Sıfır güven genellikle yanlışlıkla yalnızca bir siber güvenlik meselesi olarak anlaşılır; ancak sıfır güvene bağlı kalmak, ajans BT modernizasyonunda çok önemli bir faktördür.
Adobe’nin Baş Dijital Stratejisti Geoff Mroz tarafından yazılmıştır.
Tasarım gereği sıfır güven, fiziksel veya ağ konumundan bağımsız olarak tüm kaynakların başka bir kaynağa erişmesine izin verilmeden önce doğrulama, kimlik doğrulama ve kapsamlı yetkilendirmeden geçmesini zorunlu kılar. Yönetim ve Bütçe Ofisi, Federal hükümet genelinde sıfır güven mimarisinin tamamlanması için hedef tarih olarak 2024’ü belirledi.
Ajanslar eş zamanlı olarak şimdiye kadar üstlendikleri en büyük dijital dönüşümün ortasındalar. Pandemi bu değişimi hızlandırdı ve genellikle aceleci ve derme çatma çözümlerle sonuçlandı. Kalıcı modernizasyon yolunda, imzaları en üretken olan her dijital etkileşimde sıfır güven varsayılmalıdır.
E-imza kullanımının hızlandırılması, “Hükümete Güvenin Yeniden Oluşturulması için Federal Müşteri Deneyimi ve Hizmet Sunumunun Dönüştürülmesi Hakkında Yürütme Emri”nde tüm kurumlar için belirlenen bir önceliktir. E-imzalar, evrak işlerini önemli ölçüde azaltabilir, devlet hizmetlerinin erişilebilirliğini genişletebilir ve hantal onay süreçlerini düzene sokabilir.
Ancak, e-imzaların OMB’nin sıfır güven muhtırası tarafından belirlenen güvenlik standartlarını karşılaması zorunludur. Ek güvence seviyelerinin (LOA) gerekli olduğu durumlarda, dijital imzalar e-imzalara tercih edilir.
Dijital imza çözümünde nelere dikkat edilmelidir?
E-imzalar için güvenlik gereksinimleri bölge, kurum, veri ve sınıflandırma seviyelerine göre değişiklik gösterir. E-imzalar, parolalar veya e-posta doğrulaması gibi yaygın kimlik doğrulama yöntemlerini kullanır, ancak hassas bilgiler için bu tür minimum önlemler neredeyse yeterli değildir.
İmzalayan kimliği için ek LOA’nın gerekli olduğu bazı durumlar vardır ve dijital imzalar burada devreye girer. Dijital imzalar, imzalayanın kimliğinin kriptografik olarak bağlı olduğu bir dijital sertifika tarafından desteklenen belirli bir e-imza türüdür. ortak anahtar altyapısını (PKI) kullanan imza alanı.
Bu güçlü güvenlik duruşunu elde etmek için dijital imzaların her imzalayanı benzersiz bir şekilde tanımlaması gerekir. Ayrıca, PIN veya USB belirteci veya bulut tabanlı donanım güvenlik modülü gibi güvenli bir imza cihazı gibi araçlarla imzalamadan önce imzalayanın kimliği yeniden onaylanmalıdır. Dijital imzalar ayrıca kurcalanmaya açık bir mühürle imzalandığına dair kanıt göstermeli ve en az 10 yıl boyunca orijinalliği yeniden teyit etme yeteneğine sahip olmalıdır.
Sıfır güvenin katı kimlik ve erişim yönetimi standartlarına bağlı kalırken, kendilerini zorlu kağıt tabanlı yetkilendirmelerden kurtarmak isteyen kurumlar için dijital imzalar paha biçilmez bir araçtır.
Devlet kurumları, dijital imzalar gibi iş yüklerini basitleştirecek ve sıradan vatandaşların hayatlarını kolaylaştıracak dijitalleştirme uygulamalarını benimsemeye heveslidir. Ancak güvenlik her şeyden önemlidir. Kurumların bireysel güvenlik ihtiyaçlarını karşılamak için benimsedikleri her türlü çözümü sağlamak için Federal Risk ve Yetkilendirme Yönetim Programı (FedRAMP) oluşturuldu.
FedRAMP yetkilendirmesi nasıl iç rahatlığı sağlar?
FedRAMP, devlet kurumları için Düşük, Orta ve Yüksek Etki düzeylerinde bulut tabanlı çözümlere yetki verir. Orta Etki düzeyi, yetkilendirmelerin %80’ini oluşturur ve kişisel olarak tanımlanabilir bilgiler (PII) gibi hassas verileri korumak için tasarlanmıştır. Ayrıca, FedRAMP Orta Düzey ataması, Sıfır Güven için NIST denetimleriyle uyumludur. Şifreleme yönetimi ve FIPS 140-2 onaylıdır, bu da kriptografik modüllerin NIST güvenlik gereksinimlerini karşılamasını sağlar.
Üçüncü taraf denetçiler tarafından doğrulanan 325’ten fazla güvenlik kontrolü ile kurumlar, hassas bilgilerin korunmasını ve herhangi bir sıfır güven mimarisiyle uyumluluğu sağlamak için FedRAMP Orta Düzey araçlarına güvenebilir.
Her departmanda, her seviyede, hem dahili hem de harici olarak, onay süreçlerinin ve karar alma sürecinin takip edilmesi için imzalar gereklidir. Modern, hibrit dünyada, kağıt imzalar artık mümkün değil ve devlet kurumları, güvenlik standartları doğası gereği daha katı olduğu için geçmişte sıkışıp kalmamalı.
Dijital imzalar, devlet yardımı başvuruları, sağlık formları ve daha değerli, daha yüksek riskli veya sıkı bir şekilde düzenlenmiş süreçlerin parçası olan diğer belgeler gibi şeyler için kullanılabilir. Bir FedRAMP Orta Düzey dijital imza çözümü, çalışanlar ve bileşenler için imzalama deneyimlerini kolaylaştırır, bu da genel etkileşimlerin modern hükümetin gerektirdiği hıza, kolaylığa ve güvenliğe sahip olabileceği anlamına gelir.
Modern devlet zihniyeti
Ek olarak, federal hükümette BT modernizasyonu konusundaki tartışmalarda kaçınılmaz bir faktör birlikte çalışabilirliktir. 100’den fazla federal kurumla, yeni araçların mevcut yazılımlarla sorunsuz bir şekilde bütünleşmesi ve ajanslar arasında etkin bir şekilde çalışması çok önemlidir.
Federal kurumlarda birlikte çalışabilirlik ve entegrasyon kapasitesi düşünüldüğünde, dijital imza çözümleri kişisel kimlik doğrulama (PIV) kartları, ortak erişim kartları (CAC) ve mobil kimlik bilgileri ile uyumlu olmalıdır.
Verimliliğe öncelik verilirken, belge oluşturma, imza yakalama, izleme ve arşivlemeyi konsolide bir güvenli iş akışına sarma yeteneğine sahip çözümler, acente çalışanlarını belgelerinin ve indirme kimlik bilgilerinin acente kurallarına uygun olup olmadığını iki ve üç kez kontrol etme yükünden kurtardıkları için tercih edilir.
Dijital dönüşüm hedeflerine ulaşmak, sıfır güven mimarisi ve kurumlar arası işbirliği rekabet eden öncelikler olarak görülmemelidir. Aslında, üçü de aynı modern hükümet zihniyetinin parçası olarak anlaşılmalıdır. Ajanslar, doğru dijital imza aracıyla tüm bu hedeflerin bir bileşenini aynı anda karşılayabilir.
Dijitalleştirme araçları, hükümet için benzeri görülmemiş yeteneklerin kilidini açabilirken, vatandaş ve kurum verilerini korumak çok önemlidir. Ajans BT liderleri, güvenlikten ödün vermeden dijital bir dünyada etkin bir şekilde çalışmalarını sağlayabilecek FedRAMP sertifikalı çözümler aramalıdır.
yazar hakkında
Geoff, Adobe’nin Baş Dijital Stratejistidir. Şirkette geçirdiği yaklaşık 14 yılda Geoff, sürekli olarak dijital yenilik için çabalayan paha biçilmez bir çözüm danışmanı olmuştur. Çok çeşitli teknik mimarilerde kurumsal güvenlik mimarisi, tam yaşam döngüsü kurumsal uygulama geliştirme, çevik kodlama, kurumsal uygulama entegrasyonu, SOA ve UI/X tasarımı ve yapımı hakkında kapsamlı bilgiye sahiptir. Belki daha da önemlisi Geoff, şirketlerin dijital dönüşüm ve yaratıcı üretkenlik vaadini yerine getirmesine yardımcı olmak için insanları, işletmeleri ve teknolojiyi bir araya getirme becerisine sahiptir.
Geoff’a çevrimiçi olarak https://www.linkedin.com/in/geoffreymroz/ adresinden ve şirketimizin https://business.adobe.com/solutions/industries/government.html adresinden ulaşılabilir.
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.