bir varlık keşif faaliyeti yürütmek büyük olasılıkla tamamen teknik bir uygulama olmayacaktır. Bunun yerine proje belgelerini ve satın alma kayıtlarını gözden geçirmek ve iş arkadaşlarıyla konuşmak gibi görevler içerecektir. Birçok durumda, departmanlar ve iş kolları kendi sistemlerini uygulamaya koyar.

2. Kullanıcı, hizmet ve cihaz kimliklerinizi öğrenin

Kimlik bir insan, bir uygulama veya bir cihazla ilişkilendirilebilir. Birisine veya bir şeye veri veya hizmetlere erişim izni verilip verilmeyeceğini belirlemek için hepsinin tanımlanması gerekir. Daha önce de belirtildiği gibi, buluta kademeli geçiş geleneksel ağ çevresinin erozyonunu hızlandırmıştır. Bununla birlikte, kimlik yeni çevre olarak kabul edilmektedir. Kimlik platformları, kullanıcı kimliklerini, özniteliklerini ve erişim yetkilerini yönetme becerileri sağlar. Kimlik platformunuz ana kimlik deposu olarak hizmet verebilse de, birçok organizasyonun birden fazla kimlik yönetim sistemi olacaktır. Bir organizasyon sıfır güven mimarisi oluşturmayı hedeflerken tüm bu sistemlerin keşfedilmesi ve yönetilmesi gerekir.

3. Kullanıcı davranışını, hizmet ve cihaz durumunu değerlendirin

NCSC, kullanıcılardan ve cihazlardan gelen "sağlık sinyallerinin" sürekli olarak izlenmesini önerir. Bu sinyaller, bir ilke altyapısının güvenilirliği ve siber hijyeni değerlendirmesini sağlayan davranışsal ve sistem göstergeleridir. Bu sayede, erişim kararlarını bir dereceye kadar güvenle verebilir. Örneğin, bir dizüstü bilgisayarın hangi coğrafi konumdan oturum açmaya çalıştığını bilmek isteyebilirsiniz. ABD'nin Doğu Yakası'ndaki bir kullanıcının New York'ta saat gece 3'te yaptığı bir oturum açma girişimi tehlike işareti olabilir.

4. İstekleri yetkilendirmek için ilkeleri kullanın

Sıfır güven mimarisinin bir avantajı da ilke altyapınız tarafından yürütülen erişim ilkeleri tanımlamanızdır. İlgili ilkeler, talep edenin gerçek olduğuna ve cihazın siber sağlığının iyi olduğuna dair güven sağlamak için geçmiş ve gerçek zamanlı bağlantı bilgileri de dahil olmak üzere bahsettiğimiz sağlık sinyallerini dikkate almalıdır. NCSC, yeni bir yönetici düzeyinde kullanıcı oluşturma veya müşteri listesi indirme gibi yüksek etkili bir eylemin, çalışma programını kontrol etme gibi nispeten düşük etkili bir eyleme kıyasla daha katı ilke gereksinimlerini karşılamasını önerir. Sıfır güven mimarinize yönelik teknolojileri seçerken, satıcıların sinyalleri nasıl topladığını ve bunları erişim kontrollerine nasıl dahil ettiğini değerlendirin. Bu sinyaller en azından kullanıcının rolü ve fiziksel lokasyonu, kimlik doğrulama faktörleri, cihaz sağlığı, günün saati, erişilecek hizmetin değeri ve talep edilen eylemin riskini içermelidir.

5. Her yerde kimlik doğrulama ve yetkilendirme yapın

Ağın tehlikeli olduğunu ve sistemde bir saldırgan olduğunu varsayarsak güçlü kimlik doğrulama yöntemlerine sahip olmamız ve bir ilke altyapısından gelen erişim kararlarını kabul etmek için uygulamalar oluşturmamız gerekir. Güçlü kimlik doğrulama, hizmetin kullanılabilirliğini engellemiyorsa organizasyon genelinde daha iyi bir kültürel kabul olduğunu görürsünüz. NCSC, yalnızca gizli veriler veya yetki gerektiren eylemler gibi taleplerin daha yüksek bir etkiye sahip olduğu durumlarda ek kimlik doğrulama faktörlerinin istenmesini önerir. Tüm hizmetlerinizde güçlü, tutarlı ve olumlu bir kullanıcı deneyimi için tek adımlı oturum açma, çok faktörlü kimlik doğrulama ve parolasız kimlik doğrulama yöntemlerini değerlendirin.

6. İzlemenizde kullanıcılara, cihazlara ve hizmetlere odaklanın

İzleme yazılımı cihazlara yüklenmeli ve bu sistemler tarafından üretilen veriler VPN gibi güvenli bir aktarım mekanizması aracılığıyla analiz için merkezi bir lokasyona aktarılmalıdır. Ortamınızda kişisel cihazlara veya konuk cihazlara izin veriyorsanız bu cihazlara tam olarak izleyebildiğiniz cihazlarla aynı derecede güvenmemeniz faydalı olabilir.

7. Kendi ağınız da dahil olmak üzere hiçbir ağa güvenmeyin

NCSC, sıfır güvenin ağı tehlikeli olarak gördüğünü söylüyor ve LAN'lar da dahil olmak üzere cihaz ile eriştiği hizmet arasındaki hiçbir bağlantıya güvenilmemesini tavsiye öneriyor. Verilere ya da hizmetlere erişmek için yapılan iletişimlerde, verileri şifreleyen Taşıma Katmanı Güvenliği (TLS) protokolü gibi güvenli bir aktarım kullanılmalıdır. NCSC ayrıca DNS sahtekarlığı ve ortadaki adam gibi saldırılara karşı izleme yapılmasını, istenmeyen gelen bağlantıların reddedilmesini ve şifreleme ve kapsülleme kullanılmasını önerir.

8. Sıfır güven için tasarlanmış hizmetleri seçin

Sıfır güven mimarisinde ağa güvenemezsiniz. Dolayısıyla, hizmetlerin kendilerini potansiyel saldırı kaynaklarından koruyacak şekilde tasarlanması gerekir. Bazı eski sistemlerde önemli ve pahalı yenilemeler gerekir ve hâlâ kullanılabilirlikle ilgili sorunlar olabilir. NCSC, sıfır güven mimarisi için tasarlanmış ve üretilmiş ürün ve hizmetleri tercih ederek "tekerleği yeniden icat etmeye" çalışmamayı telkin eder. Mümkün olduğu durumlarda OpenID Connect, OAuth 2.0 veya SAML gibi birlikte çalışabilirliğe izin veren standartlara dayalı teknolojileri kullanın ve bulut hizmeti sağlayıcılarına sıfır güven destekleri olup olmadığını sorun.

Sıfır Güvenin Avantajları

Yaygın bir ağ güvenliği durumu, ağ çevresinin dışından gelen tehditleri durdurmaya odaklanır ancak verileri duvar içinde hırsızlığa karşı savunmasız bırakabilir. Çevre güvenliği güvenlik duvarlarına, VPN'lere, saldırı tespit sistemlerine ve siber suçluların nasıl güvenlik ihlali yapacağını bilebileceği diğer teknolojilere bağlıdır. Bu, doğru kimlik bilgilerine sahip birinin herhangi bir ağın sitelerine, uygulama yazılımlarına veya cihazlarına kabul edilebileceği anlamına gelir. Sıfır güvene dayalı güvenlik ile, ağın içinde veya dışındaki hiç kimseye varsayılan olarak güvenilmez.

Diğer önemli avantajlar arasında şunlar yer alır:

• Daha az saldırı yüzeyi. Sıfır güven en az yetki ilkesini uyguladığından, esasen daha küçük bir aktif saldırı yüzeyiniz olur. Evet, herkes ve her şey şüphelidir. Ancak, kullanıcılara ve cihazlara yalnızca görevlerini yerine getirmeleri için gereken minimum erişim düzeyi verilir. Bu durum, bir güvenlik ihlalinden kaynaklanabilecek potansiyel zararı sınırlandırır. Müşterilerin serbestçe gezinmesine izin vermek yerine bir seferde yalnızca bir ürüne erişmelerine izin veren, daha sonra onları yakından izleyen bir butik düşünün. En az yetki yaklaşımının özünü bu şekilde açıklayabiliriz. Evet, her varlık bir saldırı yüzeyidir ancak erişim önemli ölçüde kısıtlanır.
• Minimum düzeyde saldırı etkisi. Ağın stratejik olarak mikro segmentlere ayrılması ve böylece yanal hareketin kesilmesi sayesinde başarılı bir saldırıda, yalnızca küçük bir varlık kümesi ele geçirilir. Artık daha yüksek değerli veri ve sistemlere daha sıkı erişim şartları uyguladığınız için saldırgan müşteri listenizi değil, önemsiz değerde verileri ele geçirebilir.
• Daha düşük kurtarma süresi ve maliyeti. Sıfır güven mimarisi, saldırıların sayısını azaltır ve daha fazla kontrol sahibi olmanıza olanak sağlar. Bu durumda, saldırı etkisinin temizlenmesi için daha az zaman ve para gerekir. Yanal hareketin sınırlandırılması, bir saldırganın ağınızı daha fazla keşfetmek için alt düzey erişimi kullanmasını engeller ve sıfır güven ilkeleri, gizli verilerin ağdan dışarı sızmasını önlemek amacıyla veri kaybını önleme (DLP) çözümleriyle sorunsuz bir şekilde uyum sağlar. Sıfır güven, maliyetli güvenlik ihlali bildirim çabalarına olan ihtiyacı en aza indirmeye de yardımcı olur.
• Erişim kontrolü. Sıfır güven ile, fiziksel lokasyon yerine ilkelere dayalı olarak yalnızca yetkili kullanıcılar ve cihazlar erişim girişiminde bulunabilir. Bu sayede, potansiyel giriş noktalarının sayısı azaltılır. Bu yaklaşım, kontrollerin eşleştirilmesini kolaylaştırır ve kötü bir aktörün güvenliği ihlal edilmiş kimlik bilgileri veya savunmasız bir cihaz aracılığıyla erişim elde etmesi durumunda olası hasarı en aza indirir.
• Geliştirilmiş uyumluluk. GDPR ve HIPAA gibi birçok uyumluluk yönetmeliği, güçlü erişim kontrolü mekanizmalarının önemini vurgular. Sıfır güven, kullanıcılara yalnızca görevleri için gereken minimum yetkiyi vererek en az yetkiyi zorunlu kıldığından, mimari gizli verilere erişimi kısıtlamak için uyumluluk gereksinimleriyle iyi uyum sağlar.
• Daha fazla görünürlük ve izleme. Sıfır güven, ağ çevresi içindeki bir kişiye veya cihaza doğal olarak güvenme kavramını ortadan kaldırır. Erişim talep eden herkesin ve her şeyin, lokasyonu ne olursa olsun, sürekli olarak doğrulanması gerekir. Bu etkileşimleri günlüğe kaydederek görünürlüğü en üst düzeye çıkarır ve güvenlik sistemlerine bir güvenlik ihlali olasılığını BT'ye hızla bildirmek için gereken verileri sağlarsınız.

Sıfır Güven Kullanım Senaryoları

Sıfır güvene dayalı güvenlik kavramı son yıllarda, özellikle gizli finansal verileri işleyen bankalar, yatırım firmaları ve diğer finans kurumları ile gizlilik düzenlemelerine tabi çok sayıda hasta verisini elinde bulunduran sağlık kuruluşları gibi siber saldırıların başlıca hedefi olan organizasyonlar arasında önemli bir ilgi görmüştür. Daha önce de belirtildiği gibi, resmi kurumlar da verileri ve kritik altyapıları korumak için sıfır güveni kullanmaktadır. Modern BT ortamlarına sahip organizasyonlar, yani bulut uygulamalarına ve hizmetlerine büyük ölçüde güvenen, uzaktan çalışan iş gücüne sahip olan ve/veya büyük ve karmaşık dijital altyapılara sahip olan organizasyonlar da bu yaklaşıma büyük ilgi duymaktadır.

Ayrıntılı bir düzeyde, sıfır güvenin devreye girdiği bazı alanlar vardır.

• Uygulama erişimi. Bir zamanlar uygulamalar genellikle yerel bir ofisteki bir sunucu gibi tanımlanmış bir ağ çevresi içinde bulunurdu. Çalışanlar, şirketin yerel Wi-Fi ağı gibi lokasyonlarına bağlı olarak erişim elde edirdi. Günümüzde insanlar uzaktan çalışabilir ve uygulamalar her yerde çalışabilir. Erişimi daha kolay yönetmek için BT, bir uygulamaya erişim talep eden kullanıcının kimliğini doğrulamak, cihazın güvenliğini kontrol etmek ve en az yetki ilkesini izleyerek yalnızca kullanıcının ihtiyaç duyduğu belirli kaynaklara erişim izni vermek için genellikle güven aracısı olarak bilinen merkezi bir kontrol sistemi dağıtabilir.
• Bulut güvenliği. Sıfır güven, bulut kaynaklarını kullanan tüm organizasyonlar için ideal stratejilerden biridir. Çalışanlar, genellikle çok faktörlü kimlik doğrulama kullanan güçlü bir kimlik doğrulama süreciyle nerede olurlarsa olsunlar erişim sağlayabilirler. Sistem daha sonra erişim izni verilip verilmeyeceğini belirlemek için kullanıcı rolü, cihaz, lokasyon ve söz konusu bulut kaynağı gibi faktörleri göz önünde bulundurur. Bu yöntem, bulut kimlik bilgilerinin tehlikeye girmesi durumunda olası hasarı en aza indirir.
• Veri koruması. Veriler, yalnızca kullanıcı adı ve parola gibi temel korumaları kullanan ağ merkezli bir güvenlik modelinde savunmasızdır. Saldırganlar bu önlemleri atlatabileceklerini göstermişlerdir. Veri merkezli ilkelere ve korumalara odaklanan bir sıfır güven çerçevesi, aktarım halindeki veriler için ek şifreleme katmanları gibi çözümler ekler. BT ayrıca öznitelik tabanlı erişim kontrolü (ABAC) kullanarak dinamik ilkeler belirleyebilir. Geleneksel erişim kontrolü genellikle yönetici veya düzenleyici gibi önceden tanımlanmış rolleri temel alırken, ABAC bunun yerine departman, lokasyon, iş unvanı, güvenlik izni, veri türü, doküman sahibi, erişim yöntemi ve cihazın fiziksel lokasyonu ve türü gibi özniteliklere odaklanır. Bu sayede, organizasyonun tanımladığı öznitelikler temel alınarak erişim izinlerinin çok hassas tanımları yapılabilir. Potansiyel olarak çok ayrıntılı bir korumadır ve genellikle uygulama kodunda değişiklik yapılmasını gerektirir.
• Uç nokta güvenliği. Sıfır güven platformu, güvenlik duruşunu değerlendirmek için kullanıcının cihazındaki uç nokta güvenlik yazılımıyla proaktif olarak iletişim kurarak varlıkların korunmasına yardımcı olur. İşletim sistemi güncel mi? Herhangi bir kötü amaçlı yazılım tespit edildi mi? Cihaz kişisel mi yoksa şirkete mi ait? Sıfır güven platformu, toplanan verilere göre erişim izni verir veya erişimi reddeder. Hem kullanıcının etkinliği hem de cihazın sağlığı, her türlü şüpheli davranış için sıfır güven platformu tarafından sürekli olarak izlenir.
• Kimlik ve erişim yönetimi. IAM, CISA'nın sıfır güven modelinin temel taşlarından biridir. Kimin hangi kaynaklara erişebileceğini tanımlayarak mimarinin temelini oluşturur. IAM, çok faktörlü kimlik doğrulama dahil olmak üzere güçlü kimlik doğrulama yöntemlerinin yanı sıra gizli verileri korumaya yönelik rol tabanlı erişim kontrolü (RBAC) ve yetki yönetimi gibi kullanıcı sağlama ve erişim kontrol mekanizmalarını içerir.
• Nesnelerin İnterneti (IoT) güvenliği. IoT programlarına sahip şirketler, genellikle uzak lokasyonlarda bulunan ve gizli veriler toplayan çok sayıda cihazı korumak için sıfır güvene dayalı güvenliğe büyük önem vermektedir. Geleneksel çevre tabanlı güvenlik teknolojileri, sınırlı kullanıcı arayüzlerine sahip olabilen ve otomatik süreçlere dayalı olan IoT cihazları için etkili değildir. Bu durum, eski kimlik doğrulama yöntemlerini zorlayıcı hale getirir. Sıfır güven, erişim talep eden tüm varlıkları sürekli olarak doğruladığından, yalnızca yetkili IoT cihazlarının ağa bağlanabilmesini sağlar. Ayrıca en az yetki ilkesi, IoT cihazlarının çalışması için gereken minimum erişim düzeyine sahip olması anlamına gelir. Böylece cihazın tehlikeye girmesi durumunda potansiyel hasar azalır. Sıfır güven yaklaşımı, büyük ölçekli IoT ortamlarına uyum sağlayacak şekilde de ölçeklendirilebilir.
• Ağ segmentasyonu. Geleneksel ağ güvenliği ağ çevresinin güvenliğini sağlamaya odaklanırken, sıfır güven daha ayrıntılı bir yaklaşım benimseyerek ağı küçük bölgelere ayırır ve bunlar arasındaki trafik akışını kontrol eder. Daha yeni sıfır güven stratejileri, bölge boyutunu daha da azaltan mikro segmentasyon tekniklerinden yararlanır. Bu işlem segmentler arasında yönlendiriciler yerine güvenlik duvarları kullanılarak yapılır. Güvenlik artırılırken performans düşebilir. Segmentlerin ne kadar küçük olacağı hem güvenlik ihtiyacının hem de güvenlik duvarı performansının bir fonksiyonudur.
• Yetkilendirilmiş erişim yönetimi (PAM). Sıfır güven ve PAM birlikte iyi çalışan farklı güvenlik kavramlarıdır. PAM sistemleri özellikle yetki hesaplarının, yani kritik sistemlere ve verilere erişim sağlayan yükseltilmiş izinlere sahip kullanıcı hesaplarının güvenliğini sağlamaya odaklanır. Bu hesaplar saldırganların başlıca hedefleridir. Tüm finans ve bankacılık kayıtlarına erişimi olan bir CFO'yu veya üst düzey bir sistem yöneticisini düşünün. PAM üç temele dayanır: çok faktörlü kimlik doğrulama; yetkili erişime yalnızca kesinlikle ihtiyaç duyulduğu zaman izin veren tam zamanında stratejisiyle çalışan araçlar ve şüpheli davranışları tespit etmek amacıyla yetkili kullanıcıların herhangi bir anda tam olarak ne yaptığını kaydetmeye yönelik oturum izleme ve günlük tutma.
• Uzaktan erişim. Artık bir ağ çevresi olmadığından ve VPN'ler kendi sorunlarını beraberinde getirdiğinden, istenilen yerden çalışmanın yükselişi sıfır güven lehine kullanılabilecek bir argümandır. Sıfır güven stratejisi uzaktan erişimi daha güvenli hale getirir çünkü güçlü kimlik doğrulama yöntemleriyle kullanıcıların müdahalesi olmadan onları sürekli olarak doğrular ve daha sonra uzaktaki kullanıcılara yalnızca görevlerini yerine getirmeleri için gereken minimum düzeyde erişim verir. Organizasyonlar bu minimum erişimin nasıl olacağını tanımlayan ilkeler oluşturabilir. Sıfır güven aynı zamanda bağlama duyarlıdır; yani erişim izinlerini belirlerken kullanıcı kimliği, cihaz güvenlik duruşu, lokasyon ve erişilen kaynak gibi faktörleri dikkate alır.
• Üçüncü taraf erişimi. Sıfır güven ortamında üçüncü taraflara erişim izni vermek, geleneksel "asla güvenme, her zaman doğrula" yaklaşımından uzaklaşmayı gerektirir. Şirketler, yukarıda bahsedilen uzaktan erişim ilkelerinin yanı sıra üçüncü taraf kullanıcı kimliklerini ve erişimini yönetmek için IAM sistemleri kurmak isteyebilir. Bireysel iş ortağı bazında hesapların oluşturulması, sağlanması ve sonlandırılması için bir ilke geliştirin. Tüm ağa erişim izni vermeden belirli kaynaklara güvenli tüneller sağlamak için bir sıfır güven ağ erişimi (ZTNA) sistemi işinize yarayabilir. Yetkilendirilmiş şirket içi kullanıcılar için kullanılan tam zamanında stratejisini kullanan araçlar ve oturum izleme araçları iş ortakları için de kullanışlıdır.

Sıfır Güven Uygulamasının 7 Aşaması

Sıfır güvene ulaşmak tek seferlik bir proje değil, sürekli bir yolculuktur. Üstelik, tekerleği yeniden icat etmek zorunda da değilsiniz. Teknik bir yol haritası olarak NIST, CISA, DISA veya NCSC modellerinden birini kullanabilirsiniz. Proje düzeyinde, kesintiyi en aza indirmek ve çalışanların, iş ortaklarının ve BT personelinin uyum sağlamasına izin vermek için sıfır güveni aşamalı bir şekilde uygulamayı planlayın. Çalışmanızın mantığını paydaşlara açıkça iletin ve endişeleri şeffaf bir şekilde ele alın. Ayrıca büyümeyi destekleyecek ve değişen güvenlik gerçeklerine uyum sağlayacak şekilde ölçeklenebilen güvenlik ürünlerini dikkatle seçin.

Başarı için diğer adımlar:

1. Varlıklarınızı belirleyin ve öncelik sırasına koyun. Sıfır güvene dayalı güvenlik yaklaşımı gizli ve değerli verileri korumaya odaklanır. Bunu yapmak için neye sahip olduğunuzu bilmeniz gerekir. Bu harita sıfır güven planınızın temelini oluşturacaktır.

2.Kullanıcılarınızı ve onların ihtiyaçlarını belirleyin. Sıfır güven modeli, kullanıcı bilgilerinin yakalanmasını, kullanıcı kimliklerinin yönetilmesini ve erişim yetkilerinin düzenlenmesini gerektirir. Varlıklarınıza erişen tüm kişi ve sistemlerin haritasını çıkarın ve gereksiz yetkiler olup olmadığına bakın.

3. Sıfır güven stratejinizin haritasını çıkarın. Varlıklarınıza ve kullanıcılarınıza göre riski azaltmak için nasıl bir mimari oluşturacağınızı planlayın. Her aşama için zaman çizelgesini belirlerken bütçenizi, BT kaynaklarınızı ve altyapınızın karmaşıklığını hesaba katın.

4. Verileri inceleyin. Sistemler veri erişiminde anormallikler tespit ettiğinde ve sistemlere ilke dışında erişim girişimlerini saptadığında, bu verilere dikkatle bakın. Hemen hemen tüm faaliyetler yinelenir, bu nedenle anormallikler genellikle veri hırsızlığı girişiminin erken aşamadaki göstergesidir. Bu bilgileri, riski azaltma çabalarınız için kullanın.

5. Trafik akışlarınızın haritasını çıkarın. Burada bağımlılıklara odaklanın. Gizli veriler içeren bir veritabanına erişebilen her kişi ve sistemin bu bilgilere ihtiyacı var mı?

6. Mümkün olan her yerde otomasyona geçin. Boşlukları, süreç iyileştirmeleriyle ve araçlarla kapatın. Örneğin, kaynakları ve faaliyetleri otomatik olarak izlemeyen organizasyonların sıfır güven ile başarılı olması pek mümkün değildir. İşi doğru yapmak için modern güvenlik araçları gerekir. Bunlara kullanıcı kimliklerini ve erişim haklarını merkezi olarak yönetmek amacıyla kullanılacak sağlam bir IAM sistemi ve tüm erişim girişimlerini incelemeye yönelik çok faktörlü kimlik doğrulama (MFA) dahildir. Bekleyen ve hareket halindeki verilerin şifrelenmesi, gizli verileri yetkisiz erişime karşı koruma konusunda kritik öneme sahiptir.

7. Metrikleri uygulamaya koyun. Sıfır güven uygulamanızın başarısını nasıl ölçeceğinizi tanımlayın. Temel performans göstergeleri arasında erişim yetkilerinde azalma, çok faktörlü kimlik doğrulama kullanımında artış ve yöneticiler ile iş kolu liderlerinin katılımı yer alabilir.

Sıfır Güven ile İlgili 11 En İyi Uygulama

CISA, sıfır güven modelinde, federal hükümet de dahil olmak üzere çoğu büyük kuruluşun yaygın zorluklarla karşı karşıya olduğundan bahsetmektedir. Eski sistemler genellikle erişim ve yetkilendirmenin nadiren sabit özniteliklere göre değerlendirildiği "örtük güven" üzerine kuruludur. Bunun değişmesi için önemli yatırımların yanı sıra yöneticiler, iş ortakları ve tedarikçiler de dahil olmak üzere çok çeşitli paydaşların katılımı gerekebilir. En iyi uygulamalar arasında şunlar yer alır:

1. Doğrulama ve kimlik doğrulama yapın. Sıfır güvenin temeli, sistemlere, ağlara ve verilere her erişim talebinde bulunduklarında her kullanıcı ve cihaz için doğrulanmış kimlik doğrulaması gerektirmesidir. Bu işlem, kullanıcı kimliklerinin ve belirli bir sistemle ilişkili erişim haklarının doğrulanmasını içerir. Örnek olarak, bir çalışan sabahları sınırlı bir süre için geçerli olan belirteçler veren OAuth gibi bir yetkilendirme hizmeti kullanarak belirli bir süre için kimlik doğrulaması yapabilir. Bir veritabanına erişmesi gerektiğinde, söz konusu sistem için yetkileri belirteç tarafından onaylanır. Sıfır güven ayrıca cihazlar için davranış analizi gibi gelişmiş kontroller de önerir. Bunun yanı sıra günlükler ve kayıtlar BT'nin faaliyetleri izlemesine, raporlar oluşturmasına ve ilkeleri uygulamasına yardımcı olur.

2. Mikro segmentasyon kullanın. Performansı düşürmeden yanal hareketi ne kadar ayrıntılı bir şekilde sınırlandırabilirseniz o kadar iyidir. CISA, dağıtılmış giriş/çıkış mikroperimetreleri ve uygulama mimarilerine dayalı, dinamik tam zamanında ve yeterli bağlantıya sahip kapsamlı mikro segmentasyon önerir. Bu, her yere güvenlik duvarı yerleştirmek anlamına gelmez. Mikro segmentasyon teknikleri her uygulama için sanal makineler, doğu/batı trafik şifrelemesi ve ayrı segmentleri etkili bir şekilde izole etmek ve güvence altına almak için fiziksel ağ içinde yazılım tanımlı ağlar oluşturmayı içerir. Akıllı yönlendirme algoritmaları trafik akışlarını optimize etmeye ve gecikmeyi azaltmaya yardımcı olabilir. Segmentasyon stratejisinin düzenli olarak izlenmesi ve ince ayarlarının yapılması da ağ performansı ve güvenliğini dengelemek için çok önemlidir.

3. Sürekli izleme yapın. Sıfır güven kapsamında, kullanıcı faaliyetlerini ve sistem sağlığını izleyen ve günlüğe kaydeden sistemler uygulanır. Ağ izlemeyi bilinen tehlikeye girme göstergelerine dayandırın ve görünürlükteki boşlukları gidermek için süreçlerinizi zaman içinde iyileştireceğinizi göz önünde bulundurun. Yapay zekadan yararlanan bir sistem normal davranışın neye benzediğini öğrenir ve ardından anormallikleri izleyip uyarır.

4. Bağlama duyarlı günlük kaydı uygulayın. Günlük girişleri, erişim denemelerini ve kullanıcı kimliği, cihaz ayrıntıları ve erişilen belirli kaynak gibi bağlamsal bilgileri içerir. Bu veriler kapsamlı analize olanak tanır ve potansiyel güvenlik olaylarının veya şüpheli faaliyetlerin belirlenmesine yardımcı olur. İzleme sistemleri, veri erişimi takibi gerektiren düzenlemelere uygunluğun gösterilmesinde yardımcı olabilecek ayrıntılı bir denetim günlüğü oluşturur. Yine, yapay zeka destekli araçlar tespit işlemini iyileştirebilir.

5. Kapsamlı şifrelemeden yararlanın. Veriler çoğu organizasyonun en kritik varlığıdır ve bekleyen, aktarılan ve kullanılan verilerin korunması, yetkisiz erişim girişimlerini tespit etmek için yaygın şifreleme ve etkinlik izleme gerektirir.

6. En az yetkiyle erişim yaklaşımını benimseyin. Sıfır güven bağlamında, en az yetki, en temel ve oldukça açıklayıcı bir ilkedir. Kullanıcılara, uygulamalara ve cihazlara yalnızca görevlerini yerine getirmeleri için gereken minimum erişimin verilmesini gerektirir. Bunun amacı çalışanlara güvenilmediğini göstermek değil, kötü bir aktörün çalınan kimlik bilgileri, güvenliği ihlal edilmiş bir cihaz veya bir güvenlik açığı yoluyla erişim sağlaması durumunda olası zararı en aza indirmektir.

7. Cihaz güvenilirliğine odaklanın. Sıfır güven ilkelerini temel alan bir ağ, ister çevre içinde, ister şirkete ait olsun veya daha önce erişim izni verilmiş olsun, hiçbir cihaza doğrudan güvenmez. Bu uygulama, yalnızca yetkili ve uyumlu cihazlara erişim izni verilmesini sağlamayı amaçlar. Bu durumda uyumluluk için güncellenmiş yazılım, antivirüs koruması ve diğer izleme yazılımlarına sahip olmak gibi güvenlik duruşu şartlarının karşılanması gerekebilir.

8. Güvenli erişim kontrolleri uygulayın. Sıfır güven, günümüzde birçok organizasyon tarafından kullanılan bulut tabanlı uygulamalara ve çalışma alanlarına kadar uzanmaktadır. Mimari, bu uygulamaların bilinen ve onaylanmış bir güvenlik duruşuna sahip olmasını ve bunlara erişimin kontrol edilmesini gerektirir.

9. Sıfır güvene dayalı ağ erişiminden yararlanın. Yazılım tanımlı çevre olarak da bilinen ZTNA, şirket içi uygulamalara ve kaynaklara erişimi, geleneksel bir VPN'den çok daha ayrıntılı bir şekilde kontrol eden bir güvenlik yaklaşımıdır. VPN, bir kullanıcı doğrulandıktan sonra tüm ağa erişim izni verir. ZTNA, bir kaynağa erişim talep edildiği her seferinde güvenlik kimlik bilgilerini değerlendirir. Sistem bağlamı dikkate alır ve yalnızca kısmi erişim izni verebilir. Erişim verilmesi durumunda bu, talepte bulunan varlık ile belirli bir varlık arasında güvenli bir oturum aracılığıyla gerçekleşir. Daha sonra, etkinlik ve cihaz sağlığı, bir tehdide işaret edebilecek anormal davranışlar için sürekli olarak izlenir.

10. Uç nokta güvenliğini sağlayın. Yazılım sürümü veya kötü amaçlı yazılım imzası güncellemelerini yapmakta geciken veya kişisel cihazlarına güvenlik yazılımı yüklemeye direnen kullanıcılarınız mı var? Sıfır güven yaklaşımı bu kullanıcıları güncellemeye zorlayacaktır çünkü ilkelerinizle tanımlanan güvenlik profiline sahip olmayan bir uç noktaya erişim izni verilmez. BT, şirkete ait cihazlarda uç nokta güvenliğini yönetmeli ve yeni oturumlar başlatıldığında uyumluluk doğrulanmalıdır.

11. Kullanıcıları eğitin ve farkındalık yaratın. Çalışanların sıfır güven ilkeleriyle sorun yaşaması doğaldır. En azından başlangıçta. Eğitim oturumları düzenlemek ve mimarinin şirkete nasıl para ve itibar kazandırabileceğine dair somut örnekler vermek faydalı olabilir.

Sorunsuz Bir Kültürel Geçiş İçin Stratejiler

Geleneksel ağ güvenliği modelleri, kullanıcılar ağ çevresine girdikten sonra genellikle belirli bir güven düzeyini varsayar. Sıfır güven buna karşı çıkar ve hem BT personeli hem de ağ içinde sınırsız erişime alışmış kişiler için önemli bir zihniyet değişimi olabilir.

Buna ek olarak, sıfır güven güçlü kimlik ve erişim yönetimi uygulamalarını ön plana çıkarır. Daha sıkı parola ilkeleri, çok faktörlü kimlik doğrulama ve kullanıcı kimliklerini ve erişim yetkilerini yönetmek için daha merkezi bir yaklaşım örnek olarak verilebilir. Yine, daha az sıkı erişim kontrollerine alışkın kişiler bu değişiklikleri kullanışlı bulmayabilir. Sıfır güven, kullanıcı faaliyetlerinin ve cihaz sağlığının daha fazla incelenmesini gerektirir; bu da eylemlerinin çok yakından izlendiğini düşünen bazı çalışanlar arasında gizlilik endişelerine yol açabilir. Bazı çalışanlar kişisel cihazlarına zorunlu yazılımları yüklemeyi reddeder. Nasıl müdahale edeceksiniz? Güvenlik, ağ operasyonları ve uygulama geliştirme uzmanları da rahatsız olabilir.

Ana fikri anladınız. Bu kültürel bir değişimdir ve başarı kullanıcının katılımına bağlıdır. Sorunsuz bir geçiş için stratejiler şunlar olabilir:

Sıfır güveni benimsemenin ardındaki nedenleri açık bir şekilde anlatın, gelişmiş güvenlik ve uyumluluğun faydalarını vurgulayın. Çalışanların sahip olabileceği gizlilik endişelerini açıkça ele alın ve sıfır güvenin verilerini gerçekte nasıl koruduğunu açıklayın.

Çalışanların, iş ortaklarının ve BT personelinin yeni güvenlik önlemlerine kademeli olarak uyum sağlaması için zaman tanıyan aşamalı bir uygulama. Sıfır güven uygulamasını, iş akışlarındaki aksamayı en aza indirecek ve olumlu bir kullanıcı deneyimi sağlayacak şekilde gerçekleştirmeye öncelik verin. Bulut tabanlı teknolojiler burada çok yardımcı olabilir.

Sıfır güven ilkeleri, erişim kontrolü prosedürleri ve yeni ortamda kaynakları güvenli bir şekilde kullanmaya yönelik en iyi uygulamalar hakkında kapsamlı eğitim.

Söz konusu kültürel değişimi kabul etmek ve insanlara çabaları için teşekkür etmek, sıfır güvene dayalı güvenliğin başarılı bir şekilde benimsenmesi ve daha güvenli ve esnek bir BT ortamı yaratılması yolunda önemli bir adım olabilir.

Sıfır Güvene Dayalı Güvenlik Sisteminin Tarihi

Sıfır güven kavramı 2004 yılında Paul Simmonds tarafından Jericho Forum etkinliğinde yapılan bir sunumla ortaya çıkmıştır. Simmonds "deperimeterizasyon" terimini ortaya attı ve temelde, çoğu kötüye kullanımın çevre güvenliğini kolayca aşacağını kabul eden yeni bir model önerdi. Ayrıca, saldırı tespit teknolojilerinin çevreye çok az faydası olduğunu ya da hiç olmadığını, veriye yaklaştıkça onu korumanın daha kolay olduğunu ve güçlendirilmiş bir çevre stratejisinin sürdürülemez olduğunu ekledi.

2011 yılında Google, şirketin sıfır güven uygulama girişimi olan BeyondCorp'u oluşturdu. Başlangıçta uzaktan çalışmayı mümkün kılmak ve VPN kullanımını ortadan kaldırmak için geliştirilen BeyondCorp, tek bir üründen ziyade bir dizi araç ve en iyi uygulamadan oluşuyor. Google Cloud, BeyondCorp güvenlik duruşu elde etmek için uygulanabilecek çeşitli hizmetler sunar.

Daha sonra, Ağustos 2020'de NIST, sıfır güven mimarisinin veya ZTA'nın soyut bir tanımını içeren ve sıfır güvenin bilgi teknolojisi güvenlik duruşunu iyileştirebileceği dağıtım modelleri ve kullanım senaryoları sağlayan Sıfır Güven Mimarisi dokümanını yayınladı. Mayıs 2021'de Beyaz Saray, sıfır güveni kodlayan Ulusun Siber Güvenliğinin Geliştirilmesine İlişkin bir Başkanlık Emri yayınladı ve Eylül ayında CISA'nın Sıfır Güven Olgunluk Modeli Sürüm 1.0, Yönetim ve Bütçe Ofisi'nin Federal Sıfır Güven Stratejisi'ni tamamlamak üzere yayınlandı. CISA'nın modeli, ABD federal kurumlarına sıfır güven ortamı oluşturmak için bir yol haritası ve kaynaklar sağlar ve şirketler için de kullanılabilir.

Ocak 2022'de Yönetim ve Bütçe Ofisi, federal kurumlara "ABD Hükümetini Sıfır Güven Siber Güvenlik İlkelerine Doğru Yönlendirme" konulu M-22-09 numaralı bildiriyi yayınladı. Temmuz ayında, DISA ve Ulusal Güvenlik Ajansı (NSA) Sıfır Güven Mühendislik Ekibi tarafından hazırlanan Savunma Bakanlığı (DoD) Sıfır Güven Referans Mimarisi yayınlandı. Mimari, siber güvenliğin güçlendirilmesi ve mevcut yeteneklerin veri merkezli bir stratejiye odaklanacak şekilde evrimine rehberlik etmek için bir son durum vizyonu, stratejisi ve çerçevesi sağlamıştır. DISA mimarisi bulut ortamına geçiş yapan kuruluşlar için mükemmel bir modeldir.

Oracle Cloud Infrastructure ile Sıfır Güven Yaklaşımını Benimseyin

Sıfır güven ilkelerinin uygulanmasına yardımcı olmak için Oracle'ın güvenliğe öncelik veren yaklaşımı, Oracle Cloud Infrastructure'a (OCI) erişime izin veren açık ilkeler gerektirir. Bu, her bileşenin OCI içinde bir kaynak olarak kabul edildiği ve erişimin açıkça verilmesi gerektiği anlamına gelir. OCI içindeki tüm iletişimler şifrelenir ve erişim hakları mevcut ilkelere göre kontrol edilir. Bu ilkeler, dinamik erişimin uygulanması dahil olmak üzere her kaynak için son derece ayrıntılı erişim kontrolü sağlayacak şekilde yapılandırılabilir.

OCI, bulut kaynakları üzerinde izleme ve denetim uygulayarak analiz yapmak için mevcut nesne depolamayı kullanmanıza veya tercih ettiğiniz güvenlik bilgileri ve olay yönetimi (SIEM) aracını kullanmanıza olanak tanır. Oracle Cloud Guard Instance Security tetiklenen olaylara otomatik yanıtlar sağlayarak olası tehditlere tepki süresini hızlandırmaya yardımcı olur.

Organizasyonlar, geleneksel güvenlik stratejilerinin günümüzün tehditlerine ayak uyduramadığını fark ettikleri için sıfır güvene dayalı güvenlik uygular. Tüm paydaşlar saldırganların zaten ağın içinde olabileceğini anlayacak şekilde eğitildiklerinde, başarılı bir saldırı riskini azaltabilecek, hassas bilgileri daha iyi koruyabilecek ve iş ortakları ve müşterilerle güven oluşturabilecek daha sıkı kontrolleri kabul etme eğilimindedirler.

Sıfır Güvene Dayalı Güvenlik ile İlgili SSS

Sıfır güvenin beş temel unsuru nedir?

Siber Güvenlik ve Altyapı Güvenliği Kurumu’nun yakın zamanda yayınladığı Sıfır Güven Olgunluk Modeli Sürüm 2'yi temel alan sıfır güvenin beş temel unsuru kimlik, cihazlar, ağlar, uygulamalar ve iş yükleri ile verilerdir. Bu beş temel unsur tüm kullanıcıların, cihazların, uygulamaların ve erişim taleplerinin sürekli olarak doğrulanmasına dayanan kapsamlı bir güvenlik stratejisi oluşturmak için birlikte çalışır. Bu katmanlı yaklaşım, saldırganların bir yer edinmesini çok daha zor hale getirmeyi amaçlar

Sıfır güvenin dört hedefi nedir?

Sıfır güvene dayalı güvenliğin dört ana hedefi, saldırı yüzeyini sınırlamak; güçlü kimlik doğrulama, en az yetkiye sahip erişim kontrolü ve sürekli izleme yoluyla bir organizasyonun güvenlik duruşunu geliştirmek; çalışanlara ve iş ortaklarına bulut hizmetleri de dahil olmak üzere ihtiyaç duydukları araçları herhangi bir cihazdan güvenli bir şekilde sağlamak ve uyumluluğu artırmaktır.