İnsanlar lanse etmeyi sever NIST’in SP 800-207’si [Zero Trust Architecture] sıcak yeni bir şey olarak, ama gerçek şu ki, zero güven ağı modelleri on yılı aşkın bir süredir ortalıkta dolaşmaktadır. Google, BeyondCorp modeliyle sıfır güveni kavramın kanıtlanması aşamasının çok ötesine taşıdı ve 2010 yılı geldiğinde, şirket gezegendeki en işlevsel sıfır güven ağına sahipti.
Bir düzine yıl ileri sar ve sıfır güven bir kez daha çılgınlık siber güvenlik endüstrisinin Soru: Meli öyle mi
Sıfır güven, çoğu zaman sihirli değnek değildir ve sıfır güven yeni normal olmamalıdır.
Sıfır Güvenle İlgili Sorun Nedir?
Kısaca: Sıfır güven, dahili veya harici hiçbir ağ bağlantısına güvenilemeyeceğini varsayar. Her kullanıcı çok faktörlü kimlik doğrulaması yapar, her sistemin kimlik doğrulaması ağ üzerinde birden çok kez yeniden doğrulanır ve her şey için varsayılan erişim ilkesi “reddet” şeklindedir.
Sıfır güven oluşturmanın ve sürdürmenin birincil yöntemleri, mikro segmentasyon, yer paylaşımlı ağlar, gelişmiş kimlik yönetişimi ve ilke tabanlı erişim kontrolleridir.
Sıfır güveni mevcut bir ağa dahil etmeyle ilgili sorunları ve masrafı bir kenara bırakırsak, iki şirketin kaynaklarının birlikte iyi oynaması gerektiğinde sıfır güven modeli aşınmaya başlar. Kimlik doğrulamadan kaynak havuzlu bulut federasyonuna kadar değişen birleşik etkinlik, sıfır güvenle bir arada var olmaz.
Burası, işlerin nasıl yürüdüğüne dair birçok el salladığını gördüğümüz yer. Kuruluşların sıfır güven modeli altında federasyona izin vermek için yaptıkları tavizler, kestirme yollar ve fedakarlıklar, en sert CIO’yu bile duraksatmalıdır.
Ama daha da önemlisi, sıfır güven ile ilgili sorun, insanların sıfır güven tarzında çalışmamasıdır ve bunun iyi bir nedeni vardır. Odadan bile çıkmamışken birinin kimliğini tekrar tekrar doğrulamak zaman ve kaynak kaybıdır. İnsan güven döngümüz, gözlemlenebilir bir aralıktaki kimlikleri oluşturmak ve izlemek için mantığa, olasılığa ve rastgele gözlemlere dayanır. Güvenin düşük olduğu veya hiç olmadığı etkileşimler, düşük değerli ve hatta düşmanca görülme eğilimindedir.
Öyleyse, ne tür bir güven modeli federasyonu tam olarak birleştirebilir ve daha insani ve ilişkilendirilebilir güven döngülerini taklit edebilir?
Kimlik-Önce Ağ İletişimi Ne Olacak?
İnsanların her gün kullandığı ‘bilgilendirilmiş güven’ modelini faydalı bir şekilde taklit etmek için, sıfır güven kavramını tamamen alt üst etmemiz gerekiyor. Bunu yapmak için ağ etkileşimlerinin risk açısından değerlendirilmesi gerekir.
İşte burada kimlik öncelikli ağ devreye giriyor. Bir ağ talebinin kabul edilmesi için hem bir kimliğe hem de açık yetkilendirmeye ihtiyacı var; Bunu başarmak için Alanlar Arası Kimlik Yönetimi (SCIM) tabanlı senkronizasyon sistemi kullanılır. Bu, bulut uygulamaları, çeşitli ağlar ve hizmet sağlayıcılar arasında bir kullanıcı kimliği alışverişini güvenli bir şekilde otomatikleştirir.
Tamamen yeni bir seviyeye taşınan federasyon olarak düşünün. Ya da belki yeni bir katman. Kimlik, ağ taşıma katmanında oluşturulur. Bu, geleneksel olarak güvenceye alınması en zor kaynaklardan bazılarının (veritabanları, kapsayıcı kümeleri, vb.) erişim düzeylerinin, güvenilir bir kimlik sağlayıcıyla bütünleştirilerek merkezi olarak yönetilebileceği anlamına gelir.
Kimlik, güven kavramıyla ayrılmaz bir şekilde iç içe geçmiştir. Tüm ağ etkinliği otomatik olarak kimlik dizine eklenir, bu da kullanım modellerinin izlenmesinin kolay olduğu ve yetkisiz erişime yönelik tüm girişimlerin anında işaretlendiği anlamına gelir. Bir kullanıcı veya işlem olağandışı bir şeye erişmeye çalışırsa, ağrılı bir parmak gibi dışarı çıkarlar. DNS filtreleri, ağır işlerin çoğunu yapar.
Kimlik sahteciliği riski büyük ölçüde azalır, çünkü kimlik sağlayıcı tek gerçek bilgi kaynağı olarak hareket eder. Saldırganın etkili olabilmesi için kimlik sağlayıcının kök sertifikasına ihtiyacı olacaktır, bu pek olası olmayan bir durumdur.
Hesaplama açısından, bu süreç sıfır güvenden çok daha ucuzdur. Sıfır güven durumunda, herhangi bir işlem sırasında kimlik doğrulamasını birkaç kez kontrol etme ve yeniden kontrol etme işi toplanır. Önce kimlik durumunda, paket doğru kimlik ve ekli izinler olmadan ön kapıdan (veya dahili olarak sahte paketler söz konusu olduğunda aradaki herhangi bir kapıdan) geçmez.
Kimlik öncelikli ağ iletişimi için çok faktörlü kimlik doğrulama gereklidir, ancak bu, günümüzde ve çağda pek de kötü bir şey değildir. Önce kimliğin dahil edilmesi, VPN’leri gereksiz kılar ki bu, VPN sağlayıcıları için yalnızca üzücü bir hikayedir.
Sıfır Güven Her Şeyi Kapsayıcı Olmamalı
Sıfır güvenin tamamen uygun olduğu yerler var. Sıfır güvenin parladığı hükümet, ulusal savunma ve finans sektörü uygulamaları kesinlikle vardır.
Ancak ağınızı sıfırdan oluşturmuyorsanız, sıfır güvenin tamamen uygulanması için bazı pahalı yeniden yapılandırmalar gerekir. Bu, birçok KOBİ’nin yanı sıra ağır federasyona dayalı bir modeli benimsemeyi tercih eden herhangi bir kuruluş için uygun değildir.
Teorik olarak, sıfır güvenin maliyeti, güvenlik ihlali başına daha düşük maliyetle dengelenir. Ancak, kimlik öncelikli ağ oluşturma gibi bir yöntem işi halledebilirse, kuruluş bazında yapılması gereken yeni bir fayda-maliyet analizi vardır.