Bu Help Net Security röportajında, Bloomberg CTO Ofisi Altyapı Başkanı Phil Vachon, güvenlik profesyonelleri ve şirketleri arasında değişen sıfır güven tanımlarını tartışıyor ve geniş tasarım felsefesini vurguluyor.
Vachon, kullanıcı tarafı ve arka uç altyapı entegrasyonu arasında ayrım yaparak sıfır güvenin uygulanmasındaki zorlukları araştırıyor. Bir şirketin sıfır güveni benimseme konusundaki olgunluğunun değerlendirilmesine ilişkin bilgiler veriyor ve zorlukların üstesinden gelme ve başarıyı ölçme konusunda tavsiyeler paylaşıyor.
Sıfır güvenin tanımı neden güvenlik uzmanları ve şirketler arasında bu kadar önemli ölçüde farklılık gösteriyor? Bu farklılıklar şirketlerin sıfır güveni uygulamaya yönelik yaklaşımlarını nasıl etkiliyor?
Sıfır güven, Saltzer ve Schroeder’in 1973 tarihli ufuk açıcı makalesi “Bilgisayar Sistemlerinde Bilginin Korunması”ndan damıtılmış geniş bir tasarım felsefesidir. Güvenli olması amaçlanan sistemleri tasarlarken ve oluştururken dikkate alınması gereken on tasarım ilkesini (8 temel + 2 ekstra) tanımladı. Sıfır güven mimarisinde uygulanan damıtılmış ilkeler şunlardır:
- Her zaman kimliği ve yetkiyi doğrulayın – Kimin aradığını, nereden geldiğini ve belirli bir kaynağa erişmelerine izin verilip verilmeyeceğini kontrol edin. Her kaynak otoriteyi kontrol etmelidir; aktörün nerede olduğuna bağlı olarak hiçbir varsayımda bulunulmamalıdır.
- Her zaman en az ayrıcalık ilkesini uygulayın – Sistemdeki herhangi bir aktörün yalnızca işin yapılması için gereken tam yetkiye sahip olduğundan emin olun. Herhangi bir ekstra yetki, onların yeteneklerinin yanı sıra belirli bir sistemin doğasında bulunan riski de artırır.
- Her zaman uç noktanın veya ağın güvenliğinin ihlal edildiğini varsayalım – Kurumsal ağlarınıza bile açık İnternet kadar güvenilirmiş gibi davranın (umarım çok daha fazla kontrole sahiptirler). Dahili hizmetlerinize açık internetteymiş gibi davranın ve etraflarındaki kontrolleri buna göre tasarlayın.
Peki neden insanların farklı tanımları var? Birincisi, sıfır güven kavramı tanımı gereği çok geniştir. Sonuçta sıfır güven, çalışanların işlerini yapmak için kullandıkları dizüstü ve masaüstü bilgisayarlardan, müşterilere hizmet sunmak için kullanılan sunuculara veya genel bulut altyapısına kadar bir kuruluşun BT varlığının her yönü için geçerli olan bir tasarım felsefesidir. Sıfır güven uygulamasına yaklaşımınız bu senaryoların her birinde çok farklıdır ve bu alanlardaki uygulayıcılar ve mimarlar, odaklandıkları ortam için gereken kontrollerin uygulanmasına bağlı olarak farklı çıkarımlara sahip olacaklardır.
Bu farklılık nedeniyle ikinci neden öne çıkıyor: Her güvenlik sağlayıcısı “sıfır güven çözümü” sağlayıcısı olmayı ister (veya en azından ister!). Ancak yine de bu tasarım felsefesinin uygulanması firmadan firmaya çok büyük farklılıklar göstermektedir. Satıcıların alana akın etmesi ve sıfır güveni bir pazarlama moda sözcüğü olarak kullanması ve genel olarak geniş tasarım alanı nedeniyle uygulamalar ve ürünler, sıfır güvenin ne olduğu konusunda suları bulandırdı.
Son olarak, bir kuruluşta sıfır güven, bir projenin veya mevcut bir girişimin parçası olarak belirli bir hedef olarak değil, bir tasarım felsefesinin ve mimari kavramların benimsenmesidir. Bu felsefeler, BT hizmeti teklifleriyle ilgili kararlarınızı etkileyerek iç müşterileriniz için çözümler tasarlama ve sunma şeklinizi değiştirir. Bu, her üç ayda bir dolar getiren “sıfır güven” sihirli çözüm ürününden çok daha soyut!
Şirketler kurumsal BT ortamlarında sıfır güveni uygulamaya çalıştıklarında gözlemlediğiniz en yaygın zorluklar nelerdir? Bu zorluklar, kullanıcı uç uygulaması ile arka uç altyapı entegrasyonu arasında nasıl farklılık gösterir?
Teknoloji ekipleri, pahalı olmaları ve birlikte çalışmanın zor olması, ayrıca bir firmanın daha geniş hedeflerindeki bağlamlarını anlamamaları nedeniyle kötü bir üne sahip olabilir. Bu, teknoloji ile iş dünyası arasında bir güvensizlik kültürü yaratır ve ilerlemeyi mümkün kılmak için bu engelleri ortadan kaldırma ihtiyacını doğurur. Bu zorluklar şu çok çirkin yollardan bazılarıyla karşımıza çıkıyor:
- Kullanıcı empati eksikliği – Kurumsal BT tarafından sağlanan altyapıyı kullanan çalışanlar genellikle acıyı ilk hisseden kişilerdir. Kullanıcı savunuculuğu, güvenlikle ilgili olup olmadığına bakılmaksızın herhangi bir yeni girişim sunarken temel öneme sahiptir.
- Bunun aşırı pahalı olduğuna dair yanlış algı nedeniyle yöneticilerin katılımının olmaması – Düşük yatırım getirisi/yüksek TCO algısı nedeniyle altyapı düzenli olarak göz ardı ediliyor.
- Şirketin bugünkü iş yapma biçiminde değişiklik yapmak için gereken firma düzeyinde risk toleransına ilişkin yönetici anlayışının eksikliği.
- Temel araçların eksikliği (örneğin, PKI, şifreleme hizmetleri, proxy’ler, uygun otomasyon vb.)
- Kültürel engeller (örneğin, güvenlik kontrolü dağıtımını geçersiz kılan çalışan üretkenliğiyle ilgili endişeler)
- “Burada icat edilmedi” sendromu – özellikle bir SaaS ürünü sizi güvenlik kontrolü hedeflerinize daha da ileri, daha hızlı ve daha yakın hale getirebildiğinde, tekerleği yeniden icat etmek için çok fazla girişimde bulunulması.
- “Hyrum Yasası” – Yeni bir şeyi (veya bir sistemin bazı davranışlarını değiştiren bir şeyi) devreye alırken, diğer insanların o sistem hakkında yaptığı varsayımları kırabilirsiniz. Geçişler ve bir sisteme güvenlik kontrolleri ekleme işlemleri dikkatli ve dikkatli bir şekilde yapılmalıdır.
Sizin bakış açınıza göre bir şirketin sıfır güveni benimsemesi ve uygulaması konusunda ‘olgun’ olduğunun göstergeleri nelerdir? Bir şirket bu alandaki olgunluk düzeyini nasıl değerlendirebilir?
Öncelikle derin bir nefes alın ve olgunluğun ölçülmesinin zor olduğunu unutmayın; bu bir tasarım felsefesini benimseme yolculuğudur, bir varış noktası değil! Bu yolculukta ilk adımı nasıl atacağınız farklılık gösterecektir.
Bir firmanın bu tasarım ilkelerini benimsemesinin değerlendirilmesinde peçete ölçüsünün iyi bir arka tarafı, ilk olarak firmanın iç politikalarına ve risk toleransı tanımlarına bakmaktır. Eğer firma kendi risk toleransını iyi anlıyorsa bu iyi bir başlangıçtır. Firma, kimlik yönetimini, kimlik doğrulama uygulamalarını (hem kimlik doğrulama süreci hem de kullanılacak onaylı sistemler) tanımlayan politikaların yanı sıra yukarıdaki tasarım ilkelerini savunan veri koruma/veri güvenliği politikalarına sahip olduğunda, doğru yolda demektir. Şirketin kriptografi, anahtar yönetimi ve genel anahtar altyapısı konusunda standartları varsa daha da ileride demektir. Bana göre, çoğu işletmenin bu gibi şeyleri uygulama ve tutarlılık için nasıl kolaylaştırıcı olabileceğine odaklanmak yerine uygulama detayı olarak bırakması şaşırtıcı.
Elbette bir şirketin doğru yöne gittiğine dair başka işaretler de var: BT varlık uygulamalarını otomasyon öncelikli yaklaşımlara, izinler etrafında akıl yürütmeye yönelik yetenek/amaç odaklı bir mekanizmaya (öncelikle izinlere odaklanmak yerine) ölçeklendirmeye ne kadar odaklandıkları. bir iznin nasıl uygulandığına ilişkin ayrıntılar), ayrıcalıkların sık sık yeniden değerlendirilmesi (çalışanlar VE sistemler için taşınan/ayrılan/birleştiricilerin ele alınmasında iyi olgunluk dahil) ve ayrıca güçlü bir hizmetten çıkarma süreci.
Bu işaretleri görüyorsanız doğru yoldasınız demektir. Elbette bu, ‘altın kaynak’ kimlik yönetimi sistemine bağlı merkezi bir yetkilendirme/yetki sisteminin ve çok faktörlü kimlik doğrulamaya sahip tek oturum açma çözümünün mevcut ve operasyonel açıdan olgun olup olmadığı gibi bazı temel hususları varsayar.
Başarının ölçütleri bazen son derece basittir. Örneğin, WebPKI dahili web siteleri ve hizmetler için kullanıma sunulduğundan, envanterinizdeki hangi hizmetlerin yalnızca TLS üzerinden erişilebildiğine ve geçerli bir WebPKI sertifikasına sahip olduğunuza ilişkin ölçümleri artık kolayca takip edebilirsiniz. Başka bir kolay ölçüm: Envanterinizde, kaç sitenin SSO kullandığını, bazı yerel kimlik doğrulamalarını kullandığını ve hiçbir kimlik doğrulaması olmadığını öğrenin. Sert ölçümler kullanıcı etkisi ölçümleridir; dağıtımdan sonra kullanıcı deneyimi ne kadar daha iyi (veya daha zorlu)?
Hem yeşil alanları hem de eski sistemleri korumaya yönelik iyi tasarım modellerine sahip olmak aynı zamanda iyi bir olgunluk göstergesidir. VPN kullanmak ideal olmaktan uzak olabilir, ancak sistem erişimi anlamına gelen fiziksel erişimden daha iyidir; Hizmetleri ağ açısından izole ederken daha sonra VDI veya diğer kontrolleri kullanabilirsiniz.
Sıfır güveni uygulamanın zorluklarının başarıyla üstesinden gelmenin örneklerini verebilir misiniz? Hangi en iyi uygulamaları önerirsiniz?
Sıfır güven girişimlerinize ürün yaşam döngüleri olarak davranın ve son kullanıcınızı, uzaktan erişiminizi ve veri merkezi/genel bulut girişimlerinizi birbirine karıştırmayın. Temel teslimatlar için MVP yinelemelerini belirleyin, paydaşlarınızı belirleyin, ilk kullanım senaryolarını tanımlayın ve bunun bu kullanıcılar üzerindeki etkisini nasıl ölçeceğinizi öğrenin. Başlangıçtaki başarıyı göstermek ve kullanıcıların işlerini yapma becerileri üzerinde doğru düzeyde etkiyi göstermek, satın alma zorluklarının üstesinden gelmenin anahtarıdır. Bu, programınızın çoğu kullanıcı için ilişkilendirilebilir olmasını sağlayacaktır.
Müşterilerinizin şirket genelindeki meslektaşlarınız ve çalışanlarınız olduğunu unutmayın. Yeni veya güncellenmiş bir platform (veya insanların çalışma şeklini etkileyebilecek yeni bir kontrol) sunduğunuzda, buna iyi tanımlanmış sonuç odaklı ölçümlerle başlayın. Kilometre taşlarınız hakkında herkese açık olun ve ölçümleriniz konusunda şeffaf olun. Bu kontrollerin amacı ve bu yeni gerekliliklerin neden kritik olduğu konusunda net olun. Uzun bir geçiş kuyruğunun bedelini ödemeye hazır olun, ancak aynı zamanda, özellikle de köklü bir hizmet kuyruğuna sahip olduğunuzda, manzarayı iyi bir şekilde gördüğünüzden emin olun. Kullanıcılarınızı dinleyin – ürün vizyonunuzu şekillendirmenize yardımcı olmak ve yol haritanızda nerede boşluklar olabileceğini belirlemek için kullanıcı geri bildirimlerini sık sık toplayın (örn. nabız anketleri ve diğer benzer yaklaşımları kullanarak).
İnsanların işlerini yapmak için her gün kullandıkları bazı üçüncü taraf ürünler, bu tür bir altyapı zihniyetini desteklemeyebilir. Peki, bu hizmetlerin etrafında bir hendek oluşturarak, bir yandan şirketin geri kalanına oluşturdukları riski azaltırken bir yandan da iş değeri sunabilmelerini nasıl sağlarsınız? Tasarım desenleri önemlidir. İnsanlara ideal bir durum (örneğin, SSO’nun yaygın kullanımı, hizmetlere ulaşmak için cihaza bağlı kimlik bilgileri gerektiren genel proxy’ler) sunarken, bazı yedeklemelere de (proxy’lere düşman olan eski hizmetler için VPN, ancak bunlara erişim için kullanıcı tabanlı politika etkinleştirme) sahip olma hizmetleri) projenin işi nasıl yürüttüğü konusunda güvenilirlik oluşturmaya yardımcı olurken aynı zamanda firmanın genel güvenlik duruşunu da geliştirebilir.
Son olarak, sıfır güven mimarisini uygulamaya, kullanıcılara işkence etmek zorunda kalacağınız “başka bir BT girişimi” olarak bakmayın. Kullanıcıyı etkileyen değişiklikler konusunda dikkatli olun, kullanıcılarınızla empati kurun ve sorun yaratmadan onların güvende olmalarını sağlamaya odaklanın.
Şirketler sıfır güven uygulamalarının başarısını nasıl ölçmeli? Hangi metrikler veya göstergeler en etkilidir?
- Operasyonel güvenlik ölçümlerini kullanmayın. Oldukça hizmet odaklı olma eğilimindedirler ancak uygulamaya koyduğunuz yeni kontrollerin etkisi hakkında size bir fikir vermezler.
- Etkinleştirme, kontrol engeli vb. ile ilgili ölçümlere odaklanın. Bir kontrolün birisinin işini yapmasına engel teşkil ettiği her seferde, Gölge BT’nin gelişebileceği karanlık bir köşe yaratırsınız ve bu da çabalarınızı baltalayabilir. En sevdiğim ölçüm, bir kontrol için “gerekli istisna sayısıdır”. Çok sayıda istisna gerekiyorsa denetim doğru şekilde tanımlanmamış olabilir.
- Birçok kullanıcı uç noktası projesinin eski altyapıyı sona erdirme (yani klasik bir VPN’i ortadan kaldırma) hedefi olacaktır. Bunun yerine, eski altyapının riskini azaltan kilometre taşlarına odaklanın.
Kuruluşlarında sıfır güven modelini uygulamaya yönelik yolculuklarına yeni başlayan BT uzmanlarına ve güvenlik ekiplerine ne gibi tavsiyelerde bulunursunuz?
Tasarım felsefesine doğru uzun bir yolculuğun ilk adımını attığınızı unutmayın. Hedef, sürekli süreç iyileştirme ve kullanıcı etkinleştirmeye odaklanabileceğiniz ve işletme genelindeki herkesin aynı tasarım ilkeleri dizisini kullanmasına olanak tanıyan yeni yetenekler sağlayabileceğiniz bir durumdur.
Yöneticilerle iletişim kurarken teknolojinin uygulanmasına odaklanmayın. Bunun yerine iş sonuçlarına odaklanın. Yeni bir kurumsal BT platformunun hayata geçirilmesi, başlangıçtan itibaren her zaman pahalı görünür ve yalnızca operasyonel giderlere ve lisanslama maliyetlerine baktığınızda, kullanıcı başına maliyet pek düşmeyebilir. Bunun yerine, bu metodolojilerin ekiplerin şirketin müşterilerine hizmet vermede nasıl daha çevik olmalarını ve aynı zamanda bunu güvenli bir şekilde yaptıklarını bilmenin rahat olmasını sağladığına odaklanın.