Yazan: Carolyn Duby, Teknolojiden Sorumlu Başkan, Cloudera Hükümet Çözümleri
Federal hükümet, OMB’nin 2022’nin başından itibaren federal sıfır güven stratejisi notundan bu yana sıfır güvene daha güçlü bir vurgu yaptı; bu bildiri, kurumların bir ağa erişmeye çalışan her cihaza, uygulamaya veya kullanıcıya güvenilemeyeceğini varsayan bir güvenlik modeline sahip olmasını gerektiriyor. .
Son zamanlarda Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kurumları 2024 yılına kadar sıfır güven modeline yönlendirecek bir yol haritası sağlayan Sıfır Güven Olgunluk Modeli’nin (ZTMM 2.0) ikinci bir versiyonunu yayınladı. ZTMM, beş sütunun birleşiminden oluşuyor. : kimlik, cihazlar, ağlar, uygulamalar ve iş yükleri ile veriler. Aynı zamanda sıfır güven yolculuğundaki konumlarına bakılmaksızın (geleneksel, başlangıç, gelişmiş, optimal) kurumlara yararlı bilgiler sağlayarak dört olgunluk düzeyini de ele alır.
Son teslim tarihinin yaklaşmasıyla birlikte, Savunma Bakanlığı baskıyı hissediyor ve “optimal” olgunluk aşamasına ulaşmak için ZTMM’yi uygulamaya yönelik adımlar atıyor. Savunma Bakanlığı’nın sıfır güven stratejisine yaklaşımı, Bakanlığa “asla güvenme, her zaman doğrula” zihniyetini aşılamak için yönergelerin yanı sıra, sıfır güven stratejisinin yetenekler, teknolojiler, güvenlik ve güvenlik de dahil olmak üzere kurumun tüm bileşenlerinde nasıl uygulanacağına dair bir harita sağlayacak. Çözümler ve süreçler.
Bu ilerlemeyi kaydederken kurumların, başarılı bir sıfır güven sürecinin veriler ve hükümetin karar alma mekanizmasının geleceği üzerindeki etkisini anlamaları gerekiyor. Ayrıca kurumların CISA yönergelerine uymak ve sıfır güvene dayalı bir gelecek için ulaşılabilir çözümler bulmak için uygulayabilecekleri temel stratejiler ve veri yönetimi politikaları da vardır.
Ajanslar Verilerini Nasıl Koruyabilir?
CISA’nın güncellenmiş ZTMM’si, kurum verilerinin cihazlarda, uygulamalarda ve ağlarda federal gerekliliklere uygun olarak korunması gerektiğini ve kurumların verileri envanterlemesi, kategorilere ayırması ve etiketlemesi gerektiğini iddia ediyor; bekleyen ve aktarılan verileri koruyun; ve veri sızmasını tespit edip durduracak mekanizmaları devreye alın.
Sıfır güven tamamen güvenlik duruşunuzu geliştirmekle ilgilidir. Güvenlik ve erişilebilirliğin dengelenmesi, meta verilere dayalı entegre güvenlik ve yönetim sunan bilgi işlem ve depolama katmanlarından bağımsız olarak çalışabilen platformlar aracılığıyla mümkündür. İdeal sıfır güven yaklaşımı, birleşik çok kiracılı bir modelle veri dağıtımını ve erişimini basitleştirirken analitik ve bulut ortamlarını bağlamsallaştırabilen bir veri güvenliği platformu içerecektir.
Sonuçta, sıfır güvene yardımcı olmak için güvenli bir platform kullanma yaklaşımı, siber güvenlik riskinin ve operasyonel maliyetlerin azalmasına neden olacak ve aynı zamanda daha geniş kapsamlı, sorumlu bir şekilde korunan veri erişimi için yönetilen ve güvenli veri göllerinin daha hızlı konuşlandırılmasına olanak tanıyacaktır.
Sıfır Güven Yolculuğunda Verinin Rolü
Verilerin ZTMM’nin beş ana sütunundan biri olduğu göz önüne alındığında, DOD’un ulusumuzun verilerini ve gizliliğini uygun şekilde güvence altına almak için optimum olgunluğa ulaşması kritik önem taşıyor. Savunma Bakanlığı halihazırda ağırlıklı olarak veri koruma ve yönetimine odaklanan çeşitli plan ve yönergeleri paylaşmıştır; dolayısıyla ideal sıfır güven pozisyonuna geçiş büyük ölçüde uyum sağlar.
Bu nedenle, ZTMM’nin uygulanması, kötü aktörlerin yetkisiz erişimini ortadan kaldıracak ve güvenilmeyen kaynaklardan gelen verileri koruyacaktır. Veriler federal hükümetin kritik görev operasyonlarında önemli bir rol oynamaya devam ettiği için bu çok önemlidir. Sıfır güvenin optimal olgunluğu, savunma kurumlarını vatandaş hizmetlerinden askeri istihbarata kadar temel verilerini koruyacak şekilde daha iyi konumlandıracak; tüm hükümet verileri korunacak ve muhafaza edilecektir.
Doğru Yönetişim En İyiye Giden Yolculuğu Destekler
Yönetişim bir ihtiyaçtır, çünkü CISA ayrıca tüm veri yaşam döngüsü güvenliği hususlarının kuruluş genelinde uygun şekilde uygulanmasını sağlamak için kurumların veri yönetişimi politikalarını dikkatli bir şekilde oluşturması ve gözden geçirmesi gerektiğini belirtti. Sıfır güven ile uygun yönetime sahip olduğunuzda, verileri serbest bırakır ve böylece bunları kuruluş içinde etkili bir şekilde paylaşabilirsiniz. Veriler korunur ve ona en çok ihtiyaç duyan ekip üyeleri tarafından yüksek düzeyde erişilebilir.
Sıfır güven mimarisinin yol gösterici ilkelerine bağlı kalmak, çok yönlü bir yaklaşım gerektirir.
İlk olarak, her yerde çok faktörlü kimlik doğrulamayı kullanan doğrulama, kimliği doğrulanmış kullanıcının temsili için normalleştirilmiş bir SSO belirteci sağlar. En az ayrıcalıklı erişimin kullanılması, kurumların ihtiyaç duyuldukça aşamalı olarak erişim vermesine olanak tanıyacaktır.
Daha sonra, bölümlere ayrılmış veri erişimi yoluyla bir ihlalin patlama yarıçapını en aza indirmek amacıyla, ideal destek platformuna, temeldeki verilerin şifresini çözmek için uygun bölge anahtarına erişim verilecektir. Bu, verilerin uzun süreli saklanması yoluyla eksiksiz denetim ve güçlü makine öğrenimi ile birleştiğinde, tehdit avcılığı, soruşturma ve iyileştirme için güçlü bir araç sağlayacaktır.
Son olarak yönetim, uyumluluk ve veri kataloglama, ekiplerin verilerinizi daha iyi anlamasına ve verimli bir şekilde korumasına olanak tanır. Bu yaklaşımlar, karar vericilerin ve kilit görevleri üstlenenlerin süreç boyunca neler olup bittiğini özel olarak görmelerine olanak tanıyan her göreve yüksek bir şeffaflık düzeyi sağlar. Etkin bir şekilde takip edildiğinde ekipler, sıfır güven yolculuğunda optimuma doğru sorunsuz bir şekilde ilerleyebilir.
Gerekli son teslim tarihine ulaşmak, verilerin sıfır güven yolculuğundaki rolüne saygı duymayı, kurumların verilerini en iyi şekilde nasıl koruyabileceklerini ve doğru yönetimin optimum olgunluğa giden yolu nasıl destekleyebileceğini anlamayı gerektirir. Sürekli ve gelişen bir misyon olarak ulus, ülkemizi siber düşmanlardan korumak ve Savunma Bakanlığı misyonları da dahil olmak üzere istihbaratını güvence altına almak için çalışıyor.
Bu, sıfır güveni korurken ve CISA yönergelerine uyarken, kötü aktörlere karşı güvenlik dengesini sağlamaya ve DOD’un doğru üyelerine erişim sağlamaya hazırlanan platformların yardımıyla gelir. Bilgi işlem ve depolama katmanlarından bağımsız olarak çalışan bir platform, meta verilere dayalı entegre güvenlik ve yönetişim sunacak, basitleştirilmiş bir veri dağıtım ve erişim modeli ise riskleri ve maliyetleri azaltırken daha hızlı dağıtıma olanak sağlayacak. Etkili bir sıfır güven yaklaşımını uygulamak ve optimum olgunluk düzeyine ulaşmak, ülkenin siber ve teknolojik ortamını daha iyi güvence altına alacak ve veri ile yönetişimin süreç içindeki rolünü anlamak, daha büyük görev başarısına yol açabilir.
yazar hakkında
Carolyn Duby, Cloudera Government Solutions’ın mevcut Saha CTO’su ve Siber Güvenlik Lideridir. Yaklaşık otuz yıllık deneyimiyle Carolyn, Cloudera’nın müşterileri için dijital dönüşüm çabalarına öncülük ediyor ve çeşitli endüstrilerde yüksek performanslı, veri yoğunluklu uygulamalar sunuyor. Kendisine şirketimizin web sitesi https://www.cloudera.com/solutions/public-sector.html adresinden çevrimiçi olarak ulaşılabilir.