Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Zero Trust Mimarileri (ZTA) oluşturmak için pratik yardım sunan yeni bir rehber yayınladı. Sıfır Güven Mimarisinin (SP 1800-35) uygulanması başlıklı rehberlik, raf dışı ticari araçları kullanan 19 örnek kurulum içerir.
Yeni rehberlik, NIST’in Ulusal Siber Güvenlik Mükemmellik Merkezi’nin (NCCOE) çalışmasının sonucudur. Dört yılı aşkın bir süredir, büyük teknoloji şirketleri de dahil olmak üzere 24 endüstri ortağı 19 ZTA modelinin oluşturulmasına, kurulmasına, testine ve belgelenmesine yardımcı oldu. Bunlar bir dizi senaryoyu göstermektedir: hibrit bulut kurulumları, şube ofisleri ve hatta kahve dükkanlarında kamu WI – FI kullanımı.
Her model:
- Dağıtım hakkında teknik detaylar
- Örnek konfigürasyonlar ve entegrasyon adımları
- Test Sonuçları
- Gerçek dünya deneyiminden alınan en iyi uygulamalar
Ayrıca bu kurulumları NIST’in daha geniş siber güvenlik çerçevesi (CSF), SP 800-53 kontrolleri ve kritik yazılım ölçümleriyle eşleştirir.
Bu rehber, NIST’in daha fazla elle uygulama tavsiyesi ile NIST’in daha önceki sıfır güven çerçevesi SP 800-207’yi geliştirmektedir.
Appomni’den CTO’dan Brian Soby, “Real World Zero Trust uygulamalarıyla ilgili zorluklardan biri her zaman birden fazla politika kararı ve politika uygulama noktasının varlığı olmuştur” dedi. “Örneğin, bir kuruluş tarafından kullanılan SAAS uygulamaları, hangi kaynaklara erişebileceği ve bu yapılandırmayı uygulamalarda yerel olarak uygulayabileceği konusunda kendi mantığı ile yapılandırılmıştır.”
Genellikle birçok sıfır güven planından ayrılan bu ayrı kontrol noktaları, saldırganlara açık bırakabilir. “Bu bağımsız PDP/PEP’lerin sıfır güven mimarisinden ihmal edilmesi, saldırganların eksik sıfır güven uygulamalarını atladığı ve güvensiz yapılandırmayı veya kimliklerden yararlanmak için doğrudan uygulamalara gittikleri çok sayıda gerçek dünya veri ihlaline yol açtı” dedi.
“Bu yeni rehber, mimarinin içinde bulunan birden fazla PDP/PEP’in gerçekliğini tanımak için daha ileri gidiyor” dedi. “Mimarlık içindeki karar verme motorlarına ek bağlam sağlayarak politika bilgi noktaları kavramını operasyonel hale getirmek de daha da ileri gidiyor.”
İyi güvenlik kararları vermenin, sadece sabit kurallar uygulamakla kalmayıp, sistemin içinde ve çevresinde neler olduğunu anlamak anlamına geldiğini de sözlerine ekledi. “Güvenlik kararları bir baloncukta verilemez ve sıfır güvenin özü her zaman değişen bağlam ve kullanıcı davranışlarına uyum sağlayabilecek bir mimari olmuştur.”
Daha fazla bilgi edin: