Bir siber saldırının yıkıcı etkilerini görmek için herhangi bir büyük gazetenin manşetlerine bir göz atmak yeterlidir.
Ne yazık ki, kuruluşların buna yanıt olarak attığı adımlar, kafalarını dijital kuma koymaktan, bir dizi karmaşık güvenlik aracını ve en iyi uygulamaları uygulamaya kadar uzanıyor.
Son yıllarda en etkili tekniklerden biri, hiçbir varlığa (kullanıcı, uygulama, hizmet veya cihaza) varsayılan olarak güvenilmemesi ilkesine dayanan Sıfır Güven yaklaşımına doğru geçiş yapmaktır. Veya daha basit bir ifadeyle, varlığın bağlamı ve güvenlik politikalarına dayalı olarak güven oluşturulur ve varlığın kimliği daha önce doğrulanmış olsa bile her yeni bağlantı için sürekli olarak yeniden değerlendirilir.
Bu faydalar göz önüne alındığında, yakın zamanda yapılan bir anketin şirketlerin %60’ından fazlasının Sıfır Güven stratejisini en önemli şey olarak gördüğünü ortaya koyması şaşırtıcı değil. Ancak etkili politika uygulaması için ağ bölümlendirmesine dayanan uygulamaya yönelik ilerleme, daha az umut verici bir duruma işaret ediyor: Ankete katılan şirketlerin yalnızca %19’unda mikro bölümleme mevcut.
Zero Trust’ın yaptığı kritik varlıkları ve verileri korumanın ticari önemi göz önüne alındığında, bu boşluk özellikle endişe vericidir. Mikro segmentasyonu uygulayan birçok şirket bunu yalnızca görünürlük amacıyla kullandığından, Sıfır Güven stratejisini uygulamaya koymaya hazırlanan şirketlerin sayısı gerçekten çok az olabilir.
“Neden?” sorusunu inceleyelim. ve “Şimdi ne olacak?” bu boşluğun arkasında.
Şirketler Neden Tavsiyelere Uymak Yerine “Zar Atıyor”?
Ağ bölümlendirmesine doğru yavaş veya eksik geçişin en yaygın nedenlerinden bazıları şunlardır:
1. Çok karmaşık.
Segmentasyonu mümkün kılan ilk yöntemler, yeni VLAN’ların, alt ağların ve hatta yeniden IP adreslemenin oluşturulmasını içeren ağ altyapısında bir değişikliği gerektiriyordu. Bu süreç mevcut uygulamaları bozabilir ve değişikliklerin dikkatli bir şekilde yapıldığından emin olmak için titiz bir belgeleme gerektirir.
2. Çok pahalı.
Birçok veri merkezi mikro segmentasyon projesi aslında güvenlik kılığına girmiş görünürlük projeleridir. Görünürlük, kritik bir iş yükü için mikro segmentasyonun maliyet etkinliğini sınırlayabilen büyük ölçekli dağıtım gerektirir. Ayrıca etkili olabilmesi için kontrollerin açılması gerekir.
3. Kullanıcının geri itmesiyle karşı karşıya kalır.
Mikro segmentasyon dikkatli bir şekilde uygulanmazsa, kullanıcılar eskiden erişebildikleri kaynaklar veya uygulamalar erişilemez hale geldiğinde hayal kırıklığına uğrayabilir veya küçük kesintiler yaşayabilir.
4. Sıfır Güven entegrasyonunda baş ağrısı yaratır.
Bir iş yükünün mikro bölümlere ayrılması Sıfır Güven için iyi bir başlangıç noktası sağlar, ancak birçok satıcı çözümü müşterileri bitiş çizgisinin çok uzağında bırakır. Müşteri BT ekiplerinin hâlâ tüm ağ paketleri için kimlik tabanlı politikaların nasıl uygulanacağını bulma gibi kaçınılmaz bir görevi var.
Başarı İçin Bir Mikro Segmentasyon Projesini Nasıl Konumlandırabiliriz?
Mikro bölümleme bir süredir ortalıkta dolaşıyor, dolayısıyla adı bile yukarıda bahsedilenler gibi önyargılı kavramları beraberinde getirebilir.
Ancak doğru araçlarla uygulanan mikro segmentasyon çok farklıdır: Bir ağı teknik olarak (hatta fiziksel olarak) yeniden yapılandırma ihtiyacını ortadan kaldırır, bunun yerine politika uygulamasını her iş yükünün önüne koyma fırsatı sunar. Bu yöntem meşru trafiğin serbestçe hareket etmesine olanak tanır ancak kötü niyetli yanal saldırıları da durdurur.
Başka bir deyişle, doğru araçlar, planlama ve hazırlıkla mikro segmentasyon, kuruluşları ve güvenlik ekiplerini Sıfır Güvene giden sağlam bir yola koyabilir.
Mikro segmentasyon projenizin başarılı olmasını sağlamanın bazı yolları şunlardır:
Büyük resmi düşünün.
Görünürlük önemlidir, ancak bir mikro segmentasyon projesini satın alan yönetici ekipler ve yönetim kurulları, bunun somut güvenlik faydaları sunmasını beklemektedir. Bu, görünürlükte duramayacağınız anlamına gelir; aynı zamanda kontrolleri de açmanız gerekir.
Bölgeleri düşünün.
Sıfır Güven için mikro bölümleme, varlıkları ve cihazları içerecek sanal ağ bölgelerinin oluşturulmasını desteklemelidir. Bunlar, Sıfır Güven Mimarisi için örtülü güven bölgesini tanımlar ve binlerce ayrı sunucuya erişimi yönetmek yerine, benzer iş yüklerinden oluşan geniş bir kümedeki politikaları kolayca hedeflemenize olanak tanır.
Küçük düşün.
Gerçek iş etkisine sahip birkaç kritik uygulamaya veya varlığa odaklanın ve projeyi bunları bölümlere ayırıp korumak için kullanın. Bir proje için %100 Sıfır Güvene ulaşmak, 1.000 proje için %5’e ulaşmaktan çok daha etkilidir ve CFO’nuzun geleneksel “okyanusu kaynatma”, büyük ölçekli mikro segmentasyon projesinin faturasını ödemesini istemekten kaçınabilirsiniz.
Bütünsel düşünün.
Mikro segmentasyonla bir varlığa erişimin engellenmesi, yetkili kullanıcılara ve yazılıma erişim sağlama sorumluluğunu da üstlenmeniz gerektiği anlamına gelir. Şirket içi ve uzaktaki kullanıcılar farklı şekilde etkilenebilir; bu nedenle, kullanıcı kesintisini en aza indirmek ve daha güvenli bir ağ ortamına daha sorunsuz bir geçiş sağlamak için erişim zorluklarını entegre eden ve ele alan çözümlere öncelik verin.
Mikro Segmentasyonu Uygulamaya Yönelik İpuçları
Mikro segmentasyon düzgün bir şekilde uygulandığında, kuruluşunuz için büyük bir güvenlik (ve operasyonel) kazanımı olabilir.
Peki kuruluşunuz bu değişimi nasıl başarılı kılabilir?
Her kuruluşun gereksinimleri, ihtiyaçları ve ortamı benzersiz olmasına rağmen, mikro segmentasyonu uygulamaya yönelik yolculuğunuzda size rehberlik edebilecek bazı ortak en iyi uygulamalar buldum:
Emekleyin, yürüyün, koşun.
Mikro segmentasyonun etkisini ölçmek için bir test uygulaması kullanarak bir kavram kanıtı (POC) ile başlayın. Daha fazla uygulamayı içerecek şekilde kapsamı kademeli olarak genişletin ve en kritik kabul edilenlere öncelik verin.
Kullanım durumlarınızı kapsayan bir POC uygulaması seçin.
Kullanım durumlarınızın çeşitliliğini yansıtan bir POC uygulaması seçmek, mikro segmentasyon stratejisinin kapsamlı olmasını ve kuruluşunuzun farklı bölümlerinin benzersiz ihtiyaçlarını karşılamasını sağlar. Örneğin, seçtiğiniz segmentasyon yöntemi, ofisteki veya uzaktan çalışan yetkili kullanıcıların uygulama erişimini nasıl destekleyecek?
Korumanız gereken her türlü varlığı göz önünde bulundurun.
Mikro segmentasyon stratejinizin, Nesnelerin İnterneti (IoT) ve operasyonel teknoloji (OT) cihazları da dahil olmak üzere her türlü varlığı hesaba kattığından emin olun. Bu cihazlar için yerel destek sunan satıcılarla işbirliği, güvenliğe bütünsel bir yaklaşım açısından çok önemlidir.
Varlıklarınızın nerede bulunduğunu düşünün.
Varlıklar, şubeler ve bulut ortamları da dahil olmak üzere çeşitli konumlara dağıtılabilir. Mikro segmentasyonu bir yer paylaşımlı ağ veya yazılım tanımlı ağ (SDN) ile entegre etmek, yönetimi basitleştirebilir ve tüm konumlarda güvenliği artırabilir.
Mikro Segmentasyonu Ağınızın Bir Parçası Haline Getirin
İlk bakışta Sıfır Güven’e geçiş ve bunu mümkün kılan mikro segmentasyon, karmaşık ve zaman alıcı görünebilir.
Neyse ki, Sıfır Güven çerçevesini daha kolay uygulamak için katman altyapısı gibi yeni araçlar ve platformlar mevcut. Bu araçlar, sistemlerinizdeki, kullanıcılarınızdaki ve bütçenizdeki aksaklıkları en aza indirirken yaygın engelleri ve takılmaları ortadan kaldırabilir.
Son düşüncem mi? Bir POC uygulamasıyla durumu test edin ve özel kullanım durumlarınızı aklınızda bulundurun; daha iyi siber güvenliğe giden yolda ilerleyeceksiniz.
Dr. Jaushin Lee, Zentera Systems’in kurucusu ve CEO’sudur. Birçok patenti bulunan seri girişimcidir. Aynı zamanda Zentera’nın ödüllü Zero Trust güvenlik katmanı olan CoIP® Platformunun arkasındaki vizyon sahibi mimardır. Jaushin, Cisco Systems, SGI ve Imera Systems’deki deneyimi sayesinde ağ oluşturma ve bilgisayar mühendisliği alanında 20 yıldan fazla yönetim ve yönetici deneyimine sahiptir.
Reklam