Bulut Güvenliği, Yönetişim ve Risk Yönetimi, Güvenlik Operasyonları
Michael Dickman •
31 Temmuz 2024
Kuruluşunuz Sıfır Güven yolculuğunda ne kadar ilerledi? Bir CISO veya başka bir güvenlik lideriyseniz, son ve gelecek hükümet emirleri, günümüzün karmaşık tehdit ortamı karşısında güvenlik duruşunu modernize etmenin aciliyetini artırdı.
Muhtemelen siz ve yönetim kurulunuz bunu zaten biliyor ve cevaplar arıyorsunuz. Bu, Gigamon 2024 Hibrit Bulut Güvenlik Anketi’ne katılan 1.000’den fazla CISO ve diğer güvenlik liderlerinin yüzde 44’ü tarafından Sıfır Güven’e ulaşmanın en önemli CISO endişesi olarak sıralanmasının nedenini açıklıyor. Önümüzdeki 18 ay içinde Sıfır Güven güvenlik mimarisine geçiş, çalışmaya katılan kuruluşların yüzde 80’i için önemli bir önceliktir.
Bu aciliyet, ABD ve diğer hükümetlerin Sıfır Güven politikalarını benimseme direktiflerinden kaynaklanmaktadır. Gigamon araştırmasındaki katılımcıların yarısından biraz fazlası (%53), hükümetleri tarafından şu anda Sıfır Güven’i takip etmeleri gerektiğini söyledi. Örneğin ABD’de, Biden yönetiminin Siber Güvenliği İyileştirmeye İlişkin Yürütme Emri, tüm federal kurumların Eylül 2024’e kadar Sıfır Güven çerçevesinde faaliyet göstermesini gerektiriyor.
Hibrit Bulut Ağları için Sıfır Güvenlik
Sağlam siber güvenlik için modern standart olarak Zero Trust, tüm kullanıcıların ve kaynakların uygulamalara ve verilere erişmek için kimlik doğrulaması, yetkilendirme ve sürekli doğrulama yapmasını gerektirir. Birçok Zero Trust çerçevesi olmasına rağmen, 2009’dan orijinal “Zero Trust Model” güzel ve basit bir başlangıç noktasıdır:
- Konumdan bağımsız olarak tüm kaynaklara güvenli bir şekilde erişildiğinden emin olun
- En az ayrıcalık stratejisini benimseyin ve erişim denetimini sıkı bir şekilde uygulayın
- Tüm ağ trafiğini denetle ve kaydet
2009’dan beri, Sıfır Güven’in yalnızca ağ kenarında veya yalnızca seçili genel bulut iş yüklerinde var olamayacağı, her yerde uygulanması gerektiği açıkça ortaya çıktı: hem fiziksel hem de özel bulut, genel bulutlar ve uçtaki şirket içi ağlar. Çoğu kuruluş Çok Faktörlü Kimlik Doğrulama (MFA) gibi temelleri benimsemiş olsa da, çok az kuruluş Kullanıcılar, Cihazlar, Uygulamalar, Veriler ve Ağlar arasındaki iletişimlerin güvenli ve emniyetli olduğunu gerçekten doğruluyor. Sıfır Güven kavramının tamamı, gerçekte ne olduğunun sürekli olarak denetlenmesini ve örtük güvenin ortadan kaldırılmasını gerektirir; bir kullanıcı bir MFA zorluğunu karşıladığında bile.
ABD Ulusal Güvenlik Ajansı’na göre, “Sıfır Güven, birden fazla bakış açısından görünürlüğü entegre eder, riske duyarlı erişim kararları verir ve algılama ve yanıtı otomatikleştirir. Bu çerçevenin uygulanması, ağ savunucularını hassas verileri, sistemleri, uygulamaları ve hizmetleri güvence altına almak için daha iyi bir konuma getirir.”
Birçok işletme, kurum ve kuruluş, Zero Trust’ın gerektirdiği tüm ağ kullanıcılarının sürekli doğrulanması yerine, kuruluşun ağ çevresi içindeki kullanıcıların tek bir doğrulanmasını gerektiren geleneksel bir “örtük güven” güvenlik çerçevesinden bu geçişi yaparken zorluklarla karşılaşıyor. Bu tedirginlik Gigamon anketine de yansıyor, çünkü katılımcıların yaklaşık 10’da altısı (%59), Zero Trust’ın değerli olması için çok fazla denetim ve çok fazla kaynak gerektirdiği endişesini dile getirdi.
Görünürlük ve Analizler isteğe bağlı değildir
G2’de güvenlik pazarı araştırmaları başkan yardımcısı ve Zero Trust öncüsü olan Dr. Chase Cunningham, yakın zamanda yayınlanan bir podcast’te CISO’ları Zero Trust hakkında fazla düşünmemeleri konusunda uyardı. Bunun yerine, işletmenin temel değerini korumaya odaklanmalılar. “Doğru görünürlük ve analiz araçlarıyla — uygun kimlik ve erişim yönetimi araçlarıyla — ve bunları bir araya getirerek çok büyük fark yaratabileceğinizi düşünüyorum.”
Ayrıca meslektaşlarına siber güvenlik görevlilerine tavsiyelerde bulundu. “CISO’ların ve diğer güvenlik liderlerinin farkına varması gereken şey, bulut sağlayıcınızın verilerinizin ve uygulamalarınızın güvenliğinden sorumlu olmadığıdır. Bu bulut altyapısı içinde çalışan bir güvenlik stratejisi geliştirmek size kalmıştır” dedi.
Güvenlik açısından Cunningham, bir kuruluşun yapabileceği en kötü şeylerden birinin gerçekte neler olup bittiğine dair bir denetim olmadan buluta geçmek olduğunu söyledi. “Gerçekten iyi bir görünürlüğünüz ve analitiğe sahip değilseniz ve bulut altyapısının içinde neler olup bittiğini göremiyorsanız, kendinizi gerçekten kötü bir duruma sokuyorsunuz,” diye açıkladı.
Sıfır Güven ve Derin Gözlemlenebilirliğe İhtiyaç
Kuruluşlar, yalnızca ağdan türetilen istihbarattan gelen derin içgörüyle veri iletişimlerinin güvenliğini sürekli olarak doğrulayabilir ve kör noktaları ortadan kaldırabilir. Derin Gözlemlenebilirlik, hibrit bulut genelindeki herhangi bir ortamdaki herhangi bir iş yüküne görünürlük ve analiz getirir. Bu tür derin gözlemlenebilirlik, bir kuruluşun verilerini ağda, şirket içinde veya bulutta nerede olursa olsun güvence altına almasını sağlar. Gerçek zamanlı görünürlük ve derin gözlemlenebilirlik, herhangi bir Sıfır Güven girişiminin merkezinde yer alır; bu, Gigamon anketi katılımcılarının beşte dördü (%82) tarafından not edilen bir şeydir.
Illumio’nun baş evanjelisti ve yaygın olarak tanınan ‘Sıfır Güven’in babası’ John Kindervag, yakın tarihli bir raporda, “Ağın tamamının görünürlüğünü elde etmek, tüm sokağı aydınlatmak gibidir. Sıfır Güven’i uygulamaya koymaya gelince, başlamak için en iyi yer burasıdır.” dedi.
Sonraki adımlar
Gigamon Deep Observability Pipeline, tüm ağ trafiğine görünürlük sağlar; Zero Trust’ı başarıyla uygulamak için gereken gerçek zamanlı görünürlük ve analiz düzeyi. Gigamon ve Zero Trust Güvenlik Çerçevesi hakkında daha fazla bilgi için lütfen bize ulaşın veya daha fazla bilgi edinmek için buraya tıklayın.