1. Anasayfa
  2. Teknoloji

Zero Trust Security (Sıfır Güven) Nedir?


Zero Trust (Sıfır Güven), proaktif bir savunma stratejisidir ve bu nedenle, onu destekleyen teknolojiler, artan güvenlik endişelerine yanıt olarak daha geniş bir şekilde benimsenmektedir. Bununla birlikte, güven, siber güvenlik söz konusu olunca merkez aşamasını almıştır. Siber güvenliğin temel unsurları ‘güvenilir’ ağ altyapısı, kullanıcılar, cihazlar veya uç noktalar, tedarikçiler ve diğerleridir.

Kuşkusuz, bu yaklaşım, işletmeleri, verilerini ve hatta bireyleri korumada önemli bir rol oynamıştır. Ancak, teknik olarak daha gelişmiş dünyayı araştırırken, bu yaklaşım siber saldırganlar tarafından uzun süredir şu nedenlerden dolayı istismar ediliyor:

  • Zayıf güvenlik modeli veya bir işletmenin çalıştığı binanın çevresi dışında güvenlik taramasının yapıldığı ‘kale ve hendek’ konsepti. Bir bilgisayar korsanı veya kötü amaçlı yazılım bu alanı bir şekilde kırmayı başarır ve oraya girerse, zarar meydana gelir.
  • Kullanıcıların uygulamaları ve / veya kullandıkları hizmetler üzerinde görünürlüğü veya kontrolü olmayan ağ güvenlik duvarı gibi eski erişim kontrolleri. Bilgisayar korsanları ağın güvenliğini ihlal ederse, bu uygulamalara kolayca erişebilirler.
  • VPN teknolojileri, veri iletişimini güvence altına almak ve gizliliği ve mahremiyeti sürdürmek için harikadır, ancak yetkilendirme ve kimlik doğrulama hala mükemmel bir şekilde gerçekleştirilememiştir.
  • Kendi cihazlarını kullanarak BYOD politikaları ve uzaktan çalışanlar gibi iş akışlarını değiştirme. Uygun bir güvenlik sistemi uygulanmazsa veri sızıntıları olur.

Kuruluşların karşılaştığı tüm bu güvenlik zorlukları, esnek, dinamik, basit ve üst düzey güvenlik sağlayan Zero Trust Security sistemin kurulmasına yol açtı.

Bu makalede, Zero Trust Security yani Sıfır Güven Güvenliği ilkeleri, nasıl uygulanacağı ve bununla ilgili diğer detaylardan bahsedeceğiz.

Sıfır Güven / Zero Trust Nedir?

Zero Trust, bir kuruluşun ağının içindeki ve dışındaki tüm kullanıcılara, verilere ve uygulamalara erişim izni verilmeden önce güvenlik duruşları ve yapılandırmalarının yetkilendirilmesi, kimlik doğrulaması ve sürekli olarak doğrulanması gereken gelişmiş bir güvenlik yaklaşımıdır. Bu yaklaşım, sıkı güvenlik sağlarken bir kullanıcı kimliğini doğrulamak için çok faktörlü kimlik doğrulama, yeni nesil uç nokta güvenliği ve kimlik ve erişim yönetimi (IAM) dahil olmak üzere üst düzey güvenlik teknolojilerini kullanır.

Zero Trust, sıkı kullanıcı kimliği doğrulaması sunmanın yanı sıra, kullanıcıları ve uygulamaları karmaşık internet tehditlerinden korur.

“Sıfır Güven” ifadesi, Forrester’dan John Kindervag tarafından popüler hale getirildi, ancak aslında Stirling Üniversitesi’nde hesaplama güvenliği üzerine yaptığı tezden sonra Nisan 1994’te Stephen Paul Marsh tarafından ortaya atıldı.

Gerçekte, Sıfır Güven kavramlarının çoğu yeni değildir. Marsh’ın çalışmasına dayanarak güven sonludur ve etik, ahlak, adalet, yargı ve yasallık gibi insani yönleri aşar. Ona göre güven, matematiksel bir yapı olarak gösterilebilir.

Zero Trust, kuruluşların, kurumsal LAN’larına bağlı olsalar veya daha önce doğrulanmış olsalar bile varsayılan olarak cihazlara veya kullanıcılara güvenmemesi gerektiği fikrini yaymayı amaçlamaktadır. Kullanıcı kimliği, aygıt yazılımı sürümleri, uç nokta donanım türü, işletim sistemi sürümleri, güvenlik açıkları, yama düzeyleri, kullanıcı oturum açma bilgileri, yüklü uygulamalar, olay algılamaları vb. gibi kullanıcı özniteliklerine gerçek zamanlı olarak net bir görünürlük sağlar.

Sağlam güvenlik yeteneklerinin bir sonucu olarak, Zero Trust daha ünlü hale geliyor ve Google BeyondCorp projesiyle dahil olmak üzere kuruluşlar onu benimsemeye başladı. Bu benimsemenin başlıca etkenleri, artan siber saldırı sıklığı, uç noktaları hedefleme, şirket içi cihazlar, ağlar, veriler, bulut uygulamaları ve diğer BT altyapılarıdır. Buna ek olarak, insanları evden çalışmaya zorlayan covid-19 salgını, küresel olarak çevrimiçi saldırıların sayısını daha da artırdı. Bu nedenle, Sıfır Güven gibi güvenlik uygulamaları uygulanabilir bir seçim gibi görünmektedir.

Popüler Sıfır Güven Erişim terminolojilerinden bazıları: Sıfır Güven Uygulama Erişimi (ZTAA), Sıfır Güven Ağ Erişimi (ZTNA), Sıfır Güven Kimlik Koruması (ZTIP) vb.

Sıfır Güvenin Temel İlkeleri Nelerdir?

Sıfır Güven kavramı aşağıda belirtilen ilkelere dayanmaktadır.

  • En Az Ayrıcalıklı Erişim- Bu, kullanıcılara yalnızca görevlerini yerine getirmeleri ve çalışmaları için gerektiğinde ihtiyaç duydukları erişim düzeyinin verilmesi gereken temel bir kavramdır. Bir kullanıcının ağınızın hassas bileşenlerine maruz kalmasını azaltır.
  • Kullanıcı kimliği- Ağınıza, uygulamalarınıza, verilerinize ve benzerlerine kimlerin erişim izni verildiğini bilmelisiniz. Kuruluşunuzda daha güçlü bir güvenlik sağlamak için her erişim talebinde her zaman kimlik doğrulama ve yetkilendirmeyi kontrol edin.
  • Mikrosegmentasyon- Güvenlik çevresini daha küçük bölgelere ayırmanız gereken önemli bir uygulamadır. Bu işlem aynı zamanda bölgeleme olarak da bilinir ve ağınızın farklı bölümleri için ayrı erişim sağlandığından emin olmak için yapılır. Ayrıca bu bölgeler arasında verileri sürekli olarak yönetmeniz ve izlemeniz gerekir ve fazla ayrıcalıkları ortadan kaldırmak için ayrıntılı erişim kontrolü sunar.
  • Gelişmiş önleyici tekniklerden yararlanma- Zero Trust, çevrimiçi ihlalleri durdurabilecek ve zararları azaltabilecek gelişmiş önleyici teknikler benimsemenizi önerir. Çok Faktörlü Kimlik Doğrulama (MFA), kullanıcı kimliğini doğrulamak ve ağ güvenliğini güçlendirmek için böyle bir tekniktir. Kullanıcıya güvenlik soruları sorarak, metin / e-posta onay mesajları göndererek veya mantık tabanlı alıştırmalar yoluyla kullanıcıları değerlendirerek çalışır. Ağınıza ne kadar çok kimlik doğrulama noktası dahil ederseniz, kuruluşunuzun güvenliği o kadar güçlü olacaktır.
  • Cihaz erişimini gerçek zamanlı izleme- Kullanıcı erişimini kontrol etmenin yanı sıra, kaç tanesinin ağınıza erişmek istediğiyle ilgili olarak cihaz erişimini gerçek zamanlı olarak izlemeniz ve kontrol etmeniz gerekir. Saldırı olasılığını en aza indirmek için tüm bu cihazlara yetki verilmelidir.

Zero Trust Faydaları Nelerdir?

Zero Trust, size kurumsal güvenlik ve ağ direnci için sağlam bir strateji sağlar. İşletmeniz için size aşağıdakiler gibi çeşitli avantajlar sağlar:

  • Zero Trust, dış tehditleri durdurmak, işinizi korumak ve sizi zararlı dahili ajanlardan korumak için sıkı politikalar sunar. Nitekim, iç tehditler daha da ciddidir ve onlara duyduğunuz güveni istismar ederler. Bu Verizon raporu, tüm veri ihlallerinin yaklaşık% 30’unun dahili oyuncularla ilgili olduğunu söylüyor. Bu nedenle Sıfır Güven, “asla güvenme, her zaman doğrula” kavramına odaklanır.

Ayrıca, genişletilmiş ve açık kimlik doğrulaması uyguladığınızda ve verilerinize, cihazlarınıza, sunucularınıza ve uygulamalarınıza her erişimi izlediğinizde ve doğruladığınızda, içeriden kimse ayrıcalıklarını kötüye kullanamaz.

  • Sıfır Güven, kötü amaçlı yazılımların veya çalışanlarınızın ağınızın daha büyük bölümlerine erişmesini önlemeye yardımcı olur. Bu nedenle, erişimlerini ve erişim sürelerini sınırlamak, saldırıların azaltılmasına yardımcı olur ve bir ihlal olsa bile, daha fazla hasarı önlemek için etki azaltılabilir. Bunun bir sonucu olarak, iş verilerinizin saldırıya uğramasını önleyebilirsiniz. Kötü amaçlı yazılımlar güvenlik duvarınızı ihlal ettiğinde , verilerinizin yalnızca belirli bölümlerine zamana bağlı olarak erişebilir.

Sıfır Güven sadece verilerinizi değil, aynı zamanda fikri mülkiyetinizi ve müşterilerinizin verilerini de korur. Ve saldırıları önleyebildiğinizde, işletmenizin itibarını ve müşterilerinizin güvenini korursunuz. Buna ek olarak, kendinizi büyük miktarda para kaybetmekten ve diğer finansal sonuçlardan kurtarırsınız.

  • Zero Trust, hiçbir şeye veya kimseye güvenmenize izin vermediğinden, gözünüzü açık tutmak istediğiniz faaliyetlere ve kaynaklara karar verebilirsiniz. Bilgi işlem kaynakları ve verileri dahil olmak üzere kuruluşunuz genelinde yoğun izleme sayesinde, hangi cihazlara ve kullanıcılara ağınıza erişim izni verildiğine dair tam bir görünürlük elde edebilirsiniz.

Bu nedenle, her erişim talebiyle ilişkili uygulamaların, kullanıcıların, konumların ve zamanın tam olarak farkında olacaksınız. Olağandışı bir davranış durumunda, güvenlik altyapınız derhal onu işaretleyecek ve kapsamlı güvenlik için gerçek zamanlı olarak gerçekleşen tüm aktiviteleri izleyecektir.

  • Uzaktan çalışma, özellikle covid-19 salgınından sonra, endüstriler ve işletmeler arasında büyük ölçüde kabul görmektedir. Dünyanın herhangi bir yerinden çalışan çalışanların cihazları ve ağları üzerindeki zayıf güvenlik uygulamaları nedeniyle siber riskleri ve güvenlik açıklarını da artırmıştır. Güvenlik duvarları bile artık verimsiz hale geliyor ve bulutta depolanan verilerde risklere neden oluyor.

Sıfır Güven’i kullanarak, her seviyede kullanıcı tanımlama ve doğrulama, çevre kavramını veya kale ve hendek yaklaşımını devralır. Kimlik, ağa girmek isteyen her cihaza, kullanıcıya ve uygulamaya eklenir. Bu şekilde, Sıfır Güven, dünyanın neresinde olurlarsa olsunlar veya verileri depolanmış olursa olsun tüm iş gücünüze sağlam bir koruma sağlar.

  • Sıfır Güven, sürekli izleme, kontrol ve analitiğe dayanır; bu nedenle, otomasyonun kullanılması erişim isteklerini değerlendirme sürecini kolaylaştırabilir. Çünkü her şey manuel olarak yapılırsa, her bir isteği onaylamak çok zaman alır ve iş akışı büyük ölçüde yavaşlayarak iş hedeflerini ve geliri etkiler.

Ancak, Privileged Access Management (PAM) gibi bir otomasyon kullanıyorsanız, erişim isteklerini otomatik olarak vermek için belirli güvenlik tanımlayıcılarına göre erişim isteklerini yargılayabilir. Bu nedenle, bazı insan hataları da dahil olmak üzere her isteği onaylama sürecine BT ekibinizi dahil etmek zorunda değilsiniz.

Ve sistem bir isteği şüpheli olarak işaretlediğinde, yöneticiler sorumluluk alabilir. Bu şekilde, otomasyonun gücünden yararlanabilir ve iş gücünüzün sıradan görevler yerine iyileştirme ve yeniliğe kapılmasına izin verebilirsiniz.

  • Her erişim isteği önce değerlendirilip ardından ayrıntılarla günlüğe kaydedildiği için, Sıfır Güven her zaman uyumlu kalmanıza yardımcı olur. Sistem, bir kanıt zinciri oluşturan kusursuz bir denetim izi oluşturmak için her bir talebin zamanını, uygulamalarını ve konumunu izler.

Sonuç olarak, idareyi verimli ve daha hızlı hale getirmek için kanıt sağlamak veya üretmek için mücadele etmek zorunda kalmazsınız. Aynı zamanda, uyumluluk risklerinden kilometrelerce uzaktasınız.

Zero Trust / Sıfır Güven Nasıl Uygulanır?

Her kuruluşun kendine özgü ihtiyaçları ve zorlukları vardır, ancak belirli yönler her kuruluş için ortak kalır. Bu nedenle Sıfır Güven, iş veya sektör türü ne olursa olsun kuruluşlar arasında uygulanabilir. Peki kuruluşunuzda Zero Trust güvenliğini nasıl uygulanır?

  • Hassas Verileri Tanımlayın- Ne tür hassas verilere sahip olduğunuzu ve bunların nerede ve nasıl aktığını bildiğinizde, en iyi güvenlik stratejisini belirlemenize yardımcı olur. Buna ek olarak, varlıklarınızı, hizmetlerinizi ve uygulamalarınızı da tanımlayın. Ayrıca, altyapınızda güvenlik açığı oluşturabilecek mevcut araç setlerini ve boşlukları da incelemeniz gerekir.

En kritik verilerinize ve varlıklarınıza, tehlikeye atılmamalarını sağlamak için en yüksek düzeyde koruma sağlayın. Uygulayabileceğiniz başka bir şey de verilerinizi gizli, dahili ve halka açık olarak sınıflandırmaktır. Mikro segmentasyondan veya bölgelemeden yararlanabilirsiniz. Ek olarak, geniş bir ağ ekosistemine bağlı farklı bölgeler için küçük veri yığınları oluşturun.

  • Harita Veri Akışları- Çok yönlü olabilen işlem akışları da dahil olmak üzere verilerinizin ağda nasıl aktığını değerlendirin. Veri akışı optimizasyonunu ve mikro ağların oluşturulmasını teşvik etmeye yardımcı olur.

Ayrıca, hassas verilerin konumunu ve tüm kullanıcıların kimlerin farkındalığa erişebileceğini ve daha sıkı güvenlik uygulamaları uygulayabileceğini unutmayın.

  • Zero Trust Micro ağları kurun- Ağınızda ne kadar hassas verilerin aktığı ile ilgili bilgiler elinizde olduğunda, her veri akışı için mikro ağlar oluşturun. Her kullanım durumu için yalnızca en uygun güvenlik uygulamasının kullanılması için bunları tasarlayın.

Bu adımda, sanal ve fiziksel güvenlik denetimlerini kullanın, örneğin:

**Yanal olarak yetkisiz hareketi önlemek için mikro çevrenizi zorlamak. Kuruluşunuzu konumlara, kullanıcı gruplarına, uygulamalara vb. göre bölümlere ayırabilirsiniz.

**İki faktörlü kimlik doğrulama (2FA) veya üç faktörlü kimlik doğrulama (3FA) gibi çok faktörlü kimlik doğrulama sağlayın. Bu güvenlik kontrolleri, kuruluşunuzun dışındaki ve içindeki her kullanıcıya ek bir güvenlik katmanı ve doğrulama sunar.

**Görevlerini tamamlamaları ve rollerini yerine getirmeleri için gereken kullanıcılara En Az Ayrıcalıklı Erişimi başlatın. Hassas verilerinizin nerede saklandığına ve nasıl aktığına dayanmalıdır.

  • Sıfır Güven Sistemini Sürekli İzleyin- Her veriyi, trafiği ve etkinliği incelemek, günlüğe kaydetmek ve analiz etmek için tüm ağınızı ve mikro çevre ekosistemlerinizi sürekli olarak izleyin. Bu ayrıntıları kullanarak, güvenliği güçlendirmek için kötü amaçlı etkinlikleri ve bunların kökenlerini öğrenebilirsiniz.

Güvenliğin nasıl korunduğuna ve Ağınızda Sıfır Güven’in çalışıp çalışmadığına dair size daha geniş bir bakış açısı sağlayacaktır.

  • Otomasyon Araçlarından ve Düzenleme Sistemlerinden Yararlanın- Sıfır Güven uygulamanızdan en iyi şekilde yararlanmak için süreçleri otomasyon araçları ve orkestrasyon sistemleri yardımıyla otomatikleştirin. Zamandan tasarruf etmenize ve organizasyonel kusurlar veya insan hatası risklerini azaltmanıza yardımcı olacaktır.

Artık Sıfır Güven, nasıl çalıştığı, nasıl uygulanacağı ve faydaları hakkında daha iyi bir görüşe sahip olduğunuza göre, uygulamaya sizin için daha da kolay yardımcı olabilecek bazı araçlara bakalım.

Zero Trust Güvenlik Çözümleri Nelerdir?

Pek çok satıcı, Akamai, Palo Alto, Cisco, Illumio, Okta, Unisys, Symantec, Appgate SDP ve diğerleri gibi Sıfır Güven çözümleri sunar.

Zero Trust Networking çözümü veya yazılımı, Zero Trust modelini uygulamanıza yardımcı olan kimlik yönetimi ve ağ güvenliği çözümüdür. Yazılım, ağ etkinliğinizi sürekli olarak kullanıcı davranışıyla birlikte izlemenize olanak tanır ve her isteği doğrular.

Bir kullanıcı izinleri ihlal etmeye çalışırsa veya anormal şekilde davranırsa, sistem ondan daha fazla kimlik doğrulama sağlamalarını ister. Aynı zamanda yazılım, ayrıntı analizleri sağlamak için trafik günlüklerinden, kullanıcı davranışlarından ve erişim noktalarından veri toplar.

Yazılım, özellikle ağ erişimini kontrol etmek için risk bazlı kimlik doğrulamasını kullanabilir. Zero Trust ağ yazılımlarından bazıları şunlardır:

  • Okta : Bulutu kullanır ve daha güçlü güvenlik politikaları uygular. Yazılım, 4000’den fazla uygulama ile kuruluşunuzun mevcut kimlik sistemleri ve dizinleriyle entegre olur.
  • Perimeter 81 : Yazılım tanımlı çevrenin sağlam bir mimarisini kullanır, daha geniş ağ görünürlüğü, tam uyumluluk, kesintisiz katılım sağlar ve 256-bit banka sınıfı şifreleme sunar.
  • SecureAuth Kimlik Yönetimi : Kullanıcılara esnek ve güvenli bir kimlik doğrulama deneyimi sunmasıyla bilinir ve tüm ortamlarda çalışır.

Diğer önemli Zero Trust Networking yazılım çözümleri BetterCloud, Centrify Zero Trust Privilege, DuoSecurity, NetMotion’dır.

Zero Trust Uygulamasında Karşılaşılan Zorluklar Nelerdir?

Aşağıdakileri içeren kuruluşlar için Sıfır Güven’i uygulamanın zor olmasının birçok nedeni vardır:

  • Eski sistemler: İş operasyonları için araçlar, uygulamalar, ağ kaynakları ve protokoller gibi birçok eski sistem kullanılır. Kimlik doğrulaması hepsini koruyamaz ve bunları yeniden tasarlamak çok pahalı olur.
  • Sınırlı kontroller ve görünürlük: Çoğu kuruluş, ağları ve kullanıcıları hakkında kapsamlı bir görünürlükten yoksundur veya herhangi bir nedenle etraflarında katı protokoller kuramazlar.
  • Düzenlemeler: Düzenleyici kurumlar henüz Sıfır Güven’i benimsememiştir; bu nedenle, uygunluk için güvenlik denetimlerinden geçerken kuruluşlar sorun yaşayacak.

Örneğin, PCI-DSS, hassas verileri korumak için bölümleme ve güvenlik duvarları kullanmanızı gerektirir. Ancak Sıfır Güven modelinde güvenlik duvarınız yok, dolayısıyla uyumluluk riskleri var. Bu nedenle, Sıfır Güven güvenliğini benimsemek istiyorsak, düzenlemelerde önemli değişiklikler olmalı.


Sonuç olarak; Zero Trust, her erişim noktasında tüm cihazlarınızı ve kullanıcılarınızı doğrulayarak verilerinize ve işlemlerinize kimlik ve erişim kontrolleri ile daha güçlü bir güvenlik mimarisi sağlar.

FTC: İçerikte bulunan bağlantılar aracılığıyla ürün/hizmet satın aldığınızda komisyon kazanabiliriz. Komisyonlar editoryal değerlendirmelerimizi etkilemez.