VPN’lerin Sonu – Bölüm 2: Sıfır Güven Vızıltısının Ötesinde

   Mayıs 20, 2025  Posted in CyberSecurity-Insiders


[Part 2 of 2 – Based on an interview with Zscaler CSO Deepen Desai]

Holger Schulze, Siber Güvenlik İçereği

“Sıfır güven bir özellik değil,” Deepen Desai, RSA konferans röportajımız sırasında bana söyledi. “Ağa güvenmeyi durdurmak için mimari bir karar. Ya bunu tasarımla zorluyorsunuz – ya da taklit ediyorsunuz.”

Bu serinin 1. Bölümünde, VPN’lerin başarısızlığını araştırdık – saldırganların bunlardan nasıl yararlandıkları, yama basıncı altında nasıl çöktükleri ve riski içermek yerine nasıl genişlettiklerini araştırdık. Ancak San Francisco’daki konuşmamız tanıda durmadı. Bundan sonra gelenlere döndü.

Cevap sıfır güven. Ancak sulanmış, onay kutusu sürümü değil.

“Kullanıcılarınız bağlanır ve ağa yerleştirilirse – bulutta bile – sıfır güven yapmıyorsunuz,” Dedi Desai. “VPN’nizi yeni bir adrese taşıdınız.”

Bu markalaşma ile ilgili değil. Mimarlık ile ilgili. Ve Zscaler’da bu mimari bir temel fikir üzerine inşa edilmiştir: ilk etapta saldırı yüzeyinin azaltılması.

Görünmez saldırı yüzeyi

VPN’lerin temel kusuru uygulamaları ulaşılabilir hale getirmelerise, Zero Trust tamamen bunu çevirir. Desai bunu ağ varlığını tamamen ortadan kaldırarak tanımladı.

Zscaler Private Access (ZPA) ile kullanıcılar ağa asla erişemez. IP ataması yok. Paylaşılan alt ağ yok. Hiçbir şeye gelen erişim yok.

Bunun yerine, hem kullanıcılar hem de uygulamalar Zscaler Zero Trust Borsası’na sadece giden bağlantılar kurar. Kimlik, politika ve duruş hizalanması durumunda, Zscaler kullanıcıyı ve uygulama bağlantılarını birlikte diker.

“Ağı tarayabilirseniz, ağdasınız” Dedi Desai. “Ve ağdaysanız, saldırgan da olabilir.”

Bu yaklaşım, VPN yoğunlaştırıcılara, gelen güvenlik duvarı kurallarına veya maruz kalan IP’lere olan ihtiyacı ortadan kaldırır. Uygulamalar kararır. Ve saldırganlar göremediklerini hedefleyemezler.

Çevrenin yerini alan felsefe

Özünde, Zero Trust, NIST tarafından tanımlanan ve Zscaler’ın mimarisinde yankılanan üç pazarlık edilemez ilke üzerine inşa edilmiş bir çerçevedir:

  1. Asla güvenmeyin, her zaman doğrulayın
    Her kullanıcı, aygıt ve iş yükü, yalnızca girişte değil, sürekli olarak doğrulanmalı ve doğrulanmalıdır. Güven bir yer veya sertifika değildir. Kazanıldı ve sona eriyor.
  2. En az müstehcen erişimi zorunlu kılmak
    Kullanıcıların geniş ağ erişimine ihtiyaçları yoktur – belirli uygulamalara belirli uygulamalara özel erişime ihtiyaç duyarlar. İzinler her zaman mümkün olduğunca dar olmalıdır.
  3. İhlal et
    Uzlaşma kaçınılmazdır. Mimari içermeli ve izole etmelidir. Yanal hareket sadece engellenmemelidir, aynı zamanda tasarımla imkansız olmalıdır.

“Bu fikirlerin her biri miras modelini kırıyor,” Desai bana söyledi. “Bu yüzden VPN’nizi yeniden markalayamaz ve buna sıfır güven olarak adlandıramazsınız. Ya bu ilkeleri zorluyor – ya da bilmiyor.”

Zscaler’da bu ilkeler, segmentasyon kuralları tarafından değil, mimarinin kendisi tarafından değil, güvenlik duvarları tarafından uygulanır. ZPA ile uygulamalara doğrudan ulaşılamaz, kullanıcılar ağda değildir ve her bağlantı yapıldığında politikalar uygulanır.

Bu vakıftan sunum başlıyor.

Sıfır Güven’e dört aşamalı geçiş

Zscaler, eski sistemlerin forkliftinin değişmesini savunmuyor. Bunun yerine, Desai dört aşamalı bir evlat edinme yolu ortaya koydu-riskin en yüksek olduğu ve bileşiklerin zaman içinde fayda sağladığı yerlerde başlıyor.

  1. Zia ile Güvenli İnternet çıkışı

Özel uygulamalardan önce, giden trafikle başlayın. Zscaler Internet erişimi (ZIA), merkezi bir veri merkezine trafiği taşıyan tüm kullanıcılar arasında tutarlı politika ve TLS denetimini uygular.

Bu, şirket içi vekillere olan ihtiyacı ortadan kaldırır ve kullanıcıya yakın koruma uygular. Sıfır güvenin geri kalanını ölçeklenebilir hale getiren temeldir.

  1. Gelen VPN’yi ZPA ile değiştirin

Bir sonraki hareket, VPN tünellerini tamamen ortadan kaldırmaktır. ZPA, özel uygulamaları internet için görünmez hale getirir – kamu IP’leri yok, maruz kalan hizmet yok, gelen güvenlik duvarı kuralları yok.

“Sadece erişimi engellemek değil,” Dedi Desai. “Kapıyı bile çalma yeteneğini ortadan kaldırıyor.”

Erişim, kullanıcının kim olduğu, hangi cihazı kullandıkları ve hangi politikanın izin verdiği tarafından belirlenir. Bağlandıkları veya hangi ağda oldukları yerden değil.

  1. Segment kullanıcısından uygulama erişimine

Bu, çoğu kuruluşun Sıfır Güven’in gücünü gerçekten anlamaya başladığı yerdir.

Subnet, VLAN veya NAC ile bölümlere ayrılmak yerine, kullanıcıdan uygulamaya ilişkilerle zscaler segmentleri. Politikalar altyapı değil, kimlik üzerine inşa edilmiştir. Ve Zscaler’ın makine öğrenme motoru, zaman içinde uyarlanabilir politikalar önermek için gerçek erişim modellerini algılayabilir.

Desai, bir müşterinin 300 dahili uygulaması olduğuna inandığı bir örnek paylaştı. Zscaler 10.000’den fazla keşfetti.

“Var olduğunu bilmediğin şeyi segmentlere ayıramazsınız,” dedi. “Ama aynı zamanda hepsini bir kerede yapmak zorunda değilsiniz. Taç mücevherlerinizle başlayın. O zaman en riskli kullanıcılarınızı izole.”

Bu, rutin olarak kimlik avı simülasyonları, yönetilmeyen cihazlardaki kullanıcılar veya anormal davranış gösteren hesapları içerebilir.

  1. Hasar yayılmadan saldırganı tuzağa düşürün

Segmentasyon mevcut olsa bile, ihlaller olur. Ancak sıfır güven, önlemede durmaz – sınırlamaya kadar uzanır.

Zscaler, aldatmayı doğrudan Access katmanına entegre eder: Ekmek kırıntıları ile tohumlanmış tuzak uygulamaları, tıpkı gerçek uygulamalar gibi kullanıcılara sunulur. Dokunursa, gerçek ortama erişim derhal iptal edilir ve saldırgan izole edilir.

“Kapatıldıklarını bile bilmiyorlar,” Dedi Desai. “Ama zaten kaybettiler.”

Bu, VPN’lerin sıklıkla etkinleştirdiği yanal hareketi ortadan kaldırır ve saldırganın oyun kitabını onlara karşı çevirir.

Sıfır güveni önlemeden daha fazla yapan şey budur. Tasarımla sınırlama.

Ne işe yaramaz: NAC ve Cloud VPN’ler

Desai, Zero Trust’ın ne olmadığı konusunda kesinti.

“Buluta bir VPN koymak, yaptıklarını değiştirmiyor,” Bana söyledi. “Kullanıcılar hala ağa yerleştirilirse, mimariyi değil, adresi değiştirdiniz.”

Ağ Erişim Kontrolü (NAC) çözümleri eşit derecede sınırlıdır. Cihaz duruşunu kenarda inceleyebilirler, ancak bir oturumun içinde olanları önleyemezler – özellikle de saldırganın geçerli kimlik bilgileri varsa. Veri eksfiltrasyonunu onaylanmış bir bağlantı içinden engelleyemezler. Ve kesinlikle uygulamaları görünmez hale getiremezler.

Gerçek fayda: ölçeklenen sadelik

Güvenlik avantajları açık olsa da, Desai, özellikle VPN ek yükü ile mücadele eden kuruluşlar için Zero Trust’ın da bir operasyon kazanması olduğuna dikkat çekti.

VPN Risk Raporuna göre:

  • Güvenlik ekiplerinin% 54’ü VPN’lerin tekrar eden olaylara neden olduğunu söylüyor
  • % 41’i daha yüksek değerli projelerden kaynakları boşalttıklarını söylüyor
  • ManPowerGroup ZPA’ya taşındıktan sonra uzaktan erişim destek biletlerinin% 97’sini kesti

“Sadece güvenlik ekibiniz değil, fayda sağlıyor” Dedi Desai. “Bu sizin BT ekibiniz. Bu sizin kullanıcılarınız. Concinators satın almaya veya yama sözleşmelerini yenilemeye devam etmek istemeyen CFO’nuz.”

Altyapı ortadan kalktığında, karmaşıklık ve ortaya çıkan maliyet onu kapıdan takip eder.

Davayı Kurula Yapmak

Desai, Cisos’un toplantı odasına sıfır güvenini getirmek için çalışmaya tavsiyeleriyle konuşmamızı tamamladı. Onun tavsiyesi: Kontroller hakkında konuşmayın. Sınırlama hakkında konuşun.

“Soru, ihlal edip edemeyeceğiniz değil,” dedi. “Bundan sonra olan bu.

VPN’lerle ihlal yayılır. Sıfır güveniyle, ihlal içerilir – erişim varsayılan olarak sınırlıdır ve başarılı uzlaşma hatta yanal olarak hareket edemez.

Desai, Cisos’a bu üç noktaya liderlik etmesini tavsiye ediyor:

  1. Sıfır Trust, ihlal etkisini küçültüyor
  2. Dağıtılmış kullanıcılar ve bulut benimseme ile ölçekleniyor
  3. Varsayımları kanıtla değiştirir – her zaman bağlantı yapılır

Önlemenin kusurlu olduğu bir güvenlik ikliminde, sınırlama kraldır.

Zaten olan bir değişim

2025 VPN risk raporuna göre, geçiş zaten oluyor. Kuruluşların% 65’i VPN’lerden uzaklaşıyor. % 81’i sıfır güven mimarisine yatırım yapıyor.

Bu terimlerle ilgili değil. Kontrol ile ilgili.

“VPN’ler sizi ulaşılabilir hale getirir,” Desai, ayrılmak için dururken dedi. “Zero Trust, ağınızı ve uygulamalarınızı saldırganlar için görünmez hale getiriyor. Bu gelecek.”

Reklam

LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!



Source link