Ağ bölümlendirmesi kritik bir güvenlik gereksinimi olmaya devam ediyor, ancak kuruluşlar kapsamlı donanım yatırımları, karmaşık politika yönetimi ve yıkıcı ağ değişiklikleri gerektiren geleneksel yaklaşımlarla mücadele ediyor. Sağlık ve üretim sektörleri, eski tıbbi cihazlardan IoT sensörlerine kadar çeşitli uç noktaları üretim ağlarına entegre ederken belirli zorluklarla karşı karşıya kalıyor. Bu cihazlarda genellikle sağlam bir güvenlik güçlendirmesi bulunmuyor ve bu da geleneksel segmentasyon çözümlerinin ele almakta zorlandığı önemli güvenlik açıkları yaratıyor.
Elisity, bu zorlukları mevcut ağ altyapısını güçlendirirken ağ ucunda kimlik tabanlı mikrosegmentasyon sağlayan yenilikçi bir yaklaşımla çözmeyi amaçlıyor. Elisity müşterileri, yeni donanıma, aracılara veya karmaşık ağ yeniden tasarımlarına ihtiyaç duymak yerine, kuruluşların mevcut anahtarlama altyapısı aracılığıyla güvenlik politikalarını uygulamak için birkaç hafif sanal bağlayıcıyı (Elisity Virtual Edge olarak adlandırılır) çalıştırır.
Bu uygulamalı incelemede, yaygın kurumsal dağıtım senaryolarını yansıtan simüle edilmiş bir sağlık hizmeti ortamında yapılan testlere dayanarak Elisity’nin teknik yeteneklerini ve gerçek dünyaya uygulanabilirliğini inceleyeceğiz. Kişiselleştirilmiş bir demo almak için buradan Elisity web sitesini ziyaret edin.
Kimlik Öncelikli Mimari
Elisity platformunun merkezinde, merkezi politika yönetimi ve görünürlük sağlayan Bulut Kontrol Merkezi bulunmaktadır. Test sırasında “Elisity’nin Sanal Kenarı” bileşenlerinin doğrudan desteklenen anahtarlara (Cisco Catalyst 9K serisi) veya özel bulutlardaki veya ağlardaki VM’ler veya kapsayıcılar olarak nasıl dağıtılabildiğini gördük; Cisco, Juniper ve Arista dahil mevcut ağ anahtarlarıyla entegre oluyorlar . Test ortamı, Elisity’nin hem Cisco 9300 ve 3850 anahtarlarıyla ağa bağlanan bir dizi klinikte hem de üzerinde Elisity Virtual Edge’i çalıştıran Cisco 9300 bulunan hastane sitelerinde segmentasyonu yönetebildiğini gösteriyor.
Elisity IdentityGraph motoru pratikte özellikle etkileyici olduğunu kanıtlıyor. Sadece cihazları keşfetmenin ötesinde, birden fazla kaynaktan gelen kimlik verilerini, Elisity’nin “temel etkili özellikler” olarak adlandırdığı şeylerle (her bir varlık hakkında en geçerli ve güvenilir verilerin birleştirilmiş bir görünümü) ilişkilendirir. Test sırasında, Active Directory, ServiceNow, CrowdStrike ve diğer kaynaklardan eşzamanlı olarak veri çektiğini ve politika kararlarını bilgilendiren zengin bağlamsal profiller oluşturduğunu gördük.
Elisty’nin Virtual Edge “konektörleri”, keşfettikleri ve yalnızca cihaz ayrıntılarından daha fazlasını gördükleri bağlı kurumsal ağlar olduğundan, aynı zamanda ağ akışı verilerini de Elisity’nin Bulut Kontrol Merkezine gönderir. Bu düzeydeki entegrasyon, platformun “kimin kimle konuştuğunu” ilişkilendirmesini sağlar.
Politika Oluşturma ve Yönetimi
Kullanıcılara, iş yüklerine ve cihazlara yönelik tüm bu ilişkili meta veriler, Elisity erişim politikası özellikleriyle değerli hale gelir. Politika arayüzü, varlık grupları arasındaki ilişkileri açıkça gösteren sezgisel bir matris görselleştirmesi kullanır. Gösterilen önemli bir özellik, varlıkları birden fazla kritere göre dinamik olarak sınıflandırma yeteneğiydi. Örneğin, yetkisiz bir dizüstü bilgisayarın, eşleşen ServiceNow varlık etiketleri, cihaz türü ve CrowdStrike EDR durumuna göre otomatik olarak yetkili bir radyoloji grubuna yeniden sınıflandırıldığını izledik.
Platform, politikaların iyileştirilmesine yönelik güçlü özellikler içerir:
· Gerçek trafik düzenlerini anlamak için öğrenme modu
· Yürürlükten önce politika simülasyonu
· Politika matrisine yerleştirilmiş trafik akışı analitiği
· Varlıkları belirli gruplara kilitleme yeteneği (özellikle OT ortamları için değerlidir)
Özellikle yararlı bir özellik, gerçek iletişim modellerini politika matrisine yerleştiren trafik akışı analizi görünümüdür. Bu, yöneticilerin güvenli bir şekilde engellenebilecek kullanılmayan yolları belirlemesine ve politika değişikliklerini uygulanmadan önce doğrulamasına yardımcı olur.
Sağlık Hizmetlerinde Kullanım Örneğinin Ayrıntılı İncelemesi
Gerçek dünyada uygulanabilirliği değerlendirmek için ortak bir sağlık hizmeti senaryosunu test ettik: eski işletim sistemlerini çalıştıran eski tıbbi cihazların güvenliğinin sağlanması. Platform, simüle edilmiş tıbbi ekipmanımızı otomatik olarak keşfetti ve iletişim modellerine ilişkin ayrıntılı görünürlük sağladı.
Demo, X-ışını makineleri, CT tarayıcıları ve EHR sistemleri dahil olmak üzere çeşitli tıbbi ekipmanlar için politikaların ne kadar kolay oluşturulabileceğini gösterdi. Özellikle değerli bir örnek, gerekli klinik erişimi korurken güncelliğini kaybetmiş işletim sistemlerini çalıştıran eski tıbbi cihazlara yönelik belirli bağlantı noktalarının (SSH bağlantı noktası 22 gibi) engellenmesini gösterdi.
Performans ve Ölçek
Testler, Elisity’nin uygulama mekanizmalarından kaynaklanan minimum performans etkisini ortaya çıkardı. Politikanın uygulanması için anahtar ASIC’lerinden yararlanan çözüm, gözle görülür bir verim düşüşü olmadan milisaniyenin altındaki gecikmeyi korudu. Dağıtılmış mimari, test yükümüzü verimli bir şekilde gerçekleştirdi ve kurumsal dağıtımlar için iyi bir ölçeklenebilirlik önerdi.
Dağıtım sürecinin son derece basit olduğu ortaya çıktı; ağ kesintisi yaşanmadan site başına 30 dakikadan az zaman alındı. Bu verimlilik, Elisity’nin konteyner tabanlı yaklaşımından ve mevcut altyapıyla çalışabilme becerisinden kaynaklanmaktadır.
İyileştirme Alanları
Elisity temel vaadini yerine getirirken bazı alanlar geliştirilebilir. Kablosuz entegrasyon yetenekleri yakın zamanda, SSID içi ve içi segmentasyonu destekleyen Cisco Catalyst 9800 kablosuz denetleyicileri veya alternatif olarak AP veya Denetleyicinin ağa bağlandığı anahtarda, kablosuz cihazların benimsenmesinin arttığı sağlık ortamları için önemli olabilecek şekilde genişletildi. Ayrıca, politika arayüzü sezgisel olsa da, daha önceden tanımlanmış şablonlar ilk dağıtımın hızlandırılmasına yardımcı olacaktır.
Ayrıca, belirli kullanım örneklerine yönelik kuralları optimize etmek için bazı manuel politika ayarlamalarının gerekli olduğunu da belirttik. Platform bu ayarlama için iyi bir görünürlük sağlarken, ek otomasyon bu süreci kolaylaştırabilir. Elisity’nin bize, daha güçlü bir otomatik politika öneri motoru sağlayacağını söyledikleri Elisity Intelligence’ı 2025’in başlarında piyasaya süreceklerini bildirdiğini not ediyoruz.
Kamu Vaka Çalışması Örneği
Elisity, 800’den fazla hastane ve sağlık kliniğine sahip önde gelen ABD sağlık sisteminin, Elisity’yi uygulayarak kayda değer verimlilik kazanımları ve maliyet tasarrufları elde ettiğini, toplam maliyetleri 38 milyon dolardan 9 milyon dolara düşürdüğünü, yani toplam sahip olma maliyetinde %76 azalma elde ettiğini paylaşıyor. Uygulama, tesis başına 14 yerine yalnızca 2 personel gerektirdi; dağıtım konum başına yalnızca 4-10 saat sürerken, aksama süresi ve hasta bakımında aksamalar da önlendi. Elisity’nin platformu, 4 saat içinde cihazların %99’unu keşfedip sınıflandırdı ve maliyetli IoMT cihazı yeniden IP süreçlerine olan ihtiyacı ortadan kaldırdı ve tüm konumlarda kapsamlı ağ görünürlüğü ile CMDB’lerine otomatik, sürekli cihaz envanteri güncellemeleri sağladı. Elisity’nin sağlık, ilaç ve üretim alanlarındaki başarılı uygulamaları hakkında daha fazlasını web sitesinden okuyun.
Çözüm
Elisity, uygulamaya yönelik pratik bir yol sağlarken geleneksel mikro bölümleme yaklaşımlarının temel zorluklarını başarıyla ele alıyor. Çözümün, kimlik tabanlı kontroller sunarken mevcut altyapıdan yararlanma yeteneği, onu özellikle çeşitli uç nokta türlerine ve karmaşık segmentasyon gereksinimlerine sahip kuruluşlar için değerli kılmaktadır.
Testler sırasında Elisity’nin olaylara müdahale yeteneklerinden özellikle etkilendik. Platform, fidye yazılımı veya diğer tehditlerin tespit edilmesi durumunda SOAR taktik kitapları veya API entegrasyonları aracılığıyla hızla devreye alınabilecek önceden yapılandırılmış “kilitlenmiş” politikalar da dahil olmak üzere kuruluşların birden fazla politika setini sürdürmesine olanak tanır.
Platformun hızlı dağıtım yetenekleri ve minimum performans etkisi, onu büyük altyapı yatırımları olmadan güvenlik duruşlarını geliştirmek isteyen kuruluşlar için cazip bir seçenek haline getiriyor. Kablosuz entegrasyon gibi bazı yönler geliştirilebilirken Elisity, kuruluş genelinde mikro bölümlemenin uygulanmasına yönelik pragmatik bir yaklaşım sunuyor.
Elisity, özellikle sağlık ve üretim sektörlerinde olmak üzere geleneksel segmentasyon yaklaşımlarıyla mücadele eden kuruluşlar için güvenlik gerekliliklerini operasyonel gerçeklerle dengeleyen açık bir yol sağlar. Elisity IdentityGraph hakkında daha fazla bilgi edinmek için buradaki çözüm sayfasını ziyaret edin.