Yazan: Denny LeCompete, Portnox CEO’su
Uzaktan ve hibrit çalışma politikalarının yükselişi nedeniyle geleneksel çevre tabanlı savunmaların yetersiz kalması nedeniyle kuruluşlar, güvenlik duruşlarını güçlendirmek için sıfır güven kavramına yöneliyor. Özünde sıfır güven, dahili ağlara bağlanıldığında bile hiçbir kullanıcıya veya cihaza otomatik olarak güvenilmemesi gerektiği fikrine dayanır.
Dağınık iş gücünün oluşturduğu güvenlik riskleriyle mücadele etmek için sıfır güveni uygulamaya yönelik ilk öfkeyle işletmeler, Sıfır Güven Ağ Erişimi (ZTNA) çözümlerine yöneldi. ZTNA araçları son birkaç yılda sahneye çıktı ve teknoloji başlangıçta sanal özel ağların (VPN’ler) yerini alacak şekilde sunuldu. Değiştirme sahası esassız değildi. VPN her yerde mevcuttur, ancak geniş ağ düzeyindeki şifreleme tabanlı güvenliği zayıftır ve kurumsal ağların tamamını kötü amaçlı yazılımlara, dağıtılmış hizmet reddine (DDos) ve kimlik sahtekarlığı saldırılarına maruz bırakma potansiyeline sahiptir.
Bunun yerine ZTNA, sürekli kimlik doğrulama gerektiren “asla güvenme, her zaman doğrula” güvenlik yaklaşımını sundu; bu yaklaşım, pandemiden sonra ortaya çıkan baş döndürücü sayıdaki yeni erişim tehditlerine karşı sihirli bir çözüm arayan CISO’lara ve ekiplerine hitap etti. Her ne kadar bu doğru olsa da – bir yerden başlamalısınız – ZTNA’nın aceleyle benimsenmesi dar görüşlülüktü ve erken benimseyenler için daha fazla komplikasyona, yanlış başlangıçlara ve bütçe israfına yol açtı.
99 Güvenlik Sorunu, Artık ZTNA 1. Sırada
Başlangıçtaki ZTNA çözümleri, uzaktan erişim güvenliği endişelerini gidermede ve genel olarak sıfır güven kavramının yaygınlaştırılmasında şüphesiz ileriye doğru kayda değer bir adım atmış olsa da, teknolojinin kendisi birçok açıdan sorunludur:
Uygulama Bir Ayıdır
Bir ZTNA çözümü uyguladıysanız bunun bir “tak ve çalıştır” işlemi olmadığını bilirsiniz. Ne münasebet. Bunun yerine, ağ mimarinizi en baştan yeniden tasarlama ihtiyacı nedeniyle kenara itileceksiniz. Bu dramatik gelebilir ama doğru. Çevre tabanlı güvenlik aygıtınızın, kullanıcının ağ konumu ne olursa olsun bireysel uygulamaları hemen güvence altına alamaması ve her erişim talebini doğrulayamaması muhtemeldir. Yani kullanıcı ile hedef uygulama arasında şifreli bir tünel kurmak zorunda kalıyorsunuz. Bu, trafiği harici olarak (muhtemelen üçüncü taraf bir bulut hizmetine) göndermek ve ardından isteği doğrulamak ve kullanıcının kimliğini doğrulamak için ağınıza geri göndermek anlamına gelir.
Kısacası, yeniden yapılanma perspektifinden bakıldığında işiniz sizin için biçilmiş kaftan. Ayrıca, üretkenliği bozabilecek harici trafik yönlendirmesi nedeniyle gecikmeyle baş etme şansınız da daha yüksektir. Çoğu kişi için bu sorunlar ZTNA uygulamasını başlangıç dışı kılıyor, bu da aslında sıfır güvenin benimsenmesinin büyümesini engellediği anlamına geliyor.
Fiziksel Ağlar Göz Ardı Ediliyor
Elbette, uzaktaki iş gücünüzün erişimini güvence altına almanın bir öncelik olması gerekiyor; bu bir soru değil. Ancak insanlar hâlâ ofiste çalışıyor ve kuruluşunuzun fiziksel kablolu ve kablosuz ağlarına güveniyor. Çoğu sektörde hibrit çalışma konusunda büyük ölçüde bir denge kurulurken, birçok şirket tam zamanlı uzaktan çalışmayı azalttı.
Bu aslında ZTNA’nın sıfır güven kapsamına ulaşma konusunda hedefi kaçırdığını söylemek anlamına geliyor. Aynı “hiç kimseye güvenme” politikasının ofiste Ethernet’e bağlı veya Wi-Fi’ye bağlı olanlara da uygulanması gerekiyor. Bu erişim katmanları desteği olmadan, ZTNA kullanan şirketler, kendi tesislerinde kimlik doğrulama, yetkilendirme ve muhasebe (AAA) politikalarını tanımlamak ve uygulamak için başta ağ erişim kontrolü (NAC) olmak üzere başka bir araç (veya araç seti) benimsemek zorunda kalıyor kullanıcılar. BT’deki herkesin bildiği gibi, yönetmeniz gereken araç sayısı arttıkça tehdit yüzeyi de artar.
Uç Nokta Riskine Karşı Körsünüz
Bu belki de ZTNA için en korkunç eksiklik. Kimlik doğrulama harikadır ancak herkesin bildiği gibi cihazlar, kurumsal ağ ve sistemleri tehlikeye atmak için en çok kullanılan araçtır. Dolayısıyla, bir uç noktanın risk durumunu bağlandıktan sonra izleyemiyorsanız, anti-virüsünün güncel olmaması veya güvenlik duvarının kapalı olması nedeniyle cihazın savunmasız olması durumunda şansınız kalmaz.
Geleneksel ZTNA, uç nokta risk izleme veya iyileştirme sağlamaz. Ve aslında yalnızca uygulamalara odaklandığından, kullanıcının yeterince bilgili olması durumunda, kimlik doğrulaması yapıldıktan sonra bir cihazın ağ üzerinde yanal olarak hareket etmesi olasılık alanının dışında değildir. Bu anlamda ZTNA aslında sizi Daha sandığınızdan bile savunmasız. Yine bir önceki sorunda olduğu gibi bu güvenlik açığı da NAC gibi bir çözümü zorunlu kılıyor. olabilmek Uç nokta riskini izleyin ve uyumluluk dışı kalan cihazları düzeltin.
Daha Büyük Düşünün, Evrensel Düşünün Sıfır Güven
ZTNA ile ilgili tüm bu sorunlara rağmen sıfır güven için umut var, bu sadece bu güvenlik modeline geçmeyi düşünenlerin zihniyetlerini genişletmelerini gerektiriyor. Bu aynı zamanda şirketlerin, ZTNA veya NAC gibi son derece odaklanmış güvenlik araçlarından oluşan bir portföyü bir araya getirmek yerine, tüm temel sıfır güven kullanım durumlarını merkezi ve ölçeklenebilir bir şekilde ele alabilecek birleşik, bulutta yerel ve sorunsuz çözümlere yatırım yapması gerektiği anlamına gelir. moda.
Neyse ki, gelişen teknoloji, kampüste ve uzaktan çalışan çalışanlar, misafirler ve yükleniciler için sıfır güven erişim kontrolünü ağlara, uygulamalara ve altyapıya kadar genişleten “evrensel sıfır güven” sunmak için bu boşlukları kapatıyor. Bu, tüm kritik BT varlıklarının asla güvenme, her zaman doğrula güvenlik modeli kapsamında olduğu sıfır güvenin kutsal kâsesidir. Bu ZTNA’nın tek başına yapamayacağı bir şey.
yazar hakkında
Denny LeCompete, Portnox’un CEO’sudur. Şirketin günlük operasyonlarını ve stratejik yönünü denetlemekten sorumludur. Denny, BT altyapısı ve siber güvenlik alanında 20 yılı aşkın deneyime sahiptir. Portnox’a katılmadan önce Denny, SolarWinds ve AlienVault dahil olmak üzere önde gelen BT yönetimi ve güvenlik firmalarında yönetici liderlik görevlerinde bulundu. Denny’nin doktora derecesi vardır. Rice Üniversitesi’nden bilişsel psikoloji alanında.
Denny’ye çevrimiçi olarak [email protected] adresinden ve şirketimizin web sitesi https://www.portnox.com/ adresinden ulaşılabilir.