“Secure Access Service Edge” Nedir?

Secure Access Service Edge (SASE), geleneksel bir ağ sınırının içindeki ve dışındaki ağ öğelerini koruyan sıfır güven mimarisinin bir bileşenidir. İşletmelerin dijital dönüşümü, uzaktan çalışmanın artması ve uygulamaları çalıştırmak için bulut hizmetlerinin kullanılmasıyla birlikte güvenlik buluta taşınıyor ve SASE bu ortamda güvenliği sağlıyor.

Değişen Ağ Topolojisi

Bilgisayar ağları geçmişte bir ofis ağı ve işletmeye özel bir veri merkezinden oluşuyordu. Bir çalışan ofise gider ve bir bilgisayarda oturum açarak veri merkezinde çalışan uygulamalara erişirdi. Tüm şirket işlemleri ağın sınırları dahilinde gerçekleşirdi.

Bu geleneksel ağ güvenliği yaklaşımı, ağın etrafında bir güvenlik duvarı oluşturdu. Bir kullanıcı güvenlik duvarının içinde olduğu sürece güvenlik protokolü o bilgisayara güvenir ve kullanıcının ağ üzerindeki diğer faaliyetlerini kontrol etmezdi.

Dijital dönüşüm, çalışanların çalışma şeklini büyük ölçüde değiştirdi. Birçok çalışan, kurumsal veri merkezinin güvencesi dışında internette bulunan uygulamalara ofisten veya uzaktan erişiyor. Örneğin, bir çalışan mutfak masasındaki bir dizüstü bilgisayar üzerinden Salesforce'a erişebiliyor. Uygulama internette yerleşik olabiliyor veya çalışan şirket veri merkezinde bulunan uygulamaya uzaktan erişebiliyor.

Günümüz iş dünyasında, eskiden koruduğumuz ağ sınırları artık yok çünkü her yerde erişim noktaları var ve internet artık bilgi aktarma aracımız. Bu ortamdaki zorluk, kurumsal ortama geri dönen ağ geçitlerini, yani uç noktaları korumaktır."

Bu dağıtık ortamda yetersiz sınır güvenlik protokollerini desteklemek için BT ekipleri, verileri korumayı deneyen ve tam olarak başaramayan birçok üretici, politika ve konsolla karşı karşıya kaldı. SASE, siber güvenlik karmaşıklığını azaltmak ve dağıtık erişimli ortamlar için etkinliği artırmak için yeni bir çözüm olarak öne çıktı.

SASE modeli

SASE, ağ (SD-WAN, VPN) ve güvenlik (SWG, CASB, FWaaS, ZTNA) işlevlerini birleştiren bir teknoloji koleksiyonudur. Bu tür teknolojiler geleneksel olarak silo halinde noktasal çözümler halinde sunulmaktadır. SASE (veya Zero Trust Edge) bunları tek bir entegre bulut hizmetinde bir araya getirir.

SASE modelinin bileşenleri

  • Yazılım Tanımlı Geniş Alan Ağı (SD-WAN)
  • Sanal Özel Ağlar (VPN)
  • Güvenli Web Ağ Geçidi (SWG)
  • Bulut Güvenli Erişim Aracısı (CASB)
  • Hizmet Olarak Güvenlik Duvarı (FwaaS)
  • Sıfır Güven Ağ Erişimi (ZTNA)

SASE modeli, kuruluşların ağlarını birleştirmelerini ve dağıtık kullanıcılar ve cihazlar için güvenliği güçlendirmelerini sağlar.

SASE'in işletmeler için birçok faydası vardır

  • Maliyetleri azaltır
  • Karmaşıklığı azaltır
  • Ağ ve güvenlik politikası uyumunu destekler
  • Güvenlikle ilgili olayları azaltır
  • Her konumdaki kullanıcılar için sorunsuz bir deneyim sağlar.

Yeni bir güvenlik mimarisi

Kullanıcı merkezli ağ ve ağ yönetimi güvenlik protokollerini geliştirmek isteyen kuruluşlar, sıfır güven ağ erişimini mümkün kılmak için SASE mimarisini benimsiyor. Sıfır güven modeli, bir makinenin güvenilir olduğu kanıtlanana kadar asla güvenmemek, her zaman doğrulamak ve tehlikeye atıldığını varsaymakla ilgilidir. İnternet her şeyi birbirine bağlar ve açık bir bilgi platformu olduğu için hiçbir cihaz doğası gereği güvenilir değildir.

SASE, sıfır güven mimarisinde önemli bir unsurdur. SASE yeni bir teknoloji değildir, büyük oranda yeni ve mevcut teknolojilerin bir kombinasyonudur. SASE, kullanıcıya, cihaza veya sınır bilişim konumuna güvenlik kontrolleri sunar. Önceki siber güvenlik protokolleri bir veri merkezi için güvenlik duvarı koruması oluştururken, SASE dijital kimlik, gerçek zamanlı bağlam ve şirket politikalarına dayalı olarak kimlik doğrulaması yapar.

SASE'in üç kritik bileşeni vardır:

  1. Güvenli Web Ağ Geçidi
  2. Bulut Erişimi Güvenlik Aracısı
  3. Sıfır Güven Ağ Erişimi

Güvenli Web Ağ Geçidi

Bir Güvenli Web Ağ Geçidi (SWG) internet erişimini kontrol eder ve bir kullanıcının neye erişip erişemeyeceğini yönetir. Bir kullanıcı şüpheli bir web sitesine erişmeye veya buradan bir şey indirmeye çalışırsa ya da kumar sitesi gibi yasaklanmış bir hedefe erişmeye çalışırsa, ağ geçidi bunu engeller.

Siber saldırılar çok sofistike hale geldi. Tam da yanlış yazılmış kelimeler ve garip bir dil içeren eski tarz kimlik avı e-postalarını tanımaya başladığımızda, siber saldırganlar daha sofistike hale geldi. Artık bilgili kullanıcılar için bile hangi e-postaların meşru, hangilerinin bilgisayar korsanlarından geldiğini söylemek neredeyse imkansız.

Şirket içi siber güvenlik eğitimi, daha sağlam bir koruma sağlamanın ayrılmaz bir parçasıdır, ancak kullanıcılar eğitimle bile hata yaparlar. Güvenli Web Ağ Geçidi, güvenlik ekibinizin ağınıza gelen ve ağınızdan giden tüm trafiği görmek için kullanabileceği bir başka araçtır. Bir tehdit varsa, güvenlik ekibi bunu azaltmak için Güvenli Web Ağ Geçidi kullanabilir.

SWG birden fazla işlev sunar:

  • URL filtreleme
  • İleri düzey tehdit savunması
  • Geleneksel kötü amaçlı koruma
  • İnternet politikası uyumluluğu uygulaması

Kısıtlamalar büyük ve küçük ortamlar için geçerli olabilir:

  • Hükümetler halkın ne göreceğini kontrol ediyor
  • İnternet servis sağlayıcıları belirli içerikleri engelliyor
  • Kurumlar çalışanların neye eriştiğini yönetir
  • Okullar öğrencilerin hangi sitelere erişebileceğini filtreliyor
  • Kütüphaneler kullanıcıların ne göreceğini seçiyor

Bulut erişimi güvenlik aracısı

CASB, SaaS uygulamalarına görünürlük kazandırır. Bir kullanıcı Salesforce, Office 365 veya başka bir uygulamaya bağlandığında, güvenlik ekibiniz kullanıcılarınızın hangi verileri aktardığını, OneDrive veya SharePoint'ten hangi dosyaların yüklendiğini veya indirildiğini, bunu kimin ve ne zaman yaptığını görebilir.

CASB, şirket içi veya bulutta kullanılabilen bir yazılımdır. Bulut erişimi için güvenlik politikaları ile kullanıcılar ve bulut hizmetleri arasında aracılık eder ve ağ üzerindeki eylemleri izler.

CASB güvenliği çeşitli unsurlardan oluşabilir:

  • Uyarı verme
  • Günlük kaydı ve kimlik doğrulama
  • Çoklu oturum açma
  • Yetkilendirme
  • Kimlik bilgisi eşleme
  • Cihaz profilleme
  • Şifreleme
  • Tokenizasyon
  • Kötü amaçlı yazılım tespit ve önleme

CASB raporlaması için başlangıç noktası, kuruluş içindeki her kullanıcı grubu için seçeneklerin yapılandırılmasıdır. Bir grup yükleme yetkisine sahip olabilir ancak indirme yetkisine sahip olmayabilir. Başka bir grup belgeleri düzenleyebilir ve bir diğeri yalnızca belgeleri görüntüleyebilir. Politikaları kurum belirler.

İşletme ayrıca, yasaklanmış bir eylemin gerçekleşmesi halinde yapılacak eylemi de belirler. Güvenlik ekibiniz, etkinliği otomatik olarak engellemek veya gerçekleşmesine izin vermek ve olayı olay görüntüleyiciye bildirmek için protokoller ayarlayabilir.

Sıfır Güven Ağ Erişimi

ZTNA ağ geçitleri SASE'in yeni unsurudur. ZTNA, yalnızca kimliği doğrulanmış kullanıcılar, cihazlar ve uygulamalar arasındaki trafiğe erişim izni veren bir güvenlik mimarisidir. Hiçbir trafiğe güvenilmez ve aksi kanıtlanana kadar tüm uç cihazların kötü niyetli olduğundan şüphelenilir. ZTNA, kullanıcıların uzaktan kimlik doğrulaması için VPN'lerin yerini alıyor.

VPN, işletmelerin geleneksel olarak uzak kullanıcıları kurumsal ağa bağlamak için kullandıkları teknolojidir. VPN'in birkaç sorunu vardır: Maliyetlidir ve genellikle istikrarsız bir bağlantı kurar. Buna ek olarak, etkisiz uzaktan bağlantılar çalışanların işlerini yapmakta zorlanmalarına neden olarak işletmeye üretkenlik kaybı olarak pahalıya mal olur.

VPN ile ilgili en büyük sorun, çok az güvenlik kontrolü ile uzaktan erişim sunmasıdır. Ev ağından VPN aracılığıyla bir şirket ağına erişen bir kullanıcı, kimlik doğrulaması yapar ve ağın ön ve arka ucuna tam erişime sahip olur. Kullanıcı, uygulamanın ön ucunda çalışmaya devam eder. Bir kötü amaçlı yazılım internetten bilgisayara ulaşırsa, aynı uygulamanın arka ucuna gidebilir ve tüm verileri ele geçirerek bir veri ihlaline neden olabilir.

ZTNA, kötü amaçlı yazılımın ağ içinde hareket etme kabiliyetini ortadan kaldırır, çünkü ZTNA her kullanıcının, cihazın ve uygulamanın ağ üzerinde güvenilir olduğunu ayrı ayrı doğrular.

VPN güvenlik açıkları:

  • Geniş saldırı yüzeyi
  • Siber saldırganlar ağa girdikten sonra güvenlik açıklarından faydalanmak için yanlara doğru hareket edebilir
  • VPN'ler internete açıktır ve hizmet kesintilerine karşı savunmasızdır
  • Siber saldırganlar açıkta kalan her yüzeyi hedef alır, güvenlik açıklarını keşfeder ve saldırır

Sıfır güven yaklaşımı

Sıfır güvene doğru ilk adım, kuruluşun mimariyi benimsemeyi taahhüt etmesidir. Zaman içinde BT ve güvenlik ekipleri, olgunluğu artırmak için farklı ürün gruplarından teknolojileri kademeli olarak uygulayabilir.

Başlangıç noktası, ortamınızda kurumu günlük olarak etkileyen sorunları anlamaktır. Örneğin, internet erişimi kontrolden çıkmışsa (herkes her şeye erişebiliyorsa ve kullanıcılar farkında olmadan kötü amaçlı yazılım indiriyorsa) Güvenli Web Ağ Geçidi ilk sıfır güven teknolojiniz olabilir.

Bir sonraki adım, çalışanların hangi SaaS uygulamalarını kullandığını ve kimin neye erişebileceğini belirlemek olabilir. Güvenlik ekibinizin görünürlüğünü artırmak mantıklıdır, böylece yetki gerektiren faaliyetler için yeterli erişim izni verebilir ve kullanıcıların politika çerçevesi içinde kalmasını sağlayabilirler.

Sıfır güven için en önemli nokta verilerinizi korumaktır

SASE güvenlik parametreleri yürürlükte olsa bile, ağınız hala tamamen sıfır güvene sahip değildir; ancak buna doğru ilerliyorsunuz demektir. Sıfır Güven, ağınızın güvenliğini artırmak için zamana yayılan bir yolculuktur ve yola devam ederseniz, güvenlik giderek daha iyi hale gelecektir.

Dizüstü bilgisayar veya sunucu gibi fiziksel bir varlığı ya da kullanıcı hesabı veya uygulama gibi dijital bir varlığı korumak siber güvenliğin birincil hedefi değildir. Kullanıcı adları, şifreler, özel kurumsal veriler, gizli materyaller ve ödeme bilgileri dahil olmak üzere iş operasyonları tarafından kullanılan verilerin korunması ile ilgilidir.

İlgili Araştırmalar

İlgili Makaleler