Standart olarak Sıfır Güven Mimarisine Geçiş
The Open Group’ta İş Geliştirme ve Güvenlikten Sorumlu Başkan Yardımcısı Jim Hietala tarafından
İş dünyasında Sıfır Güven hakkında büyük bir vızıltı var. Geleneksel bilgi güvenliğinden farklı olarak Sıfır Güven, KİMSEYE güvenmeyen bir güvenlik çerçevesidir. Şirket ağının içinde veya dışında tüm kullanıcıların kimliklerinin doğrulanması, yetkilendirilmesi ve içeri girmelerine izin verilmeden önce sürekli olarak doğrulanmaları gerekir.
Sıfır Güven, azaltılmış risk, iyileştirilmiş üretkenlik, gelişmiş iş çevikliği ve daha sağlıklı bir sonuç vaat ediyor. Aslında yakın tarihli bir çalışma, Sıfır Güven yaklaşımlarının işletmeler için %50 daha az ihlalle ve %40’a varan BT tasarrufuyla sonuçlandığını gösteriyor.
Ve dünyanın her yerindeki kuruluşlar bunu benimsiyor. Gerçekten de, 2022 Okta raporuna göre, kuruluşların %97’si bu yıl Sıfır Güven güvenliğini uygulamaya koydu veya uygulamayı planlıyor – 2019’da bu oran yalnızca %16’ydı.
Artık her güvenlik piyasası nişindeki her güvenlik satıcısı trendi biliyor ve kuruluşlara ürünlerinin bu talep gören, yeni nesil güvenlik mimarisini sağlayacağına söz veriyor. Bununla birlikte, abartılı “sürdürülebilirlik” iddiaları gibi, “Sıfır Güven” de biraz kuşkuyla karşılanmalıdır. Kuruluşlar yutturmaca yoluyla ayrıştırmak için iyi iş çıkaracaktır.
ZTA’ya Geçişi Sağlayan Trendler
Aşağıdaki faktörler, Sıfır Güven Mimarisi (ZTA) eğilimini yönlendirmede kilit öneme sahiptir:
- Siber saldırganlar, ağlara sızma ve içeri girdikten sonra yanal hareket etme konusunda giderek daha becerikli hale geldi.
- Geleneksel çevre güvenlik modeli, gelişen işletmelerde etkisiz hale geliyor
- Giderek daha fazla işletme, müşteri ve müşteri, dahili ağlara erişmek için bulutu ve kişisel cihazları kullanıyor, bu da içeridekiler ve dışarıdakiler arasındaki sınırları bulanıklaştırıyor. Günümüzde, kullanıcı çevredir.
Zero Trust Mimarisi Nasıl Yapılır? İş?
Sıfır Güven Mimarisi (ZTA), ağ uç noktası olmadığını ve ağların yerel, bulut tabanlı veya her ikisinin birleşimi olabileceğini varsayar. Bu nedenle, sağlam bir kontrol seti gerektirir. ZTA, saldırganların dahili ağlarda hareket etmesini sınırlayan granüler çevre ve mikro segmentasyon sunar ve bunu yaparken, bir saldırının ‘patlama yarıçapını’ ve sayısız potansiyel tehdit vektörünü azaltır.
Yüksek profilli bir siber saldırı haberi olmadan gün geçmiyorsa, ZTA giderek bir şirketin ilk savunma hattı gibi görünüyor. (Daha geçen ay Cisco, güvenlik ekibi sayesinde zamanında kontrol altına alınan bir çalışanın VPN’si aracılığıyla kurumsal ağlarının ihlal edildiğini bildirdi.)
ZTA ayrıca riskler, tehditler, güvenlik duruşu ve kimlik öznitelikleri etrafında güvenlik kararları almayı yönlendirmek için ek verilerden yararlanarak bir kuruluşun güvenliğini artırır.
Bilgi Güvenliği Yönetimini Etkileyen ZTA ile Neler Değişti?
Geleneksel Infosec Yönetimi yaklaşımları ağ odaklıdır ve ISO 27001/27002; CIS İlk 20 Kritik Güvenlik Denetimi ve O-ISM5 Açık Grup.
Bu arada, ZTA varlık ve veri merkezlidir ve kimlik doğrulama, cihazlar, uygulamalar, API’ler, mikro segmentasyon ve verilerin kendisine (örneğin şifreleme uygulayarak) yönelik daha fazla güvenlik kontrolüyle Kimlik Doğrulamaya daha fazla odaklanır.
ZTA ile, geleneksel olarak ağları güvenli hale getirmek için kullanılan geçmeli güvenlik sistemlerine daha az ihtiyaç duyulurken, Ağ Erişim Kontrolü ve IDS/IPS gibi güvenlik çözümleri kategorilerinin yeni modele uyacak şekilde yeniden yapılandırılması gerekir. veya tamamen düştü. Ayrıca yönetilmesi gereken daha az nokta çözüm kutusu vardır.
ZTA, Bilgi Güvenliği Yöneticilerinin Günlük Rollerini Nasıl Etkileyecek?
ZTA devreye girdiğinde, Infosec Yönetimi biraz farklı görünmeye başlar. Infosec Yöneticisinin tek seferlik parolalar, IP adresleri ve biyometri gibi daha fazla kimlik doğrulama faktörünü yönetmesi gerekecektir. Kimlik doğrulama için daha fazla olanakla birlikte, Infosec Yöneticisinin güvenlik politikası kararlarına daha derinlemesine odaklanması, yani kimin hangi cihazı, ne için, nereden ve ne zaman kullandığını belirlemesi gerekecek.
Yöneticilerin yönetmesi gereken farklı kontroller de olacaktır – mikro segmentasyon, karmaşık kimlik doğrulama ve veri güvenliği – ve şu anda ISO 27001/27002 kullanıyorlarsa kontrol seçimlerini yeniden değerlendirmeleri ve ZTA niteliklerini sağlamaya yönelik olanları seçmeleri gerekecektir. Tüm uygulamalar web tabanlı ve SSO özellikli olsaydı hayat güzel ve basit olurdu, ancak Infosec Yöneticilerinin eski uygulamalarla ilgilenme işi de olacaktır.
Sıfır Güven Küresel Bir Standart Olma Yolunda
Sıfır Güven güvenliği, yıllardır gayri resmi olarak ‘Standart’ olarak tanımlanıyor. Ancak, ‘Standart’ statüsü şu anda resmileştirilme sürecindedir.
Pek çok satıcı kendi Sıfır Güven tanımını oluştururken, iş liderlerinin kuruluşlarını ZTA’ya uyumlu hale getirmelerine yardımcı olacak NIST® 800-207 ve IETF® gibi tanınmış kuruluşların bir dizi standardı vardır.
The Open Group’ta kendi standart ZTA çerçevemizi oluşturma sürecindeyiz. Herhangi bir kuruluşta Sıfır Güven için tartışılmaz bir kriter listesi sağlayan 9 Emir oluşturduk. Bu açık direktif seti, topluluklarımızın en sağlam Sıfır Güven çerçevelerini ve çözümlerini oluşturmasına olanak sağlayacaktır.
Infosec endüstrisindeki olgunluk durumu göz önüne alındığında, birçok potansiyel avantajından yararlanmak için ZTA’ya taşınan kuruluşların da bir çözüme karar vermeden önce birçok tedarikçi aldatmacasından geçmesi gerekecek. Ve ZTA’nın geleneksel Bilgi Güvenliği Yönetimine değişiklikler getirmesiyle, Infosec Yöneticilerinin çok çeşitli yeni kontrolleri uygulaması ve yönetmesi gerekecek.
Bununla birlikte, giderek daha fazla şirketin bulut öncelikli sistemlere geçmesi ve siber saldırganların ağlara sızma konusunda giderek daha becerikli hale gelmesiyle birlikte, yeni bir güvenlik modelinin zamanının geldiği açıktır. Ve birçok küresel işletme için ZTA oldukça etkili bir çözüm olmuştur.
yazar hakkında
Jim Hietala, iş ekibinin yanı sıra Güvenlik ve Risk Yönetimi programları ve standartlar faaliyetlerini yönettiği The Open Group’ta İş Geliştirme ve Güvenlikten Sorumlu Başkan Yardımcısıdır. O-ISM3, O-ESA, O-RT (Risk Taksonomi Standardı), O-RA (Risk Analiz Standardı) ve O-ACEML gibi birçok endüstri standardının geliştirilmesine katılmıştır. Ayrıca Cloud Security Alliance v2 yayını için uyumluluk ve denetim kılavuzunun geliştirilmesine öncülük etmiştir. Bir BT güvenlik sektörü kıdemlisi olarak, çeşitli BT güvenlik satıcılarında liderlik rolleri üstlenmiştir ve sektör konferanslarında sık sık konuşmacıdır. SANS Analyst/Expert programına katılmış, SANS için birkaç araştırma raporu ve çeşitli web yayınları yazmıştır. Jim’e çevrimiçi olarak LinkedIn’de ve The Open Group web sitesinde ulaşılabilir.