Sıfır güven, bir kuruluşun fiziksel ortamının içinden veya dışından ağlara ve verilere erişiyor olsunlar, tüm kullanıcıların ve cihazların güvenilmez olarak kabul edildiğini varsayan, kimlik doğrulamaya “yabancı tehlike” yaklaşımını benimser. Sıfır güven dünyasında, bir güvenilir kimlik kişilerin ve cihazların bir kuruluşun temel ağlarına, sistemlerine ve kaynaklarına girmesine olanak sağlayan anahtardır.
2010’dan beri “sıfır güven” terimi sektör etkinlikleri, yayınları ve web seminerleri için popüler bir konu olmuştur. Son yıllarda uzaktan ve hibrit çalışma modellerinin hızla benimsenmesini desteklemek için, sıfır güven girişimleri kurumsal güvenlik duruşlarında geniş çapta benimsendi.
BT ve siber güvenlik operasyon ekiplerinin pandemi sırasında yeni erişim yönetimi girişimleri uygulama mücadelesinde, birçok kuruluş uzak ve hibrit çalışanlar için güvenli erişim sağlamak için sıfır güven girişimleri uyguladı. Biden yönetimi, 2021’deki siber güvenlik yürütme emri ve 2023’teki Ulusal Siber Güvenlik Stratejisi de dahil olmak üzere, siber güvenliği güçlendirmek için sıfır güven çerçevelerinin kullanılmasının güçlü bir savunucusu haline geldi.
Kuruluşlarınızda sıfır güveni uygulamayı düşünüyorsanız, bunu yapmanın en iyi yoluna karar vermenize yardımcı olması için bu soruların yanıtlarını göz önünde bulundurun.
Bir kurumsal altyapıya erişen her şeyin uygun haklara sahip olmasını sağlamanın ve güvenlik önlemlerini Beyaz Saray direktifleriyle uyumlu hale getirmenin yanı sıra, sıfır güven kimliğinin kimlik doğrulamadaki rolü nedir?
Bu makalenin başında “güvenilir kimlik” teriminden bahsetmiştim. Sıfır güven kavramının tamamı, talep edenler giriş elde etme iznine sahip güvenilir bir kişi veya cihaz olduklarını kanıtlayana kadar erişimi kısıtlamaya dayanır. Bu nedenle, kuruluşların erişim talep eden kişilerin veya cihazların bunu yapmak için güvenilir olduğunu doğrulamasına yardımcı olan güçlü bir yöntem olmalıdır.
Güven söz konusu olduğunda, onlarca yıldır kimlik doğrulama için altın standart ortak anahtar altyapısı (PKI) olmuştur. PKI, kimlik doğrulamaya yönelik geleneksel parola tabanlı yaklaşımların ötesine geçer; işletmelerin kullanıcıları ve cihazları parola olmadan tanımlamasına ve doğrulamasına yardımcı olmakla kalmaz, aynı zamanda makineler arası iletişimin herhangi bir yerde şifrelenmesini sağlar.
PKI, kuruluşların ağlarına erişen cihazlara ve personele bir güven bağlantısı atamasını sağlayarak güvenilir kimliklerin kanıtlanmasına yardımcı olur. Bunu, özel karakterli bir parola gibi geleneksel kimlik doğrulama yöntemleriyle kandırılamayan güvenilir bir sertifika verme yolu kullanan cihazlara veya yetkili kullanıcılara sertifikalar vererek yapar.
Sıfır güven ortamında, bir kuruluştaki her birey, cihaz ve uygulama, güvenilir kimliklerini kanıtlamak ve kaynaklara erişim elde etmek için bir sertifika kullanır. Kurumsal BT ekipleri, haftanın yedi günü, günün 24 saati bir bilgisayara bağlı kalmadan bu on binlerce sertifikayı nasıl yönetebilir?
Sertifikaya ihtiyaç duyan kullanıcı ve cihazların sayısı nedeniyle sertifika verme süreci bunaltıcı görünebilir. Bir kuruluşun sıfır güven kimlik çerçevesi için yapı taşı olarak PKI’yi uygulamanın bir avantajı, sertifika verme, yenileme ve iptali otomatikleştirmek için mevcut kurumsal araçlardan yararlanabilmenizdir. Microsoft tabanlı kuruluşlar için Intune veya Active Directory gibi uygulamalar, el ile sertifika verme ve kimlik doğrulama işlemlerini kolaylaştırmaya yardımcı olabilir. Kökü PKI otomasyonuna dayanan sıfır güven ortamı, işletim sistemi veya cihaz politikalarından bağımsız olarak uygulanabileceğinden, birincil olarak MacOS veya Chromebook kullanan veya çalışanlarına kendi cihazlarını kullanma seçeneği tanıyan (BYOD olarak da bilinir) BT kuruluşları bile bu yöntemi kullanabilir.
İşletmelerin günlük PKI operasyonlarını yönetmek için ne yapması gerekiyor?
PKI altyapı yönetimi açısından kuruluşlar, başarılı bir sıfır güven ortamı için güçlü bir temel oluşturmalı ve kuruluş içindeki tüm sertifikalara doğrudan bir bakış açısı sağlamalıdır. İdeal olarak, ek kaynakları öğrenmek, satın almak veya sürdürmek yerine halihazırda sahip oldukları araçlardan yararlanabilirler. Amaçları, uçtan uca güven, ölçeklenebilirlik ve maliyet etkinliği elde etmenin yanı sıra, sıfır güvene sahip bir PKI operasyonu elde etmek için özel güven varlıklarının kontrolünü elinde tutma özgürlüğüne ulaşmaktır.
Sıfır güven kimliği ve otomasyon hakkında daha derinlemesine bir tartışma için lütfen otomasyon ve sıfır güven hakkındaki isteğe bağlı web seminerimizi izleyin.
yazar hakkında
Mrugesh Chandarana, IoT ve PKI çözümlerine odaklandığı HID Global’de Kimlik ve Erişim Yönetimi Çözümleri Ürün Yönetimi Direktörüdür. Risk yönetimi, tehdit ve güvenlik açığı yönetimi, uygulama güvenliği ve PKI gibi alanlarda 10 yıldan fazla siber güvenlik sektörü deneyimine sahiptir. RiskSense, WhiteHat Security (NTT Security tarafından satın alındı) ve RiskVision’da (Resolver, Inc. tarafından satın alındı) ürün yönetimi pozisyonlarında bulundu.