Bugüne kadar yalnızca ılımlı bir şekilde benimsenmesine rağmen, uyarlanabilir erişim ve kimlik doğrulama, kuruluşlar bağlama dayalı olarak verilere ve sistemlere erişim sağlayan ve bunları kısıtlayan sıfır güven yetenekleri peşinde koştuğundan, bu yıl işletmeler arasında güç kazanmaya hazırlanıyor.
Gelişen endüstrideki en son yaşam belirtisi olarak, başlangıç şirketi Oleria 21 Mart’ta uygulamaları güvenli tutabilen ve erişime izin verirken kör noktaları ve ayrıcalıkların aşırı sağlanmasını en aza indiren uyarlanabilir erişim sağlamak için pazara girdiğini duyurdu. Şirketin yöneticileri, parçalı ve uyarlanabilir kimlik doğrulamanın dağıtımını kolaylaştırmanın ticari müşterileri teknolojileri daha hızlı benimsemeye ikna edeceğini ileri sürdü.
Oleria’nın kurucu ortağı ve baş ürün sorumlusu Jagadeesh Kunda, şirketlerin uyarlanabilir erişimin sağladığı bağlama duyarlı güvenliğe ihtiyaç duyduklarını zaten bildiklerini söylüyor.
“Modern BT, iş gereksinimlerine dinamik olarak uyum sağlayan sürekli, karmaşık bir sistem haline geldi. [but] CISO’lardan ve CIO’lardan duyduğumuz boşluk, erişimi etkili bir şekilde yönetme becerisidir” diyor. “Sürekli değişen bir ortamı desteklemek için yüzlerce uygulama çalıştıran tipik bir kuruluşta, statik temelde roller ve erişim atamak artık yeterli değil veya sürdürülebilir.”
Çoğu şirket daha ayrıntılı erişim kontrolleri için çabalarken, çözümlerin karmaşıklığı nedeniyle uyarlanabilir teknolojiler başarısız oldu. Analist firma International Data Corp., gelişmiş kimlik doğrulamaya yönelik 2022 MarketScape raporunda, 10 şirketten 3’ünden daha azının çok faktörlü kimlik doğrulama (MFA) kullandığını tahmin ediyor. Okta’nın 2022 State of Zero Trust raporuna göre, genel olarak şirketlerin yalnızca %9’u bağlama dayalı erişim politikaları ekledi.
Bulutta Yerel Güvenlik Uyum Sağlamak Demektir
Yine de şirketler, uyarlamalı erişimin gerekliliğine ikna oldular çünkü kullanıcılara uygun verilere uygun şekilde erişim sağlama yeteneği çok daha önemli hale geldi. Okta raporunda, şu anda şirketlerin yalnızca %9’unun bağlama dayalı erişim denetimlerine sahip olmasına karşın, işletmelerin %42’sinin önemli bir bölümünün bu politikaları önümüzdeki 12 ila 18 ay içinde uygulamayı planladığını belirtti.
Okta Amerika Kıtası Baş Güvenlik Sorumlusu Chris Niggel, teknolojinin şirketlerin ve güvenlik ekiplerinin daha çevik olmalarını sağladığını söylüyor.
“Kuruluşun hassas verilere yalnızca onaylı sistemler kullanan onaylı kişiler tarafından erişildiğinden emin olmasını sağlayarak verilerin korunmasına yardımcı olur” diyor. “BT ve güvenlik ekiplerinin, bu hassas verilere erişimi daha hızlı bir şekilde vererek ve iptal ederek işi etkinleştirmesine olanak tanıyor.”
Oleria’dan Kunda, görünüşte benzer olsa da, uyarlanabilir erişim ve uyarlanabilir kimlik doğrulamanın biraz farklı kavramlar olduğunu söylüyor. Uyarlanabilir erişim, kullanıcının davranışına, isteğin içeriğine, cihazlarının durumuna ve genel kurumsal risk düzeyine bağlı olarak kullanıcıya belirli kaynaklar için izinler verirken, uyarlanabilir kimlik doğrulama, bu kriterlere göre ayrıcalıkların değiştirilmesine izin verir.
İki teknoloji ile şirketler, belirli bir bağlamda uygun olan erişim düzeyini belirleyebilir ve bu erişimi sağlayabilir, diyor.
Kunda, “Kuruluşlar, kullanıcı davranışı ve risk düzeyi gibi bağlamsal faktörlere dayalı olarak erişimi dinamik olarak vermenin veya reddetmenin önemini giderek daha fazla fark ettikçe, uyarlanabilir erişim yaklaşımlarının benimsenmesi artmaya devam edecek” diyor.
Sıfır Güvenin Peşinde
Şirketlerin altyapısının çoğu buluta bağlı olduğundan, yöneticiler hibrit çalışanları barındırmaya devam ederken güvenliği sağlamlaştırmanın bir yolu olarak giderek artan bir şekilde Sıfır Güven çerçevelerine odaklanıyor.
İki faktörlü kimlik doğrulama tarafından sunulan ikincil bir kod veya simgeye ek olarak, erişim cihazı, kullanıcının konumu, günün saati ve kuruluş için mevcut risk düzeyi gibi çeşitli başka faktörler de dikkate alınabilir. Bu kriterlere bağlı olarak, kullanıcı, ortak bir konumdan, günün düzenli bir saatinde ve bilinen bir cihaz kullanarak bir ağa veya hizmete giriş yapıyorsa daha kolay bir kimlik doğrulama deneyimi yaşayabilir.
Gartner kıdemli yönetici analisti Michael Kelley, “Bir erişim yönetimi aracı, risk düzeyini belirlemek için ne tür bir uç nokta üzerinde çalıştığınız, dünyanın neresinde olduğunuz ve önceki erişim modellerinizin neler olduğu hakkında sinyaller toplayabilir” diyor. “Bu risk düzeyi belirleme, kimliğinizin nasıl doğrulanacağına ve potansiyel olarak, neye erişiminiz olduğuna ve kimliği doğrulandıktan sonra ne tür erişime sahip olduğunuza karar vermek için kullanılır.”
Çoğu modern uygulama statik kimlik doğrulamayı kullanmaya devam ederken, uyarlamalı kimlik doğrulama genişlemektedir. Son dört yılda, neredeyse her erişim yönetimi aracı sağlayıcısı, ürünlerine bir tür uyarlanabilir erişim ekledi, diyor.
Forrester Research’te güvenlik ve riskten sorumlu başkan yardımcısı ve baş analist olan Andras Cser, uyarlamalı erişimin (AA) Sıfır Güven yolunda atılmış bir adım olduğunu söylüyor.
“Uyarlanabilir erişim, daha az müşteri anlaşmazlığı anlamına gelir, çünkü AA çözümleri yalnızca şunu belirten kullanıcılar için anlaşmazlığı artırır: [they pose] daha yüksek risk seviyeleri, [such as] Cser, yeni cihazlar kullanmak, şimdiye kadar bilinmeyen bir IP adresi coğrafi konumu kullanmak, ‘süpermen’ seyahatini görüntülemek – 1000 mil uzaktaki yerlerden 10 dakikada oturum açıyor” diyor.