Sıfır güven mimarisine geçiş, 10.000 parçalık, tek renkli bir yapbozu utandırabilecek zorluklarla dolu. BT ekibi yalnızca her kurumsal çalışanı, bilgi işlem cihazlarını ve uygulamalarını tanımak ve doğrulamakla kalmamalı, aynı zamanda kurumsal varlıklara erişen kilit çalışan olmayanlar, üçüncü taraf satıcılar ve ortaklar için de bunu yapmalıdır.
Birincil üçüncü taraf tedarik zinciri ortaklarının kim olduğunu bilmek yeterince zor bir iştir; ikincil, üçüncül ve diğer ortakları da yönetmek neredeyse imkansız hale gelir. Kimin yetkili ve kimliği doğrulanmış kullanıcı olduğunu ve kimin olmadığını tanımlamanın zorluğu da burada yatmaktadır.
Günümüzün sıfır güven ağ erişimi (ZTNA) ürünlerinin çoğu, her zaman bir ağa erişmeye çalışan bilinen ve kayıtlı her kullanıcı, cihaz ve uygulamanın sürekli kimlik doğrulamasını ve yetkilendirmesini sunduğunu iddia etse de, şirketlerin gerçekte yaşadıkları genellikle biraz farklıdır, diyor. Jason Georgi, Palo Alto Networks’te saha CTO’su. Sürekli kimlik doğrulama yerine, her erişim için ilk kimlik doğrulamasını alırlar.
Bugün, ZTNA ürünlerinin ağların mikro segmentasyonunda mükemmel olduğunu ve ağdaki kurumsal varlıklara çok sınırlı erişim sağladığını söylüyor, ancak yeni nesil ZTNA ürünlerinin işlenen veriler için daha fazla güvenlik sağlamasını bekliyor.
A Beyaz kağıt Enterprise Strategy Group’ta kıdemli bir analist olan ve Palo Alto Networks tarafından görevlendirilen John Grady, mevcut ZTNA ürünlerinin yetersiz kaldığı birkaç alan olduğunu iddia ediyor. Grady’nin istediği iyileştirmeler arasında, en düşük ayrıcalık ihlallerinin önlenmesi, erişim verildikten sonra beklenmeyen veya kabul edilemez bir şekilde davranmaya başlarsa bir uygulamanın erişimini iptal etme yeteneği ve şu anda denetlenmeyen veriler üzerinde güvenlik incelemeleri yapma yeteneği yer alıyor.
Üçüncü Taraf Riskini Azaltma
ZTNA’yı kullanarak risk profillerini iyileştirmeye çalışan şirketler, yetkilendirdikleri üçüncü tarafların zaten tehlikeye atılmadığından emin olmamaları durumunda yalnızca marjinal faydalar elde ediyor. Bunu başarmak için sıfır güvene hareket eden şirketlerin ayrıca üçüncü taraf risk yönetimini (TPRM) iyileştirmeleri gerekiyor.
ZTNA kullanan kuruluşlar, uzak kullanıcıların bir Microsoft Active Directory’ye veya başka bir kimlik doğrulama sistemine girilmesini gerektirir. Bu, uzak çalışanlar için iyi olsa da, uzaktan erişim kullanıcısı bir iş ortağı veya satıcı olduğunda yetersiz kalır. Bu nedenle, bu ortakların genellikle kurumsal ortama sanal bir özel ağ (VPN) üzerinden erişmesi gerekir. Ancak VPN’lerin doğal güvenlik sınırlamaları vardır ve iyi ölçeklenmezler. Sonuç olarak, kurumsal güvenlik duvarının arkasındaki kurumsal varlıklara erişmek için VPN kullanan biri, zaten ihtiyaç duyduğundan daha fazla erişime sahiptir; kötü niyetli kullanıcılar, ağa içeriden saldırmak için bundan yararlanabilir.
Capgemini Americas siber güvenlik stratejisi başkan yardımcısı Dave Cronin, “Olan tüm kötü şeyleri düşünürseniz, her zaman bir satıcı bağlantısının arka kapısından geçer, çünkü bir VPN’de tamamen açık bir borunuz vardır” diyor.
Ancak VPN’ler, sıfır güven tekliflerinden daha az kapsamlı güvenliğe sahip olmalarına rağmen, bir yere gitmeyecek, diye uyarıyor. Sıfır güven mimarisi, her kullanıcının Microsoft Active Directory’de veya benzer bir uygulamada listelenmek gibi güvenilir bir ortamda önceden yetkilendirilmesini gerektirir. Kuruluşların bireysel olarak tanımlanmamış, kimliği doğrulanmamış ve kaydedilmemiş yüzlerce veya binlerce tedarik zinciri ortağı olduğunda bu gerçekleşmeyecektir.
“Birçok durumda, kuruluşlar özellikle üçüncü taraf erişim bileşeni etrafında ek kontrol kümeleri oluşturuyor çünkü bazı durumlarda üçüncü taraflar yönetilmeyen cihazlar kullanıyor, yani kendi kurumsal cihazlarını ve hatta kişisel cihazlarını kullanıyorlar. bir şirketin kurumsal uygulamalarına erişin,” diyor Deloitte’ta siber risk ve sıfır güven liderinin yanı sıra bir ortak ve müdür olan Andrew Rafla. “Daha modern ZTNA’ya geçiş için daha büyük bir ihtiyaç var veya [Secure Access Service Edge] SASE tipi çözümler, özellikle üçüncü taraf erişimi için.”
Rafla, bazen SASE olarak da adlandırılan sıfır güven sınırının (ZTE), üçüncü taraflar ve diğer yönetilen bileşenler tarafından getirilen potansiyel tehditleri azaltmaya yardımcı olmak için telafi edici bir kontrol olarak görülebileceğini de ekliyor. Sınır güvenliği, TPRM, çok faktörlü kimlik doğrulama ve belki de bir düzine daha fazla kontrol dahil olmak üzere bu tür telafi edici kontroller, şirketlerin son zamanlarda elde edilmesi daha zor hale gelen siber sigortaya hak kazanmaları gerektiğini göstermelerine yardımcı olabilir.
CISO’dan Josh Yavor, “Uzaktaki işgücünü etkinleştirmek için bir kuruluş olarak ne kadar çevik olursanız, genel olarak konuşursak, uygulama sistemleri ortamlarınıza üçüncü taraf erişiminden yararlanmak için doğru olanı yapmanız o kadar kolay olur” diyor. Tessian’da. “Bunun nedeni, güvenliği cihazlara ve ardından uygulama katmanına indirerek, ağlar kesinlikle hala alakalı ve kritik olsa da, mantıksal olarak uygulamaların kendi etrafında savunma risk balonlarımızı oluşturuyoruz ve ardından bunlara erişirken kullanılan cihazlar ve kimlikler.
“Eskiden tamamen ağa bağlı düşünceyi bu katmanlara ayırarak, üçüncü taraflarımızdan güvenli erişim sağlamak için daha ayrıntılı seçeneklere sahip olduğumuz anlamına geliyor.”
Bununla birlikte, hibrit VPN ve ZTNA ağlarının öngörülebilir bir gelecek için burada kalması muhtemel olsa da, daha fazla kimlik doğrulama kontrolü eklenerek ve kullanıcının uygunsuz verilere veya uygulamalara erişmesi durumunda bağlantıyı kapatma yeteneği ile VPN güvenliğinin geliştirilmesi gerekiyor. Bu, riski kontrol altına almak için bağlantı noktası ve protokol kontrollerinin iyileştirilmesini içerebilir.