Çalışan Veri Merkezli Sıfır Güven Mimarisine Beş Adım
Terry Ray, Veri Güvenliği GTM Kıdemli Başkan Yardımcısı, Saha CTO’su ve Imperva Üyesi, Imperva
Bir banka, kasasına ait kodlarla ön kapıdan giren herhangi bir bireye dolaylı olarak güvenmez – öyleyse bir şirket neden aynısını verileriyle yapsın? Şirketlerin bulut öncelikli dijital dönüşüm girişimlerinin getirdiği veri patlaması, yeni bir siber güvenlik çağını uyandırdı. Ve bu yeni çağda, ankete katılan güvenlik karar vericilerinin %76’sı, yol gösterici bir siber güvenlik stratejisi olarak Sıfır Güven mimarisini uygulama sürecinde olduklarını söyleyerek, Sıfır Güven altın standart olarak kabul ediliyor.
Veri güvenliği, bir şirketin dijital çevresi içindeki ve dışındaki tüm kullanıcıların titizlikle kimlik doğrulamasının yapıldığı veri güvenliği kontrollerine olan ihtiyacı bölümlere ayıran Sıfır Güven’in temel bir ayağıdır; verilere erişimleri sürekli izlenir; veri kullanım etkinliği izlenir; ve olağandışı davranış hemen algılanır ve engellenir.
Ancak günümüzün buluta öncelik veren dünyasında bu tür kontroller için doğru temeli benimsemeden, Sıfır Güven sadece başka bir moda sözcüktür. Sıfır Güven ilkelerine uygun olarak çevre güvenliğinden modern bir hibrit ortamda sorunsuz veri güvenliği uygulamaya odaklanmak için çok geç değil.
Doğru yaklaşımla şirket liderleri, Sıfır Güven başarısını destekleyen standartlara dayalı işlevsellik ile nerede olursa olsun verilerin görünürlüğünü ve kontrolünü hızla sağlayabilir.
- İhlal ve veri kaybı riskini azaltmak için bir veri güvenliği yapısı uygulayın
Hâlâ gelişmekte olan bir teknoloji olan veri yapıları, hızla Sıfır Güven’in arkasındaki motor haline geliyor. Bu veri merkezli çözümler, kuruluşların güvenlik ve uyumluluk ekiplerinin verileri nerede bulunursa bulunsun (dahili, harici veya uçta) proaktif, esnek ve entegre bir yaklaşımla izlemesine ve korumasına olanak tanır.
Tahmine dayalı analitikten ve geniş bir çözüm ekosisteminden yararlanan veri yapısı, ihlallere karşı kapsamlı koruma sağlamak için gereken görünürlüğü ve yanıtı sağlayarak Sıfır Güven stratejisinde son savunma hattı görevi görebilir. Veri yapılarının analitik yetenekleri, bir etkinlik temeli belirlemek için günün her saati kullanıcı davranışını analiz edebilir ve çözümlerin yanlış negatifleri ortadan kaldırırken şüpheli ve anormal davranışları hızla belirlemesine olanak tanır. Veri güvenliği yapıları, güvenlik ekiplerine istenmeyen davranışları nerede olursa olsun tanımaları ve bunlara yanıt vermeleri için ihtiyaç duydukları otomatik içgörüleri sağlar.
- Hassas ve özel verileri tanımlayın ve sınıflandırın
İki veri parçası aynı değildir, yani nasıl korundukları da farklı olmalıdır. Duyarlılık ve güvenlik açığı düzeyleri nedeniyle hangi veri kümelerine öncelik verilmesi gerektiğini anlamak, organize ve eksiksiz bir sıfır güven yaklaşımını hayata geçirmek için kritik öneme sahiptir. Kuruluşlar, verileri belirleyip düzenlemeye tabi, düzenlemeye tabi olmayan, hassas ve diğerleri gibi risk kategorilerine göre sınıflandırmaya zaman ayırarak, Sıfır Güven mimarilerini bu sıralamalara uygun şekilde hizalayabilirler. Sonuç olarak, değerli zaman ve kaynaklardan tasarruf etmek için veri güvenliği çabaları kolaylaştırılır.
- Güvenlik açığı ve risk değerlendirmeleri gerçekleştirin
Rutin güvenlik açığı testleri ve risk değerlendirmeleri, uyumluluk ekiplerinin, hem dış hem de iç saldırılara kapı açmadan önce yapılandırma hatalarını belirleyerek kuruluşlarının tehdit yüzeyini en aza indirmesini sağlar. Bu test süreçleri, olası güvenlik açıkları için dijital altyapıyı sistematik olarak analiz eder, bunları önem derecesine göre sınıflandırır ve çözümler kuralcı analitik yetenekler kullandığında, hafifletme adımları bile önerebilir.
Kuruluş çapında veri hijyeni eğitim programları, Zero Trust mimarisinde bir dünya kadar fark yaratabilirken, rutin sızma testinin yerini alamazlar. Otomatik değerlendirmelerin, zayıf veya şüpheli oturum açma parolaları gibi zayıf içeriden güvenlik uygulamalarını yakalama olasılığı, insan kaynaklı çabalara göre daha fazladır ve bu da onları vazgeçilmez kılar.
- Veri erişim ayrıcalıklarını ve kullanıcı haklarını en aza indirin
Çok faktörlü kimlik doğrulama (MFA) süreçlerinin devreye alınması, herhangi bir Sıfır Güven mimarisinin hayati bir bileşenidir ve kuruluşların güvenli bir kanal üzerinden kullanıcıların kimliğini otomatik olarak iki veya hatta üç kez doğrulamasını sağlar. Herhangi bir şüpheli davranış, soruşturma için derhal bildirilir ve kullanıcı erişimi arka uçta izlenebilir. Ancak MFA yalnızca başlangıçtır.
Sıfır Güven mimarisinde kullanıcı erişimi söz konusu olduğunda, “çok fazla aşçı suyu bozar” ifadesi kulağa doğru geliyor. Genellikle çok fazla kişiye gereksiz yere kullanıcı ayrıcalıkları verilir, bu da siber suçluların saldırması için ek fırsatlar sağlamak üzere tehdit yüzeylerini genişletir. Uyumluluk ekipleri, kuruluşta gerçekte kimin belirli dijital araçların veya platformların kullanımına ihtiyaç duyduğunu anlamak ve mümkün olan her yerde ayrıcalıkları en aza indirmek için çalışan sorumluluklarının analizini otomatikleştirmek üzere veri yapılarını kullanmalıdır. Erişim politikaları ne kadar katı olursa, bilgisayar korsanları için o kadar az saldırı vektörü kullanılabilir.
- Test ve geliştirme için üretim dışı verilerin kimliğini gizleyin/maskeleyin
Verilerin daha yumuşak bir şekilde kullanılmasının gerekli olduğu bazı senaryolar vardır, ancak kuruluşların, özellikle Sıfır Güven politikası kapsamında, gerektiğinde sınıflandırılmış verileri korumak için adımlar atması gerekir. Maskeleme olarak da bilinen tanımlayıcı verileri gizleme, herhangi bir özel bilgiyi kaldırırken bir dizi veriyi çoğaltmayı içerir. Bu, satış eğitimi, ürün demoları veya yazılım testi gibi senaryolarda devreye alınabilecek verilere işlevsel ve gerçekçi bir alternatif sağlar. Verilerin biçimi ve yapısı aynı kalır, ancak tüm hassas değerler kaldırılır. Bu süreçler, kuruluşların çalışanlara, müşterilere veya ortaklara gerekli verilere erişim izni verirken Sıfır Güven politikalarını sürdürmelerine olanak tanır.
Sıfır Güven mimarisi, veri merkezli güvenlikle başlar
Modern iş yeri uca ve buluta geçtikçe, kapsamlı veri güvenliği ihtiyacı katlanarak artıyor. Kuruluşlar kestirme yollara başvurmayı göze alamazlar; herhangi bir mimari Sıfır Güven olarak kabul edilmeden önce, çok sağlam bir temele sahip olmalıdır. Doğru yetkinlikler uygulandığında, ölçeklenebilir başarı için Sıfır Güven’e veri merkezli bir yaklaşım kurulabilir.
yazar hakkında
Terry Ray, Imperva Inc.’in Kıdemli Başkan Yardımcısı ve Imperva Üyesidir. Bir teknoloji uzmanı olarak Terry, uzun yıllara dayanan sektör deneyimi ve uzmanlığıyla Imperva’nın tüm iş fonksiyonlarını desteklemektedir. Daha önce, şirketin teknik vizyonunu ve stratejisini geliştirmek ve ifade etmekten sorumlu olduğu ve ayrıca Uygulama ve Veri Güvenliği Çözümü ve Tehdit Ortamı hakkında derin bir bilgi birikimine sahip olduğu Baş Teknoloji Sorumlusu olarak görev yaptı. Imperva’daki görev süresinin başlarında, Imperva’nın stratejik küresel müşterilerine sektördeki en iyi uygulamalar, tehdit ortamı, uygulama ve veri güvenliği uygulaması ve sektör düzenlemeleri hakkında doğrudan danışmanlık yaptığı Baş Ürün Stratejisti rolünü üstlendi. Terry’ye çevrimiçi olarak (https://www.linkedin.com/in/terry-ray/) ve şirketimizin web sitesi https://www.imperva.com/ adresinden ulaşılabilir.