Zero Trust Temelleri

tarih:

 

Sıfır güven, kaynakların korunmasına odaklanan bir siber güvenlik paradigmasıdır. Bu yaklaşım, güvenin asla otomatik olarak verilmemesi gerektiğini ve sürekli olarak değerlendirilmesi gerektiğini savunur. Sıfır güven mimarisi, kimlik (insan ve insan dışı varlıklar), kimlik bilgileri, erişim yönetimi, işlemler, uç noktalar, barındırma ortamları ve birbirine bağlı altyapıyı kapsayan kurumsal kaynak ve veri güvenliğine yönelik uçtan uca bir yaklaşımdır. İlk odak noktası, kaynaklara yalnızca görevi gerçekleştirmek için gereken minimum ayrıcalıklarla (örneğin okuma, yazma, silme) erişim verilmesi olmalıdır.

Geleneksel olarak, kurumlar çevre savunmasına odaklanmış ve kimliği doğrulanan kişilere, dahili ağa girdiklerinde geniş bir kaynak koleksiyonuna yetkili erişim vermiştir. Ancak bu durum, çevre içinde yetkisiz yanal hareketlerin gerçekleşmesine imkan tanımış ve bu, özellikle federal kurumlar için büyük bir zorluk haline gelmiştir.

Güvenilir İnternet Bağlantıları (TIC) ve ajans çevre güvenlik duvarları, saldırganların internet üzerinden erişimini engellemeye yardımcı olan güçlü internet ağ geçitleri sağlar. Ancak bu mekanizmalar, ağ içindeki saldırıları tespit etmekte veya durdurmakta yetersiz kalmakta ve kurumsal çevrenin dışındaki varlıkları (uzak çalışanlar, bulut tabanlı hizmetler, uç cihazlar vb.) koruyamamaktadır.

Sıfır Güven ve Mimarisinin Tanımı

Sıfır güven (ZT), güvenliği ihlal edilmiş bir ağ karşısında bilgi sistemleri ve hizmetlerine en az ayrıcalıklı erişimi sağlayan kararların alınmasındaki belirsizliği en aza indirmeyi amaçlayan bir kavram ve fikirler bütünüdür. Sıfır güven mimarisi (ZTA), bir kuruluşun sıfır güven ilkelerini uyguladığı ve bileşen ilişkilerini, iş akışlarını ve erişim politikalarını kapsayan bir siber güvenlik planıdır.

Bu doğrultuda, sıfır güven operasyonları, sıfır güven mimarisinin bir ürünü olarak bir kuruluşun ağ altyapısı (hem fiziksel hem sanal) ve operasyonel politikalarına dayanır.

Bir kuruluş, stratejik olarak sıfır güveni benimsemeye karar verip, sıfır güven ilkelerine uygun bir plan oluşturarak sıfır güven mimarisi geliştirir (Bölüm 2.1'de ayrıntılı anlatılmaktadır). Bu plan, kurumsal kaynakların korunması için sıfır güven ortamı yaratacak şekilde uygulanır.

Bu yaklaşım, erişim denetimlerini mümkün olduğunca ayrıntılı hale getirerek verilere ve hizmetlere yetkisiz erişimi önlemeyi hedefler. Yetkili ve onaylanmış özneler (kullanıcılar, uygulamalar veya hizmetler ve cihazlar), diğer tüm özneler (örneğin saldırganlar) hariç tutularak verilere erişebilir.

ZT ve ZTA, sadece veri erişimini değil, kaynaklara erişimi de (örneğin yazıcılar, bilgi işlem kaynakları, IoT cihazları) kapsadığından, "veri" yerine "kaynak" terimi de kullanılabilir.

Belirsizlikleri ortadan kaldıramasak da, kimlik doğrulama ve yetkilendirme süreçlerinde bu belirsizlikleri azaltmayı hedefliyoruz. Bu süreçte, kimlik doğrulama mekanizmalarındaki gecikmeleri en aza indirirken, erişim kuralları da istekte bulunanın ihtiyacı olan en az ayrıcalıklar çerçevesinde mümkün olduğunca ayrıntılı olarak belirlenir.


Şekil 1'de gösterilen soyut erişim modeline göre, bir öznenin bir kurumsal kaynağa erişimi, ilke karar noktası (PDP) ve buna bağlı ilke uygulama noktası (PEP) aracılığıyla sağlanır.




Sistem, konunun geçerli ve talebin doğru olduğundan emin olmalıdır. PDP (Politika Karar Noktası) ve PEP (Politika Uygulama Noktası), öznenin bir kaynağa erişip erişemeyeceğine karar verir. Bu süreç, sıfır güvenin iki temel alanı olan kimlik doğrulama ve yetkilendirme için geçerlidir. Her erişim isteği için şu sorulara yanıt aranır: Öznenin kimliğine ne kadar güven duyuluyor? Bu güven düzeyine bağlı olarak kaynağa erişime izin verilmeli mi? İsteği gerçekleştiren cihazın güvenlik duruşu uygun mu? Ek olarak, zaman, konum ya da öznenin mevcut güvenlik durumu gibi güven düzeyini etkileyen başka faktörler var mı?

Genel olarak, kuruluşların kaynaklara erişim için dinamik, risk tabanlı politikalar geliştirmesi ve bu politikaların her erişim isteği için doğru ve tutarlı bir şekilde uygulanmasını sağlayacak sistemler kurması gerekmektedir. Bu, işletmenin varsayımsal bir güven ortamına dayanmaması gerektiği anlamına gelir. Yani, bir özne kimlik doğrulamasını tamamladı diye sonraki tüm kaynak erişim taleplerinin otomatik olarak geçerli olduğu varsayılmamalıdır.

Örtülü güven bölgesi, tüm varlıkların en azından son PDP/PEP ağ geçidi düzeyinde güvenilir olarak kabul edildiği bir alanı ifade eder. Bunu bir havaalanındaki yolcu tarama modeliyle karşılaştırabiliriz. Tüm yolcular, güvenlik kontrol noktasından (PDP/PEP) geçtikten sonra biniş kapılarına ulaşır. Güvenlikten geçmiş tüm yolcular, havalimanı çalışanları ve uçak mürettebatı terminalde serbestçe dolaşabilir ve bu alanda herkes güvenilir kabul edilir. Bu örtülü güven bölgesi, biniş kapısı alanıdır.

PDP/PEP, PEP’in ötesindeki tüm trafiği ortak bir güven düzeyine getirmek için çeşitli kontroller uygular. Ancak, PDP/PEP bu konumun ötesinde ek politikalar uygulayamaz. Bu nedenle, PDP/PEP'in olabildiğince spesifik olabilmesi için örtük güven bölgesinin mümkün olduğunca dar tutulması gerekir.

Sıfır güven yaklaşımı, PDP/PEP noktalarını kaynağa yaklaştırmayı öneren bir dizi ilke ve kavram sunar. Temel fikir, kuruluşun tüm unsurlarını, varlıklarını ve iş akışlarını açık bir şekilde doğrulamak ve yetkilendirmektir.


1.1 Sıfır Güven İlkeleri

Sıfır Güven (ZT) ile ilgili birçok tanım, kurumsal güvenlik duvarları gibi geniş çevre savunmalarının kaldırılması fikrine vurgu yapar. Ancak, bu tanımların çoğu, ZT mimarisinin (ZTA) bir parçası olarak hala çevre ile ilişkili öğeler (mikro-bölümleme veya mikro-perimetreler gibi) kullanmaya devam eder. Aşağıda, ZT ve ZTA’yı hariç bırakılanlardan ziyade, dahil edilmesi gereken temel ilkeler çerçevesinde tanımlayan bir yaklaşım sunulmuştur. Bu ilkeler ideal hedeflerdir, ancak her stratejide tam anlamıyla uygulanamayabileceği kabul edilmelidir.

Sıfır güven mimarisi şu temel ilkelere dayalı olarak tasarlanır ve uygulanır:

  1. Tüm veri kaynakları ve bilgi işlem hizmetleri kaynak olarak kabul edilir. Bir ağ, birden fazla cihaz sınıfını içerebilir; bu cihazlar, verileri toplayan küçük aygıtlardan bulut hizmetlerine ve Nesnelerin İnterneti (IoT) cihazlarına kadar geniş bir yelpazede olabilir. Kuruluş, kuruma ait olmayan kişisel cihazları da kaynak olarak sınıflandırmayı seçebilir.

  2. Ağ konumundan bağımsız olarak tüm iletişim güvenlidir. Ağ konumu güvenilirlik anlamına gelmez. Kurumsal altyapı içindeki cihazlar dahil, tüm kaynaklara erişim talepleri aynı güvenlik gereksinimlerine tabi tutulmalıdır. Tüm iletişim, gizlilik ve bütünlüğün korunması ve kaynak kimlik doğrulamasının sağlanmasıyla en güvenli şekilde gerçekleştirilmelidir.

  3. Bireysel kurumsal kaynaklara erişim oturum bazında verilir. Erişim sağlanmadan önce, talepte bulunan kişiye olan güven değerlendirilir ve yalnızca en az ayrıcalık prensibine uygun erişim sağlanır. Bir kaynağa erişim izni verilmesi, diğer kaynaklara otomatik erişim hakkı tanımaz.

  4. Erişim, dinamik politikalar ve müşteri kimliği, cihaz durumu, talep edilen hizmet gibi faktörlere dayanır. Kuruluşlar, sahip oldukları kaynaklar, üyeleri ve bu üyelerin ihtiyaç duyduğu erişim haklarını tanımlayarak kaynakları korur. Müşteri kimliği, kullanıcı hesabı veya hizmet kimliği gibi yapay nesneleri içerebilir. Erişim politikaları, kaynağın hassasiyetine göre en az ayrıcalık ilkesine uygun şekilde belirlenir.

  5. Kuruluş, sahip olunan tüm varlıkların bütünlüğünü ve güvenlik durumunu izler ve ölçer. Hiçbir varlık doğası gereği güvenilir kabul edilmez. Kuruluşlar, cihazların güvenlik durumunu sürekli olarak izler ve güvenlik açıklarını gidermek için gerekli önlemleri alır.

  6. Tüm kaynak kimlik doğrulama ve yetkilendirme süreçleri dinamiktir ve erişim izni verilmeden önce uygulanır. Bu, kimlik doğrulama, tehdit değerlendirme ve sürekli izlemeyi içeren bir döngü oluşturur. ZT uygulayan kuruluşların, kimlik ve erişim yönetimi (ICAM) sistemleri kullanması ve çok faktörlü kimlik doğrulama (MFA) yöntemlerini benimsemesi beklenir.

  7. Kuruluş, varlıkların, ağ altyapısının ve iletişimlerin durumu hakkında mümkün olan en fazla bilgiyi toplar ve güvenlik duruşunu iyileştirmek için kullanır. Kuruluşlar, topladıkları verileri analiz ederek, erişim talepleri ve ağ trafiği ile ilgili içgörüler oluşturmalı ve bu verileri politika oluşturma ve uygulama süreçlerinde kullanmalıdır.

Yukarıdaki ilkeler, teknolojiden bağımsızdır ve "kullanıcı kimliği" gibi faktörleri içerir. Bu ilkeler, bir kuruluş içinde veya iş birliği yapılan ortaklarla geçerlidir ve kamuya açık iş süreçleri için geçerli olmayabilir. Bununla birlikte, kuruluşlar, ilişkili olmayan harici kullanıcılar üzerinde ZT tabanlı politikalar uygulayabilir.


1.2 Sıfır Güven Ağı Görünümü

ZTA uygulayan bir kuruluşun ağ bağlantısı için bazı temel varsayımlar mevcuttur. Bu varsayımlar hem kuruluşa ait ağ altyapısını hem de kuruluşa ait olmayan (örneğin, genel Wi-Fi veya bulut sağlayıcıları) ağlarda çalışan kaynakları kapsar. ZTA uygulayan bir kuruluşun ağı, ZTA ilkelerine ve aşağıdaki varsayımlara dayalı olarak geliştirilmelidir:

  1. Kurumsal özel ağlar, güvenilir kabul edilmez. Ağdaki varlıklar, her zaman ağda bir saldırgan varmış gibi davranmalı ve tüm iletişim en güvenli şekilde yapılmalıdır. Bu, tüm bağlantıların kimlik doğrulaması ve tüm trafiğin şifrelenmesi gerektiği anlamına gelir.

  2. Ağdaki cihazlar kuruma ait olmayabilir. Ziyaretçiler veya dış hizmet sağlayıcılar gibi kurumsal olmayan varlıklar, ağ erişimi gerektirebilir. Bu, çalışanların kendi cihazlarını getirmesi (BYOD) durumunu da kapsar.

  3. Hiçbir kaynak doğası gereği güvenilir değildir. Bir kaynağa erişim talebi, cihazın güvenlik durumu bir Politika Uygulama Noktası (PEP) tarafından sürekli değerlendirilerek verilmelidir. Cihaz kimlik doğrulaması, sadece kullanıcı kimlik bilgilerine dayanarak yapılmamalıdır.

  4. Kurumsal kaynaklar her zaman kuruluşa ait altyapıda bulunmaz. Bulut hizmetleri ve uzak kullanıcılar gibi kaynaklar, kurumsal olmayan ağlardan erişim gerektirebilir.

  5. Uzak kullanıcılar ve varlıklar, yerel ağlara güvenmemelidir. Uzak varlıklar, yerel ağın düşmanca olabileceğini varsaymalı ve tüm trafiğin izlenip değiştirilebileceğini düşünmelidir. Tüm bağlantılar kimlik doğrulamasına ve yetkilendirmeye tabi tutulmalı, tüm iletişim gizlilik, bütünlük ve kimlik doğrulaması sağlanarak en güvenli şekilde yapılmalıdır.

  6. Kurumsal ve kurumsal olmayan altyapı arasında hareket eden varlıklar tutarlı bir güvenlik politikasına sahip olmalıdır. Varlıklar, kuruluşa ait altyapıya ya da altyapıdan geçerken güvenlik duruşlarını korumalıdır. Bu, uzak kullanıcıların cihazlarını ve kurumsal veri merkezlerinden bulut platformlarına taşınan iş yüklerini de içerir.


2. Sıfır Güven Mimarisi: Mantıksal Bileşenler

ZTA, bir kuruluşta hem şirket içi hizmetler hem de bulut tabanlı hizmetlerle uygulanabilen çeşitli mantıksal bileşenlerden oluşur. Bu bileşenler, politika kararlarını yürütmek ve verileri güvenli bir şekilde iletmek için kontrol ve veri düzlemleri kullanır.

Ana Bileşenler:

  1. Politika Motoru (PE):
    Belirli bir kullanıcı veya cihazın bir kaynağa erişim izni alıp almayacağına karar verir. Güvenlik durumu, dış kaynaklardan alınan verilerle analiz edilir ve nihai karar verilir. PE, bu kararları kaydeder ve diğer bileşenlerle paylaşır.

  2. Politika Yöneticisi (PA):
    PE’nin verdiği karara göre bir bağlantıyı başlatır veya sonlandırır. Kimlik doğrulama ve oturum bilgilerini yönetir. PA, politika uygulama noktası (PEP) ile iletişim kurarak oturumun güvenliğini sağlar.

  3. Politika Uygulama Noktası (PEP):
    Kullanıcı ile kurumsal kaynak arasındaki bağlantıları yönetir, izler ve gerektiğinde sonlandırır. PEP, istemci ve kaynak tarafındaki bileşenler ile etkileşimde bulunarak güvenli iletişim sağlar.

Destekleyici Veri Kaynakları:

  1. Sürekli Tanılama ve Azaltma (CDM) Sistemi:
    Kurumsal cihazların güncel yazılım ve güvenlik yapılandırmalarını izler. Varlıkların güvenlik durumunu kontrol eder ve PE’ye bilgi sağlar.

  2. Uyumluluk Sistemi:
    Kuruluşun yasal ve düzenleyici gerekliliklere uyum sağlamasını denetler ve ilgili kuralları politikaya entegre eder.

  3. Tehdit İstihbaratı:
    PE’nin erişim kararlarını desteklemek için dış tehdit verilerini sağlar. Yeni güvenlik açıkları ve saldırılar hakkında bilgi içerir.

  4. Ağ ve Sistem Günlükleri:
    Varlıkların ve ağ trafiğinin gerçek zamanlı izlenmesi ile güvenlik durumu hakkında geri bildirim sağlar.

  5. Veri Erişim İlkeleri:
    Kurumsal kaynaklara erişimi düzenleyen kurallar setidir. Bu kurallar, kuruluşun belirlediği roller ve gereksinimlere göre şekillenir.

  6. Kurumsal PKI (Anahtar Altyapısı):
    Sertifika yönetimini sağlar ve güvenli bağlantılar için kimlik doğrulama sertifikalarını oluşturur.

  7. Kimlik Yönetim Sistemi:
    Kullanıcı hesaplarını yönetir ve kimlik doğrulama bilgilerini sağlar. Bu sistem, federe topluluklarla işbirliği yapabilen geniş bir ağdır.

  8. Güvenlik Bilgileri ve Olay Yönetimi (SIEM):
    Güvenlik olaylarını toplar ve analiz eder. Bu veriler, güvenlik politikalarını iyileştirmek ve olası tehditleri önceden tespit etmek için kullanılır.