Sıfır Trust Frameworks, “asla güvenme, her zaman doğrulama” yaklaşımını benimseyerek geleneksel çevre tabanlı güvenlik modellerine meydan okur. Eski güvenlik sistemlerinin aksine, Zero Trust, sürekli kimlik doğrulaması, sıkı en az ayrı erişim kontrolleri ve tehditleri azaltmak için kalıcı izleme gerektirir. Başarılı Sıfır Güven uygulaması, güçlü kimlik ve erişim yönetimini (IAM), ağ güvenlik kontrolleri, uç nokta koruması, trafik görünürlüğü için şifre çözme ve otomatik olay tepkisini kapsayan stratejik bir yaklaşım içerir. Mikro segmentasyon ve çok faktörlü kimlik doğrulama (MFA), güvenli erişim hizmet kenarı (SASE) ve genişletilmiş algılama ve yanıt (XDR) gibi sağlam güvenlik politikalarını uygulayarak, kuruluşlar siber güvenliklerini artırabilir ve hassas verileri gelişen tehditlerden koruyabilir.
Beş Sıfır Güven Sütunları
Nesnelerin İnterneti (IoT), küresel ağlardaki iş ihtiyaçlarının gerçekleri ve çok cihazlı uzaktan erişim normları ile eski çevre tabanlı güvenlik artık yeterli değildir. Sıfır güven çerçeveleri beş sütun temeline dayanır: 1) Azaltılmış bir saldırı yüzey alanı, 2) Veri bütünlüğüne riskleri azaltma talebi noktasında politika uygulama, 3) Gelişmiş kontrollerin uygulanması, 4) uygulamaların erişimini kısıtlamak ve 5) devam eden izleme. Temel haliyle, Zero Trust, varlığı ve kontrolü ayıran mantıksal bir kontroldür. Varlık katmanına yalnızca bir kontrol düzleminden ilk motor aracılığıyla erişilebilir ve her bir varlığa veya ağın bir kısmına erişim isteği bir politika uygulama noktasıdır.
Birinci Sütun: Saldırı Yüzey alanını tanımlayın
Bir kuruluşun dijital varlığı, çoğu bilgi işlemin coğrafi olarak dağıldığı kurumsal ağlarda kenar hesaplamasına doğru yaygın değişim ile büyük ölçüde değişti. Ağ erişim noktalarını en aza indirerek, kaynaklar savunmaya daha iyi tahsis edilebilir ve olay tepki süreleri iyileşir. Erişim noktalarının tanımlanması, saldırı yüzeyini azaltmak için kritik bir kavramdır ve kullanıcı, cihaz ve uygulama tanımlamasına odaklanır. NIST 800-215 SP, çevre tabanlı yaklaşımların sınırlamalarını detaylandırır ve çağdaş ağlar için ağ yapılandırmalarının uygulanması ve izlenmesi için rehberlik sunar.
İkinci Sütun: En az ayrıcalığı zorlayın
En az ayrıcalık, yalnızca bu rol ve görev için gerekli minimum erişimin verilmesi ve daha fazlası olmadığı öncüldür. En az ayrıcalık kavramı, görevlerin ayrılmasından kaynaklanır. Zero Trust bunu “asla güven, her zaman doğrulamak” ahlakı olarak kullanır. Kimlik ve Erişim Yönetimi (IAM) çözümleri aracılığıyla kullanıcı ve görev veya süreç için en az ayrı bir ilkeye göre varlıklara erişim talebini doğrulamak önemlidir. İş gereksinimleri açıkça tanımlanmışsa ve görevlerin ayrılması yoluyla roller verilirse, en az ayrıcalık, IAM’nin politika uygulanması ve doğrulanması için temel oluşturur ve temel oluşturur.
Sütun Üç: Gelişmiş Güvenlik Kontrollerini Uygula
Zero Trust modellerinin politika motoru, icra noktasında dağıtılabilen ve kimlik yönetimi, izleme, analiz ve raporlama araçlarını içeren uyarlanabilir bir güvenlik araçları paketidir. Bu esnek motor sıfır güvenin uyarlanabilirliğini sağlar. Birden çok satıcının işletme ve bağlama özgü güvenlik ihtiyaçlarını özelleştirmek ve optimize etmek için çoklu satıcıların çeşitli güvenlik çözümleriyle entegrasyona izin verir. Sıfır Güven Olgunluk Modeli gibi endüstri yol haritaları, güvenlikte bir avantaj sağlamak için çeşitli güvenlik çözümlerini ve kaynaklarını entegre etmek için sıfır güvenden yararlanır.
Dördüncü Sütun: Erişimi kısıtlayın o f Uygulama
Mikro segmentasyon, sıfır güven ilkelerinin daha ayrıntılı bir düzeyde kullanılmasını sağlar ve uç nokta güvenliği, kullanıcı erişimi ve uygulama izleme için daha ince bir güvenlik ekranı sağlar. İşletme kullanımlarına uygulama erişiminin kısıtlanması, yüzey alanını en aza indirmek için çalışan ve rol tanımına katkıda bulunan sıfır güven önceliğidir. Kullanıcılar bir bölgeden gelmişse veya yalnızca belirli çalışma saatlerinde belirli görevler varsa, ağın tüm erişim isteklerine maruz kalmasına gerek yoktur. Uygulamayı kısıtlamak, ağ maruziyetini azaltır ve kuruluşun dijital varlığını optimize eder, olay yanıt sürelerini ve güvenlik karmaşıklığını azaltır.
Beş Sütun: İzleme ve Autözetleme
Sıfır Güven Güvenliği Çözümleri, analiz için uygulama, doğrulama ve veri toplama yapmak için veri yönetişimi yoluyla sıfır güven kontrolleri, ağ segmentasyonu ve iş süreçlerinde devam eden izleme konusunda gelişmektedir. Bu veri varlıkları, güvenlik ve operasyonlardaki gelişmiş analizler ve otomasyon yoluyla dahili değeri gerçekleştirir. Bu artan güvenlik ek kaynaklar talep eder ve güvenlik çözümlerinin performans etkisi en iyi iş ihtiyaçları ve mevcut kaynaklarla dengelenir. Sıfır güven çerçevelerine geçişin artan ağrıları kazançlara değer. Tesislerde ve bulutta uzun vadeli güvenli alışkanlıklar sağlayan ve gelişen tehdit manzaralarına uyum sağlayan bir stratejidir.
S’den kim sorumluECURITE?
Dijital işletmelerin finansal ve sosyal sağlığını etkileyen operasyonel değişikliklerin artan bağlantısı nedeniyle, güvenlik iş tartışmalarında daha önemli bir rol üstlenmektedir. Yönetici liderlik, kurumsal güvenliğin sağlanmasında çok önemlidir. İşletme operasyonları ve güvenliğin güvenliği korumak için hizalanması ve koordine edilmesi çok önemlidir. Veri yönetişimi, bu gereksinime ulaşmak için işlevler arası faaliyetleri koordine etmenin ayrılmaz bir parçasıdır. Yönetici Liderlik Buy-In Güvenlik girişimlerini koordine eder ve destekler ve yönetici sponsorluğu tonu belirler ve program başarısı için gerekli kaynakları sağlar.
Sonuç olarak, güvenlik uzmanları yönetim kurulu koltuklarında ve C-suite pozisyonlarında giderek daha fazla temsil edilmektedir. Bu sorumluluğun kamuya açıklanmasında, yürütme liderliği güvenlik ihlallerinden giderek daha fazla hesap verebilir, bazıları da ihmalden sorumlu bulunur. Bugün, Kurumsal Güvenlik birden fazla ekibin sorumluluğundadır. BT altyapısı, BT işletmesi, bilgi güvenliği, ürün ekipleri ve bulut ekipleri fonksiyonel birlik içinde birlikte çalışır, ancak güvenlik programı için bir sponsor gerektirir.
Sıfır Güven Güvenliği, sıkı rol tanımı, süreç haritalama ve izleme uygulamaları nedeniyle operasyonları tamamlar, bu da uyumluluğu daha yönetilebilir ve otomatik hale getirir. Bölge ne olursa olsun, eğilim artan raporlama ve uyumluluk içindir. Sonuç olarak, veri yönetişimi ve güvenlik yakından iç içe geçmiştir. Örneğin, genel veri koruma düzenlemesine (GDPR) uyum katı izleme gerektirir. Veri yönetişimi ve güvenlik izleme uygulamaları bu görevde örtüşebilir ve ikili bir işleve hizmet edebilir. Doğrulanmış talepler, sürekli izleme ve yinelemeli gelişim yoluyla hassas ve gizli verilerin sağlamak, gelişmiş sıfır güven veri yönetişimini sağlar.
AI Kurumsal Güvenlik çözümler
Birçok şirket güvenlik ihtiyaçlarını karşılamak için yapay zeka (AI) kullanır, ancak AI da zorluklar sunar. Güvenlik uygulayıcıları büyük dil modeli (LLM) tabanlı yapay zeka sağladığında AI önemli miktarda veriye erişim sağlar. Bu yaklaşım, LLM’lerin tasarımının gerektirdiği geniş erişim anlaşmaları kapsamında gömülü en az ayrıcalık sütunun kaybını temsil eder. LLM tehlikeye girerse, tüm sistem tehlikeye girer. Yapay zeka ve makine öğrenimi iş akışlarını, geliştirme ve iyileştirme sürelerini iyileştirebilir ve olay yanıtı ve tahmin için paha biçilmez analiz bilgileri sağlayabilir. Tehdit manzaraları geliştikçe, özellikle otomatik bulut hizmeti iyileştirme bağlamında iyileştirme çabaları giderek daha zor hale geliyor. İyileştirme gelişmeleri, güvenlik ve DevOps, giderek daha sofistike siber suçluların önünde kalmak için yakın çalıştıkça sıfır güven çerçevelerinin merkezinde yer almaktadır.
Uygulama ve MaçaBir
Sıfır güvenine kültürel geçiş yinelemeli ve sürekli bir yolculuktur. Nereden başlayacağı sorusu, özellikle küçük şirketler ve güvenlik çözümlerine duyulan ihtiyaç için ne zaman göz korkutucu olabilir. Kullanıcıları, uç noktaları, uygulamaları ve altyapıları kataloglamak, sıfır güven çerçeveleri için sütunların oluşturulmasında hangi iş süreçlerinin, görevlerin ve rollerin kullanılacağı tanımlanmada ilk adımdır. Hiçbir kuruluşun dijital varlığının yüzde 100 tam bir envanteri yoktur. Envanter süreci, veri yönetimi ve yönetişim çabalarını içeren devam eden bir görevdir. Sıfır Trust, yönetişim ve güvenlikte daha fazla etkinlik elde etmek için yinelemeli ve sinerjik olarak çalışır.
Dijital varlıkların güvence altına alınması, operasyonlar ve karar verme önceliği gerektirir. Güvenlik mesleği olgunlaştıkça ve kurumsal teknoloji ilerledikçe, sıfır güven mimarisinin uyarlanabilir çerçeveleri çağdaş güvenlik uygulamalarının dayanak noktasıdır. C-suite karar verme sürecinde ve bütçe tartışmalarının standart bir özelliğinde güvenlik belirgindir. Kuruluşun dijital varlığını güvence altına almak, esneklik ve güvenilirlik gerektiren bir önceliktir. Sıfır Güven çerçeveleri, çağdaş siber suçluların karmaşıklığına dayanabilecek ve gelişmekte olan teknolojilerden yararlanabilecek bir temel sağlar. Sıfır Güven Yolculuğu, modern işletmelerde esnekliği sağlamak için devam eden bir uygulamadır.
Yazar hakkında
Surendra Narang, şu anda Palo Alto Networks’te kıdemli yönetici olan 20 yıllık deneyime sahip bir siber güvenlik lideridir. İş dönüşümünden, bilgi güvenliği stratejisinden ve yönetici düzeyinde raporlamadan sorumludur. Boston Koleji’nden uygulamalı bilgi işlem alanında lisans derecesine ve İleri Teknoloji ve Bilim Enstitüsü’nden uygulamalı bilgi işlem alanında yüksek lisans derecesine sahiptir. LinkedIn’de Surendra ile bağlantı kurun.