Sıfır Güven modeli son yıllarda işletmeler arasında popülerlik kazanıyor. 2019 verilerine göre, bilgi güvenliği ekiplerinin % 78’i bu modeli uygulamış veya en azından uygulamayı planlıyor. Bu yazıda, Sıfır Güven modelini işletmeler için cazip hale getiren unsurları inceliyoruz.
Artık çevre yok
Kurumsal altyapı korumasında yaygın bir terim olan çevre güvenliği, altyapının dışından kurumsal kaynaklara bağlanma girişimleri için kapsamlı denetimlerin kullanımını kapsar. Çevre güvenliği, temelde, kurumsal ağ ile dünyanın geri kalanı arasında bir sınır oluşturur. Ancak çevrenin içini (şirket ağının içini) kullanıcıların, cihazların ve uygulamaların belirli bir özgürlüğe sahip olduğu güvenilir bir bölge haline getirir.
Çevre güvenliği, güvenilen bölge yerel erişim ağı ve ona bağlı sabit cihazlar ile sınırlı olduğu sürece işe yarıyor. Ancak çalışanlar tarafından kullanılan mobil cihazların ve bulut hizmetlerinin sayısı arttıkça “çevre” kavramı bulanıklaştı. Günümüzde kurumsal kaynakların en azından bir kısmı ofis dışında, hatta yurt dışında bulunuyor. Bunları yüksek duvarların arkasına saklamaya çalışmak, en iyi ihtimalle pratik olmaz. Artık güvenilir bölgeye nüfuz etmek ve burada hiçbir engelle karşılaşmadan dolaşmak çok daha kolay.
2010 yılında, Forrester Araştırma Baş Analisti John Kindervag, çevre güvenliğine alternatif olarak Sıfır Güven kavramını ortaya koydu. Dış ve iç ayrımlardan vazgeçmeyi ve bunun yerine kaynaklara odaklanmayı önerdi. Sıfır Güven, özünde, herhangi bir tür güvenilir bölgenin olmamasıdır. Bu modelde; kullanıcılar, cihazlar ve uygulamalar, kurumsal bir kaynağa her erişim talebinde bulunduklarında denetime tabidir.
Pratikte Sıfır Güven
Sıfır Güven tabanlı bir güvenlik sistemi kurmanın birden fazla yolu vardır. Buna rağmen, böyle bir sistemin oluşturulmasına yardımcı olabilecek birkaç temel prensip tanımlanabilir.
Saldırı yüzeyi yerine koruma yüzeyi
Sıfır Güven konsepti karakteristik olarak kuruluşun yetkisiz erişime karşı koruması gereken her şeyi (gizli veriler, altyapı bileşenleri, vb.) barındıran gizli bir yüzey içerir. Koruma yüzeyi; potansiyel olarak savunmasız tüm altyapı varlıklarını, süreçleri ve aktörleri içeren saldırı yüzeyinden önemli ölçüde daha küçüktür. Bu nedenle koruma yüzeyinin güvenli olmasını sağlamak, saldırı yüzeyini sıfıra düşürmekten daha kolaydır.
Mikrosegmentasyon
Sıfır Güven modeli, dış çevre koruması sağlayan klasik yaklaşımın aksine, kurumsal altyapıyı ve diğer kaynakları en az bir cihaz veya uygulamadan oluşan küçük düğümlere ayırır. Sonuçta, her biri kendi güvenlik politikalarına ve erişim izinlerine sahip olan, erişimi yönetmede esnekliğe izin veren ve şirketlerin ağ içindeki bir tehdidin kontrolsüz yayılımını engellemesini sağlayan çok sayıda mikroskopik çevre oluşur.
En az ayrıcalık ilkesi
Her kullanıcıya yalnızca kendi görevlerini yerine getirmesi için gerekli olan ayrıcalıklar verilir. Böylece, saldırıya uğrayan bireysel bir kullanıcı hesabı, altyapının yalnızca bir kısmını tehlikeye atmış olur.
Kimlik Doğrulama
Sıfır Güven doktrini, aksi kanıtlanmadıkça kurumsal bilgilere erişim sağlama girişimlerini potansiyel bir tehdit olarak ele alınması gerektiğini söyler. Bu nedenle, her kullanıcı, cihaz ve uygulama, her oturum için kimlik doğrulama prosedürünü geçmeli ve eldeki verilere erişme hakkına sahip olduğunu kanıtlamalıdır.
Tam kontrol
Sıfır Güven modelinin etkili olabilmesi için BT ekibinin her çalışma cihazını ve uygulamasını kontrol etme becerisine sahip olması gerekir. Ayrıca, uç noktalardaki ve diğer altyapı bileşenlerindeki her olaya dair bilgileri kaydedip analiz etmek de şarttır.
Sıfır Güven’in Avantajları
Sıfır Güven, işletme mobilleştikçe giderek bulanıklaşan çevreyi koruma ihtiyacını ortadan kaldırmanın yanı sıra, diğer bazı sorunları da çözer. Özellikle, her süreç aktörü sürekli ve tekrar tekrar kontrol edildiğinde şirketler, örneğin işten ayrılan çalışanların erişim ayrıcalıklarını kaldırarak veya sorumlulukları değişmiş olanların ayrıcalıklarını ayarlayarak değişime daha kolay adapte olabilirler.
Sıfır Güven’in uygulanmasındaki zorluklar
Sıfır Güven’e geçiş, bazı işletmeler için zor ve uzun bir süreç olabilir. Çalışanlarınız iş için hem ofis ekipmanını hem de kişisel cihazları kullanıyorsa tüm ekipman envantere alınmalıdır; iş için gerekli olan cihazlarda kurumsal politikalar oluşturulmalıdır ve diğer cihazların şirket kaynaklarına erişimi engellenmelidir. Birden fazla şehirde ve ülkede şubesi olan büyük şirketler için bu işlem biraz zaman alacaktır.
Tüm sistemler Sıfır Güven’e geçişe eşit derecede uygun değildir. Örneğin, şirketinizin karmaşık bir altyapısı varsa sisteminiz, mevcut güvenlik standartlarını destekleyemeyen eski cihazlar veya yazılımlar içeriyor olabilir. Bu sistemlerin değiştirilmesi zaman ve para gerektirir.
BT ve bilgi güvenliği ekiplerinizin üyeleri de dahil olmak üzere çalışanlarınız, tüm çerçevenin değişmesine hazır olmayabilir. Sonuçta, altyapınızın erişim kontrolü ve yönetiminden sorumlu olan onlardır.
Bu, birçok durumda şirketlerin kademeli bir Sıfır Güven geçiş planına ihtiyaç duyabileceği anlamına gelir. Örneğin Google, Sıfır Güven’e dayanan BeyondCorp çerçevesini oluşturmak için yedi yıl harcadı. Daha az şubeli kurumsal işletmeler için uygulama süresi önemli ölçüde daha kısa olsa da, süreci birkaç haftaya, hatta birkaç aya sıkıştırmayı beklememelisiniz.
Sıfır Güven, geleceğin güvenliği
Bu nedenle, en son teknolojiler kullanılıyor olsa bile, geleneksel çevre güvenliğinden Sıfır Güven çerçevesi altında bir koruma yüzeyinin sağlanmasına geçiş, hem mühendislik açısından hem de çalışan zihniyetinin değiştirilmesi açısından yine de basit ya da hızlı gerçekleşen bir proje olmayabilir. Bununla birlikte, şirketin daha az bilgi güvenliği harcaması yapmasını, daha az sayıda olayla karşılaşmasını ve bunlardan kaynaklanan hasarın en aza indirilmesini sağlayacaktır.