Veri ihlalleri 2024’te hızla arttı. Google’ın ‘veri ihlali’ ile karşı karşıya kalırsınız ve binlerce, bazen de milyonlarca müşteri ve kişisel kaydın açığa çıktığı manşetlere dağılmış yüksek profilli isimlerle karşı karşıya kalırsınız.
Manşetler, yalnızca hassas verilerin tehlikeye atıldığını değil, aynı zamanda şirketlerin tehlikeye atılan sistemlerin patlama yarıçapını değerlendirmek ve kontrol altına almak için sistemleri çevrimdışına almasıyla iş operasyonlarının kesintiye uğradığını da bildiriyor.
Büyük Teknoloji bile incelemeye karşı güvende değil. Bunun nedeni DevOps ve bulut altyapısının çok karmaşık hale gelmesidir. Kimlik ve erişim silolarının parçalanması, kötü aktörlerin yanlış yapılandırmayı tespit ederek veya sosyal mühendislik gibi teknikler aracılığıyla insan hatasına zorlayarak altyapıyı ihlal etmesine ve bu altyapıyı aşmasına olanak tanıyan bir ortam yarattı. Örnek olarak: 2023’teki veri ihlallerinin yaklaşık %85’i sunucuları içeriyordu.
Bu ihlal kabusundan kurtulmanın bir yolu var ancak bu, yeni bir siber güvenlik paradigması gerektirecek. Bu, sırların ortadan kaldırılmasını, sıfır güvenin uygulanmasını, en az ayrıcalık ilkesinin uygulanmasını ve kimlik güvenliği ve merkezi politika yönetimiyle erişimin güçlendirilmesini gerektirecektir.
Modern altyapı eskisinden çok daha karmaşık
Ama önce buraya nasıl geldik? Mühendislik altyapısı gelişti. Birkaç on yıl önce bir şirketin teknoloji yığınında bir avuç katman bulunabilirdi. Bu katmanların her biri için güvenlik modelini standartlaştırmak yeterince kolaydı.
Günümüzün bol miktarda geçici kaynaktan oluşan bulut ağırlıklı ortamında durum böyle değil. Günümüzün ‘yığın’ı, fiziksel ve sanal sunuculardan konteynerlere, Kubernetes kümelerine, DevOps kontrol panellerine, IoT’ye, mobil platformlara, bulut sağlayıcı hesaplarına ve son zamanlarda GenAI için büyük dil modellerine kadar birçok farklı teknoloji katmanını içerir.
Bu durum, saldırı yüzeyini önemli ölçüde genişleten erişim ve kimlik silolarını hedef alan tehdit aktörleri için mükemmel bir fırtına yarattı. Basında bildirilen haftalık ihlallerin hacmi, tüm yığının Sıfır Güven ilkeleriyle korunmasının öneminin altını çiziyor. Çoğu zaman kötü aktörlerin, ağda kalmalarına ve şirket altyapısının en hassas verileri barındıran kısmına yönelmelerine olanak tanıyan uzun ömürlü, bayatlamış ayrıcalıklardan yararlandığını görüyoruz.
Sıfır Güven yaptırımı artık uygulamaları ve iş yüklerini kapsayacak şekilde genişletilmelidir
Kısa bir tarih dersi için, Sıfır Güven öncesindeki geleneksel güvenlik modeli çevreyle ilgiliydi; dahili uygulamaları ve verileri VPN gibi harici bir erişim noktasıyla koruyordu. Bu VPN aracılığıyla kimlik doğrulaması yapmak, başka bir kimlik doğrulamaya gerek kalmadan içeride ne varsa ona erişim sağlar. Kötü niyetli bir aktörün bakış açısına göre, statik bir kimlik bilgisi veya eski ayrıcalıktan yararlanarak bu çevreyi ihlal etmek, ağdaki diğer kaynaklara erişim izni verecektir.
Sıfır Güven, ‘her şeyin kimlik doğrulaması gerektirdiği’ (yani ‘asla güvenme, her zaman doğrula’) ‘çevresi olmayan’ bir ortam yaratmanın cevabıydı. Ağda kimlik doğrulaması yapmak yerine, bir kaynağa her eriştiğinizde kimlik doğrulaması yaparsınız.
Salgına girerken, Sıfır Güven dağıtımı ağırlıklı olarak ağ kimlik doğrulamasını çözmeye odaklandı. Çoğu şirket, VPN’lerin çok sayıda uzaktan çalışan için tasarlanmadığını fark etti. Soru şuydu: ‘Bu VPN’ler yalnızca ofis içinde çalışıyorsa çalışanlarımızın ağ üzerinde kurulumunu nasıl sağlayabiliriz?’ Son birkaç yılda pek çok şirket, kullanıcıların kimliklerini nasıl doğrulayacaklarını ve Sıfır Güven’i ağ düzeyinde nasıl uygulayacaklarını çözmüş olsa da, uygulama ve iş yükü katmanında bunu başaramadılar. Bu nedenle, bulut ve veri merkezi operasyonları için tamamen Sıfır Güven mimarisini uygulamaya geçirme gibi daha kapsamlı bir zorluğu çözemediler.
Yaygın ihlalleri sona erdirmek için şirketlerin artık Sıfır Güven uygulamasını uygulamalara ve iş yüklerine kadar genişletmesi gerekiyor. Şirketlerin sürekli şu soruyu soracak bir zihniyete geçmeleri gerekiyor: “Bu kişi, bu belirli kaynağa erişeceği belirli bağlamda erişim için uygun yetkiye sahip mi?”
Sıfır Güven güvenlik modelinde kurumsal ve genel ağlar arasındaki ayrım önemli değildir. Bu şekilde uygulanan sıfır güven, tüm kaynakları konumdan bağımsız hale getirir.
Rol tabanlı kimlik doğrulamadan öznitelik tabanlı kimlik doğrulamaya geçiş
Şirketler, kaynak erişiminin uygun bir bağlamda gerçekleşmesini sağlayarak erişim kontrollerini daha da güçlendirebilirler.
Öznitelik tabanlı kimlik doğrulama, bir kişinin bir kaynağa ne zaman erişebileceğine ilişkin çok ayrıntılı gereksinimleri etkili bir şekilde belirleyerek bu noktaya ulaşma yöntemimizdir.
Örneğin, hassas verileri barındıran bir veritabanı tablonuz varsa, ilk adım yalnızca belirli bir iş unvanına (örneğin ‘rol tabanlı kimlik doğrulama’ veya RBAC) sahip çalışanlara erişim izni vermek olabilir. Buradan itibaren şirketler, öznitelik tabanlı kimlik doğrulama veya ABAC ile daha ayrıntılı bilgi edinebilir. Bir kullanıcının erişim kazanıp kazanamayacağı konusunda değerlendirebileceğiniz birkaç faktör şunlardır:
- Neredesin? ‘İşyerinizde’ (ofiste) misiniz yoksa Tahiti’de misiniz?
- Hangi cihazı kullanıyorsunuz?? İş için kullanılan bir dizüstü bilgisayar mı yoksa kişisel telefon veya tablet gibi başka bir şey mi kullanıyorsunuz?
- Saat kaç? örneğin, üretimde kullanılan bir kaynağa erişime izin vermek istiyor musunuz?
“XYZ veritabanı tablosuna erişmeye çalışan tüm kıdemli programcıların öğleden sonra 14:00 ile 16:00 arasında Kansas’ta olmaları gerekir” diyen bir kural oluşturabilirsiniz. Artık bu koşulları karşılamayan herkesin erişimini kapattınız. Çalışan Hawaii’de tatildeyse, yeterince kıdemli değilse veya veritabanı üretimde kullanılıyorsa varsayılan olarak kilitlenir.
‘Ağ’ içindeki herhangi birine erişim vermek yerine, kullanıcılara erişim izni verirken herkesin nitelikleri bu şekilde yönetmesi gerekir. Bu özellikler, kötü niyetli kötü aktörlere maruz kalan saldırı yüzeyini azaltan kuruluşların anahtarıdır.
Gözlemlenebilirliğin yaptırımla birleştirilmesi gerekiyor
Kimlik güvenliği ve politika yönetişimi gibi gözlemlenebilirlik araçları aracılığıyla startup alanına çok fazla yatırım yapılıyor. Bunlar, erişimin nasıl gerçekleştiğine dair içgörü eklemek için erişim teknolojilerinin üzerine ekleniyor. Ancak bunların izole gruplar halinde ele alınması, gerçek kullanıcıyı her bir eylemle ilişkilendirmeyi zorlaştırıyor.
Modern altyapı için Sıfır Güven erişimi, kimlik doğrulama ve yetkilendirme için tek bir kontrol noktası olan tüm farklı altyapı erişim protokollerine ön uç görevi gören birleşik bir erişim mekanizmasıyla birleştirilmesinden yararlanır. Bu, görünürlük, denetim, politikaların uygulanması ve düzenlemelere uygunluğun tamamını tek bir yerde sağlar.
Bu çözümler halihazırda piyasada mevcut ve güvenlik odaklı kuruluşlar tarafından kullanılıyor. Ancak evlat edinme henüz başlangıç aşamasındadır. Bu, ‘geliştiricilerin üretim verilerine hiçbir zaman erişememesi gerekir’ gibi basit bir erişim kuralının çoğu kişi için uygulanamaz bir kavram olduğu anlamına gelir. UnitedHealth Group’un bir yan kuruluşu olan Change Healthcare’in Şubat ayında yaptığı fidye yazılımı saldırısı gibi, kimlik doğrulama ve yetkilendirme için birleşik erişim kontrolünde geride kalan kuruluşların sonuçlarını görebiliriz; bu saldırı, sistemlerin değerlendirilmesi ve değerlendirilmesi için çevrimdışına alınması nedeniyle şirket genelinde reçete ve doktor hizmetlerini kesintiye uğrattı. patlama yarıçapını içerir.
Gözlemlenebilirliği ve uygulamayı birleştirerek şirketler güvenliği daha da güçlendirme, tehdit saldırılarına müdahale etme ve patlama yarıçapını azaltma konusunda avantaj elde ediyor. Bu, ihlallerin meydana gelmesi durumunda, şirketlerin ve bireylerin operasyonlarını ve süreçlerini kesintiye uğratan tüm sistemleri çevrimdışına almadan etkili bir şekilde düzeltmenin mümkün olabileceği anlamına gelir.
Karmaşıklık ortadan kalkmıyor
Sıfır Güven çözümleri ağ güvenliğinde geniş çapta uygulansa da, mühendislik liderlerinin bu ilkeleri modern altyapıya genişletmesinin ve işlerini yönlendiren kaynakları ve verileri yöneten çalışanların hayatını kolaylaştırmasının zamanı geldi. Modern DevOps altyapısı zaman geçtikçe daha karmaşık, dinamik ve geçici hale gelecektir. Şirketler, güvenliği güçlendirirken mühendislerin kullanıcı deneyimini geliştiren erişim çözümlerine yatırım yaparak altyapılarının en riskli kısmına, yani saldırganların istismar ettiği insan unsuruna karşı koruma sağlayabilir.
Yazar Hakkında
Ev Kontsevoy, Teleport’un Kurucu Ortağı ve CEO’sudur. Mühendis eğitimi alan Kontsevoy, diğer mühendislere güvenlik ve uyumluluk sorunları hakkında endişelenmelerine gerek kalmadan gezegenin herhangi bir yerindeki herhangi bir bilgi işlem kaynağına hızlı bir şekilde erişmelerine ve çalıştırmalarına olanak tanıyan çözümler sağlamak için 2015 yılında Teleport’u başlattı. Bir seri girişimci olan Ev, başarıyla Rackspace’e sattığı Mailgun’un CEO’su ve kurucu ortağıydı. Mailgun’dan önce Ev’in çeşitli mühendislik rolleri vardı. Sibirya Federal Üniversitesi’nden Matematik alanında lisans derecesine sahiptir ve trenlere ve eski film kameralarına karşı bir tutkusu vardır. EV’ye LinkedIn’den ve https://www.goteleport.com/ adresinden ulaşılabilir.