Operasyonel teknoloji (OT) siber güvenliği, kuruluşların temel sistemlerini ve kaynaklarını korumanın zorlu ancak kritik bir yönüdür. Siber suçlular artık sistemlere zorla girmek yerine oturum açarak erişim güvenliğini her zamankinden daha karmaşık ve yönetmeyi ve kontrol etmeyi her zamankinden daha önemli hale getiriyor. OT ve kritik altyapı operatörlerinin karşılaştığı erişimle ilgili zorlukları çözmek için Cyolo ekibi, OT ve endüstriyel kontrol sistemleri (ICS) ortamlarının benzersiz emniyet, güvenlik ve çalışma süresi gereksinimlerini karşılamak için tasarlanmış sıfır güven erişim platformu oluşturdu. .
Kaputun altına bakalım:
Cyolo çözümü, Sıfır Güven Ağ Erişimi (ZTNA), Kimlik Sağlayıcı (IdP) ve Ayrıcalıklı Erişim Yönetimi’nin (PAM) yüksek güçlü bir birleşimidir. Bu yaklaşımı paketten ayıran şey, diğer ZTNA çözümlerinin IdP veya PAM yetenekleri sunmaması ve Kimlik ve Erişim Yönetimi araçlarının (IdP’ler ve PAM’ler) bağlantıyı genişletmemesidir. Güvenli uzaktan erişim alanındaki diğer oyuncuların aksine, Cyolo bir bulut bağlantısı veya bir uç nokta aracısının yüklenmesini gerektirmez. Bu, platformun birçok kuruluşun mücadele ettiği bazı zor bağlantı kullanım durumlarının üstesinden gelmesini sağlar.
Cyolo Platformu Nasıl Çalışır?
Şekil 1: Bir Cyolo konuşlandırmasının mimari düzeni |
Cyolo platformunun temel yapı taşları, Kimlik Erişim Denetleyicileri (IDAC’ler) ve Uç Noktalardır.
- Kimlik Erişim Denetleyicisi (IDAC): IDAC’ler, Aktarım Katmanı Güvenliği (TLS) 1.3 bağlantılarını sonlandırır ve Cyolo yöneticisi tarafından yapılandırılan erişim ilkelerini uygular. Bir ‘ters proxy’ olarak, tüm şifre çözme ve uygulama kurumsal güvenlik duvarlarının arkasında gerçekleşir.
- Kenar Komisyoncuları: Kenarlar, kullanıcıların isteklerini bir Sunucu Adı Göstergesi (SNI) başlığına dayalı olarak ilgili IDAC’a yönlendiren şirket içi aracılardır. Tüm dağıtım modellerinde Edge, trafiği kullanıcılardan IDAC’lere yönlendirir. Özellikle, Edge’ler herhangi bir harici bağlantı olmadan çalışabilir ve hiçbir trafiğin şifresini asla çözemez, bu da Cyolo’yu gerçekten bağlı olan nadir bir sıfır güven erişim çözümü haline getirir. sıfır güven ilkeleri.
Cyolo şirket içinde, bir SaaS modelinde veya en yaygın olarak ikisinin hibrit bir sürümünde devreye alınabilir. Şirket içi bileşenler, gerektiğinde ek güvenlik için tamamen izole edilebilir ve IP bağlantısız olabilir. Bunlar, her dağıtım yöntemi için gereken temel öğelerdir:
- IDP Bağlantısı: Kimlik sağlayıcılar (IdP’ler), erişim arayan kullanıcının birden çok platform, uygulama ve ağda iddia ettikleri kişi veya şey olmasını sağlar. Cyolo, mevcut IdP’nizle entegre olabilir veya Cyolo’nun IDAC kurulumunun bir parçası olarak dahil edilen yerel IdP’sini kullanabilirsiniz. IDAC doğrudan IdP’ye bağlanır (Kenarlar aracılığıyla değil).
- IDAC Giden İletişim: IDAC’ler, ister Uçlardan gelen kullanıcı oturumlarını (443 numaralı bağlantı noktasında) bağlasınlar, ister hizmet verdikleri yayınlanmış uygulamalarla (kendi özel bağlantı noktalarında) iletişim kursunlar, her zaman giden iletişim kurarlar.
Ürün Derinlemesine İnceleme ve Farklılaştırma
Şimdi, Cyolo platformuna daha derinlemesine bir göz atalım ve onu erişim güvenliğine ve piyasadaki diğer araçlara yönelik mevcut yaklaşımlardan neyin ayırdığını görelim.
İlk bakışta, platform temiz ve gezinmesi kolay bir kullanıcı arayüzüne sahiptir. Kullanıcıların belirli uygulamalara erişimini yönetmek ve yönetmek için ayarlanmıştır ve bu erişime bir dizi sıfır güven ilkesi aracılığıyla aracılık eder. Biraz daha ileriye bakıldığında, tüm kullanıcı etkinlikleri hakkında birçok ayrıntıyı günlüğe kaydeder ve sağlam bir uygulama programlama arabirimine (API) sahiptir.
Şekil 2: Cyolo yönetici panosundaki ana sayfa |
Kimlik: Cyolo platformu, dosyaların içe aktarılması, Etki Alanları Arası Kimlik Yönetimi Sistemi (SCIM) veya kullanıcının kendi kendine kaydı yoluyla eklenen kullanıcılarla bağımsız bir kimlik kaynağı görevi görebilir. Bu, özellikle şirketinizin IdP’sine eklemek istemeyeceğiniz üçüncü taraf satıcıları ve yüklenicileri işe alırken faydalıdır. Her kullanıcı, politikalara dayalı olarak belirli uygulamalara veya hizmetlere erişim vermek için kullanılan belirli gruplara eklenebilir. Kullanıcı ekleme iş akışı kolaydır ve çok faktörlü kimlik doğrulama (MFA) gibi ek kimlik doğrulama adımları bir gereksinim olarak eklenebilir.
Şekil 3: Cyolo panosuna yeni bir kullanıcı ekleme |
Cyolo, Okta, Active Directory, Azure AD, Ping, vb. gibi tüm standart IdP’lerle de çalışabilir. Şirketlerin birden fazla IdP’si varsa, Cyolo bunları birleştirebilir ve belirli bir erişim isteği için en uygun IdP’nin kullanılmasına izin verebilir.
Uygulamalar: Cyolo, geçerli kimliğe dayalı olarak tüm uygulamalara bağlantı sağlar ve ardından tam bir Çoklu Oturum Açma (SSO) deneyimi sağlamak için kullanıcı adına kimlik bilgilerini ekler. Bu, kullanıcılar için oturum açma sürecini basitleştirir ve ek risk oluşturabilecek genel hesaplara veya paylaşılan parolalara olan ihtiyacı ortadan kaldırmaya yardımcı olur.
Cyolo ayrıca güvenli erişimi genişlet bu zorlu kaynaklar için MFA ve SSO’yu etkinleştirmek üzere eski ve özel olarak oluşturulmuş uygulamalara. Bu yetenek, büyük ölçüde Security Assertion Markup Language (SAML) veya OpenID Connect (OIDC) ile iletişim kuran eski ekipman ve sistemlere bağlı olan OT sektöründe en kullanışlıdır.
Şekil 4: Cyolo platformunda uygulamaları yapılandırma |
Politikalar: Her uygulama, günün saati veya konum gibi bağlamsal ayrıntılarla birlikte bireysel kullanıcıları ve grupları hesaba katan belirli erişim parametreleri gerektirecek şekilde yapılandırılır. İki ilginç özellik, erişimden önce onay isteme yeteneği ve her erişim oturumu için kaydın zorunlu kılınmasıdır.
Şekil 5: Cyolo platformunda kimlikler ve uygulamalar arasındaki ilkeleri yapılandırma |
Kütükler: Platformdaki tüm etkinlikler, kolayca dışa aktarılabilen bir günlükte izlenir. Bu, Cyolo aracı normalde genel bir kullanıcı adı ve parola kullanan bir uygulama için SSO sağladığında özellikle yararlıdır. Ek olarak, Cyolo bir şifre kasası içerdiğinden, paylaşılan şifreyi güvenli bir şekilde saklayabilir ve uygulamaya veya hizmete tam olarak hangi kullanıcının eriştiğini takip eden günlük ile döndürebilir.
Şekil 6: Cyolo platformu içindeki etkinlik günlüğü |
Ek Gözlemler:
- Cyolo’nun çalışması için bir bulut bağlantısı gerektirmediği için bu çözüm, ağlarının kritik bölümlerini yalıtması ve bunlara erişimi kısıtlaması gereken şirketler için idealdir. Bu, bu alanlara uzaktan ve üçüncü taraf erişimini sıkı bir şekilde yönetmek isteyen OT/ICS operatörleri için yaygın bir durumdur.
- Güvenlik aracı bir uç nokta cihazına bir aracının yüklenmesini gerektirdiğinden, uzaktan erişim bazen engellenir. Cyolo’nun çalışması için bir acenteye ihtiyaç duymaz, bu da üçüncü şahıslar, harici yükleniciler veya iş ortakları için kullanımını kolaylaştırır.
- IDAC’leri ve Edge, kapsayıcılı yazılım uygulamalarıdır (Docker kapsayıcılar), dolayısıyla sanal makineler veya güçlendirilmiş sunucular gibi çeşitli form faktörlerine yüklenebilirler. Yükleme trafiğini kesintiye uğratmaya gerek olmadığı için bu, dağıtımı basit ve hızlı hale getirir.
Sonuçlar
Cyolo ekibinin iyi ve basit bir kullanıcı deneyiminin önemini anladığı açık. Ne de olsa, maksimum benimseme elde etme umuduna sahip olmak istiyorsak, herhangi bir güvenlik veya erişim aracı son kullanıcılar için kolay olmalıdır.
Bir son kullanıcı Cyolo platformunda oturum açtığında, yalnızca işlerini yapmak için ihtiyaç duydukları araçları, kaynakları ve uygulamaları görür. Bu, kimliklerinin ilkelerine ve eriştikleri belirli uygulamaya göre yapılandırılır ve kuruluşun güvenilen sınırı içinde IDAC düzeyinde uygulanır. Kullanıcı erişmek istediği uygulamayı seçtikten sonra Cyolo platformu, hızlı ve eksiksiz bir SSO deneyimi için tüm bağlantı ve kimlik bilgisi ekleme işlemlerini yönetecektir. Bunun güzelliği, kullanıcının iş akışının etkilenmemesidir (bazı kurulumlarda, kullanıcı Cyolo platformunu kullandıklarını bile bilmeyebilir), yine de güvenlik duruşunun faydası büyüktür.
Şekil 7: Cyolo Son Kullanıcı Uygulamaları Portalı |
Kayda değer ek bir özellik, Cyolo platformunun OT ortamlarına Uzak Masaüstü Protokolü (RDP) bağlantılarını yönetmesidir. Cyolo’nun bir IdP olarak hareket etme yeteneği sayesinde harici (üçüncü taraf) bir kullanıcı eklemek çok kolaydı. MFA, gözetmen onayı ve tam sesli/görsel kayıt gibi ek güvenlik katmanlarını katmanlamak, bağlantı halindeyken bir kullanıcının etkinliğinin değerli bir kaydını ayarlamak ve sağlamak için sezgiseldi. Bu yetenekler, bağlanabilirliği IAM politikalarıyla entegre etmenin gücünü gösterir.
Bu kısa tanıtım denetimli erişim ve kayıt ile Yerel (veya Web) bir RDP oturumu için iş akışını göstermek üzere yan yana kullanıcı ve yönetici ekranlarını gösterir.
Video 1: RDP aracılığıyla bir uzak masaüstüne aracı olmadan denetimli erişimin hızlı demosu |
Genel olarak, Cyolo platformu, günümüzde birçok güvenlik operatörünün başına bela olan daha zor kullanım durumlarından bazılarının çözülmesine yardımcı olabilecek çok yönlü bir araçtır. Bağlanabilirlik, kimlik doğrulama ve erişim yönetimine odaklanan Cyolo, masaya bir ton beygir gücü getiriyor. Ve en iyi yanı, hiçbir uygulamayı veya hizmeti dışarıda bırakmamaları ve OT ortamlarına satıcı erişimi gibi zorlu senaryolarda uzmanlaşmalarıdır. Çözmesi zor olan bir sorununuz varsa, Cyolo’ya daha yakından bakmanın zamanı gelmiş olabilir.
Cyolo hakkında daha fazla bilgi edinmek için tıklayın Burada.