Joel Krooswyk, Federal CTO, GitLab Inc.
Sıfır güven, aşırı kullanılan bir moda sözcük gibi görünse de, yaklaşım, her bir devlet kurumunun odak alanları olan insanları, cihazları, altyapıyı ve uygulamaları güvence altına almak için kritik öneme sahiptir. Sonuç olarak, federal hükümet içindeki birçok karar verici, bunun önemini ve etkisini kabul ediyor ve tüm devlet kurumları için sıfır güven belgeleri ve kılavuzları hazırlamakla meşgul.
Ocak 2022’de OMB, ajansların 2024 mali yılının sonuna kadar belirli sıfır güven güvenlik hedeflerini karşılamasını gerektiren M-22-09 mutabakatını yayınladı. Ajansların, verilere kimlerin, nereden eriştiklerini ve kimlik, cihazlar, ağlar, uygulamalar ve iş yükleri genelinde verilere nasıl eriştiklerini sürekli olarak doğrulaması gerekecektir. Sıfır güvenin odak noktası, kullanıcı ve belirli bir cihazdaki erişimidir; bu, tek oturum açma yoluyla asgari düzeyde uygulanabilir roller ve izinler oluşturmanın anahtar olduğu anlamına gelir.
Ajanslar, OMB’den gelen bu yetkiyi ve notu yerine getirmeye çalıştıkça, kısacası, hiçbir zaman güvenmemek ve her zaman doğrulamak olan birincil hedefe nasıl ulaşılacağı konusunda bazı zorluklarla karşılaşmaları kaçınılmazdır. ülkenin kritik altyapısı. Kuruluşlar 2023’te ve önümüzdeki yıllarda bu yetkiye öncelik vermeye çalışırken, sürekli proaktif güvenliği amaçlayan çözüm olgunluğunun izlenmesi önemli olacaktır. Bununla birlikte, bugün, yazılım tedarik zincirinin her aşamasına yönelik net bir görüşe sahip kapsamlı bir yazılım geliştirme platformu kullanılarak güçlü bir temel sıfır güven yapılandırması elde edilebilir.
Savunma Bakanlığı’nın Sıfır Güven Stratejisi ve Sıfır Güven Yeteneği Yürütme Yol Haritası, kuruluşların etkili bir şekilde güçlü bir sıfır güven temeli oluşturmasına yardımcı olacak üç temel odak alanını özetlemektedir – buna bir uygulama envanteri geliştirme, bir yazılım fabrikasının kullanımı ve risk ve güvenlik açığı yönetiminin anlaşılması dahildir.
Kapsamlı Bir Uygulama Envanteri Geliştirme
Savunma Bakanlığı’nın Sıfır Güven Stratejisi ve Sıfır Güven Yeteneği Yürütme Yol Haritası, bir yazılım malzeme listesi kullanan ağda ne olduğunun tam olarak bilinmesiyle başlayarak uygulama ve iş yüküne odaklanmayı içerir.
Yetenek yürütme yol haritasında belirtildiği gibi, uygulama envanteri sağlam ve çok önemli bir başlangıç noktasıdır. Sıfır güven duruşunu uygulamak ve ağımızdaki ve saldırı yüzeylerimizdeki riski yeterince değerlendirebilmek için ağımızda ne olduğunu anlamamız gerekiyor.
Ağlarımızda ne olduğunu öğrendiğimizde ve net bir temele sahip olduğumuzda, ekipler yazılım fabrikaları kurmaya ve yapılandırmaya doğru ilerleyebilir. Yazılım fabrikaları tarafından üretilen SBOM’lar, bir uygulamada neyin neden olduğunu anlamak için standart bir yaklaşım sağlamanın yanı sıra, üçüncü taraf kod kaynakları ve ana bilgisayar havuzları hakkındaki ayrıntılar da dahil olmak üzere bir uygulamanın oluşturulma geçmişine ilişkin sürekli görünürlük sağlar.
Ek olarak, açık kaynak bağımlılıkları ve güvenlik açıkları ile SBOM üretimi daha gerçekçi hale gelecek ve kurumların uygulama envanterleri hakkında tam farkındalık elde etmelerine yardımcı olacaktır. Konteyner tabanlı bağımlılıklar ve güvenlik açıkları bile belirlenebilir ve her platformda tam sıfır güven sağlanır.
Yazılım Fabrikalarının Kurulması
Yazılım geliştirme uygulamaları geliştikçe, yazılım fabrikaları ve DevSecOps gibi daha yeni çözümler, kod geliştirme için sıfır güven en iyi uygulamalarının nasıl göründüğünü değiştirecektir.
Sıfır güvene dayalı tutarlılık ve korumalar, korumalı kaynak kodu dalları, denetlenebilir kod incelemeleri ve her taahhütte kapsamlı ardışık düzen yürütme gibi öğeleri içerir. Ajansların, geniş tabanlı güvenlik taramaları yürütme becerilerini sağlamak da dahil olmak üzere, NIST’in Güvenli Yazılım Geliştirme Çerçevesi ile uyum sağlaması gerekecektir.
Bir yazılım fabrikasında, uygun bir sola kaydırma metodolojisi yürürlükte olduğunda güvenlik açığı tanımlaması olağan bir durumdur. Tüm yazılım fabrikası eylemleri için denetim günlükleri ve ardışık düzen yürütmeye yönelik açık uyumluluk ilkeleriyle, yazılım fabrikaları sıfır güven uygulamalarıyla uyum içinde çalışmak için iyi bir konumda olacaktır.
Devam Eden Risk ve Güvenlik Açığı Yönetimi
Bu, DOD’un Sıfır Güven Stratejisinin bir başka önemli odağına yol açar: risk ve güvenlik açığı yönetiminin incelenmesi. Güvenlik açığı düzeltme, yazılım fabrikasının çok önemli bir parçasıdır ve tüm geliştirme projelerine entegrasyonunun önemi artmaya devam etmektedir.
Güvenlik açığı azaltma işlemi gerçekleştirirken akla ilk gelen en iyi uygulamalar arasında, her ardışık düzen yürütmesinde yeni risklerin belirlenmesi, tüm güvenlik tarayıcılarında bulguların merkezi olarak iyileştirilmesi ve belirlenen güvenlik açıkları için kolaylaştırılmış düzeltme iş akışları yer alır.
Bilinen tüm güvenlik açıkları için önerilen düzeltmeleri aramak çok önemlidir. Tam bir sıfır güven yaklaşımı için bu, bireysel kullanıcılar tarafından ortaya çıkan güvenlik açıklarını da içerir. Düzeltmenin “ne” veya “neden” olduğunu anlayamayabilecek kullanıcılara bilgi ve eğitim sağlamak oldukça faydalıdır. Toplu güvenlik eğilimlerini ve durum görünümlerini görüntülemek, proje güvenlik durumunu ölçmeye yardımcı olur.
DOD belgeleri, zaman içinde erken ve gelişmiş hedef olgunluk düzeyleriyle bir zaman çizelgesine odaklanır. Tehditler geliştikçe ve çözümler önümüzdeki birkaç yıl içinde olgunlaştıkça, bu yinelemeli yaklaşım doğru yoldur. Zaman çizelgesi aynı zamanda, sıfır güvenin “bir ve bitti” kavramı değil, sürekli süreçten kaynaklanan bir strateji olduğunun bir göstergesidir.
İleriye bakıldığında, en iyi uygulamalar gelişmeye devam edecek. SBOM alımı ve konsolidasyonu, büyük, karmaşık veya dağıtılmış geliştirme uygulamaları için gelişecektir. Risk faktörlerini daha kapsamlı bir şekilde ölçmek için çoklu risk veritabanları kullanılacak, bu da güvenlik açığı azaltmanın daha iyi önceliklendirilmesine ve istismar edilebilirliğin daha iyi görünürlüğüne yol açacaktır.
SBOM değişikliklerinde veya danışma güncellemelerinde güvenlik taramalarını başlatan uygulamaların sürekli taranması, sıfır güven yeteneklerini geliştirecektir. Otomatik düzeltme işlevleri, risk azaltmayı düzene sokan ve basitleştiren daha yaygın hale gelecektir.
Genel olarak, DOD ve federal hükümetin sıfır güven yetkisi, ilgili tüm kurumlar için güçlendirilmiş ağlara ve daha güvenli bir BT ekosistemine yol açacaktır. Zamanlanmış bir teslim tarihi olmasına rağmen, bu nihai hedefle aynı şey değildir – sıfır güven, zaman ve çaba gerektiren bir yolculuktur.
yazar hakkında
Joel Krooswyk ve ben GitLab Inc.’de Federal Baş Teknoloji Sorumlusuyuz. GitLab Inc. hakkında daha fazla bilgi için lütfen [email protected] adresine ulaşın veya (415) 761-1791 numaralı telefonu arayın ve https://about adresinden bizi ziyaret edin. gitlab.com/solutions/public-sector/.