ABD Ulusal Güvenlik Ajansı (NSA), şu yönergeleri yayınladı: sıfır güven ağ güvenliği bu hafta sıfır güvenin benimsenmesine yönelik daha somut bir yol haritası sunuyoruz. Kavramın arzu edilmesi ile uygulanması arasındaki boşluğu doldurmaya çalışmak önemli bir çabadır.
İşletmeler daha fazla iş yükünü buluta kaydırdıkça, sıfır güven bilgi işlem stratejileri, çok popüler bir aşamadan, temel bir güvenlik yaklaşımı statüsünün keyfini çıkarmaya doğru ilerledi. Ama yine de “kavramı”doğrulanana kadar güvenilmez” gerçek dünyada anlaşılması hala yavaştır (her ne kadar Birleşik Arap Emirlikleri gibi bazı bölgelerde Sıfır güvenin benimsenmesi hızlanıyor).
John Kindervag, “sıfır güven” terimini ilk tanımlayan kişi 2010 yılında Forrester Research'te analist olarak görev yaptığı sırada, NSA'nın bu hamlesini memnuniyetle karşılamış ve şuna dikkat çekmişti: “Çok az kuruluş sıfır güven ortamları oluşturmada ağ güvenliği kontrollerinin önemini anlamıştır ve bu belge, kuruluşların kendi ağ güvenliklerini anlamalarına yardımcı olma yolunda uzun bir yol kat etmektedir.” değer.”
Ayrıca, geçen yıl Illumio'ya baş müjdecisi olarak katılan ve tanıtımını yapmaya devam ettiği Kindervag, “Dünya çapındaki çeşitli kuruluşların ağ güvenliği kontrollerinin değerini daha kolay anlamalarına ve sıfır güven ortamlarının inşa edilmesini ve faaliyete geçirilmesini kolaylaştırmasına büyük ölçüde yardımcı olacak” diyor. sıfır güven kavramı.
Ağ Segmentasyonunda Sıfır Güven Merkezleri
NSA belgesi, temel olarak, düşmanların ağda dolaşmasını ve kritik sistemlere erişmesini engellemek için ağ trafiğini bölümlere ayırmak da dahil olmak üzere sıfır güvene ilişkin en iyi uygulamalara ilişkin birçok öneri içeriyor.
Konsept yeni değil: BT departmanları onlarca yıldır kurumsal ağ altyapılarını bölümlere ayırıyor ve Kindervag, “gelecekteki tüm ağların varsayılan olarak bölümlere ayrılması gerektiğini” söylediği orijinal Forrester raporundan bu yana ağ bölümlendirmesini savunuyor.
Ancak Forrester Research'ten Carlos Rivera ve Heath Mullins'in kendi makalelerinde söylediği gibi geçen sonbahara ait rapor“Etkili bir sıfır güven mimarisi için gereken tüm yetenekleri tek bir çözüm sağlayamaz. İşletmelerin geleneksel çevre tabanlı ağ savunmasının sınırları içinde yaşadığı ve çalıştığı günler geride kaldı.”
Bulut çağında, Sıfır güven katlanarak daha karmaşık hale geliyor bir zamanlar olduğundan daha başarılı olmak. Belki de Akamai'deki ankete katılanların üçte birinden azının 2023 Segmentasyon Durumu raporu Geçtiğimiz sonbahardan bu yana geçen yıl ikiden fazla kritik iş alanına bölündük.
NSA, sıkıntının bir kısmını hafifletmek için, veri akışlarının haritalanması ve anlaşılması ve uygulanması da dahil olmak üzere ağ bölümlendirme kontrollerinin bir dizi adımla nasıl gerçekleştirilebileceğini anlatıyor. yazılım tanımlı ağ iletişimi (SDN). Bir iş ağının hangi bölümlerinin risk altında olduğunu ve bunların en iyi şekilde nasıl korunacağını anlamak için her adım önemli ölçüde zaman ve çaba gerektirecektir.
Akamai Kurumsal Güvenlik Grubu saha CTO'su Garrett Weber, “Sıfır güven konusunda akılda tutulması gereken önemli şey, bunun bir yolculuk olduğu ve metodik bir yaklaşım kullanılarak uygulanması gereken bir şey olduğudur” diye uyarıyor.
Weber ayrıca segmentasyon stratejilerinde de bir değişiklik olduğunu belirtiyor. “Yakın zamana kadar segmentasyonu dağıtmak yalnızca donanımla gerçekleştirilemeyecek kadar zordu” diyor. “Artık yazılım tabanlı segmentasyona geçişle birlikte kuruluşların segmentasyon hedeflerine çok daha kolay ve daha verimli bir şekilde ulaşabildiğini görüyoruz.”
Ağ Mikro Segmentasyonuyla Daha İleriye Gitmek
NSA belgesi ayrıca makro ve mikro ağ segmentasyonu arasında da ayrım yapıyor. İlki, departmanlar veya çalışma grupları arasında hareket eden trafiği kontrol eder; böylece bir BT çalışanının, örneğin insan kaynakları sunucularına ve verilerine erişimi olmaz.
Mikro bölümleme, trafiği daha da ayırır, böylece açıkça gerekmedikçe tüm çalışanlar aynı veri erişim haklarına sahip olmaz. Akamai raporuna göre “Bu, saldırı yüzeyini daha da azaltmak ve bir ihlal meydana gelmesi durumunda etkiyi sınırlamak için kullanıcıları, uygulamaları veya iş akışlarını ayrı ağ bölümlerine ayırmayı içeriyor.”
Güvenlik yöneticileri “saldırganların kontrolleri geçememesini sağlamak amacıyla uygulamalarına odaklanmak için mikro segmentasyonu kullanma yönünde adımlar atmalıdır. Tek oturum açma erişimini alt üst etmeAppOmni'nin CTO'su ve kurucu ortağı Brian Soby, “yan yüklü hesapları kullanmak veya verileri harici kullanıcılara sunmanın yollarını bulmak” diyor.
Bu, Akamai'nin raporunda da belirtildiği gibi, güvenlik kontrollerinin her bir iş akışı için neyin gerekli olduğuna göre tanımlanmasına yardımcı olur. Yazarlar, “Segmentasyon iyidir, ancak mikro segmentasyon daha iyidir” dedi.
Karmaşık bir çaba olabilir, ancak çabaya değer: Akamai'nin raporunda araştırmacılar “azmin karşılığını aldığını” buldular. Segmentasyonun, kritik varlıklarının çoğunu segmentlere ayırmış olanlar için savunma üzerinde dönüştürücü bir etkisi olduğu kanıtlandı; ve fidye yazılımlarını tek bir varlığın bölümlenmiş olduğu yazılımlara göre 11 saat daha hızlı içeriyor.”
Kindervag hâlâ sıfır güveni savunuyor. Çekiciliğinin ve uzun ömürlülüğünün bir kısmı, anlaşılması kolay bir kavram olmasından kaynaklanmaktadır: İnsanlar ve uç noktalar, yetkili olduklarını kanıtlamadıkça hizmetlere, uygulamalara, verilere, bulutlara veya dosyalara erişemezler ve o zaman bile erişim sağlarlar. yalnızca ihtiyaç duyulan süre boyunca verilir.
“Güven insani bir duygudur” dedi. “Bunu ilk önerdiğimde insanlar bunu anlamadı, ancak bu, risk almak ve güvenliğinizdeki açıkları kapatmaktan ziyade tehlikeyi yönetmekle ilgili.”