arrow_back
search
close

Sıfır Güven Nedir?

Sıfır güven (ZT), güven kurulana ve zaman içinde sürdürülene kadar her işlemin, varlığın ve kimliğin güvenilmez olduğunu varsayan bir mimari yaklaşım ve ağ güvenliği hedefidir. Sıfır Güven stratejileri, güvenlik sistemleri bir ihlal tespit etmedikçe bir ağın güvenli olduğuna dair eski görüşle çelişir.

Sınırların ötesinde güvenlik

Son on yılda, işletmeler giderek daha fazla dijital hale geldi. Artık bulut mimarisini ve daha fazla uzaktan çalışmayı içeriyorlar ve diğer dönüştürücü değişiklikler arasında hizmet olarak çözümler eklediler. Güvenlik ekipleri, ağ güvenliğini buna göre ölçeklendirdi ve genellikle ağı daha küçük bölgelere ayırarak daha güvenli bir hale getirdi.

Bu strateji, ne yazık ki, saldırganlar için daha fazla fırsat yarattı. Saldırganlar bir kullanıcının oturum açma bilgilerine eriştiğinde, ağ üzerinde yanlamasına hareket ederek fidye yazılımlarını yayabilir ve ilerledikçe ayrıcalıklar ekleyebilirler.

Çok faktörlü kimlik doğrulama (MFA), kimlik bilgilerinin gücünü artırdı, ancak yalnızca bir fazladan kimlik doğrulama katmanı ekledi. İçeri girdikten sonra, bilgisayar korsanları, oturumu kapatana veya sistem oturumu kapatana kadar sürekli erişime sahiptir.

Kendi cihazını getir (BYOD), uzaktan çalışma ve bulut mimarisi dahil olmak üzere yeni çalışma yöntemleri, yeni bir dizi güvenlik açığı getirdi. Ancak daha yüksek görünürlüğe sahip yeni, daha güçlü siber güvenlik korumaları bile kurumsal ağın ucunda sona erer ve bu noktanın ötesini göremez.

Sıfır Güven güvenlik modeli

Siber güvenliğe sıfır güven yaklaşımı eski paradigmayı alt üst ediyor. Siber güvenlik artık ağ bölümleri veya kurumsal ağ sınırları içinde tanımlanmamaktadır. Güven, bir bağlantının veya varlığın bir işletmeye mi yoksa bireye mi ait olduğuna bağlı olarak verilmez. Ayrıca, fiziksel veya ağ konumu – internet veya yerel alan ağı – temel alınarak verilmez.

Bunun yerine sıfır güven, kime ve nerede bulunduklarına bakılmaksızın kaynaklara, kullanıcılara ve varlıklara ayrı ayrı odaklanır. Kimlik doğrulama, bir kullanıcıya erişim verilmeden önce bir kurumsal kaynak için ayrı ayrı gerçekleştirilir.

Nihai hedef, doğrulanana kadar herhangi bir ağ öğesinin güvenini sıfıra indirmektir.

Sıfır Güven standartları

Şu an sıfır güven sertifikası ve standartları bulunmamaktadır. 1901'de kurulan ve şu anda ABD Ticaret Bakanlığı'nın bir parçası olan Ulusal Standartlar ve Teknoloji Enstitüsü  (NIST), ABD için teknoloji, ölçüm ve standart bilgileri sağlar. Amacı, teknolojinin rekabet gücünü artırmaktır.

NIST, iletişim, teknoloji ve siber güvenlik uygulamaları için standartlar oluşturur. Grup henüz sıfır güven için henüz standartlar veya sertifikalar oluşturmadı, ancak sıfır güven mimari hedeflerini tartışan bir Özel Yayın (SP) oluşturdu.

Makalenin özeti sıfır güveni şu şekilde tanımlar: “Sıfır güven, savunmaları statik, ağ tabanlı çevrelerden kullanıcılara, varlıklara ve kaynaklara odaklanmak için hareket ettiren gelişen bir dizi siber güvenlik paradigması için bir terimdir.” Belge, sıfır güven yaklaşımını derinlemesine açıklayarak devam ediyor.

Sıfır güven karmaşası

Siber güvenlik dünyasında sıfır güvenin ne olduğu konusunda bir kafa karışıklığı var. Bazı satıcılar, sıfır güven ürünleri olarak etiketlenen ürünleri satmak için bu karışıklıktan yararlanıyor. Bilgi sahibi olmayanlar için bu, sıfır güvenin ürün bazlı olduğu yanlış anlaşılmasına yol açabilir.

Sıfır güven, belirli ürünlerle ilgili değildir. Ancak yeni ve eski ürünler sıfır güven mimarisinin yapı taşları olabilir. Sıfır güven, siber güvenlik açısından devrimsel nitelikte bir yaklaşımdır. Kuruluşların ve çalışanların bugün nasıl bağlantı kurdukları ve birlikte çalıştıkları gerçeğine sıkı sıkıya bağlıdır.

Sıfır güvene doğru ilerlerken

Bir kuruluş altyapısını sıfırdan inşa ediyorsa, temel iş akışlarını ve bileşenleri belirlemek ve tamamen sıfır güven mimarisi oluşturmak daha kolay bir süreç olacaktır. İş ve altyapı değiştikçe, büyüme uzun vadede sıfır güven politikalarına bağlı kalmaya devam edebilir.

Pratikte, çoğu sıfır güven uygulaması bir sürece tabi olacaktır. Kuruluşlar, zamanla modernizasyon girişimlerini kademeli olarak uygulayarak sıfır güven ve çevre tabanlı güvenlik dengesinde kalmaya devam edecek.

Sıfır güven mimarisinin tamamen kurulması, nihai sıfır güven hedefine ulaşmadan önce muhtemelen birkaç yıl alacak ve bir dizi gizli projeyi kapsayacaktır. Ancak, sıfır güvende asla bir “varış” yoktur. Gelecekteki iş ve altyapı değişikliklerini dikkate alarak ZT stratejisini zaman içinde uygulamaya ve uygulamaya devam etmekle ilgilidir.

Harekete geçmeden önce bir plan geliştirmek, süreci daha küçük parçalara ayırabilir ve zaman içinde başarıya ulaştırabilir. Kapsamlı bir konu kataloğu, iş süreçleri, trafik akışları ve bağımlılık haritaları ile başlayarak sizi hedeflenen konulara, varlıklara ve iş süreçlerine değinmeye hazır.

Sıfır güvene doğru ilerlerken

Bir kuruluş altyapısını sıfırdan inşa ediyorsa, temel iş akışlarını ve bileşenleri belirlemek ve tamamen sıfır güven mimarisi oluşturmak daha kolay bir süreç olacaktır. İş ve altyapı değiştikçe, büyüme uzun vadede sıfır güven politikalarına bağlı kalmaya devam edebilir.

Pratikte, çoğu sıfır güven uygulaması bir sürece tabi olacaktır. Kuruluşlar, zamanla modernizasyon girişimlerini kademeli olarak uygulayarak sıfır güven ve çevre tabanlı güvenlik dengesinde kalmaya devam edecek.

Sıfır güven mimarisinin tamamen kurulması, nihai sıfır güven hedefine ulaşmadan önce muhtemelen birkaç yıl alacak ve bir dizi gizli projeyi kapsayacaktır. Ancak, sıfır güvende asla bir “varış” yoktur. Gelecekteki iş ve altyapı değişikliklerini dikkate alarak ZT stratejisini zaman içinde uygulamaya ve uygulamaya devam etmekle ilgilidir.

Harekete geçmeden önce bir plan geliştirmek, süreci daha küçük parçalara ayırabilir ve zaman içinde başarıya ulaştırabilir. Kapsamlı bir konu kataloğu, iş süreçleri, trafik akışları ve bağımlılık haritaları ile başlayarak sizi hedeflenen konulara, varlıklara ve iş süreçlerine değinmeye hazır.

Sıfır güven ilkeleri

Sıfır güven mimarisi, uygulanması zaman ve dikkat gerektiren bir hedef ve yaklaşımdır. Dağıtabileceğiniz ve bir sonrakine geçebileceğiniz tek seferlik bir kurulum değildir. Dört temel ilke tarafından desteklenen bir siber güvenlik felsefesidir. Belirli bir ilke, kimlik için MFA gibi belirli bir güvenlik tekniğine dayanabilir, ancak kullanılan teknik zamanla değişebilir.

Sıfır güven yaklaşımının altında yatan üç temel işlev vardır.

  • Duruş – Sıfır güvenlik öncesi çevre tabanlı güvenlikte, kimlik doğrulaması nadiren siyah beyaz, güvenli veya güvensiz olmuştur.. Sıfır güven yaklaşımı, olası ve akut riskler için kimliklerin, cihazların, uygulamaların ve veri kullanımının değerlendirilmesi anlamına gelir. Duruş nitelikseldir ve resmin tamamına bakar.
  • Sürekli değerlendirme – Sıfır güven yaklaşımı, tüm işlemleri sürekli olarak değerlendirmektir. Daha önceki bir yaklaşım olan ağ kabul kontrolü (NAC) bu kalitenin bir derecesine sahipti. Ancak tek bir noktaydı, daha az sayıda kriteri kontrol ediyordu ve ardından güven veriyordu. Sıfır güven mimarisi, her erişim girişimini bir dar geçit olarak kabul eder.
  • Varsayılan ihlal – Güvenlik operasyonları merkezi (SOC) ekipleri genellikle "doğrula sonra güven" politikasıyla çalışır.” Güvenlik sistemi bir uyarı verene kadar her şeyin yolunda olduğu varsayımıdır. Sıfır güven, hiçbir şeyin güvenli olmadığı ve her şey netleşene kadar hiçbir şeyin ilerlememesi gerektiği varsayımından yola çıkar.

Sıfır güven yolculuğu

Sürekli güven aşamalı ve sürekli olarak uygulanmalıdır. Bu, ağın ömrü boyunca geçerli olacak tam bir değiştirme veya tek seferlik bir dağıtım değildir. Ağın birçok yönünü içeren çok yıllı ve projeli artımlı bir süreçtir ve çalışma alışkanlıkları, teknoloji ve tehditler değiştikçe sürekli değerlendirmeye ihtiyaç duyacaktır.

Kuruluşunuzun sıfır güven yaklaşımını nasıl uyguladığı, operasyonunuza bağlıdır. En yüksek değere sahip varlıklarınız, başlamak için iyi bir yerdir.

Sıfır güven yolculuğu dört bileşen içerir:

  • Kimlik ve erişim yönetimi (IAM) – Kullanıcılar tek oturum açma ve yöneticiler birleştirilmiş kullanıcı yönetimi ister. Bir IAM projesinin başarılı olması için kuruluşun güvenlik ihtiyacını kullanılabilirlik, kullanılabilirlik ve maliyet etkinliği ile dengelemesi gerekir. Hangi kullanıcıların hangi kaynaklara erişmesi gerektiğini belirlemek ve kaynak özellikle hassas ise MFA'yı eklemekle başlar.
  • Ayrıcalıklı erişim yönetimi (PAM) – En hassas kaynaklar için CyberArk, Bomgar veya Thycotic gibi bir PAM aracı ek bir güvenlik düzeyi ekler. Bu, güvenliği artırır ve görünürlük sağlar.
  • Parolalar – Parola felsefesi zamanla değişmektedir. NIST kısa süre önce yeni bir kılavuz yayınladı. Analizlerine dayanarak, hatırlaması zor bir grup rastgele karakter yerine tanıdık kelimeler kullanan uzun şifreler öneriyorlar. Ayrıca, kötü niyetli kişiler, güvenliği ihlal edilmiş parolaları hızla kullanır ve NIST'in görüşü, parolaların her 90 günde bir değiştirilmesinin riski azaltmadığı, ancak MFA'nın azalttığı yönündedir.
  • Sürekli izleme – Zamana, yeni kaynak isteklerine, kaynak değişikliklerine veya anormalliklere dayalı olarak kuruluşunuzun erişim politikalarını tanımlayın. Erişim verilmeden önce kimlik doğrulama ve yetkilendirme kesinlikle uygulanmalıdır.

Sıfır Güven

İlgili Araştırmalar

Sıfır Güven Teknik Dokümanı

İlgili Makaleler

Sıfır Güven’in Bulut Ortamında Geleceği

Sıfır Güven Mimarisini Planlama

Sıfır Güven Nedir ve Neden Bu Kadar Önemli?

Sıfır Güven Üzerine Bir Uzman Tartışması

Yeni ABD Başkanlık Kararnamesi Sıfır Güven Güvenliği Gerektiriyor

Hizmetlerimizi 30 gün boyunca ücretsiz deneyin

Kaynaklar

Destek

Trend Hakında

Ülke/Bölge seçin

close

Amerika Kıtası

Orta Doğu ve Afrika

Avrupa

Asya ve Pasifik

Gizlilik | Yasal | Erişebilirlik | Site haritası

Telif Hakkı ©2024 Trend Micro Incorporated. Tüm hakları saklıdır