Bir SAIC Şirketi olan Koverse, Inc., Ürün Yönetimi Direktörü Julius Schorzman tarafından
Sıfır Güven, ağ güvenliğinde sıcak bir konudur. Tanıdık olmayanlar için sıfır güven, şirket ağını korumak amacıyla her cihaza uygulanan “asla güvenme, her zaman doğrula” öncülüdür. Birçok yönden bu mimari yaklaşım, nihai güvenlik duruşunu temsil eder.
Bununla birlikte, bugün çoğu sıfır güven yaklaşımının bir kusuru var. İki, aslında: insanlar ve veriler.
İnsanların kusuru, halk dilinde “içeriden tehdit sorunu” olarak adlandırılabilir. Kısacası, haydut oyunculara (veya kimlik avı yapılan iyi oyunculara) karşı nasıl korunursunuz? Doğru kimlik bilgileriyle, o aktör krallığın anahtarlarına sahip.
Veri sorunu daha da tehlikelidir: Veri siloları oluşturmadan kişisel bilgileri, gizli ve sınıflandırılmış bilgileri nasıl korursunuz? Günümüzde çoğu büyük şirket, ideal olarak topladıkları ve fiziksel olarak bir araya geldikleri bir tür veri gölü kullanır. her şey – yapılandırılmış ve yapılandırılmamış, toplu ve sürekli akış, sınıflandırılmış ve sınıflandırılmamış, temelde her türlü karmaşık veri. Örneğin, yapılandırılmamış bir veri parçasında bulunan bir sosyal güvenlik numarasını, tüm dosyayı engellemeden (silolamadan) engellemenin bir yolu yoktur. Bu veri siloları, özellikle finansal hizmetler, yaşam bilimleri, sağlık ve tabii ki hükümet gibi yüksek dozda hassas veri bulunan sektörlerde analitik, veri bilimi ve yapay zeka (AI) girişimlerine zarar verebilir.
Sıfır güvene yönelik önceki yaklaşımlarla ilgili sorun, bunun veri düzeyinde değil ağ ve dosya düzeyinde uygulanmasıdır. Bu anlamda kör bir araçtır; ya erişiminiz var ya da yok, verilerin kendisi güvensiz. Buradaki ironi, sıfır güvenin sınırsız güvenlik için zorlaması, ancak veri depolama alanınız etrafında cıvatalı bir sıfır güven çevresi oluşturmanız ve ardından uygun güvenlik düzeyini korumaya çalışmak için bu verileri parçalara ayırmanızdır.
Bunun insanlar ve veri erişimi açısından ne anlama geldiğini inceleyelim.
İnsanlar Sorunu
Sıfır güvenle, verilerinizin kilitli olduğunu ve son derece gizli verilerin güvende olduğunu düşünebilirsiniz. Ama öyle mi? Sonuçta, yalnızca yetkili kullanıcılar erişebilir. Ve bu yetkili kullanıcılar, tüm veritabanı yöneticilerinizi, yardım masası personelinizi veya sözleşmeli olabilecek herhangi birini içerir ve bu nedenle tipik çalışanlardan daha geçicidir ve daha az incelemeye tabidir. Bu kişilerden herhangi biri (çalışanlar veya müteahhitler) kimlik avına maruz kalabilir. Ya da bilgisayarında virüs var.
Hala güvende hissediyor musun?
Sıfır güven ile bile yapılandırma ve ilke yönetiminde sorunlar olabilir. Ortak bulut güvenlik ilkeleriyle ilgilenen herkes, bunların geniş ve çeşitli bir veri ve hizmet kümesine uygulanmasının zahmetli olabileceğini bilir. Bir yönetici, yalnızca ilke motoru veya web sunucuları ile iletişim kuramadığını keşfetmek için yeni bir bulut veritabanı kurar. Doğal eğilim, ayarları “izin ver” olarak değiştirmektir… ve şimdi her şey çalışıyor, ancak verileriniz internete açık. Tüm bu boşlukların kapatıldığından emin misiniz?
Veri Sorunu
Sıfır güvenden bağımsız olarak, bugün çoğu kuruluş için veriler, segmentlere ayrılarak, diğer bir deyişle veri siloları oluşturularak güvence altına alınmaktadır. Yine, bu, özellikle yapılandırılmamış veriler söz konusu olduğunda, kör, ya hep ya hiç yaklaşımıdır.
Örneğin, Bob ve Alice adlı iki çalışanın erişmesi gereken bir elektronik tablo alın. Her ikisinin de kimlik bilgileri vardır ve güvenilir bir cihazdan çalışırlar. Alice, elektronik tablodaki tüm verileri, hatta gizli bilgileri bile görüntüleme yetkisine sahiptir. Ancak Bob’un hassas verileri görme yetkisi yok, bu nedenle bu elektronik tablonun bir kopyası üzerinde bu bilgiler kaldırılmış halde çalışması gerekiyor. Artık aynı dosyanın iki kopyasına sahipsiniz. Daha da kötüsü, Bob e-tabloyu güncelledikten sonra, artık birinin bu değişiklikleri uzlaştırması gerekiyor. Bu, organizasyon genelinde tekrar tekrar olur.
Gizli bilgileri silolama zorunluluğu, özellikle bu veriler karışık hassasiyetlere sahipse, veri bilimi, analitik ve yapay zeka üzerinde önemli bir etkiye sahip olabilir. Ya onu kullanabilecek kişiler ve algoritmalar için sınır dışı olur ya da kuruluşun depolama, yönetim, AI/ML boru hatlarını vb. etkin bir şekilde çoğaltması gerekir.
Veri Düzeyinde Sıfır Güveni Entegre Etme
Sıfır güvene yönelik geleneksel ağ merkezli yaklaşım bu sorunları ele almaz. Peki ya veri düzeyinde öznitelik tabanlı erişim denetimleri (ABAC) ile birlikte sıfır güven uygularsak? Bu nasıl görünürdü?
Tüm veriler, yazma sırasında uygulanan güvenlik etiketlerine sahip olacaktır, yani, giriş anında hemen korunacaktır. Sistem, daha fazla esneklik ve ölçeklenebilirlik sağlamak için verilerin orijinal yapısını koruyarak, tüm veri türlerini (yapılandırılmış veya yapılandırılmamış, akışlı veya statik) ham formlarında işleyebilmelidir.
Özniteliğe dayalı erişim denetimi, kaynakların, yalnızca rollerini değil, kullanıcıların özniteliklerini ve kimlik bilgilerini dikkate alan bir ilkeyle korunmasına olanak tanır ve daha karmaşık kurallara izin verebilir. ABAC, verileri hassas bir düzeyde korumak için kullanılıyorsa, veri ayrımının artık gerekli olmamasını sağlar. Erişimi yönetmek için kursa dayalı roller ve ayrıcalıklar kullanan daha yaygın rol tabanlı erişim denetiminin (RBAC) aksine, ABAC, “dinamik, bağlama duyarlı ve risk açısından akıllı olduğu için yeni nesil erişim denetimi olarak kabul edilir..” Bu erişim kontrolleri, veri seti, sütun, öznitelik tabanlı satır, belge/dosya ve hatta tek tek paragraflar düzeyinde uygulanabilir. Bu senaryoda, insanlar aynı dosyaya bakıyor olsalar bile yalnızca görmek için ihtiyaç duydukları (ve yetkili oldukları) verileri görür.
Veriler için sıfır güven merceğinden önceki örneklerimize bakalım. Bir veri analisti, hemen etiketlenecek hassas bilgileri yükleyebilir. Veritabanı yöneticisi bile bu bilgiyi göremez – sistem kaynaklarını yönetebilir, ancak oradaki gizli verileri görüntüleyemez. Sıfır güven.
Arkadaşlarımız Alice ve Bob tarafından yönetilen elektronik tablo düşünüldüğünde daha da ilginç hale geliyor. Elektronik tablonun yalnızca bir kopyası mevcuttur; hem Bob hem de Alice ona bakıyor ve üzerinde çalışıyor olabilir, ancak her biri yalnızca kimlik bilgilerine uygun verileri görebilir ve bunlara erişebilir. Teknik olarak, Bob tüm verileri görmediğini bile bilmez. Yine sıfır güven.
Verilere Sıfır Güvenin Etkileri
Peki, bu bir kuruluş ve verileri için ne anlama gelir?
İlk olarak, bu veriler – tüm karışık hassasiyetlerdeki veriler daha iyi korunur. Silolar ortadan kaldırıldığından, tüm veriler bir arada bulunabilir, bu da verimliliği artırır ve bilgileri anında kullanıma hazır hale getirir. Artık hassas bir kontrole sahip olduğumuz için, bu sıfır güveni ve ABAC’ı aramaya bile uygulayabiliriz, böylece hassasiyetten bağımsız olarak tüm veriler kolayca indekslenebilir ve bulunabilir; kullanıcılar yalnızca görmeye yetkili oldukları sonuçları görür. Ve veri bilimcileri, altyapı yerine yapay zeka ve analitik çalışmalarının hedeflerine odaklanabilir.
Bu size fantezi gibi geliyorsa, değil. Aslında bu, önde gelen üç harfli devlet kurumlarının farklı hassasiyetlerdeki verilerle çalışmak zorunda kaldıklarında kullandıkları yaklaşımdır. Verilere yönelik bu sıfır güven, şimdi her türden ticari ve devlet kuruluşuna giriyor ve ileriye dönük olarak verilerle nasıl çalıştığımız ve koruduğumuz üzerinde büyük bir etkiye sahip olmayı vaat ediyor.
yazar hakkında
Julius Schorzman, bir SAIC Şirketi olan Koverse, Inc.’in Ürün Yönetimi Direktörüdür ve müşterilere, anlayış kazanmak ve görevi etkileyen kararları ve eylemleri yönlendirmek için verileri kullanma yetkisi verir. Yüksek büyüme gösteren işletmeler için ürün geliştirme ve bilgi yönetiminde kanıtlanmış bir sicile sahip deneyimli bir ürün yönetimi yöneticisidir.
Julius’a çevrimiçi olarak https://www.linkedin.com/in/schorzman/ adresinden ve şirketimizin web sitesinde https://www.koverse.com/ adresinden ulaşılabilir.