Nedir? Nasıl?

Zero Trust (Sıfır Güven) Nedir?

İnsan hatasının her işte olduğu gibi bilişim sektöründe de önemli bir zafiyet olduğunu söyleyebilirim. Bu zafiyet geleneksel network mimarisinde bir cihazın ortak ağda bulunması halinde diğer tüm cihazlara erişimin kolay olmasıdır. Yani eğer bir satış temsilcisi zafiyet yaşarsa bu zafiyet muhasebe, teknik birim, üst düzey yöneticilerin verilerine de kolaylıkla sıçrayabilme ihtimalini taşır.

“Çok güvenli bir kalenin içerisinde olsanız bile kapıyı tutan nöbetçinin anlık dalgınlığıyla kapıyı açması sonucunda saldırıya açık hale gelirsiniz. “

Bu makalemizde yukarıda paylaştığım durumun yaşanmaması adına insan hatasını minimuma indirmeyi amaçlayan Zero Trust modelinden bahsedeceğim.

Zero Trust Nedir?

Zero Trust Nedir?

Geleneksel network modelleri genelde dışarıdan gelen saldırıları engellemeye yönelik Kale ve Hendek olarak adlandırılan çözümlerle kurgulanır. Bu nedenle dışarıdan erişim zordur fakat ağ içerisine erişim şansı bulunduğunda iç network içerisinde serbestçe dolaşılabilir. Yani hendeği aşıp kaleye girildiğinde rahatça Kralın odasına girer, oradan yemekhanede dolaşabilir. Bu modelde kimse neden orada olduğunuzu sormayacaktır.

Zero Trust’ı komik bir şekilde betimlemek gerekirse “Babana bile güvenme” prensibini benimseyen bir model olduğunu söyleyebilirim. Yani ağın içinden veya dışından fark etmeksizin ağdaki kaynaklara erişmeye çalışan herkesin sıfır güven çerçevesinde doğrulamaya tabii olması anlamına gelir.

Bu doğrulamaların sağlıklı şekilde uygulanabilmesi için bazı temel ilkeler bulunmaktadır.

Zero Trust Temel İlkeleri Nelerdir?

  • Sürekli İzleme ve Doğrulama: Kullanıcının kimliği ve ayrıcalıklarının yanı sıra cihaz kimliğini de (MAC ID) doğrular. Oturum ve bağlantılar periyodik olarak düşürülür. Bu sayede bilgisayarların ekranı açık kalsa bile oturum ve bağlantı düşeceği için tekrar bağlantı kurmak istendiğinde doğrulama adımını tekrarlanması amaçlanır.
  • Ayrıcalıklar: Bir kullanıcının gerçekten ihtiyacı olacağı kadar bilgiye ulaşılması amaçlanır. Bir muhasebe personelinin teknik dökümanlara erişim kurmasına ihtiyacı olmadığı gibi teknik personelinde muhasebe verilerine erişmeye ihtiyacı olmadığından erişim yetkileri ihtiyaç duyulduğu bölgelere göre kısıtlandırılır. Bu yetkilere Mikro Bölümleme adımında tekrar değineceğim.
  • Cihaz Erişim Kontrolü: Her ne kadar kullanıcıların oturum açması için özel kullanıcı adları ve parolaları da koyulsa bağlı olan cihazın güvenliğinin kontrolü de önemlidir. Cihaz erişim kontrolü ilkesi ağlara kaç farklı cihazın eriştiğini, her cihazın yetkili olup olmadığı, bu cihazların güvenliği ihlal etmediğinden emin olunması gibi kontrol adımlarını kapsar.
  • Mikro Bölümleme: Ağın içerisindeki farklı bölümlere özel olarak güvenli alt ağ bölgeleri oluşturulur. Bölümlere ayırma işleminden sonra oluşan ağlara mikro bölümler denir. Her bölgede ayrı departmanların verileri saklanır ve sadece ilgili kullanıcıların ihtiyaç duyduğu alanlara özel olarak yetki verilmesi amaçlanır. Bu sayede bu alt ağlardan birine erişimi olan kullanıcılar veya programlar ayrı bir yetki olmadan diğer bölgelere erişemeyecektir.
  • Ağ İçinde Serbest Dolaşımı Engelleme: Bir bölümde yaşanan zafiyetten dolayı diğer mikro bölümlere erişemez. Zafiyet yaşayan kullanıcının tespiti kolay olur ve ağ içinde gezinimini engelleyebilmek adına ilgili kullanıcı karantinaya alınabilir.
  • Çok Faktörlü Kimlik Doğrulama (MFA): Zero Trust modelinin en önemli adımıdır. Bir kullanıcının yetkisini doğrulamak için birden fazla doğrulama adımından geçmesi gerekir. Örnek olarak ofis ağına bağlanmak için VPN erişiminde, e-postalara girişte, şirket içi kullanılan ortak programlara girişte sadece kullanıcı adı ve şifre yeterli olmamaktadır. Parolaya ek olarak 2FA (İki Adımlı Doğrulama) olarak adlandırılan, Google Authenticator, DUO gibi 2FA uygulamalarında veya telefonunuza iletilen bir SMS içerisinde bulunan ve belirli periyotlarla yenilenen özel tek kullanımlık parolalar kullanılır. Bir üst seviyesiyle biyometrik onaylardan (Retina, parmak izi, avuç içi vb.) geçirilebilir. Bu sayede büyük bir oranda yetkisiz erişimin önüne geçilmiş olunur.

Zero Trust’ın Kullanım Senaryolarına Örnekler Nelerdir?

  • Uzaktan çalışan çalışan kullanıcılarınız bulunuyorsa, ortak bir VPN kanalıyla şirket ağına tam yetki vermek yerine VPN erişimine ek olarak Zero Trust modelini uygulayabilirsiniz. Bu sayede erişim kontrolünü sağlayabilir ve tüm ağ bölümlerine güvenli bir set çekebilirsiniz.
  • Eğer ofisinizde belirli uygulamalar (Slack, Google Drive, Office programları, vb.) kullanılıyor ve ek yazılımların sürekli yüklenmesine gerek duyulmuyorsa, Jumpcloud, Okta gibi bulut tabanlı dizin kontrolü sağlayan uygulamalar kullanabilirsiniz. Bu sayede her kullanıcı grubuna özel olarak yüklenmesi gerek uygulamaları tanımlayabilirsiniz. Eğer bir kullanıcı için özel bir yazılım kurulması ihtiyacı bulunursa Admin yetkisine sahip bir kullanıcı tarafından kullanıcıya özel olarak bu yazılım kurulabilir. Bu sayede zafiyetli yazılımların kurulmasının önüne geçebilirsiniz.
  • Her yeni kullanıcı daha öncesinde hazırlanmış bir yapınız bulunduğu için daha hızlı bir şekilde sisteme bağlanmaya hazır olur. Bu sayede hem iş süreci hem de kullanıcının sisteme adaptasyon süresini kısaltabilirsiniz.

Zero Trust’ın Dezavantajları Var mı Varsa Nelerdir?

  • Yüksek Maliyet: Zero Trust modeli, network altyapısının güvenliğini güçlendirmek adına kullanacağı cihazlar ve yazılımların lisansları maliyetli bir yatırım olacaktır.
  • Uyumsuzluk Sorunları: Bazı eksik uygulamalar Zero Trust yapısına uygun çalışmayabilir. Örneğin Admin yetkisine ihtiyaç duyar, multi faktörlü doğrulama desteği bulunmayabilir. Bu yazılımların güvenlik ve çalışma uyumluluğunu gerçekleştirmek için uyumluluk çalışmalarına ihtiyaç duyulur.
  • Kullanıcı Deneyimi: Kullanıcılar her veriye en hızlı şekilde ulaşmak isteyebilir. Ek doğrulama adımlarına alışmaları karmaşık gelebilir ve kullanıcıları rahatsız edebilir. Tabii ki, bu süreci iyi yöneterek neden bu doğrulamalara ihtiyaç duyulduğunu anlatmanız geçiş sürecinde önemli bir adım olacaktır.
  • Personel Eğitimi: Tüm personellerin oluşturduğunuz güvenlik politikalarınıza ve prosedürlerine hakim olması gerekir. Düzenli olarak siber tehtitlere karşı farkındalık ve Zero Trust yapınıza alışma süreci boyunca uygulanan doğrulamalar konusunda eğitimler verilmesi gerekir.
  • Belirsiz Yetkilendirmeler: Bir kullanıcı birden çok ağ bölümüne erişim ihtiyacı bulunabilir. Burada tüm ağa yetki verilmesi yine zafiyet yaşanma ihtimalini artırabilir. Bu nedenle yetkilendirmeleri özenle hazırlanması ve sürekli olarak erişimlerinin kontrol edilmesi gerekir.

Zero Trust kavramını işinizde kullanmak veya mevcuttaki yapınızı iyileştirmek istiyorsanız hiç çekinmeden sorularınızı satış ekibimize iletebilirsiniz. İnternet sitemiz üzerinde bulunan canlı sohbet bölümü veya İletişim sayfamız içerisinde bulunan bilgiler üzerinden bizlerle iletişime geçebilirsiniz.

Subscribe
Bildir
guest
0 Yorum
Inline Feedbacks
View all comments