ZERO TRUST (SIFIR GÜVEN ) NEDİR ?

ağ güvenliği üst düzey

    Günümüzde ağ güvenliğinin sağlanması konusundaki yeni yaklaşımlardan biri de sıfır güven (zero trust) modelidir. Bu model, eski Forrester analisti John Kindervag tarafından 2010 yılında geliştirilmiştir. Sıfır güven, kuruluşların çevreleri içindeki veya dışındaki hiçbir şeye otomatik olarak güvenmemesi ve bunun yerine erişim izni vermeden önce sistemlerine bağlanmaya çalışan her şeyi doğrulaması gerektiği inancına odaklanan bir güvenlik yaklaşımıdır. Sıfır güven modeline göre ağınızdaki hiçbir kullanıcıya, hiçbir ağ cihazına, hiçbiryazılıma güvenmemeniz gerekir.  Bu modeli tanımaya, veri ihlallerinin zirve yaptığı günümüzde dertlerimize derman olup olmayacağını öğrenmeye ve gerçekçi bir model olup olmadığını irdelemeye çalışalım.

     Sıfır güven modeline göre öncelikle ağımızdaki her varlığın görünürlüğünü sağlamak gerekir.  Bununla beraber ağdaki kullanıcıların ne gibi yetkileri var, kim nereye ne kadar yetkiyle erişebiliyor, kim nereye, ne zaman erişti, ne yaptı gibi bunların takibini yapan çok iyi korelasyonlarla donatılmış bir SIEM çözümü olması gerekiyor? Sıfır güven modeli öncelikle verilerin güvenliğine odaklanır. Verileri sadece temel güvenlik önlemleri ile koruma altına almakla kalmaz ek güvenlik katmanları ile güvenlik seviyesini en üst düzeye çıkarmaya çalışır. Verilerin sınıflandırılıp nerede depolandığından, bunlara kimlerin ulaşabildiğinin tespitine kadar izlenmesi gereken birçok etken vardır. Veri ihlallerinin bir kısmı kasten veya ihmal ile ağın içinden gerçekleşse bile öncelikle ağın dışındaki tehdit aktörlerini hep ağın dışında tutmaya çalışmak, bunun için yeni nesil güvenlik duvarları ile ağı segmentlere ayırmak, bu segmentlere erişimi sıkı bir şekilde denetlemek ve izlemek gerekir.  Bu nedenle kullanıcıların ağ kaynaklarına erişimini mümkün oldukça kısıtlamak ve zorlaştırmak gerekir. Kullanıcılara güvenmeyin ve elinizden geldiğince kuralları tavizsiz uygulayın. Standart bir kullanıcıya yasak olan şey insan kaynakları müdürüne de yasak olmalı. İş ortaklarınıza da güvenmeyin. Yaşanan veri ihlallerinin büyük çoğunluğu siz ağınızı ne kadar güvenli hale getirirseniz getirin bir iş ortağına verdiğiniz erişim veya onun servisi üzerinden kaynaklanmaktadır. Daha önce yaşanan bir veri ihlalinde online bilet firması kendisine müşteri destek hizmetleri sunan bir firmanın zararlı yazılım içeren ürünü üzerinden ihlale maruz kalmıştı.

    Ağınızdaki şeylere (things) de güvenmeyin. IoT ile birlikte artık her şeyin ağa bağlanabildiği birdönemi yaşıyoruz. İlerleyen yıllarda kapı kolundan çay bardağına kadar ağa bağlanan cihazların sayısını bilemediğimiz günler gelecek. Ağımızdaki her bir cihaz tehdit aktörleri  için bir giriş kapısıdır ve yine bellenimini güncellemediğimiz her IOT cihazı saldırı atak yüzeyini arttıracaktır. Aynı şekilde yapay zeka otomasyonlarınada güvenmek Zero Trusta göre değil, bu tarz otomasyonları sıkı bir kontrol ile denetlemek gerekir.

Bu yazı Cemal TANER' in Arka Kapı dergisi için yazdığı makaleden alıntıdır. Şimdi o makaledeki tavsiyelere bakalım;

 1. Neyiniz var öğrenin. Bilmediğiniz, sayamadığınız, ölçemediğiniz şeyin güvenliğini sağlayamazsınız. Bu nedenle ağ cihazlarından servislere oradan kullanıcılara kadar elinizin altındaki tüm varlıkların iyi bir envanterini çıkarıp kayıt altına alın. 

 2. Ağa erişimi sıkı güvenlik politikalarıyla sağlayın. Bunu ücretli bir NAC (Network Access Control) ile sağlayabileceğiniz gibi açık kaynak çözümlere de yönebilirsiniz. 

 3. Her şeyi loglayın. İyi güvenlik politikalarına sahip olmak sizi kurtarmaz, sonuçta bir veri ihlali olduğu zaman bunun nasıl gerçekleştiğini tespit etmeniz gerekir. Bunun için çok iyi korelasyonlarla donatılmış bir SIEM-SOAR çözümü kullanın. Yine bu konuda ücretli ücretsiz birçok çözüm bulabilirsiniz. Orta ölçekli işletmeler için Security Onion, ücretsiz açık kaynak bir çözüm olarak karşımıza çıkmaktadır. 

 4. Kullanıcıları ve sahip oldukları rolleri iyi belirleyin. Yine iyi yapılandırılmış bir etki alanı yöneticisiyle bunu sağlayabilirsiniz. 

 5. Verileri sınıflandırın ve erişimi sınırlandırın. Kurumunuz içindeki verileri sınıflara ayırdıktan sonra hassas ve önemli olarak belirlediğiniz verilere kimlerin erişebileceğini sıkı güvenlik politikalarıyla belirleyin.

6. Çok faktörlü kimlik doğrulamayı (MFA) mutlaka etkinleştirin. Ağınızın içinden veya dışından kim erişmek isterse istesin çok faktörlü kimlik doğrulamayı geçemeyen ağa giriş yapamasın. Çok faktörlü kimlik doğrulama içinde piyasada ücretli ücretsiz birçok çözüm bulabilirsiniz. 

 7. “RDP’yi kapat yeğen”. Rahmetli Ramiz Dayının tavsiyesine uyarak uzaktan erişim için RDP bağlantısını hiçbir şekilde kullanmayın. Bazı arkadaşlar RDP portunu 3389’dan farklı bir porta taşıyınca güvende olduklarını sanıyor. Yok öyle bir dünya. Bkz. Sızma Sanatı, Kevin Mitnick. 

 8. VPN kullanın kullandırın. “Tamam RDP kullanmayacağız ne yapacağız?” derseniz: Uzaktan erişim ve çeşitli lokasyonların iletişimi için mutlaka VPN kullanın. Tabii ki bu VPN yapılandırmalarını sıfır güven modeline göre inşa etmelisiniz. Örneğin, VPN bağlantısında kullanıcı adı ve parola ile giriş yapan kullanıcı MFA ile de doğrulanmalı ki VPN kullanıcı bilgileri ele geçirilmiş biri yüzünden ağınız ihlale uğramasın. VPN için bir güvenlik duvarına verecek paramız yok diyorsanız ücretsiz o kadar çok çözüm var ki inanın biri işinizi görecektir. 

 9. Her şeyi sıkılaştırın (hardening). Ağınızdaki ağ cihazlarından ağ servislerine kadar ne varsa hepsi için iyi bir sıkılaştırma politikası uygulayın. Kullandığınız ağ cihazlarının üreticilerinin sitelerinde bu konuda örnek yapılandırmalar bulabilirsiniz. 

 10. Birçok servis ve hizmeti buluta taşıyın. Kendi içinizde sıfır güven modelini uygulamak çok zor ve maliyetli olacaktır. Servis ve hizmetlerinizi buluta taşıyarak güvenlik işini bulut firmalarına emanet etmiş olursunuz. Ama bu konuda çok dikkatli olmak lazım. El elin eşeğini türkü çağırarak ararmış. 

 11. Tatbikat yapın. Bir tehdit aktörü aldığınız tüm ön lemlere rağmen önemli verilerin olduğu ağ kesim lerine sızabiliyor mu bununla ilgili testler yapın. Klasik anlamda sızma testlerinden ziyade senaryo bazlı olay canlandırma temelli sızma testleri gerçekleştirin.

%100 güvenlik hiçbir zaman mümkün değildir. Bunuda unutmamak gerekir.

Cemal TANER

(Arka Kapı Dergisi 12.sayı 2021 S.16)