Ulusal Güvenlik Ajansı, sıfır güven çerçeve ilkelerini benimseyerek kuruluşların bir düşmanın iç ağdaki hareketini sınırlamasına yardımcı olacak yeni kılavuzu paylaşıyor.
Sıfır güven güvenlik mimarisi, bir ihlalin etkisini en aza indirmek için, ister fiziksel çevrenin içinde ister dışında olsun, ağdaki kaynaklara erişim için sıkı kontroller gerektirir.
Ağdaki her şeyin ve herkesin güvenilir olduğunu varsayan geleneksel BT güvenlik modeliyle karşılaştırıldığında sıfır güven tasarımı, bir tehdidin zaten var olduğunu varsayar ve ağ içinde başıboş kontrole izin vermez.
Sıfır güven olgunluğunun ilerletilmesi, tehdit aktörlerinin bir saldırıda yararlanabileceği çeşitli bileşenler veya temeller ele alınarak aşamalı olarak gerçekleştirilir.
kaynak: Ulusal Güvenlik Ajansı
NSA bugün, tüm donanım ve yazılım varlıklarını, kişisel olmayan varlıkları ve iletişim protokollerini kapsayan ağ ve ortam bileşeni için sıfır güven kılavuzunu yayınladı.
Sıfır güven modeli, veri akışı haritalaması, makro ve mikro segmentasyon ve yazılım tanımlı ağ oluşturma yoluyla derinlemesine ağ güvenliği sağlar.
Her biri için bir kuruluşun, sıfır güven ilkelerine göre gelişmeye devam etmesine olanak tanıyan belirli bir olgunluk düzeyine ulaşması gerekir.
“Ağ ve ortam ayağı, ağ erişimini tanımlayarak, ağ ve veri akışlarını kontrol ederek, uygulamaları ve iş yüklerini bölümlere ayırarak ve uçtan uca şifrelemeyi kullanarak kritik kaynakları yetkisiz erişimden yalıtır” – Ulusal Güvenlik Ajansı (PDF)
Veri akışı haritalaması, verilerin nerede ve nasıl saklandığını ve işlendiğini belirlemekle başlar. Bu durumda gelişmiş olgunluk, kuruluşun akışın tam bir envanterine ve görünürlüğüne sahip olması ve tüm mevcut, yeni veya anormal rotaları hafifletebilmesi durumunda elde edilir.
Makro segmentasyon yoluyla kuruluşlar, her departmandaki kullanıcılar için ağ alanları oluşturarak ağ üzerindeki yanal hareketi sınırlayabilir.
Örnek olarak, muhasebe alanında çalışan bir kişinin, açıkça gerekmediği sürece, insan kaynaklarına ayrılmış ağ bölümüne erişmesine gerek yoktur; bu nedenle, bir tehdit aktörünün hareket edebileceği sınırlı bir saldırı yüzeyi olacaktır.
Mikro segmentasyon ile ağın yönetimi daha küçük bileşenlere bölünür ve yanal veri akışlarını sınırlamak için katı erişim politikaları uygulanır.
NSA, “mikro bölümlemenin, saldırı yüzeyini daha da azaltmak ve bir ihlal meydana gelmesi durumunda etkiyi sınırlamak için kullanıcıları, uygulamaları veya iş akışlarını ayrı ağ bölümlerine ayırmayı içerdiğini” açıklıyor.
Özelleştirilebilir güvenlik izleme ve uyarı sağlayabilen yazılım tanımlı ağ (SDN) bileşenleri aracılığıyla mikro segmentasyon üzerinde daha ayrıntılı kontrol elde edilir.
SDN, merkezi bir kontrol merkezinden paket yönlendirmenin kontrol edilmesine olanak tanır, ağda daha iyi görünürlük sağlar ve tüm ağ bölümleri için politikaların uygulanmasına izin verir.
Sıfır güven mimarisinin ağ ve çevre sütunundaki dört bileşenin her biri için NSA, hazırlık aşamasından, optimum görünürlük, izleme ve izleme olanağı sağlamak için kapsamlı kontrollerin ve yönetim sistemlerinin uygulandığı ileri aşamaya kadar dört olgunluk düzeyini tanımlar. ve ağın büyümesini sağlamak.
Sıfır güven ortamını tasarlamak ve inşa etmek, olgunluk aşamalarından sistematik olarak geçmeyi gerektiren karmaşık bir iştir.
Doğru şekilde yapıldığında sonuç, zayıf yönlerden yararlanmaya çalışan tehditlere direnebilen, bunları tanımlayabilen ve bunlara yanıt verebilen bir kurumsal mimaridir.
NSA, modeli ve arkasındaki ilkelerin avantajlarını açıklayan sıfır güven çerçevesine ilişkin ilk kılavuzu Şubat 2021'de (Sıfır Güven Güvenlik Modelini Benimsetmek) yayınladı.
Nisan 2023'te ajans, sıfır güven çerçevesinde kullanıcı bileşeninin olgunluğuna ulaşmaya yönelik kılavuz yayınladı – Kullanıcı Sütunu Boyunca Sıfır Güven Olgunluğunu Geliştirme.