Sıfır güven (ZT), güven kurulana ve zaman içinde sürdürülene kadar her işlemin, varlığın ve kimliğin güvenilmez olduğunu varsayan bir mimari yaklaşım ve ağ güvenliği hedefidir. Sıfır Güven stratejileri, güvenlik sistemleri bir ihlal tespit etmedikçe bir ağın güvenli olduğuna dair eski görüşle çelişir.
Sınırların ötesinde güvenlik
Son on yılda, işletmeler giderek daha fazla dijital hale geldi. Artık bulut mimarisini ve daha fazla uzaktan çalışmayı içeriyorlar ve diğer dönüştürücü değişiklikler arasında hizmet olarak çözümler eklediler. Güvenlik ekipleri, ağ güvenliğini buna göre ölçeklendirdi ve genellikle ağı daha küçük bölgelere ayırarak daha güvenli bir hale getirdi.
Bu strateji, ne yazık ki, saldırganlar için daha fazla fırsat yarattı. Saldırganlar bir kullanıcının oturum açma bilgilerine eriştiğinde, ağ üzerinde yanlamasına hareket ederek fidye yazılımlarını yayabilir ve ilerledikçe ayrıcalıklar ekleyebilirler.
Çok faktörlü kimlik doğrulama (MFA), kimlik bilgilerinin gücünü artırdı, ancak yalnızca bir fazladan kimlik doğrulama katmanı ekledi. İçeri girdikten sonra, bilgisayar korsanları, oturumu kapatana veya sistem oturumu kapatana kadar sürekli erişime sahiptir.
Kendi cihazını getir (BYOD), uzaktan çalışma ve bulut mimarisi dahil olmak üzere yeni çalışma yöntemleri, yeni bir dizi güvenlik açığı getirdi. Ancak daha yüksek görünürlüğe sahip yeni, daha güçlü siber güvenlik korumaları bile kurumsal ağın ucunda sona erer ve bu noktanın ötesini göremez.
Sıfır Güven güvenlik modeli
Siber güvenliğe sıfır güven yaklaşımı eski paradigmayı alt üst ediyor. Siber güvenlik artık ağ bölümleri veya kurumsal ağ sınırları içinde tanımlanmamaktadır. Güven, bir bağlantının veya varlığın bir işletmeye mi yoksa bireye mi ait olduğuna bağlı olarak verilmez. Ayrıca, fiziksel veya ağ konumu – internet veya yerel alan ağı – temel alınarak verilmez.
Bunun yerine sıfır güven, kime ve nerede bulunduklarına bakılmaksızın kaynaklara, kullanıcılara ve varlıklara ayrı ayrı odaklanır. Kimlik doğrulama, bir kullanıcıya erişim verilmeden önce bir kurumsal kaynak için ayrı ayrı gerçekleştirilir.
Nihai hedef, doğrulanana kadar herhangi bir ağ öğesinin güvenini sıfıra indirmektir.
Sıfır Güven standartları
Şu an sıfır güven sertifikası ve standartları bulunmamaktadır. 1901'de kurulan ve şu anda ABD Ticaret Bakanlığı'nın bir parçası olan Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), ABD için teknoloji, ölçüm ve standart bilgileri sağlar. Amacı, teknolojinin rekabet gücünü artırmaktır.
NIST, iletişim, teknoloji ve siber güvenlik uygulamaları için standartlar oluşturur. Grup henüz sıfır güven için henüz standartlar veya sertifikalar oluşturmadı, ancak sıfır güven mimari hedeflerini tartışan bir Özel Yayın (SP) oluşturdu.
Makalenin özeti sıfır güveni şu şekilde tanımlar: “Sıfır güven, savunmaları statik, ağ tabanlı çevrelerden kullanıcılara, varlıklara ve kaynaklara odaklanmak için hareket ettiren gelişen bir dizi siber güvenlik paradigması için bir terimdir.” Belge, sıfır güven yaklaşımını derinlemesine açıklayarak devam ediyor.
Sıfır güven karmaşası
Siber güvenlik dünyasında sıfır güvenin ne olduğu konusunda bir kafa karışıklığı var. Bazı satıcılar, sıfır güven ürünleri olarak etiketlenen ürünleri satmak için bu karışıklıktan yararlanıyor. Bilgi sahibi olmayanlar için bu, sıfır güvenin ürün bazlı olduğu yanlış anlaşılmasına yol açabilir.
Sıfır güven, belirli ürünlerle ilgili değildir. Ancak yeni ve eski ürünler sıfır güven mimarisinin yapı taşları olabilir. Sıfır güven, siber güvenlik açısından devrimsel nitelikte bir yaklaşımdır. Kuruluşların ve çalışanların bugün nasıl bağlantı kurdukları ve birlikte çalıştıkları gerçeğine sıkı sıkıya bağlıdır.
Sıfır güvene doğru ilerlerken
Bir kuruluş altyapısını sıfırdan inşa ediyorsa, temel iş akışlarını ve bileşenleri belirlemek ve tamamen sıfır güven mimarisi oluşturmak daha kolay bir süreç olacaktır. İş ve altyapı değiştikçe, büyüme uzun vadede sıfır güven politikalarına bağlı kalmaya devam edebilir.
Pratikte, çoğu sıfır güven uygulaması bir sürece tabi olacaktır. Kuruluşlar, zamanla modernizasyon girişimlerini kademeli olarak uygulayarak sıfır güven ve çevre tabanlı güvenlik dengesinde kalmaya devam edecek.
Sıfır güven mimarisinin tamamen kurulması, nihai sıfır güven hedefine ulaşmadan önce muhtemelen birkaç yıl alacak ve bir dizi gizli projeyi kapsayacaktır. Ancak, sıfır güvende asla bir “varış” yoktur. Gelecekteki iş ve altyapı değişikliklerini dikkate alarak ZT stratejisini zaman içinde uygulamaya ve uygulamaya devam etmekle ilgilidir.
Harekete geçmeden önce bir plan geliştirmek, süreci daha küçük parçalara ayırabilir ve zaman içinde başarıya ulaştırabilir. Kapsamlı bir konu kataloğu, iş süreçleri, trafik akışları ve bağımlılık haritaları ile başlayarak sizi hedeflenen konulara, varlıklara ve iş süreçlerine değinmeye hazır.
Sıfır güvene doğru ilerlerken
Bir kuruluş altyapısını sıfırdan inşa ediyorsa, temel iş akışlarını ve bileşenleri belirlemek ve tamamen sıfır güven mimarisi oluşturmak daha kolay bir süreç olacaktır. İş ve altyapı değiştikçe, büyüme uzun vadede sıfır güven politikalarına bağlı kalmaya devam edebilir.
Pratikte, çoğu sıfır güven uygulaması bir sürece tabi olacaktır. Kuruluşlar, zamanla modernizasyon girişimlerini kademeli olarak uygulayarak sıfır güven ve çevre tabanlı güvenlik dengesinde kalmaya devam edecek.
Sıfır güven mimarisinin tamamen kurulması, nihai sıfır güven hedefine ulaşmadan önce muhtemelen birkaç yıl alacak ve bir dizi gizli projeyi kapsayacaktır. Ancak, sıfır güvende asla bir “varış” yoktur. Gelecekteki iş ve altyapı değişikliklerini dikkate alarak ZT stratejisini zaman içinde uygulamaya ve uygulamaya devam etmekle ilgilidir.
Harekete geçmeden önce bir plan geliştirmek, süreci daha küçük parçalara ayırabilir ve zaman içinde başarıya ulaştırabilir. Kapsamlı bir konu kataloğu, iş süreçleri, trafik akışları ve bağımlılık haritaları ile başlayarak sizi hedeflenen konulara, varlıklara ve iş süreçlerine değinmeye hazır.
Sıfır güven mimarisi, uygulanması zaman ve dikkat gerektiren bir hedef ve yaklaşımdır. Dağıtabileceğiniz ve bir sonrakine geçebileceğiniz tek seferlik bir kurulum değildir. Dört temel ilke tarafından desteklenen bir siber güvenlik felsefesidir. Belirli bir ilke, kimlik için MFA gibi belirli bir güvenlik tekniğine dayanabilir, ancak kullanılan teknik zamanla değişebilir.
Sıfır güven yaklaşımının altında yatan üç temel işlev vardır.
Sürekli güven aşamalı ve sürekli olarak uygulanmalıdır. Bu, ağın ömrü boyunca geçerli olacak tam bir değiştirme veya tek seferlik bir dağıtım değildir. Ağın birçok yönünü içeren çok yıllı ve projeli artımlı bir süreçtir ve çalışma alışkanlıkları, teknoloji ve tehditler değiştikçe sürekli değerlendirmeye ihtiyaç duyacaktır.
Kuruluşunuzun sıfır güven yaklaşımını nasıl uyguladığı, operasyonunuza bağlıdır. En yüksek değere sahip varlıklarınız, başlamak için iyi bir yerdir.
Sıfır güven yolculuğu dört bileşen içerir: