Bu Help Net Security röportajında, Zscaler CEO’su Jay Chaudhry, herhangi bir yerden kurumsal kaynaklara erişmek için uzaktaki çalışanları ve cihazlarını bağlama ve bunların güvenliğini sağlama hakkında konuşuyor. Uzaktan VPN erişiminin potansiyel risklerini, kişisel cihazlara artan bağımlılığı ve önce bulut modeline geçişi tartışıyor.
Veri merkezlerinin değişen rolünün ağ stratejileri üzerindeki etkisini, sıfır güven güvenlik çerçevesinin uygulanmasını ve 5G ağlarının iş yerlerini nasıl daha fazla merkezden uzaklaştırabileceğini inceleyeceğiz.
CISO’lar, uzaktan çalışan ve kurumsal kaynaklara erişmek için kişisel cihazları kullanan çalışanların güvenlik endişelerini nasıl yönetmelidir?
Tarihsel olarak işletmeler, uzak çalışanların kurumsal ağlarındaki uygulamalara ve hizmetlere erişmesine izin vermek için uzaktan erişim VPN’lerine güvenmiştir. VPN’ler, kullanıcıları şirket ağına bağlar. Evde veya Sidney, Avustralya’da oturan bir kullanıcı, ofisinden erişebildiği tüm uygulamalara veya kaynaklara erişebilir.
Bu, çalışanlar için iyi çalışır, ancak birisi bir çalışanın VPN oturum açma kimlik bilgilerini çalarsa, şirket ağına girebilir, yüksek değerli varlıklar bulmak için yanal olarak hareket edebilir ve bir fidye yazılımı saldırısı başlatabilir veya verileri sızdırabilir. Colonial Pipeline saldırısı bu şekilde gerçekleşti (çalınan VPN kimlik bilgileri ve ardından yanal tehdit hareketi).
Uzak kullanıcılar için güvenliği yönetmenin en iyi yolu, uzaktaki çalışanın şirket ağına değil, yalnızca belirli uygulamalara bağlı olduğu gelişmiş bir telefon santraline benzeyen sıfır güven değişimi yoluyla erişim sağlamaktır. Bu, herhangi bir yanal tehdit hareketini, dolayısıyla saldırının yayılmasını ortadan kaldırır.
Bir çalışanın kişisel cihazı veya BYOD olarak da bilinen cihazı daha da büyük bir riske neden olabilir. Kişisel cihaza virüs bulaşmış olabilir ve şirket ağına bağlandıktan sonra yanal olarak hareket edebilir ve diğer cihazlara bulaşabilir veya verileri çalabilir.
BYOD’nin yarattığı riski ortadan kaldırmak için şirketler, uygulamalara sıfır güvenli erişim sağlamanın yanı sıra, BYOD’yi bir VDI (sanal cihaz) gibi yapan tarayıcı izolasyonu adı verilen bir teknoloji de kullanmalıdır. BYOD cihazına ve cihazından yalnızca piksel akışı yapıldığından, uzlaşma ve veri kaybı riskini ortadan kaldırır.
Kuruluşlar, bulut öncelikli, hibrit iş gücü modelinde hassas verilerin açığa çıkmasını ve çalınmasını önlemek için hangi adımları atabilir?
Günümüzün hibrit dünyasında verileriniz genellikle Azure ve AWS gibi genel bulutlarda, SaaS uygulamalarında, veri merkezlerinde, fabrikalarda ve uç noktalarınızda bulunur. Şirketler, hassas verileri güvence altına almak için bütünsel bir yaklaşıma ihtiyaç duyar.
Tüm veriler internete sızdığından, tüm internete bağlı iletişim, hassas verileri belirlemek için trafiği denetleyen sıfır güven alışverişinden geçmelidir. M365, Salesforce vb. gibi büyük miktarda veri SaaS’ta bulunur.
Şirketlerin, aşırı veri paylaşımına neden olan yanlış yapılandırmalara sahip olabilecek verileri korumak için CASB çözümleri uygulaması gerekir. Şirketler, trafikte hiçbir hassas verinin gizlenmediğinden emin olmak için SSL veya TLS şifreli trafiği denetlemelidir. Yeni nesil güvenlik duvarları bunun için tasarlanmadığından, bu bir proxy mimarisi gerektirir.
Veri merkezinden merkezi merkez olmaktan yalnızca ağ stratejilerini değiştiren bir hedefe geçiş nasıl oluyor ve bu güvenliği nasıl etkiliyor?
Merkezi merkez olarak veri merkezinden uzaklaşma, ağı bir BT ortamında taşıma rolüne devreder. Şirketlerin artık şubeleri veri merkezlerine bağlamak için merkez ve bağlı birim ağları oluşturması gerekmiyor.
Her yer basitçe internete bağlanır (tıpkı evinizden internete bağlanmanız gibi). Artık güvenlik duvarları ve VPN’ler ile güvenlik ağ geçitleri oluşturmaları gerekmiyor. Uygulamaların ve kullanıcıların nerede olduğundan bağımsız olarak, kullanıcıları uygulamalara bağlamak için sıfır güven değişimi kullanırlar.
Sıfır güven güvenlik çerçevesinin uygulanması işletmelerin dijital çalışma ortamına geçişini nasıl kolaylaştırdı?
Bulutu benimseyen şirketler, uygulamaları herhangi bir genel bulutta daha hızlı oluşturup dağıtabilir. Sıfır güven mimarisiyle, şube ofisleri ve uygulama konumlarını birbirine bağlamak için kendi geniş alan ağınızı oluşturmanız gerekmez. Her bir taraf basitçe internete bağlanır. Bu muazzam zaman ve para tasarrufu sağlar.
Kullanıcılar, küresel olarak dağıtılmış bir sıfır güven alışverişi aracılığıyla herhangi bir uygulamaya herhangi bir yerden güvenli bir şekilde erişebilir. Yeni ofisler veya şubeler haftalar veya aylar yerine günler içinde kurulabilir. Dolayısıyla sıfır güven, işletmelerin dijital dönüşümden geçmesini daha basit ve daha güvenli hale getirdi.
CISO’lar, bankacılık sektöründe geleneksel şirket içi güvenlikten bulut öncelikli, sıfır güven yaklaşımına nasıl geçiyor?
Uygulama paketlerini şirket içinden buluta taşıyarak, işletmenin taleplerini karşılamak üzere ölçeklendirme yapmalarını sağlıyorlar.
Sıfır güven güvenliğini kullanarak, İnternet ve uygulama trafiğini veri merkezleri aracılığıyla geri taşımak yerine her ofisten doğrudan İnternet üzerinden göndererek daha iyi bir kullanıcı deneyimi ve daha düşük maliyet sunuyorlar. Sıfır güven ile, uygulamalarını sıfır güven değişiminin arkasına saklarken saldırı yüzeylerini de küçültüyorlar.
5G ağlarının iş yerlerini daha fazla dağıtma potansiyeli göz önüne alındığında, güvenlik ekipleri bu değişikliğin üstesinden gelmek için güvenlik ve ağ altyapılarını nasıl hazırlamalıdır?
5G, her yerde kullanıcılara yüksek hızlı erişim sağlayacaktır. Yüksek veri hacmi, büyük miktarda veriyi kısa sürede çalmayı kolaylaştıracaktır. Güvenlik duvarları ve VPN’ler kullanarak ağ güvenliğine (ağlarını güvence altına almak anlamına gelir) bağlı olan şirketler, 5G ile daha yüksek risklerle karşılaşacaktır.
Sıfır güven mimarisini uygulayan ve güvenlik duvarlarını ve VPN’leri aşamalı olarak kaldıran şirketler iyi bir konumda olacaktır. Sıfır güven mimarisi, kullanıcılar ağa bağlı olmadığından, ağı yalnızca bir tesisat, yalnızca bir aktarım olarak ele alır. Sıfır güven mimarisini bir kez uyguladığınızda, ağ türü hakkında endişelenmenize gerek kalmaz; 4G veya 5G veya Starlink olabilir ve işletmeler güvende olacaktır.