Bu Help Net Security röportajında, GoodAccess CEO’su Michal Cizek, dağıtılmış kaynaklardan yararlanmak ile birinci sınıf güvenlik önlemlerini sürdürmek arasındaki kritik dengeyi tartışıyor. Büyüyen uzaktan çalışma trendi ile Cizek, sıfır güven güvenlik modeli uygulamanın önemini vurgulayarak, böyle bir çabanın karmaşıklığını ve zorluklarını vurguluyor.
Kuruluşlar, dağıtılmış BT kaynaklarından en iyi şekilde yararlanırken aynı anda bunları nasıl güvende tutabilir?
Bir kuruluşun BT hizmetlerinin ve altyapısının yalnızca küçük bir bölümünü yerel olarak çalıştırması ve geri kalanının bulut ve SaaS sağlayıcılarına yüklenmesi bir standart haline geldi. Bazıları daha da ileri gidiyor ve yerel ağı olmayan şirketler nadir değil, birkaç yıl önce hayal bile edilemeyecek bir şeydi.
Bunun birkaç iyi nedeni var – maliyet optimizasyonu, ölçeklenebilirlik, yönetim ve bakım karmaşıklığının azaltılması, yetenekli BT uzmanlarının eksikliği. Ancak bu aynı zamanda BT güvenliğine karmaşıklık katar çünkü çalışanlarınızın eriştiği hizmetler nerede olursa olsun, aktarım halindeki verilerinizi korumaktan ve erişimi güvence altına almaktan her zaman siz sorumlusunuz.
Sıfır güven, güvenlikten ödün vermeden dağıtılmış BT’nin avantajlarından yararlanmanıza olanak tanıyan modern bir yaklaşımdır. Nerede olurlarsa olsunlar, kaynaklara her yerden güvenli erişim sağlar. Ayrıca, güncelliğini yitirmiş güvenilir çevre ilkesini, kullanıcıların tüm ağa değil, yalnızca işleri için ihtiyaç duydukları kaynaklara erişebilmeleri için ayrıntılı erişim kontrolüne izin veren “sıfır güven” yaklaşımıyla değiştirir.
Küçük kuruluşlar için sıfır güven güvenlik modeli uygulamanın karmaşıklıkları nelerdir?
Sıfır güven güvenliği uygulamak, genellikle erişim politikasını en baştan yeniden tasarlamak anlamına gelir. Mevcut süreçlerin hem BT güvenlik yöneticisi hem de kullanıcılar için değişmesi gerekir.
Sıfır güven güvenliği, erişim ayrıcalıklarını çok parçalı bir temelde atama yeteneğini varsayan en az ayrıcalık ilkesine göre çalışır. Bu, kullanıcı hesaplarının merkezi yönetimi için bir kimlik ve erişim yönetimi (IAM) çözümü veya en azından SSO ve bireysel sistemlere erişim izni vermek için sıfır güven erişim kontrolleri gerektirir.
Tüm bunlar pahalı olabilir ve küçük kuruluşların genellikle sahip olmadığı çaba ve uzmanlık gerektirebilir. Bu, parçalı erişim denetimleri ve kullanıcı yönetimini daha düşük bir maliyetle ve genellikle daha az karmaşıklıkla sunan SaaS sıfır güven güvenlik çözümlerini benimseyerek çözülebilir.
Aynı derecede önemli olan çalışan eğitimidir. Çalışanlar yeni değişikliklere direnebilir ve kuruluşlar yeni politikaların neden uygulamaya konduğunu açıklamak için gereken özeni göstermelidir; yani çalışanların hayatlarını zorlaştırmak değil, hem şirketin hem de kendi hayatlarının güvenliğini artırmak.
Yönetimden de değişime dirençle karşılaşılabilir. Yeni sıfır güven güvenlik araçları mevcut güvenlik önlemlerine uymadığında, BT yöneticileri bunların değiştirilmesi için tartışmak zorunda kalabilir. Örneğin, daha önce güvenli uzaktan erişim için kullanılan eski bir donanım VPN’i, şimdiye kadar “mükemmel derecede iyi” çalışmasına rağmen sıfır güven güvenlik çözümü tarafından geçersiz kılınacaktır.
Şirketler, uzak bir iş gücünü yönetirken esneklik ihtiyacı ile güvenlik ihtiyacını nasıl dengeleyebilir?
Küçük ve orta ölçekli işletmeler bile son yıllarda önemli değişiklikler geçirdi. Daha esnek olmak için uzaktan çalışma, BYOD, merkezi olmayan BT gibi trendleri benimsediler ve operasyonlarını buluta taşıdılar. Bir işletmenin özel ağa sahip olmaması ancak doğal olarak büyüyen çevrimiçi tehditlere karşı korunmaya ihtiyaç duyan sistemleri, uygulamaları, verileri ve çalışanları olması bir istisna değildir.
Bu yeni gerçekliğin güvenliğini uzak iş gücünün ihtiyaçları ile dengelerken, sadece kullanımı kolay, güvenilir ve kullanıcıyı rahatsız etmeyen teknoloji değil, aynı zamanda çalışan eğitimi de önemlidir. Çalışanlar, yeni güvenlik prosedürlerine direnmemeleri ve bunlara aktif olarak katkıda bulunmaları için yeni politikalar konusunda eğitilmelidir. Örnek vermek gerekirse, çok faktörlü kimlik doğrulama bir sıkıntı olarak görülmemeli, oturum açmanın standart bir parçası ve tüm çalışanlar için ikinci bir doğa olarak görülmelidir. Çalışanları tespit etme ve bildirme konusunda eğitmek için düzenli kimlik avı tatbikatları yapılmalıdır.
GoodAccess’i işletmeler için güvenilir bir siber güvenlik platformu yapan temel özelliklerini açıklayabilir misiniz?
Gerektiğinde statik IP adresleri sağlayabilen bir trafik şifreleme aracı olarak VPN’lerin geleneksel algısını yeniden tasarlıyoruz. GoodAccess, SSO, DNS filtreleme, erişim günlükleri ve çevrimiçi tehdit koruması gibi iş güvenliğini artıran ek önlemlerin yanı sıra parçalı erişim kontrolü sağlayan kapsamlı bir sıfır güven ağ erişim platformudur.
Müşterinin hizmete abone olması, temel yapılandırmayı yapması, çalışanları platforma davet etmesi için küresel bir bulut altyapımız var ve hepsi bu. Hiçbir aksama veya ek karmaşıklık yoktur ve her şey farklı platformlarda çalışır. GoodAccess, tek bir çatı altında uzaktan erişim, siteden siteye bağlantı ve erişim hakları kontrolü gibi çeşitli kullanım durumlarını kapsar.
Tüm bunlar, odaklandığımız müşteriler olan küçük ve orta ölçekli işletmeler için uygun fiyatlıdır.
GoodAccess’i piyasadaki diğer siber güvenlik çözümlerinden ayıran nedir?
Geleneksel VPN yeteneklerinin çok ötesine geçen özellik setinin yanı sıra, GoodAccess’i kurulumu, yönetimi ve kullanımı son derece kolay olacak şekilde oluşturuyoruz. Temel olarak herhangi bir şirket, özel bir uzman olmasa bile iş sistemlerine, bulutlarına ve verilerine 10 dakika içinde uzaktan erişimi koruyabilir.
Ayrıca, VPN’e “insan dokunuşu” sağlıyoruz. Biz soğuk hizmetler sunan isimsiz bir şirket değiliz, GoodAccess’in arkasında her zaman yardıma hazır gerçek insanlar var. Bu nedenle, birinin yardıma ihtiyacı olursa, her zaman ekipten işleri halletmeye yardımcı olan biri vardır. Bu nedenle, desteğimiz müşterilerden harika geri bildirimler alıyor ve inceleme platformlarında üst sıralarda yer alıyor.
Kısa bir süre önce Google for Startups Growth Academy for Cybersecurity’ye kabul edildiniz. Bu fırsattan ne bekliyorsunuz?
Google’ın Growth Academy, bölgemizdeki birinci sınıf siber güvenlik şirketleriyle bağlantı kurmak, deneyim paylaşmak ve potansiyel olarak sinerjik teknolojik ortaklık bulmak için harika bir fırsat. Bu nedenle, bunu GoodAccess gibi benzer işletmelerle ağ kurmak için bir fırsat olarak değerlendiriyoruz.
Başka bir şey de, küresel pazara açılma stratejileri etrafında danışmanlık yapmaktır. Büyüme aşamasındaki bir şirket için sektördeki en iyi insanlardan öğrenmek önemlidir ve Startups Growth Academy kesinlikle bizim için doğru yer.