Timothy Liu, CTO ve Hillstone Networks Kurucu Ortağı tarafından
ZTNA veya sıfır güven ağ erişimi, en azından aldığı kapsama göre ölçüldüğünde, şu anda en popüler siber güvenlik terimlerinden biri gibi görünüyor. Özünde, ZTNA, özellikle dağıtılmış işgücü için, yönetim kurulu genelinde güvenliği artırmayı amaçlayan oldukça basit bir yapıdır. Temel önceliği, çok seviyeli, çok aşamalı tehditler dahil olmak üzere genel saldırı maruziyetini teorik olarak azaltacak olan kullanıcılara, cihazlara ve diğer ağ unsurlarına yönelik örtük güveni ortadan kaldırmaktır. Yine de tüm vızıltı garantili mi? Hillstone’da, cevabın birkaç nitelikle birlikte yankılanan bir ‘Evet’ olduğuna inanıyoruz.
Ama Önce Geriye Bir Bakış
ZTNA’yı ayrıntılı olarak incelemeden önce, bu yeni modelin neden önerildiğini ve tanıtıldığını anlamak önemlidir. Güvenli bir uzaktan erişim yolu elde etmek, neredeyse ilk veri ağları geliştirildiğinden beri BT uzmanlarının hedefi olmuştur. 1990’ların başında, SIPP gibi uzaktan erişimi güvence altına almak için birkaç erken yöntem ortaya çıktı. 1990’ların ortalarında güvenli yuva katmanı (SSL) protokolü piyasaya sürüldü ve bugün hala yaygın olarak kullanılan kurumsal sınıf SSL VPN’lerin altında yatan teknoloji haline geldi.
(Yazarın notu: Sektördeki çoğu kişi hala bu tür güvenli uzaktan erişime SSL VPN olarak atıfta bulunsa da, teknik olarak teknoloji şimdi 2000’lerin ortalarında SSL’nin yerini alan aktarım katmanı güvenliğine (TLS) dayanmaktadır.)
SSL VPN’ler, yeni nesil güvenlik duvarlarının (NGFW’ler) ve Hillstone Networks’ün çözümleri gibi diğer güvenlik ürünlerinin bir parçası olarak ve bulut hizmetleri olarak bağımsız cihazlar olarak mevcuttur. Salgının başlarında, hükümetler COVID-19’un yayılmasını önlemek için nüfuslarını kilitlemeye çalıştığında, birçok kurumsal BT ekibi aniden evden çalışması gereken çalışanları desteklemek için SSL VPN’lere yöneldi.
Ancak şimdi, dağıtılmış iş gücü bir fenomenden ziyade bir gerçeklik haline geldi ve uzak çalışanları çok sayıda destekleme ihtiyacı, SSL VPN’in aşağıdakiler de dahil olmak üzere belirli sorunlarını ve sınırlamalarını ön plana çıkardı:
Yaygın Güvenlik Açıkları: Yıllar içinde, kurumsal sınıf VPN’lerde çok sayıda güvenlik açığı belirgin hale geldi ve birçok siber güvenlik uzmanı için kırmızı bayraklar kaldırdı. Örneğin 2021’de, birden fazla ABD federal sivil kuruluşu, Pulse Connect Secure VPN güvenlik açığı yoluyla veri ihlali potansiyeliyle karşı karşıya kaldı. İki yıl önce, belirli VPN’lerin aktif olarak sömürülmesine yanıt olarak ABD Ulusal Güvenlik Ajansı bir tavsiye yayınladı.
Lisans Maliyetleri ve Genişletme Sınırlamaları: Genellikle ticari SSL VPN’ler kullanıcı başına ve kapasite başına lisanslanır, yani ek uzaktan çalışanları desteklemek için ölçeklendirmenin hem lisans satın alma hem de BT personeli emeği açısından pahalı olabileceği anlamına gelir. Fiziksel SSL VPN cihazları, kapasiteyi artırmak için ek modüllerin satın alınmasını da gerektirebilir.
Kullanıcı Kimlik Doğrulaması: Ağa bağlı kullanıcıların ve cihazların görünürlüğü, siber güvenliğin temel ilkelerinden biridir. Tipik bir kurumsal VPN, VPN tünelinin ilk oturum açma ve kurulumunda yalnızca bir kez kimlik doğrulaması gerçekleştirir ve ardından kullanıcının önceden onaylandığı tüm ağ kaynaklarına erişim verilir. Bu, örneğin kullanıcı kimlik bilgilerinin bir saldırgan tarafından çalınması durumunda bir güvenlik riski oluşturabilir.
Belirtildiği gibi, SSL VPN’ler geniş kullanımdadır; 2021’deki pazarın yaklaşık 5 milyar ABD doları olduğu tahmin ediliyor. Yeni bir güvenli uzaktan erişim teknolojisine forklift yükseltmesinin bir maliyeti vardır, ancak yukarıda belirtilen sorunlar ve endişeler nedeniyle, birçok güvenlik ekibi ZTNA’yı başka bir seçenek olarak görmektedir.
ZTNA: Temel Tanım
En temelinde, ZTNA’nın mantrası ‘asla güvenme, her zaman doğrula’dır. Bunu genişletmek için ZTNA, cihazların ve kullanıcıların mutlak güvenini ortadan kaldırmayı ve kullanıcı rolü, konumu veya diğer faktörlere dayalı olarak yalnızca minimum erişim ve yetkilendirmeye izin vermeyi amaçlamaktadır. ZTNA altında, kimlik doğrulama sabittir ve devam eder – örneğin, kullanıcının veya cihazın güvenlik durumundaki bir değişiklik, erişimin iptal edilmesine neden olabilir. İyi yürütülürse ZTNA, gelişmiş ölçeklenebilirlik, esneklik ve güvenilirlik ile son derece ince taneli görünürlük ve kontrol sağlayabilir.
Teknolojik bir bakış açısından, ZTNA, kimlik doğrulama kavramını tamamen tersine çeviren geleneksel ağ merkezli odak yerine kullanıcıdan uygulamaya bir yaklaşım kullanır. ZTNA ile kullanıcılar ve cihazlar, kimlik ile birlikte talep edilen ağ ve uygulama kaynaklarının bağlamını da kapsayan daha derin bir düzeyde incelenir.
Kullanıcıdan uygulamaya yaklaşımın, güvenliği ağ çevresinden ağa bağlı herhangi bir kaynağa kadar genişlettiğini belirtmek önemlidir. Bu, örneğin bulut uygulamalarını ve kaynaklarını veya uzak fiziksel veya sanal uygulamaları ve verileri içerebilir.
Endüstri analisti firması Gartner, unsurlarından biri olarak ZTNA’yı içeren güvenli erişim hizmeti kenarı (SASE) kavramını destekledi. Siber güvenlik dünyasının bir başka sıcak konusu olan SASE, yeni dağıtılmış işgücüne hizmet etmek için bulut tabanlı güvenlik altyapılarından oluşuyor. SASE’nin birbiriyle yakından ilişkili iki temel faydası, gecikmenin azalması ve iyileştirilmiş bir kullanıcı deneyimidir.
İleriye Doğru Pratik Bir Yol
SSL VPN’nin geniş çapta benimsenmesi ve kullanılması göz önüne alındığında, ZTNA’ya geçişle ilgili herhangi bir konuşma, eski teknolojiyi hesaba katmalıdır. Platformlara, BT personelinin zamanına ve son kullanıcıların eğitimine, mevcut SSL VPN çözümlerini basitçe atmak için çok fazla mevcut yatırım var. Neyse ki – ve kısmen tasarım gereği – ZTNA, kendisini daha adım adım bir yaklaşıma kolayca ödünç verir.
Örneğin, Hillstone’un ZTNA çözümü, SSL VPN yetenekleri üzerinden ZTNA kimlik doğrulamasını üst üste bindirmek için Hillstone NGFW’lerinden ve Hillstone Güvenlik Yönetimi (HSM) platformundan yararlanır. Birleştirilmiş çözüm, çok çeşitli kimlik doğrulama protokollerinden yararlanabilir ve rol ve bağlam tabanlı politika uygulamasıyla kullanıcılar ve cihazlar üzerinde sıkı kontroller sağlar. Diğer bir olasılık, daha sonra ZTNA ve SASE’ye köprü görevi görmek için SSL VPN hizmetlerinin yanı sıra SD-WAN’ın (SASE’nin bir diğer unsuru) güvenlik özelliklerinden yararlanmaktır.
Çözüm
Sonuç olarak ZTNA, hızla olgunlaşıyor gibi görünse de, yeni gelişmekte olan bir siber güvenlik teknolojisidir. Geliştirme çabaları, sonunda, üreticilere ve güvenlik uzmanlarına, çekilecek bir dizi masa kazığı verecek olan konsolidasyon ve standardizasyona yol açacaktır. Şimdilik, ZTNA’nın en son hashtag mi yoksa gerçek anlaşma mı olduğu, nasıl uygulandığına bağlı olacak. Mevcut güvenlik çerçevesiyle nasıl bir arada var olabileceğini, güvenlik politikalarını nasıl destekleyip geliştirebileceğini ve çekirdekten uç noktaya ve buluta kadar tüm ağı nasıl daha iyi koruyup koruyacağının dikkatli bir şekilde değerlendirilmesini gerektirecektir.
yazar hakkında
Timothy Liu, Hillstone Networks’ün Kurucu Ortağı ve Baş Teknoloji Sorumlusudur. Bay Liu, rolünde, şirketin ürün stratejisi ve teknoloji yönünden ve ayrıca küresel pazarlama ve satıştan sorumludur. Bay Liu, 25 yılı aşkın tecrübesi ile teknoloji ve güvenlik sektörünün emektarıdır. Hillstone’u kurmadan önce, NetScreen Technologies’de ScreenOS için VPN alt sistemlerinin ve NetScreen’in satın alınmasının ardından Juniper Networks’ün geliştirilmesini yönetti. Bay Liu aynı zamanda patentli Juniper Evrensel Erişim Kontrolü’nün ortak mimarıdır ve NGFW için Risk Puanlama ve Riske Dayalı Erişim Kontrolü konusunda ek bir patente sahiptir. Bay Liu, kariyeri boyunca Intel, Silvan Networks, Enfashion ve Convex Computer’da önemli Ar-Ge pozisyonlarında hizmet vermiştir. He Liu, Çin Bilim ve Teknoloji Üniversitesi’nden Lisans Derecesine ve Doktora derecesine sahiptir. Austin’deki Texas Üniversitesi’nden.
Tim’e çevrimiçi olarak @thetimliu adresinden ve şirketimizin web sitesi https://www.hillstonenet.com/ adresinden ulaşılabilir.