Sıfır Güvenin Gizemini Ortaya Çıkarmak – Siber Savunma Dergisi

   Kasım 7, 2024  Posted in CyberDefenseMagazine


  1. Sıfır Güven Nedir?

“Sıfır Güven” kavramının Siber Güvenlik sektörünün düşünce lideri John Kindervag tarafından “asla güvenme, her zaman doğrula” sloganıyla ortaya atıldığı yıl 2010 yılıydı. Google gibi birçok yüksek teknoloji kuruluşu, Sıfır Güven güvenliğinin faydalarını analiz etti ve birkaç yıl sonra bunun benimsendiğini duyurdu.

Sıfır Güven, uygulama ve verilere erişim izni vermek ve bu erişimi sürdürmek için her aşamada güvenlik için kimlik doğrulaması yaparak, yetkilendirerek ve sürekli olarak doğrulayarak kuruluş ortamının içindeki veya dışındaki varlıklardaki örtülü güveni ortadan kaldıran bir güvenlik çerçevesidir.

Sıfır Güven güvenliği, aşağıda kısaca açıklanan Sıfır Güven Mimarisi (ZTA), Sıfır Güven Ağ Erişimi (ZTNA) ve Sıfır Güven Kenarı (ZTE) dahil olmak üzere çeşitli uygulama modellerini içerir. Ancak tüm bu modeller Sıfır Güven güvenliğinin aynı temel kavramları etrafında inşa edilmiştir.

Sıfır Güven Mimarisi (ZTA): ZTA, Sıfır Güvenin uygulanması için en popüler güvenlik modelidir. Kurum ağının içindeki veya dışındaki tüm kullanıcılar için örtülü güveni ortadan kaldırarak ve iletişimin her aşamasını sürekli olarak doğrulayarak güvenlik sağlar. 2020’de Sıfır Güven Mimarisi (ZTA), NIST 800 – 27 yayınının yayınlanmasıyla vurgulandı.1 konuyla ilgili. Yayın, Kimlik Yönetişimi, Mikro Segmentasyon ve Yazılım Tanımlı Ağa dayalı olarak ZTA için benimsenebilecek çeşitli yaklaşımları açıklamaktadır. Ayrıca yayında ZTA kullanım durumları, ilgili tehditler ve ZTA için geçiş yaklaşımı açıklanmaktadır.

Sıfır Güven Ağ Erişimi (ZTNA): ZTNA modelinden yararlanan kuruluşlar, erişim kontrol politikalarına dayalı olarak kimlik ve bağlam tabanlı mantıksal erişim sınırları oluşturarak uygulamalara güvenli uzaktan erişim sağlayabilir. Tüm kurumsal ağa erişim sağlayan VPN’den farklı olarak ZTNA, varsayılan olarak reddetmeyi tercih eder ve yalnızca seçilen uygulamalara veya hizmetlere açık erişim sağlar. ZTNA’da kullanıcının uygulama için uzaktan erişim talebi, Kimlik Sağlayıcı/Güven Komisyoncuları aracılığıyla doğrulanır ve onay veya red ile sonuçlanacak çeşitli bağlamsal parametrelere dayalı olarak risk açısından değerlendirilir.

Sıfır Güven Sınırı (ZTE): ZTE, Gartner tarafından tanıtılan Güvenli Erişim Hizmetleri Sınırının (SASE) geliştirilmiş halidir; ağ ve güvenlik işlevlerini bulut tabanlı bir modelde birleştirir. Güvenli erişim hizmeti kenarı (SASE) ve Sıfır Güven kenarı (ZTE), ağ işlevselliğinin birleştirilmesi ve bulut üzerinden sağlanan güvenlik gibi ortak ilkeleri ve hedefleri paylaşır. Ancak vurguları ve yaklaşımları bakımından farklılık gösterirler. ZTE, niteliği veya kaynağı ne olursa olsun her ağ işlemini riskli olarak değerlendirmektedir; Sıfır güveni vurgulayarak uygulama ve verilere daha güvenli erişim sağlamak için ZTNA, Security Web Gateway, CASB, IDS/IPS ve Sandbox gibi güvenlik çözümlerini birleştirir.

  1. Sıfır Güven Nasıl Çalışır?

Sıfır Güven Güvenliği aşağıda sıralanan güvenlik ilkelerine uygun olarak çalışır:

  • Sürekli İzleme ve Doğrulama: Erişimin sürekli olarak ve risk seviyesi değiştikçe yeniden doğrulanmasıyla kaynaklara erişimi her zaman izleyin.
  • Kimlik Doğrulaması: Kullanıcı kimliğinin yetkili kullanıcı deposuna veya kimlik sağlayıcısına göre sıkı bir şekilde doğrulanması.
  • Güçlü Kimlik Doğrulama: Kullanıcılara yetkili erişim sağlamak için parolalara ek olarak dinamik kimlik doğrulama değerleri.
  • Erişim Kontrolü: Varlığın talep edilen kaynağa erişim yetkisini doğrulayın ve varlığın güvenliğinin ihlal edilmediğinden emin olun.
  • En Az Ayrıcalık: Kullanıcılar, rolleri ve sorumlulukları kapsamında gerçekleştirmeleri gerekenlerle sınırlı olarak erişimi kısıtlamıştır.
  • Saldırı Yüzeyini Sınırla: Belirli uygulamalara/sistemlere erişim sağlayan kullanıcılar, uygulamalar ve sistemlerle ağın tamamına örtülü erişim uygulamayın. Mikro Segmentasyon bu prensibe iyi bir örnektir.
  1. Kuruluşlar neden sıfır güveni benimsemelidir?

Gelişen tehdit ortamı, BT ortamlarının sınırların dışına çıkması ve kullanıcıların kurumsal ortama her yerden bağlanmasıyla sıfır güven bir güvenlik zorunluluğu haline geldi. Sıfır Güven, kurumsal ortamdan tüm siber tehditleri ortadan kaldırmak için sihirli bir çözüm olmayabilir. Ancak riskleri önemli ölçüde azaltır ve siber saldırıların etkisini azaltır. Sıfır güven ilkeleri, boyutlarına bakılmaksızın dijital ayak izine sahip tüm kuruluşlar için geçerlidir; ancak sıfır güven uygulamasının türü ve ölçeği sırasıyla kuruluşun sektörüne ve büyüklüğüne göre değişiklik gösterebilir. Sıralamak gerekirse, aşağıda kuruluşların Sıfır Güven’i giderek daha fazla benimsemesinin bazı zorlayıcı nedenleri yer almaktadır:

Gelişmiş Güvenlik Duruşu: Sürekli izleme, saldırı yüzeyi sınırlaması ve hasarın en aza indirilmesiyle tüm erişim isteklerinin doğrulanmasıyla risk seviyeleri önemli ölçüde azaltıldı.

Geliştirilmiş Uzaktan İşgücü Güvenliği: Geleneksel ağ güvenliği, hızla çoğalan uzaktan çalışma kültürünü güvence altına almak için yetersiz kalıyor. Sıfır Güven, kullanıcı konumundan bağımsız olarak erişim gereksinimlerine yönelik ileri düzeyde güvenlik sağlayabilir.

İçeriden Tehdide Karşı Koruma: Sıfır güven, varsayılan olarak dahili kullanıcılara bile güvenmediğinden, içeridekilerin kasıtlı veya kasıtsız olarak kötü niyetli faaliyetler yapma potansiyelini en aza indirir.

Patlama Yarıçapını Kısaltın: Güçlü güvenlikte bile savunma ihlalleri meydana gelebilir, sıfır güven ile saldırganın yanal hareketi engellenerek uzlaşma önemli ölçüde azaltılabilir.

Mevzuat ve Uyumluluk Gereksinimleri: Kuruluşların, kendileri için geçerli olan düzenlemeler ve uyumluluklar kapsamında çeşitli güvenlik yükümlülükleri olabilir; bunların çoğu, güçlü erişim kontrolleri ve veri korumayı zorunlu kılar. Sıfır Güven, hiçbir örtülü güven ve sürekli doğrulama anlamına gelmediğinden, ilgili güvenlik gereksinimlerinin karşılanmasında önemli bir bileşen olabilir.

  1. Sıfır Güvenin Temel Sütunları

ABD’deki CISA’nın (Siber Güvenlik ve Altyapı Ajansı) Sıfır Güven Olgunluk Modeli yayınında tanımladığı gibi sıfır güvenin 5 temel dayanağı vardır.2ilk olarak Eylül 2021’de yayınlandı ve Nisan 2023’te yayınlanan yayının 2.0 sürümüyle güncellendi.

Kimlik: Yalnızca yetkili kullanıcıların ve cihazların kurumsal kaynaklara erişebilmesini sağlayan temel yapı taşı. Kimlik doğrulama, çok faktörlü kimlik doğrulama (MFA), rol tabanlı erişim kontrolü (RBAC) ve kimlik riski değerlendirmesi, IAM araçlarının temel araçlarıdır.

Cihaz Güvenliği: Yüksek derecede sıfır güvene ulaşmak ve bunu sürdürmek için kuruluşların, kurumsal kaynaklara bağlanan cihazların güvenlik standartlarına/politikalarına uygunluk, tehdit tespiti ve önleme, cihazların yönetimi, envanter kontrolü, duruş değerlendirmesi ve güvenlik parametreleriyle güvence altına alınması zorunludur. risk yönetimi.

Ağlar: Örtülü güvenilir ağ segmentleri ne kadar az olursa, ağ oluşturma parametresinde Sıfır Güvenin olgunluğu da o kadar yüksek olur. Olgunluk düzeyi, makro segmentasyonun, ağ esnekliğinin, veri şifrelemenin, dinamik ağ yapılandırmalarının, risk bilinçli ağ erişimi/ağ erişim kontrolünün ve mikro segmentasyonun düzenli uygulanmasıyla ilerleyerek değerlendirilebilir.

Uygulama ve İş Yükleri: Bu sütun, güvenlikle entegre barındırma ve uygulamalara erişim parametrelerinde Sıfır Güveni gerektirir. Ayrı üretim ve üretim dışı ortamlar, statik ve dinamik güvenlik testleri, resmi kod dağıtımı için CI/CD işlem hatları, uygulama iş akışlarında entegre tehdit koruması, sürekli yetkilendirilmiş erişime sahip genel ağlarda uygulama kullanılabilirliği ve değişmez iş yükleri gibi güvenlik metodolojileri, güvenliğin olgunluğunu belirler. Uygulamalar ve sistem iş yükleri alanında Sıfır Güven.

Veri: Muhtemelen kuruluşunuzun en önemli varlığı. Verilerin minimum düzeyden tam düzeye kadar şifrelenmesi, verilerin manuel olarak otomatikleştirilmiş envanteri ve kategorize edilmesi, yedekli veri depoları, DLP uygulaması, veri etiketleme ve dinamik erişim kontrolleri gibi temel veri güvenliği kontrollerinin uygulanması, kuruluşun veri güvenliğinde Sıfır Güven’in olgunluğunu belirleyebilir. .

  1. Sıfır Güvenin Dezavantajları

Bölüm 3’te Sıfır Güven’in bir kuruluş için temel avantajlarını vurguladıktan sonra, bazı zorluklarına ve yatırıma ve kaynaklara değip değmeyeceğine bakalım.

Uygulama Karmaşıklığı: Sıfır Güven’in uygun bir olgunluk seviyesine uygulanması, mevcut ağların, uygulamaların ve kullanıcı iş akışlarının kapsamlı bir şekilde anlaşılmasını gerektirdiğinden zorlu bir görev olabilir. Ayrıca eski sistemlerle uyumluluk sorunlarına yol açabilecek ek gelişmiş güvenlik kontrollerinin uygulanmasını da gerektirebilir.

Kullanıcı Deneyimi: Sıfır Güven uygulamasının bir parçası olarak kullanılan ek veya geliştirilmiş kimlik ve erişim yönetimi kontrolleri, etkili bir şekilde uygulanmadığı takdirde kullanıcıların hayal kırıklığına uğramasına neden olabilir. Sonuç olarak bu, Sıfır Güven’in benimsenmesinde dirence yol açabilir ve kullanıcılar güvenlik kontrollerini atlamaya çalışabilir, böylece kuruluş daha fazla tehdide maruz kalabilir.

Kaynak Gereği: Sıfır Güven’in uygulanması ve bakımı, gerekli işin yapılması için önemli miktarda ek çalışma saati gerektirmesi ve BT kaynaklarının zorlanmasına yol açması nedeniyle kaynak yoğun olabilir.

Yanlış Pozitifler: Sıfır Güven’in bir parçası olarak sıkı güvenlik kontrolleri, meşru kullanıcıların şüpheli olarak işaretlenen etkinlikleriyle erişiminin reddedilmesiyle ilgili hatalı pozitif olaylara yol açabilir.

  1. Sıfır Güven Zorluklarının Üstesinden Nasıl Gelinir?

Sıfır Güven güvenlik modelinin benimsenmesindeki sorunlar, dikkatli planlama ve organize uygulama teknikleriyle hafifletilebilir; işte bazı önlemler:

Kademeli Uygulama: Çevik uygulama ve sorunsuz geçiş sağlamak ve kesinti riskini önemli ölçüde azaltmak için büyük patlama yaklaşımı yerine sıfır güven modelini aşamalı olarak benimseyin.

Kullanıcı Deneyimini Optimize Edin: Güçlü güvenliği korurken uyuşmazlıkları en aza indirmek için tek oturum açma (SSO), uyarlanabilir kimlik doğrulama ve bağlam tabanlı erişim denetimleri gibi kullanıcı dostu ve sorunsuz kimlik doğrulama teknolojilerini benimseyin.

Eğitim ve İletişim: Sıfır Güven Modeli için kullanıcı farkındalığı kampanyaları oluşturun; yeni kullanıcı kimlik doğrulama ve erişim kontrol teknolojileri ve iş akışları hakkında eğitimler verin.

Kapasite Planlama: Sıfır Güven uygulamasını planlamaya önemli ölçüde zaman ayırın. Sıfır Güven modelini uygulamak ve sürdürmek için gereken kaynakları dikkatlice belirleyin ve planlayın.

Sürekli İnce Ayar: Güvenlik hedeflerinize ulaşmak için Sıfır Güven modelinizi düzenli olarak gözden geçirin. Yanlış pozitifleri azaltmak için düzenli ince ayarlar yaparak ilgili güvenlik teknolojilerini optimize edin.

  1. Sıfır Güvenin Benimsenmesi ve Yol Haritası

Sıfır güven, güvenlik risklerini azaltma ve güvenlik duruşunu iyileştirme yolculuğunun bir parçası olarak çoğu kuruluş için bir önceliktir. Orta ve büyük ölçekli kuruluşların çoğunda bir tür sıfır güven stratejisi mevcuttur. Ancak bunlardan yalnızca birkaçı etkili bir şekilde uygulanabildi. Gartner, 2026 yılına kadar büyük kuruluşların %10’unun olgun ve ölçülebilir bir sıfır güven programına sahip olacağını tahmin ediyor.

Sıfır güven, risklerin azaltılmasına ve güvenlik duruşunun iyileştirilmesine önemli ölçüde katkıda bulunduğundan, sıfır güvenin kuruluşlar tarafından benimsenmesi dünya çapında yaygınlaşacaktır. İlgili güvenlik profesyonellerinin sıfır güven ve ilgili teknoloji hakkında daha iyi bilgi sahibi olması ve güvenlik şirketlerinin sıfır güven tekliflerinde ilerleme kaydetmesiyle birlikte, bu yaklaşımın benimsenmesinin gelecekte önemli ölçüde artması bekleniyor.

Referanslar:

1 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf

2 https://www.cisa.gov/sites/default/files/2023-04/zero_trust_maturity_model_v2_508.pdf

Yazar Hakkında

Sıfır Güvenin Gizemini Ortaya ÇıkarmakAshish Arora, Chubb’da Ağ Güvenliği Başkan Yardımcısıdır. Siber Güvenlik Çözümleri ve Hizmetlerinin planlanması, tasarlanması, danışmanlığı ve uygulanması konusunda 18 yıldan fazla deneyime sahiptir.

Genel bulutlarda Çok Kiracılı Siber SaaS platformları oluşturma, kuruluşların genel güvenliğine gelişmiş güvenlik, maliyet optimizasyonu ve performans verimliliği getirme konusunda deneyimlidir. Aynı zamanda Özel ve Genel Bulutları kapsayan hibrit ortamlar için özel olarak hazırlanmış güvenlik çözümleri de geliştirmiştir.

Ashish, Güvenlik alanında CISSP ve CCSP gibi sektör lideri sertifikalara sahiptir. Gelişen tehdit ortamına ve bunları hafifletmeye yönelik tekniklere ayak uyduruyor. Çeşitli güvenlik konferanslarına ve sektör etkinliklerine katılmaktan hoşlanıyor.

Ashish’e şu adresten e-posta yoluyla ulaşılabilir: [email protected]LinkedIn https://www.linkedin.com/in/ashish-arora-856a231a/ adresinden ve şirketin web sitesi https://www.chubb.com/ adresinden.



Source link