Zero Trust (Sıfır Güven) Modeli Nedir?

Sıfır güven, tüm kimliklerin (kişiler, cihazlar veya kullanıcı olarak belirlenen diğer varlıklar), kullanıcı ister kurumun ağının içinde ister dışında olsun, verilere ve uygulamalara erişmeden önce ve erişirken kimliğinin doğrulanmasını, yetkilendirilmesini ve sürekli olarak doğrulanmasını gerektiren bir BT güvenlik çerçevesidir.

Geleneksel BT ağ güvenliği, ağa girdikten sonra tüm kimliklere güvenir, bu da işletmeleri günümüzün siber ortamında savunmasız bırakır: 

• Uzaktan, hibrit ve çalışan olmayan erişimi
• Çeşitli veri, uygulama ve ağ cihazları ve konumları 
• Buluta geçiş 
• Veri ihlalleri ve fidye yazılım saldırıları 

Kötü niyetli içeriden bir kişi ağa girdiğinde, kaynaklara kolayca yanal erişim sağlayabilir. Sıfır güven ile ağ içindeki kullanıcılara bile güvenilmez ve uygulama ve verilere hala erişebilmeleri gerektiğinden emin olmak için sürekli olarak doğrulama istenir.

Sıfır güven, kurumun her zaman iç ve dış tehditler tarafından tehlikeye atıldığını varsayar. Bu siber tehditleri azaltmak için kasıtlı ve metodik bir yaklaşım sağlar. Sıfır güven modeli, kurumsal kaynaklara mevcut erişimi olan kullanıcılar da dahil olmak üzere hiç kimseye güvenmediğinden, modern işletmeler için temel güvenlik sağlar.

Sıfır Güvenin Tarihi

Forrester Research analistlerinden John Kindervag, 2010 yılında model üzerine yaptığı bir sunum sırasında “sıfır güven” terimini ortaya atmıştır. 

Gartner, 2019 yılında güvenli erişim hizmeti sınırı (SASE) çözümlerine sıfır güveni dahil etti ve Birleşik Krallık’taki National Cyber Security Centre (NCSC), ağ mimarlarının yeni BT dağıtımları için özellikle de dağıtım bulut hizmetlerini içeriyorsa, sıfır güven modelini dikkate almalarını tavsiye etti. 

Sıfır Güven Ağ Erişimi (ZTNA) Nedir?

Sıfır Güven Ağ Erişimi (ZTNA), işletmenin sıfır güven güvenlik modelini kullanmasını sağlayan birincil teknolojidir. ZTNA, cihazlar ve ihtiyaç duydukları kaynaklar arasında belirtilen erişim kontrol politikalarına dayalı olarak bire bir şifreli bağlantılar kurar, varsayılan olarak erişimi engeller ve yalnızca kesin olarak izin verildiğinde hizmetlere erişime izin verir. ZTNA güvenli erişim sağlamadan önce kullanıcıların kimliği şifreli bir tünel aracılığıyla doğrulanır.

Sıfır Güven Modelinin Temel İlkeleri

Aşağıdaki listede sıfır güven modelinin temel ilkelerini bulabilirsiniz:

1. Sürekli izleme ve doğrulama

Sıfır güvende anahtar kavram, uygulamaların güvenilir olduğunun varsayılamayacağı ve davranışlarını doğrulamak için çalışma zamanında sürekli izleme yapılması gerektiğidir. Sürekli doğrulama, işletmenin tüm kaynaklar için erişimi sürekli olarak doğrulaması gerektiği anlamına gelir. 

Bu kadar kapsamlı kaynakların sürekli olarak doğrulanması, iş akışının yalnızca risk seviyeleri değiştiğinde kesintiye uğramasını sağlamak için risk tabanlı koşullu erişim gerektirir ve kullanıcı deneyiminden ödün vermeden bu sürekli doğrulamayı mümkün kılar. Ayrıca kullanıcılar, bilgiler ve iş yükleri sık sık hareket ettiğinden, işletmenin risk, uyumluluk ve BT hususlarını içeren ölçeklenebilir bir dinamik politika modeli uygulaması gerekir. 

2. Mikro segmentasyon

Mikro bölümlendirme, güvenlik çevrelerini daha küçük sektörlere ayırma ve her ağ bölgesine farklı erişim yaratma işlemidir. Bir bölgeye erişim izni verilen bir kullanıcı veya uygulama, ek izinler almadan diğerlerine erişemez. 

3. Yanal hareketi önleme

Sıfır güvenin önemli bir yönü, bir bilgisayar korsanının bir ağa girdikten sonra ağ içinde yeniden konumlanmasıyla ortaya çıkan yanal hareketi önlemektir. Bilgisayar korsanı çoktan ağdaki diğer alanlara sızmaya başlamış olacağından, giriş noktası tespit edilse bile bunu tespit etmek zor olabilir.

Sıfır güven, ağa erişimi mikro bölümlere ayırarak bilgisayar korsanlarının yanal olarak diğer mikro bölümlere geçmesini engeller. 

Belirli bir bölgeye sabitlenen bilgisayar korsanının yerini tespit etmek daha kolaydır, böylece ek bölgelere erişim imkansız hale gelir.

4. Cihaz erişim kontrolü

İşletmenin ağ saldırı yüzeyini sınırlamak için sıfır güven, cihaz erişiminin titizlikle yönetilmesini gerektirir: 

• Ağa erişmeye çalışan cihazların sayısını belgeleyin.
• Her cihazın yetkili olduğunu onaylayın. 
• Cihazların tehlikeye atılmadığından emin olun.

5. En az ayrıcalıklı erişim ilkesi

En az ayrıcalık, kullanıcı izinlerinin mantıklı bir şekilde yönetilmesi yoluyla kullanıcılara yalnızca gerektiği kadar erişim sağlar ve her kullanıcının savunmasız ağ segmentlerine maruz kalmasını mutlak minimuma indirir. Mikro bölümlendirme ile birlikte, yanal hareketi en aza indirmek için en az ayrıcalıklı erişim ilkeleri kullanılır.  

En az ayrıcalıklı erişim, güvenli bilgi ve üstün verimliliği kolaylaştırmak için tam zamanında (JIT) sağlama, yeterli yönetim (JEA), risk tabanlı uyarlanabilir politikalar ve veri koruma yoluyla kullanıcı erişimini sınırlar. En az ayrıcalık kısıtlamaları altında erişimin izlenmesi, kurumun tutarsızlıkları anında tespit etmesini ve bunlara tepki vermesini sağlayan analitik ve raporlama sağlar.

6. Çok faktörlü kimlik doğrulama (MFA)

Çok faktörlü kimlik doğrulama (MFA) da sıfır güven modelinin temel ilkelerinden biridir. MFA, BT kaynaklarına erişim için iki veya daha fazla güvenlik mekanizmasını birleştirir.  

MFA, bir parolanın yanı sıra bir güvenlik belirteci, mobil cihazdaki bir kimlik doğrulama uygulaması veya parmak izi taraması gibi ikincil bir mekanizma gerektiren iki faktörlü kimlik doğrulamaya (2FA) benzer. İkisi arasındaki temel fark, MFA’nın güvenlik düzeyini artırmak için birden fazla ikincil kimlik doğrulama mekanizması gerektirebilmesidir.

Zero Trust (Sıfır Güven) Modeli Nasıl Çalışır? 

Sıfır güvenin altında yatan model basittir: Hiç kimseye güvenmemek. Kullanıcıların erişim izni alacak kimlik bilgilerine sahip olmaları halinde güvende olduklarını varsayan bir ağ çevresi etrafında inşa edilen geleneksel modelden oldukça farklıdır. Sıfır güven modeli, ağın içindekiler de dahil olmak üzere tüm kimlikleri tehdit olarak kabul eder.  

Şirket içinde, genel bulutta veya hibrit bir ortamda olmak üzere her yerde etkinleştirilen güvenlik, kimliklerin doğrulanmasına dayandığında daha güçlüdür. 

Okumanızı öneririz: Bulut Bilişim (Cloud Computing) Nedir? Dijital Dönüşümde Bulut Bilişimin Önemi

Sıfır güven ile uygulamalar ve hizmetler ağlar arasında güvenli bir şekilde iletişim kurabilir ve kimlikler, bu varlıklar ister insan, ister cihaz veya uygulama olsun, iş politikalarına dayalı olarak ihtiyaç duydukları verilere ve uygulamalara erişim izni alabilir. Sıfır güven mimarisi, aşağıdakiler de dahil olmak üzere bağlama bağlı olarak erişim ilkeleri uygulayarak onaylanmamış erişimi ve yan etkinlikleri önler: 

• Kullanıcının rolü ve konumu 
• Kullanıcının cihazı 
• Kullanıcı tarafından talep edilen veriler 

Sıfır güven çerçevesinin uygulanması, kurumun kullanıcılarını, verilerini ve sistemlerini her erişim noktasında korumak için çok faktörlü kimlik doğrulama, kimlik güvenliği, uç nokta güvenliği ve dinamik bulut tabanlı hizmetler gibi yaygın araçların bir kombinasyonunu sunar.

Sıfır Güven Mimarisi

Sıfır güven mimarisi, işletmenin en önemli kaynaklarını koruyan genel bir çerçevedir. Tüm bağlantıların ve uç noktaların tehdit olduğu varsayıldığından, sıfır güven mimarisi: 

• Ağ erişimini yönetir ve kısıtlar.
• Uygulamaları ve verileri varsayılan olarak erişilemez hale getirir.
• Erişim izni vermenin kurumun güvenlik politikalarına uygun olup olmadığına bağlı olarak her bağlantıyı doğrular ve yetkilendirir. 
• Güvenlik duvarlarında olduğu gibi, virüslü dosyaların geç tespit edilmesine neden olabilecek bir teslimat sırasında inceleme yaklaşımı kullanmak yerine dosyaların teslimattan önce değerlendirilmesine izin vermek için her bağlantıyı sonlandırır.
• Mümkün olduğunca çok veri kaynağından gelen bağlamı kullanarak tüm kurumsal ağ trafiğini kaydeder, inceler ve izler. 
• Ağ varlıklarını doğrular ve güvence altına alır.

Sıfır güven mimarisi, kullanıcı erişimini yalnızca iş işlevleri için gerekli olanlarla sınırlayan en az ayrıcalıklı erişime dayanır. Örneğin, pazarlama alanında çalışan bir çalışanın işletmenin müşteri ilişkileri yönetimi (CRM) yazılımındaki hassas müşteri verilerine erişmesi gerekmez.

Sıfır Güven Neden Önemlidir?

Sıfır güven, kullanıcıların ihtiyaç duydukları kaynaklara, ihtiyaç duydukları anda, tercih ettikleri cihazlardan erişebilmelerini sağlayarak hibrit iş yerini desteklerken, kurumun güvenliği güncel tutmasına ve yeni tehditler tespit edildiğinde ve dijital dönüşümler gerçekleştiğinde uyum sağlamasına olanak tanır. 

Sıfır güven sunduğu güncellenmiş güvenlik modeline ek olarak, işletmenin aşağıdaki gibi değişen iş ihtiyaçlarını da destekler: 

• Yenilikçi dijital deneyimler için müşteri tercih ve beklentilerini karşılamak.
• BT ekibinin kontrolü dışındaki artan sayıda cihaz tarafından erişilen kaynaklar sağlamak.
• BT ekiplerinin eski güvenlik çözümleri, gelişen siber tehditler ve artan küresel düzenlemeler nedeniyle manuel görevler için harcadıkları zamanı yönetmek.
• Liderlik ekiplerine güvenlik politikaları ve tehditlere müdahale konusunda görünürlük ve içgörü sağlamak.

Sıfır Güvenin İşletmelere Faydaları 

Sıfır güvenin başarılı bir şekilde uygulanmasının kurumlara sağladığı avantajlar aşağıdakileri içerir:

• Modern BT ekosistemindeki bulut, uç nokta ve veri yayılımı seviyesi nedeniyle hayati önem taşıyan yüksek etkili bulut güvenliği, güvenlik ekipleri için daha fazla görünürlük ve verimlilik 
• İhlali tek bir mikro segmentle sınırlandırarak işletmenin saldırı yüzeyini azaltmak ve bir saldırı gerçekleştiğinde şiddeti ve ilgili kurtarma masraflarını sınırlandırmak 
• Azalan alt ağ trafiği, kolaylaştırılmış günlük kaydı ve izleme ve ağ hatalarına odaklanmak için geliştirilmiş yetenek sayesinde iyileştirilmiş ağ performansı 
• MFA gereksinimleri nedeniyle kullanıcı kimlik bilgilerinin çalınması ve kimlik avı saldırılarının etkisinin azaltılması ve temel olarak geleneksel çevre tabanlı güvenlik önlemlerini atlatan tehditlerin hafifletilmesi 
• Tüm erişim taleplerinin kimliğini doğrulayarak, korunması ve güncellenmesi zor olabilecek Nesnelerin İnterneti (IoT) cihazları da dahil olmak üzere cihazlarla ilişkili riski azaltmak

Zero Trust (Sıfır Güven) Kullanım Durumları

Yıllardır önerilen bir model olan sıfır güven, artan siber tehditler ve kurumların güvenli dijital dönüşümü mümkün kılmak için artan ihtiyaçları nedeniyle gelişmekte ve resmileşmektedir. Sıfır güven için önemli kullanım alanları şunlardır

• Mevzuata uygunluk ve ilgili denetim zorlukları, siber sigortayı sürdürme zorluğu, güvenlik operasyon merkezi (SOC) sorunları veya kullanıcılar üzerindeki çok faktörlü kimlik doğrulama etkileri gibi kurumsal endişelerin ele alınmasını sağlar. 
• Sağlam kimlik doğrulama ve yetkilendirme protokollerine sahip olmayan, ağa ve kaynakların nasıl iletişim kurduğuna ilişkin görünürlüğü zayıf olan veya aşırı sağlanan yazılım ve hizmetlerden muzdarip olan işletmeler için kurumsal riski azaltır.
• Çok kimlikli, bulut, çoklu bulut veya hibrit olan veya SaaS uygulamaları, eski sistemler veya yönetilmeyen cihazları içeren altyapı modellerinin korur.
• Yeni çalışanları hızlı ve güvenli bir şekilde işe alma ve işten çıkarmanın yanı sıra kullanıcılar rol değiştirdiğinde sorunsuz bir şekilde erişim izni verme ve iptal etme yeteneği sağlar.
• Uzaktan çalışmanın yanı sıra kurumsal BT ekipleri tarafından yönetilmeyen bilgisayarları kullanan yükleniciler ve diğer üçüncü taraflar gibi çalışan olmayanları güvenli bir şekilde destekler. 
• Veri ihlalleri, fidye yazılımları, içeriden gelen tehditler, gölge BT veya tedarik zinciri saldırıları gibi mevcut tehditlerin ele alınmasını sağlar.
• Veri yedekleri, kredi kartı bilgileri ve kişisel veriler gibi hassas bilgilerin etrafında sıfır güven mikro segmentasyonu ile sınırlar oluşturmak. Bu, yalnızca veri türlerinin uygun şekilde kategorize edilmesini sağlamakla kalmaz, aynı zamanda denetimler sırasında veya bir veri ihlali meydana gelirse daha iyi görünürlük ve yönetim sunar.

Zero Trust’ın SASE’den Farkı Nedir?

Secure Access Service Edge (SASE), günümüzde popüler olan ve yine uygulamalara ve verilere güvenli erişim sağlamak için geliştirilmiş bir başka güvenlik çerçevesidir. SASE ilk olarak 2019 yılında Gartner tarafından “yazılım tanımlı WAN (SD-WAN), güvenli web ağ geçidi (SWG), bulut erişim güvenlik aracıları (CASB), hizmet olarak güvenlik duvarı (FWaaS) ve Sıfır Güven Ağ Erişimi (ZTNA) gibi temel yetenekleri içeren, hassas verileri veya kötü amaçlı yazılımları tanımlama ve risk ve güven seviyeleri için oturumların sürekli izlenmesiyle hat hızında içeriğin şifresini çözme yeteneğine sahip yeni bir teknoloji paketi” olarak tanımlanmıştır. Başka bir deyişle, SASE, Sıfır Güven Ağ Mimarisini içeren şemsiye bir terimdir.

Her ikisi de modern güvenlik mimarisinin önemli bileşenleridir, ancak farklıdır. SASE, bir kullanıcının veya makinenin konumundan bağımsız olarak güçlü dijital kimliğe dayalı kapsamlı, çok yönlü bir güvenlik çerçevesi sunar. Öte yandan, SASE’in bir bileşeni olan Zero Trust, yalnızca kaynak erişim politikalarına ve kontrollerine odaklanır. Birlikte kullanıldıklarında, günümüzün modern BT ekosistemini etkili bir şekilde koruyabilen daha kapsamlı bir güvenlik çözümü sağlayabilirler.