Zero Trust Mimarisi ve Rehber
Zero Trust yaklaşımı, varsayılan olarak hiçbir kullanıcıya, cihaza veya uygulamaya güvenmemeyi ve sürekli doğrulama ile erişim sağlamayı esas alır. Rehber önerileri, Zero Trust sağlayacak prensiplerin uygulanmasına yardımcı olabilir. Bilgi ve İletişim Güvenliği Rehberi (Rehber) doğrudan bir güvenlik mimarisi sunmaz. Uygulanacak tedbirlerle ilgili yol göstericilik yapar. Bununla birlikte Zero Trust (Sıfır Güven) mimarisini destekleyen ilkeleri içermektedir.
İçindekiler
🔔 Sosyal medya kanallarımızı takip etmeyi unutmayın!
Peki nedir bu sıfır güven?
Sıfır güven hiçbir şeye güvenme, devamlı olarak doğrulama yap ilkesine dayanmaktadır. Örneğin bir işletme, kendi altyapısı üzerinde birkaç farklı dahili ağ, uzak ofisler, farklı cihazlara sahip kullanıcılar veya bulut hizmetlerine sahip olabilir. Ağ yapısındaki bu genişlik, işletme için tek ve kolayca tanımlanabilen bir çevre olmadığı için çevre tabanlı ağ güvenliği yöntemleri yeterli korumayı sağlamayacak, yanal hareketi önleyemediği için ağ sistemleri saldırılara açık olacaktır.
Bu açıklıklar, sıfır güven (ZT) olarak bilinen siber güvenlik için yeni bir model geliştirilmesine yol açmıştır. NIST dokümanında yazdığı şekliyle bir ZT yaklaşımı öncelikle veri ve hizmet korumasına odaklanır ancak tüm kurumsal varlıkları (cihazlar, altyapı bileşenleri, uygulamalar, sanal ve bulut bileşenleri) ve özneleri (kaynaklardan bilgi talep eden son kullanıcılar, uygulamalar ve diğer insan olmayan varlıklar) kapsayacak şekilde genişletilebilir ve genişletilmelidir.
Sıfır güven, ortamda bir saldırganın bulunduğunu ve kurumsal bir yapının kurumsal olmayan herhangi bir yapıdan farklı veya daha güvenilir olmadığını varsayar. Böylelikle kuruluş kendini hiçbir zaman güvende saymamalı, bilgi varlıklarına ve işlevlerine yönelik riskleri sürekli olarak analiz edip değerlendirmeli ve ardından bu riskleri azaltmak için aksiyon almalıdır.
Kaynak: NIST
Sıfır güven ilkesinde, bu aksiyonlar genellikle kaynaklara erişimi yalnızca erişime ihtiyaç duyduğu belirlenen kişiler ve varlıklarla sınırlandırmayı ve her erişim isteğinin kimliğini ve güvenlik durumunu sürekli olarak doğrulamayı ve yetkilendirmeyi içerir.
Sıfır güven ile ilgili detaylı bilgi sayfalarca yazılabilir. Fakat bu yazının amacı genel olarak Rehber tedbir maddelerinin sıfır güven ilkelerini temel olarak karşılayıp karşılamadığı hakkında bilgi vermek olduğu için hemen bazı ilkelere ve Rehber ilişkisine geçelim. Burada yazılanlar sıfır güven detaylandırılmadan bazı genel ilkeleri ele almaktadır.
Sıfır Güven İlkeleri için Rehber Maddeleri
- Kimlik Doğrulama ve Yetkilendirme:
- Rehber, güvenli kimlik doğrulama ve yetkilendirme mekanizmalarının kurulması için gereklilikler sunmaktadır. Hassas işlevler gerçekleştirilmeden önce yeniden kimlik doğrulama, daha güçlü bir mekanizmayla kimlik doğrulama, çok faktörlü kimlik doğrulama veya işlem imzalama gibi yöntemler uygulanması gerekliliği belirtilir. Rehberde sürekli doğrulama zorunlu tutulmaz ancak maddede belirtilen hassas işlem kavramı işletme inisiyatifinde olmakla birlikte tüm işlemlere uygulanabilir. Bu, sıfır güvenin her erişim isteğini doğrulama prensibini destekler.
- Rehber, güvenli kimlik doğrulama ve yetkilendirme mekanizmalarının kurulması için gereklilikler sunmaktadır. Hassas işlevler gerçekleştirilmeden önce yeniden kimlik doğrulama, daha güçlü bir mekanizmayla kimlik doğrulama, çok faktörlü kimlik doğrulama veya işlem imzalama gibi yöntemler uygulanması gerekliliği belirtilir. Rehberde sürekli doğrulama zorunlu tutulmaz ancak maddede belirtilen hassas işlem kavramı işletme inisiyatifinde olmakla birlikte tüm işlemlere uygulanabilir. Bu, sıfır güvenin her erişim isteğini doğrulama prensibini destekler.
- Güvenlik Açıklarının Azaltılması:
- Rehber maddeleri, bilgi teknolojilerine yönelik uygulanması gereken tedbirler ve sıkılaştırma gereklilikleri ile uygulama ve sistemlerde tehdit oluşturabilecek yaygın güvenlik açıklarına karşı önlem alınmasını sağlar. Bu tip açıkların önlenmesi, güvenlik risklerini azaltarak sıfır güven sistemlerinin güvenliğini artırır.
- Rehber maddeleri, bilgi teknolojilerine yönelik uygulanması gereken tedbirler ve sıkılaştırma gereklilikleri ile uygulama ve sistemlerde tehdit oluşturabilecek yaygın güvenlik açıklarına karşı önlem alınmasını sağlar. Bu tip açıkların önlenmesi, güvenlik risklerini azaltarak sıfır güven sistemlerinin güvenliğini artırır.
- Ağ ve Veri Koruması:
- Rehber, verilerin güvenli bir şekilde taşınması, işlenmesi ve saklanması için şifreleme önerileri sunar. Yine burada verinin kritiklik durumu önemlidir. İstenilen sistemlere uygulanabilir. Bu, sıfır güven mimarisinde verilerin sürekli güvenliğini sağlamaya katkı sağlar.
- Rehber, verilerin güvenli bir şekilde taşınması, işlenmesi ve saklanması için şifreleme önerileri sunar. Yine burada verinin kritiklik durumu önemlidir. İstenilen sistemlere uygulanabilir. Bu, sıfır güven mimarisinde verilerin sürekli güvenliğini sağlamaya katkı sağlar.
- Dinamik Güvenlik Testi:
- Rehber, herhangi bir araç sunmaz fakat uygulama güvenlik açıklarının tespit edilebilmesi için dinamik kod analizi ve statik kod analizi yapılması gerektiğini belirtir. Sıfır güven yaklaşımında bu tür analizler, sürekli izleme ve tehdit tespiti için önemlidir.
- Rehber, herhangi bir araç sunmaz fakat uygulama güvenlik açıklarının tespit edilebilmesi için dinamik kod analizi ve statik kod analizi yapılması gerektiğini belirtir. Sıfır güven yaklaşımında bu tür analizler, sürekli izleme ve tehdit tespiti için önemlidir.
- Risk Yönetimi:
- Sıfır güven gerçek zamanlı olarak risk azaltma yaklaşımını gerektirir. Rehber, gerçek zamanlı olarak risklerin izlenmesi, azaltılması, önlenmesi için genişletilmeye müsait tedbir maddeleri içermektedir.
- Sıfır güven gerçek zamanlı olarak risk azaltma yaklaşımını gerektirir. Rehber, gerçek zamanlı olarak risklerin izlenmesi, azaltılması, önlenmesi için genişletilmeye müsait tedbir maddeleri içermektedir.
- Hizmet Güvenliği:
- Rehber, kimlik doğrulama ve yetkilendirme, servisler arası güvenlik, API güvenliği, güvenlik duvarları, en az yetki prensibi, loglama, izleme gibi hizmet mimarileri yaygın güvenlik açıklarını ele alır ve uygulanması gereken tedbirleri sunar. Bu yönüyle sıfır güvenin sıkı denetim gereksinimlerini destekler.
- Rehber, kimlik doğrulama ve yetkilendirme, servisler arası güvenlik, API güvenliği, güvenlik duvarları, en az yetki prensibi, loglama, izleme gibi hizmet mimarileri yaygın güvenlik açıklarını ele alır ve uygulanması gereken tedbirleri sunar. Bu yönüyle sıfır güvenin sıkı denetim gereksinimlerini destekler.
- Mikro Segmentasyon:
- Rehberde segmentasyon açıkça belirtilmese de ağların, iletişim kanallarının, cihazların ayrılması, izole edilmesi, her biri arasındaki geçişte kontrol ve doğrulamaların yapılması ile ilgili tedbirler yer almaktadır. Bu maddelerin daha da genişletilmesi gerekmekle birlikte sıfır güveni desteklemektedir.
- Rehberde segmentasyon açıkça belirtilmese de ağların, iletişim kanallarının, cihazların ayrılması, izole edilmesi, her biri arasındaki geçişte kontrol ve doğrulamaların yapılması ile ilgili tedbirler yer almaktadır. Bu maddelerin daha da genişletilmesi gerekmekle birlikte sıfır güveni desteklemektedir.
- Dinamik Politika Yönetimi:
- Erişim politikaları, cihaz durumu, konumu, kullanıcı davranışı ve farklı faktörlere dayalı olarak dinamik şekilde ayarlanabilmelidir. Rehberde bu durumlara göre ek doğrulamaların, kontrollerin yapılması gerekliliği genişletilmeye müsait olarak yer almaktadır.
Sonuç
Rehber, Zero Trust mimarisini doğrudan bir çerçeve olarak sunmasada, bu mimarinin uygulanmasına yönelik tedbir maddeleri, sıkılaştırma önerileri ile yol göstericilik sağlar. Eğer bir işletme Zero Trust’a geçmek istiyorsa, Bilgi ve İletişim Güvenliği Rehberi’nde belirtilen birçok tedbir maddesi bu modele geçiş için temel oluşturabilir. Bununla birlikte, dinamik politika yönetimi veya mikro segmentasyon gibi konularda Zero Trust’a özel stratejiler benimsenebilir.
