Yazan: Gal Helemski, PlainID Kurucu Ortağı ve CTO/CPO’su
“Veri bir kuruluşun can damarıdır.” Güvenlik alanında basmakalıp bir söz haline gelen bu düşünceyi her kuruluşun gerçekten desteklediğine inanmak zor. Evet, veriler yeni fikirler üretmek, karar alma süreçlerini bilgilendirmek, ürünleri daha hızlı geliştirmek ve çok daha fazlası için kullanılır, ancak sağlam bir veri yönetimi stratejisi olmadan verilerin erişilebilir, entegre edilebilir veya korunabilir olması her zaman garanti edilemez.
Tehdit ortamı gelişmeye devam ediyor, ancak pek çok şirket geçmişte takılıp kalıyor ve bakımı zor, yönetimi giderek karmaşık hale gelen statik bir çözüm kullanıyor. Çevre tabanlı çözümler bir miktar değer sağlasa da modern organizasyonun artan karmaşıklığına ayak uyduramamaktadır. Değişiklik yapmak için genellikle kodlamaya ihtiyaç duyarlar ve sağlayabilecekleri görünürlük sınırlıdır.
Bugün herkes, kimlik bilgileri ele geçirildiğinde ve bir ağ ihlal edildiğinde ne olacağı sorununu çözmeye çalışıyor. En basit yaklaşım, güvenlik ekipleri olayı çözene kadar hareketi en aza indirmektir. Siber güvenlik, savunmaya dayalı bir görevdir ve akıllı güvenlik çözümlerine sahip iyi donanımlı bir ekibe sahip olmak, büyük bir siber olay ile uyarı arasındaki ayırt edici faktör olabilir.
Artık akıllı güvenliğin “kimliğe duyarlı” olması gerektiğini biliyoruz. Ve kimliğe duyarlı güvenlik, akıllı, dinamik bir Yetkilendirme çözümü gerektirir. Yetkilendirme, kimliklerin erişebilecekleri veriler, işlevler ve uygulamalarla olan bağlantılarının yönetimi, kontrolü ve uygulanmasıdır.
Kimlik Akıllı Güvenliğin Ön Koşuludur
Kimliğe duyarlı güvenlik genellikle sıfır güven mimarisiyle sağlanır. Sıfır Güven güvenlik mimarisi son on yılda titizlikle incelenmiştir ve doğru şekilde (veya hiç) uygulandığı takdirde geçmiş yıllardaki saldırıların çoğunu bile önleyebilirdi. Sıfır Güven mimarisinin kalbinde, bir kaynağa erişim izni verilmesi, reddedilmesi veya iptal edilmesi konusunda karar verme yeteneği bulunur. Sıfır Güven ideolojisi, çalışanlarının her yerden daha özgür çalışmasına olanak sağlamak için bulut gibi veri merkezlerini kullanan daha fazla şirketin bulunduğu modern çalışma ortamında çok önemlidir. Verilerin bir kuruluşun içindeki ve dışındaki kullanıcılar arasında daha akıcı bir şekilde hareket etmesiyle, yalnızca geleneksel çevre güvenliği yöntemlerine güvenmek giderek zorlaşıyor. Karmaşıklıktaki bu artış, akıllı, kimlik öncelikli güvenliğin ileriye yönelik bir iş zorunluluğu olmasının nedenidir.
Sıfır Güven’in en önemli faydalarından biri, insan hatasını neredeyse ortadan kaldıran ve riske maruz kalmayı azaltan izin politikalarını otomatikleştirme yeteneğidir. Ayrıca güvenlik ekiplerine, kullanıcıların erişebilecekleri konusunda gerçek zamanlı kararlar almak için risk sinyallerine güvenmelerine olanak tanıyan dinamik karar verme yetenekleri de sağlar.
Yetkiler Üzerine Bir Kelime
Ancak akılda tutulması gereken önemli olan, Yetkilendirmeleri ve kimlik dünyası ile verilerin güvenliği arasındaki bağlantıyı anlamaktır.
Kimliğe duyarlı, dinamik, ayrıntılı ve politikalarla yönetilen gelişmiş veri erişim kontrolleri sağlamaya yönelik büyüyen bir eğilim var. Veri sahipleri, veri erişim kontrolü stratejilerinin bir parçası olarak kimlik öncelikli güvenliği düşünmeli ve seçeneklerini araştırmalıdır. Bu, kuruluşun en önemli varlığı olan verilerinin güvenliğini sağlamak için çok önemlidir.
Yetkilendirme ve Kimlik Doğrulama
Kimlik öncelikli güvenlik kapıda bitemez. Kimlikler ve bunların erişimleri, kullanıcının eriştiği verilere kadar doğrulanmalı ve kontrol edilmelidir. Dijital dünyada güvenlik sonuçta kimin neye erişebileceğine bağlıdır. “Kim” kimliklerdir, “ne” ise çoğunlukla korunması gereken verilerdir. Kimlik doğrulama “kim” sorusunu, Yetkilendirme ise “neye erişebileceklerini” ele alır. Her ikisi de tüm erişim düzeylerinde eşit derecede önemlidir.
Havaalanı kontrol sistemi benzetmesini düşünün: Terminale ilk erişim herkese açıktır. Orada çok az kontrol var. Ancak devam etmek için yolcunun doğrulanmış bir kimlik belgesi sunması gerekir. Kapıya erişmek için doğrulanmış kimliğe ek olarak bir bilete ihtiyaçları olacak ve uçağa bindiklerinde kendi koltuklarında olmaları gerekiyor. İleriye doğru attıkları her adım, kim olduklarını erişebilecekleri şeylerle birleştirerek daha güçlü bir kontrole sahip olma konusunda ısrar ediyor. Terminale erişim sahibi olmak herhangi bir uçağa binebilecekleri anlamına gelmediği gibi, uçağa erişim sahibi olmak da istedikleri yere oturabilecekleri anlamına gelmiyor.
Aynı fikir, kimlik doğrulama ve yetkilendirmeyi birleştirerek ve kullanıcı veriye yaklaştıkça ayrıntılı kontrolleri uygulayarak dijital dünyada da uygulanmalı.
Yetkilendirmeyi Anlamak ve Yararlanmak
Yetkilendirme, kimliğin veri gibi dijital varlıklarla bağlantısını yönetme ve kontrol etme uygulamasıdır. Bu, kimlik öncelikli güvenliğin temel bir parçasıdır. Kimlik doğrulaması yapılan kimlikle başlar ve bu kimliğin neye erişebileceğine ilişkin kontrollü süreçle devam eder. Kimlik öncelikli güvenliğin tam olarak uygulanması, veri uygulamalarına, API’lere, mikro hizmetlere ve veri merkezinin kendisine giden tüm yolları ele alabilen gelişmiş bir yetkilendirme çözümü olmadan gerçekleştirilemez.
Özellikle işletmeler verilerini büyük veri merkezlerinde birleştirmeye devam ettikçe, veri ihlalleri daha agresif ve giderek daha pahalı hale gelmeye devam edecek. Liderler, bir kuruluşun teknoloji yığınının gerekli tüm noktalarında kimlik düzeyindeki kontrolleri destekleyen çözümlere yatırım yapmalıdır. Bu önlem, kimlik doğrulaması yapılana kadar ağ içindeki hareketi kısıtlayarak yıkıcı bir ihlal riskini azaltır.
Kimlik tabanlı güvenlik bir trendin ötesine geçti ve artık bir iş gerekliliği haline geldi. Yeni güvenlik çevresi arttıkça, kimlik alanı da halihazırda hızlı bir büyüme yaşıyor. Kimlik çözümleri, özellikle bulutta daha derin ve daha yaygın bir destek sağlayacak ve daha derin düzeyde kontrol sağlayacak.
[Image by vecstock]
Reklam