Teknolojideki değişimin hızla devam etmesi işletmelerin de ihtiyaçlarının sürekli değişmesine neden oluyor. Bu gelişim ve değişim sürecinden en çok etkilenen alanlardan birinin de siber güvenlik olduğunu söylemek hatalı olmaz. Dijitalleşmeyle birlikte şirketlerin iş yapış biçimleri değişirken, ağ teknolojileri bu değişimin merkezindedir.
Ağ teknolojileri her ölçekteki şirket için uzun yıllardır önemli bir yere sahip olsa da günümüzde adeta hayati öneme sahiptir. Bu yükseliş, faydalarının yanı sıra siber tehditleri de beraberinde getirdi. Uzun yıllardır uygulanan geleneksel güvenlik yaklaşımlarının yetersiz kalmasıyla ağ güvenliği nedir sorusunun yeniden ele alınarak değişen ihtiyaçları karşılayacak çözümlerin üretilmesi zorunluluk haline geldi. Bu arayış da, bugün birçok şirket için standart haline gelmiş olan ve hızla yaygınlaşan Zero Trust yaklaşımının benimsenmesini sağladı. Gelin, Zero Trust güvenlik modeli nedir, kurumsal ağların güvenliği için ne anlama gelir sorularını detaylı bir şekilde irdeleyelim.
Zero Trust Nedir? Ağ Güvenliği Açısından Ne İfade Eder?
Zero Trust, kurumsal ağlarda üst düzey güvenlik sağlamak adına uygulanan etkili ve giderek yaygınlaşan bir güvenlik altyapı modelidir. Zero Trust ya da Türkçe karşılığıyla Sıfır Güven modeli ağda bulunan kullanıcılar, uygulamalar ve cihazların tamamına koşulsuz güvenmeme üzerine kuruludur. Zero Trust yaklaşımı sayesinde farklı seviyelerde yapılan birçok saldırılar için alınabilecek çoğu önlemler baştan alınmış olunur.
Geleneksel güvenlik yaklaşımları; ağ güvenliği açısından kurumsal olarak sınırların baştan belirlenerek yetkilerin verildiği yaklaşımı temel alır. Bu tür ağ güvenliğinde, kurumsal ağ ile dış dünya arasında sıkı bir şekilde korunan sınırlar belirlenir. Kimlik doğrulama ve VPN gibi teknolojiler sayesinde ağa erişim sağlayabilen tüm kullanıcı ve cihazların güvenli olduğu kabul edilir. Ancak bu yaklaşımın ağ güvenliği sağlamada kapsamlı bir çözüm olmadığını birçok kurum karşı karşıya kaldığı yaşanan vakalar ile tecrübe etmiştir.
Zero Trust modeli ise geleneksel yaklaşımda olduğu gibi net sınırlar belirlemek yerine herkesi yabancı olarak görür ve otomatik olarak güvenmez. Zero Trust modelinde de geleneksel güvenlik modelinde olduğu gibi ağa erişim için kimlik ve erişim yöntemleri kullanılır. Çoğu zaman çok faktörlü kimlik doğrulama (MFA) ve VPN kullanımı bu amaçla tercih edilen teknolojilerdir. Ancak Zero Trust farklı olarak ağa erişim sağlayan cihazlara tamamen güvenmez. Kurumsal ağa erişim izni almanız, ağ içerisinde özgürce hareket edebileceğiniz anlamına gelmez.
Ağ segmentasyonu sayesinde, kullanıcı ve cihazların kurumsal ağ içerisindeki erişim alanları mümkün olduğunca küçük segmentlere ayrılır. Aynı zamanda sürekli izleme sayesinde de ağ trafiği ve kullanıcı davranışları analiz edilir. Böylelikle ağa erişim sağlayan kullanıcının hem hareketleri kısıtlanır hem de anomaliler erken aşamada tespit edilebilir. Minimum yetki politikasının da yürütüldüğü Zero Trust modelinde, gerekirse ağ içerisindeki kullanıcılardan da çeşitli erişim taleplerinde yeniden kimlik doğrulaması istenebilir. Zero Trust modeli sayesinde sadece dışarıdan gelen değil iç tehditlere karşı gelişmiş koruma sağlayan çok katmanlı bir güvenlik sistemi oluşturulabilir. Üstelik bu model ile KVKK ve ISO 27001 gibi regülasyonlara da uyumluluk elde etmenize yardımcı olur.
Zero Trust Modeli Nasıl Çalışır?
Zero Trust modelinin nasıl çalıştığını anlayabilmek için, öncelikle bu yapıyı oluşturan prensiplerin ve tekniklerin net bir şekilde anlaşılması gerekir. Zero Trust modeliyle kurgulanmış ağlarda temel ilke; ağ içinde ve ağ dışındaki herkesin potansiyel tehlike olarak görülmesi ve güvenilmemesidir. Bu prensip doğrultusunda da geleneksel modellerde yer alan ağ sınırları ve güvenli bölge anlayışı yok sayılarak esnek ve sürekli doğrulamaya dayalı bir sistem kurulur. Geleneksel güvenlik yaklaşımlarında ağa erişim sağlayan her kullanıcı ve cihaz güvenli olarak kabul edilir. Ancak bir şekilde ağa erişim sağlamayı başaran saldırganlar sistemde serbestçe dolaşabilir. Zero Trust yaklaşımı ise bu durumun yaşanmasını önlemek adına mikro segmentasyon, sürekli ağ izleme, minimum yetki ve dinamik erişim tekniklerinden yararlanır.
Zero Trust yaklaşımıyla birlikte geleneksel kimlik doğrulama erişim sistemi geride bırakılarak çok daha gelişmiş politikalar izlenir. Geleneksel yapılarda kimlik doğrulama sistemi yeterliyken Zero Trust modelinde kimlik doğrulama süreci kullanıcı, cihaz, konum gibi bilgilerin bir arada değerlendirilmesiyle gerçekleşir. Şirketin güvenlik politikalarına uymayan bağlantı biçimleri ise engellenerek koruma sağlanır. Ağ içerisini de güvenli olarak nitelendirmeyen Zero Trust yaklaşımını güçlendirmek adına ağ olabildiğince küçük parçalara yani segmentlere ayrılır. Mikro segmentasyon ve minimum yetki politikası sayesinde ağa bağlanan kullanıcılar, kurumsal ağın sadece belirli bir bölümüne erişebilir. Böylelikle yetkisiz erişimlerin yol açacağı zararlar minimize edilebilir. Tüm bunların uygulanabilmesinde ise ağın sürekli olarak izlenmesinin ve davranış analizinin rolü oldukça önemlidir.
Örnek senaryo üzerinden Zero Trust modelinin çalışmasını incelemek çok daha aydınlatıcı olacaktır. Bir kullanıcı kurumsal ağa erişmek istediğinde öncelikle MFA ile kimlik doğrulaması yapmalıdır. Kullanıcının bu talebi aynı zamanda bağlandığı cihaz, lokasyon, zaman dilimi, erişim yetkisi gibi pek çok farklı kriterle birlikte değerlendirilir. Doğrulamanın gerçekleştiği durumda ise kullanıcının sadece yetkisi ile sınırlı olan segmentlere erişmesine izin verilir. Kullanıcının ağa erişim sağlaması onun güvenli olarak nitelendirileceği anlamına gelmez. Ağdaki tüm hareketleri takip edilir ve tespit edilen anomalilere anlık olarak müdahale edilir.
Zero Trust Modelinin Kurumsal Güvenliğe Etkileri
Şirketlerin Zero Trust modelini uygulayan güvenlik çözümlerine yönelmesindeki en önemli etkenlerin başında modern güvenlik ihtiyaçlarına yanıt vermesi ve çok katmanlı güvenlik sağlaması gelir. Bunların yanı sıra Zero Trust modelinin kurumsal güvenlik üzerindeki etkileri ve işletmelere sağladığı faydalar aşağıda detaylandırılmıştır:
- Zero Trust’ın ağ sınırlarını ortadan kaldıran sıfır güven yaklaşımı sayesinde iç tehditlere karşı etkili koruma sağlanabilir. Ağa başarıyla erişen kullanıcılara dahi şüpheyle yaklaşan bu model sayesinde veri sızıntısı ve saldırı vektörleri başta olmak üzere iç tehditlerin oluşturduğu riskler minimize edilebilir.
- Segmentasyon ve yetkilendirme sistemi sayesinde hassas veriler çok daha güvenli bir biçimde saklanabilir. Ağa bağlı kullanıcılar, yetkileri dışındaki alanlara erişemeyeceğinden müşteri verileri, finansal bilgiler gibi hassas nitelikteki verilere erişim sıkı bir şekilde kontrol altında tutulur.
- Faaliyet gösterilen sektöre göre kurumsal ağ ve sistem güvenliği pek çok farklı regülasyona tabi tutulabilir. Zero Trust modelini benimsemiş ağ güvenliği sistemleri ise regülasyonların uyumluluk gereksinimlerini büyük oranda karşılar.
- Saldırganlar bir ağa herhangi bir noktadan erişim sağladıktan sonra gizlenerek ağ içerisinde hareket etmeyi amaçlar. Böylelikle kritik verilere ulaşmayı ve ağda yetki yükseltmeyi hedefler. Zero Trust ise ağ içerisindeki hareketliliği kısıtlayarak ve kontrol altında tutarak bunu engeller.
- Farklı lokasyonlarda faaliyet gösteren çok şubeli yapıların yanı sıra uzaktan ve hibrit çalışma modellerini benimsemiş işletmeler için de Zero Trust modeli güvenli kurumsal ağın oluşturulmasında en etkili çözümdür. Geleneksel yaklaşımların aksine cloud tabanlı Zero Trust modelini benimsemiş güvenlik çözümleri kullanıcıların kurumsal ağa güvenle erişimini sağlar.
Zero Trust modeli üzerine inşa edilmiş güvenlik çözümleri ile şirket ağınızı siber saldırılara karşı koruyarak kurumunuzu güvence altına alabilirsiniz. İşletmenizin tüm teknoloji altyapı ihtiyaçlarında olduğu gibi kurumsal ağ güvenliği konusunda da Eczacıbaşı Bilişim, alanında uzman kişilerin bir araya geldiği ekibi ile anahtar teslim çözümler sunarak işinizi geliştirmenize yardımcı oluyor.
Kaynaklar:
https://www.techtarget.com/searchsecurity/definition/zero-trust-model-zero-trust-network
https://www.yubico.com/resources/glossary/zero-trust/
https://www.secureops.com/blog/zero-trust/
https://www.fortinet.com/resources/cyberglossary/how-to-implement-zero-trust
https://www.crowdstrike.com/en-us/cybersecurity-101/zero-trust-security/