9 Ara 2022
3 dk okuma süresi
Sıfır Güven Ağ Erişimi (ZTNA - Zero Trust Network Access), tanımlanmış erişim kontrol politikalarına dayalı olarak bir şirketin verilerine, uygulamalarına, ağlarına ve hizmetlerine güvenli uzaktan erişim sağlayan kurumsal BT güvenliğine yönelik bir yaklaşımdır.
Sıfır Güven Ağ Erişimi, her bağlantının kötü niyetli olabileceğini varsayarak çoklu koruma katmanları oluşturur. Bu nedenle, kullanıcı ile kuruluşun kaynakları arasına çeşitli güvenlik mekanizmaları yerleştirir. Sonuç olarak, kimlik doğrulama merkezi bir noktada sadece bir kez değil, her katmanda gerçekleşebilir.
Sıfır Güven Ağ Erişimi’nin temel konsepti, uç nokta cihazlarına güvenmeyerek bir ağ üzerindeki kritik varlıkları birbirlerinden ayırmaktır. Bu nedenle, bir son kullanıcı cihazının kaynağa veya ağın bir kısmına erişmesine izin verilmeden önce kimlik doğrulaması yapması gerekir.
Sıfır güven ağı, herhangi bir cihazın potansiyel olarak tehlike altında olabileceğini varsayar. Bu nedenle kullanıcı konumuna, kimlik doğrulama seviyesine ve kaynağa erişen uç noktanın risk değerlendirmesine dayalı olarak kaynaklara erişimi kısıtlar. Sıfır güven ağında belirli bir hizmete erişim ancak kimlik doğrulama başarılı olduğunda verilir.
Sıfır Güven Ağ Erişimi, "sıfır güven, her zaman doğrula" ilkesine göre çalışır. Sıfır güven yaklaşımı tüm kullanıcılara, cihazlara, sistemlere, ağlara ve kaynaklara “güvenilmeyen yabancılar” olarak muamele edilmesini gerektirir. Sıfır Güven Ağ Erişimi modelinde güvenilen bir iç ya da dış sistem yoktur. Aksi kanıtlanana kadar her kimliğin riskli olduğu varsayılır.
Sıfır Güven Ağ Erişimi teknolojileri, VPN'lerin aksine, "varsayılan olarak reddet" politikasına sahiptir ve kullanıcılar yalnızca erişim izni verilen hizmetlere erişebilir. Bu sayede bir siber saldırıda ağın bir bölümüne sızılsa bile ağın diğer alanlarına erişim sağlanamaz.
Sıfır Güven Ağ Erişimi uygulanırken, kurumsal hassas veriler ile dış kaynaklar arasına birden fazla kontrol içeren katmanlı bir güvenlik yaklaşımı benimsemek gerekir. Farklı katmanlar engel görevi görerek saldırganların hedeflerine ulaşmasını zorlaştırır.
Sıfır Güven Ağ Erişimi modelini uygulamanın kurumsal ağ yönetimi açısından çok önemli faydaları vardır. Bunları aşağıdaki şekilde sıralayabiliriz;
Uyumluluğun sağlanması birçok farklı önlem gerektirdiğinden zorlayıcı bir iş haline gelebilir. Sıfır Güven Ağ Erişimi, bir kuruluşun PCI DSS, GDPR, HIPAA/HITECH ve NIST SP 800-53A gibi düzenleyici gerekliliklere daha kolay uyum göstermesini sağlar.
Sıfır Güven Ağ Erişimi, şifrelenmiş bağlantılar ve web uygulamalarıyla aynı derecede güvenlik sağlayarak, veri merkezlerinde veya şirket içi sunucularda çalışan eski uygulamaların güvenliğini artırmak için kullanılabilir.
Sıfır Güven Ağ Erişimi ile şirketler, uygulama ortamlarını bölümlere ayırmak için Kimlik ve Erişim Yönetimi (IAM - Identify and Access Management) teknolojilerini kullanan Yazılım Tanımlı Çevre (SDP - Software Defined Perimeter) oluşturabilir. Bu teknik şirketlere, saldırı alanını daraltmak için ağlarını birden fazla mikro bölüme ayırmaya olanak tanır.
Sıfır Güven Ağ Erişimi tarafından sağlanan çevik güvenlik duruşu, şirketlerin gelişen siber tehdit ortamına göre savunma taktiklerini hızla değiştirmelerini sağlar.
Sıfır Güven Ağ Erişimi, tüm uygulamaların veri erişim modellerini izleyerek riski en aza indirmeye ve DDoS saldırılarına, veri sızıntısına ve diğer siber tehditlere karşı korumaya yardımcı olur.
Sıfır Güven Ağ Erişimi’nin sıkça kullanılan uygulamaları şu şekilde sıralanabilir;
Kimlik doğrulama ve erişim
Sıfır güven ağındaki kullanıcılar belirli bir sistemdeki belirli veri kaynaklarına erişmek için her oturum açmada kimliklerini doğrulamak zorundadır. Örneğin, tüm dosyaları görmek yerine yalnızca bir sunucuda depolanan belirli dosyaları görebilirler.
Sıfır Güven Ağ Erişimi, bir kuruluşun ağındaki hassas bilgilere farklı düzeylerde erişime sahip farklı kullanıcı türleri için (yükleniciler, tedarikçiler, satıcılar, müşteriler ve iş ortakları gibi) farklı kontrol ve erişim politikaları oluşturarak kullanıcı hesaplarının yönetilme şeklini değiştirir.
Sıfır güven yaklaşımı, bir kurumun farklı varlıkları (sistemler ve veri tabanları gibi) üzerinde hem yetkili hem de yetkisiz faaliyetlerin izlenmesini sağlar. Böylece herhangi bir hasar meydana gelmeden önce tehditlere karşı koruma sağlamak için anormal davranışlar tespit edilebilir.
Sıfır Güven Ağ Erişimi, kuruluşlara gerçek zamanlı veri kaybı önleme (DLP - Data Loss Prevention) yetenekleri sağlar. Böylece BT altyapısını zorlayabilecek sürekli taramaya ihtiyaç duymadan iç tehditlerin tespit edilmesini ve azaltılmasını sağlar.
Kurumlar, kimin hangi içeriğe eriştiğini, ne zaman erişildiğini daha ayrıntılı bir şekilde belirleyebilir. Bu sayede dahili ve harici olarak nelerin paylaşılması gerektiği konusunda daha iyi kararlar alınabilir.
Mobil çalışanların, uzaktan çalışanların ve misafirlerin şirket ağlarına internet veya VPN aracılığıyla uzaktan erişmeleri gerekebilir. Sıfır güven ağı, uzak bağlantılar için iki faktörlü kimlik doğrulama (2FA) uygulayarak ve trafiği şifreleyerek güvenliği artırmaya yardımcı olabilir.
Güçlü kimlik doğrulama sayesinde, siber saldırılar ve kötü amaçlı yazılımların neden olacağı riskler önlenirken uyumluluk gereksinimleri ve veri gizliliği yasalarının getirdiği zorunluluklar da karşılanmış olur.
İlgili Postlar
Güçlü Şifre Nasıl Oluşturulur?
17 Eki 2022
Güvenlik