Sıfır güven şu anda sektördeki tüm öfke gibi görünüyor, ancak bir kavram ve araç olarak sıfır güvenin zaten mevcut güvenlik altyapısına entegre edilmesi gerekiyor. Bu düşünce bu makaleye yol açtı.
Sıfır güven, 1994 yılında doktorada bir terim olarak ortaya çıktı. Stephen Marsh’ın ‘güven’in matematiksel olarak tanımlanabileceği fikri üzerine tezi. 2003 yılında Jericho Forum adlı uluslararası bir grup sorunu incelemeye başladı, ‘çevreden arındırma’ olarak tanımladılar ve dahili ağın güvenli ve korunan bir yer olduğu fikrini ortadan kaldırmaya başladılar. Ağ dışından ilk VPN bağlantıları uygulandığında olması gereken bir şey.
Gerçek dünyanın teoriyi yakalaması biraz zaman aldı, ancak 2009’da Google, artık sıfır güvene erken bir yaklaşım olarak kabul edilen BeyondCorp güvenlik modelini yarattı. NIST, sıfır güven kavramı etrafında standartlar oluşturan devlet kuruluşlarının ilkiydi. 2018’de, 2020’de güncellenen SP 800-207 Zero Trust Architecture’ı oluşturdular.
Sıfır güvenin ne olduğuna dair o kadar çok fikir var ki, sıfır güven hakkında fikri olan insanlar var, bu yüzden aşağıdaki makalenin benim görüşüm olduğunu unutmayın! Önce NIST’den bazı tanımlara bakarak sıfır güven için zemin hazırlayalım:
“Sıfır güven (ZT), savunmaları statik, ağ tabanlı çevrelerden kullanıcılara, varlıklara ve kaynaklara odaklanmaya taşıyan gelişen bir dizi siber güvenlik paradigması için kullanılan terimdir.”
Sıradaki Wikipedia’dan:
“Sıfır güven güvenlik modeli (sıfır güven mimarisi, sıfır güven ağ mimarisi, ZTA, ZTNA), bazen çevreden daha az güvenlik olarak da bilinir, tasarım ve uygulama yaklaşımını tanımlar. BT sistemis “
Sıfır güveni tanımlamanın iki farklı yolu, bazı yönlerden örtüşse de, sıfır güven dünyasına farklı şekillerde yaklaşmaktadır. Sıfır güvenin birçok görüşü ve tanımı olmasına şaşmamalı.
Satıcılar
Birçok siber güvenlik tedarikçisinin söylediğinin aksine, bir ürün satın almak altyapınıza Sıfır Güven uygulamaz. Bir ürün, altyapınızda Sıfır Güvenin uygulanmasına yardımcı olabilir ve eder.
Müşterilerimize veya altyapılarımıza sıfır güven uygulayabilmemiz için, bize sıfır güven vaat eden çeşitli ürünlerin üzerinde bir seviyeye bakmamız gerekiyor. Sıfır güven, örneğin aşağıdakilerin tasarımına yaklaşmanın bir yoludur:
- Ağ altyapısı
- Kimlik Sistemi
Sıfır Güven Nasıl Yapılır
Gerçek şu ki, zaten var olan altyapılarda sıfır güven uygulanacaktır, sizi bilmem ama benim parçası olduğum sıfırdan alan uygulamaları çok az. Peki, sıfır güven yolculuğuna nereden başlayacağız?
Herhangi bir altyapının, ağın temelinden başlamayı seviyorum. Daha önce bahsedilen NIST standardı olan 800-207’ye bakıldığında, bu belgede 2. bölümde ‘Tenants of Zero Trust’ adlı bir bölüm var. Bu bölümde sıfır güven modelinde bazı önemli noktalar var, aşağıda ağla ilgili olanlardan birkaçını çıkardım:
- Ağ konumundan bağımsız olarak tüm iletişim güvenlidir
- Bireysel kurumsal kaynaklara erişim, oturum bazında verilir
- Kuruluş, sahip olunan ve ilişkili tüm varlıkların bütünlüğünü ve güvenlik durumunu izler ve ölçer.
- Tüm kaynak kimlik doğrulaması ve yetkilendirme dinamiktir ve erişime izin verilmeden önce kesinlikle uygulanır
- Kuruluş, varlıkların mevcut durumu, ağ altyapısı ve iletişim hakkında mümkün olduğunca fazla bilgi toplar ve bunu güvenlik duruşunu iyileştirmek için kullanır.
Yukarıdaki ‘kiracılar’dan bazıları size aşina olmalıdır. Diğer güvenlik modellerinde/standartlarında da kullanılırlar. Bu, sıfır güvenin yeni şişelerde eski şarap olduğu anlamına mı geliyor? Hayır. Sıfır güven güvenlik modeli, zaten bilinen güvenlik araçlarını kullanır ve bunları, orada gördüğümüz tehdit resmiyle çok daha uyumlu bir şekilde kontrol eder ve uygular.
Altyapılarımız artık şirket içi ile sınırlı değil, bulut kadar büyümeden önce bile, birçok şirket kendi işlerine odaklanabilmeleri için uygulamalarını, ağlarını ve güvenliğini iş ortaklarından alıyor. Bulutla birlikte bu eğilim yalnızca hızlandı. Dolayısıyla, altyapılarımız artık farklı şirketlerle, farklı konumlarda ve yetki alanlarında her yere dağılmış durumda ve bu altyapıyı güvence altına almak için sıfır güven gibi bir güvenlik mimarisini önemli bir araç haline getiriyor.
uyarılar
Sıfır güven agresif bir terimdir. Tamamen sıfır güven düşüncesine giren ancak çalışanlardan önemli ölçüde geri dönüş alan bir müşterim var. Neden? Niye? Yıllardır bir şirkette çalışan çalışanlar, sıfır güven kavramını, organizasyonda artık güvenilmediklerinin bir işareti olarak göreceklerdir.
Burada yapmamız gereken birkaç seçim var. Sıfır güveni çalışanlara söylemeden uygulamaya başlayabiliriz ve çalışanları bu çabalara kaydettirmeye ihtiyaç duymadan epeyce yol alabiliriz. Diğeri, sıfır güven projesini yeniden adlandırmaktır. Danimarka’daki Computerworld sitesindeki bir yazar, sıfır güven projesine çalışanların katılımını sağlamayı çok daha kolay hale getirecek bir terim olan ‘güveni en üst düzeye çıkarma’ terimini ortaya attı.
Son olarak, burada hata yapmayın, sıfır güven projesi herhangi bir altyapıda büyük bir girişimdir, bu nedenle en yüksek yönetim seviyesinden destek aldığınızdan ve proje sponsorunun da bu yetki seviyesinden geldiğinden emin olun. Ve unutmayın, tek bir satıcı aracı sizi sıfır güven ‘uyumlu’ yapmaz.
