Çalışma formumuz daha süratli, daha esnek ve daha taşınabilir hale geldi. Citrix’e nazaran, BT güvenliğinin eski kale duvarlarını terk ederek, çağdaş hibrit çalışmanın suratı, çevikliği ve kullanıcı dostu özelliği amaçlanarak sıfırdan tasarlanmış bir teknolojiye geçmenin artık tam vakti.
Daha dağıtılmış ve taşınabilir bir çalışma biçimi konuttan çalışmayı imkanlı hale getirerek çalışanların üretken ve sağlıklı kalmasını sağlarken, kriz vaktinde işletmelerin çalışır durumda olmayı sürdürmesine yardımcı oldu. Salgın olmasaydı bile, çalışanların, işletmelere çevik iş akışları için gereken esnekliği sağlarken iş-yaşam istikrarını optimize eden yeni yaklaşımlar arayışında olmaları nedeniyle, esnek çalışma eğilimi artacaktı. Fakat günümüzün esnek çalışma periyodu, kimi zorlukları da beraberinde getiriyor. Çalışanlar, artık sıklıkla klâsik güvenlik etrafının dışında çalışıyorlar. Ayrıyeten, giderek daha fazla çalışan, klâsik ve merkezi olarak yönetilen aygıtlar ve şirket içi iş uygulamaları yerine yahut bunlara ek olarak, kendi aygıtlarını ve artan sayıda bulut hizmetini kullanıyor. Bu farklı tıpta ortam, iş süreçlerini gereğince inançlı seviyede tutmak için gereken denetim seviyesine ulaşmayı giderek zorlaştırıyor.
Saldırganları dışarıda tutarak inançlı bir duruma ulaşmaya çalışmak manasına gelen eski yöntem ‘castle and moat’ (kale ve hendek) yaklaşımı, son birkaç on yılda bir periyot güvenlik dizaynına hakim olmuş bir kavramdır; lakin günümüzün farklı çeşitte hibrit çalışma ortamı kendi sonlarını belirliyor. Değişen iş dünyası, yeni bir güvenlik mimarisi gerektiriyor. Bu nedenle, Zero Trust yaklaşımı, bugünlerde çok hararetli bir halde tartışılıyor. Zero Trust, işletmelerin artık çalışanlarına güvenmediği manasına gelmiyor. Tersine, işletmelerin, çalışanların hassas kaynaklara eriştiği teknolojik bağlama körü körüne inanmaları mümkün değildir ve inanmamaları da gerekiyor. Sonuçta, çalışanların kendi aygıtlarını ve Wi-Fi mesken ağı yahut halka açık Wi-Fi erişim noktası üzere potansiyel olarak güvenilmeyen bir ağ irtibatını kullanarak iş uygulamaları ve şirket bilgileri ile çalışmaları artık mümkün bir senaryodur. Bu nedenle, Zero Trust ortamı, “asla güvenme, her vakit doğrula!” sözünü temel alır.
Citrix uyarıyor, Zero Trust dikkatli halde planlanmalı
Bunu başarmak için, yapay zeka ve daima izleme ile desteklenen çağdaş güvenlik yazılımı, kullanıcı (veya daha doğrusu kullanıcı hesabı) ve uç nokta davranışını, güvenlik ihlaline işaret edebilecek tüm olağandışı aktiflik göstergeleri açısından daima olarak kıymetlendirir. Tekrar de, Zero Trust ortamlarının tümü tıpkı değil
Tamamen hizmet olarak sunulan yazılım (SaaS) tabanlı çalışan, yeni kurulmuş bir şirkette, Zero Trust konseptini hizmet olarak sunulan yazılım hizmetlerine ve uç nokta aygıtlarına uygulamak kâfi olabilir. Bununla birlikte, birçok kurumsal BT ortamı bundan daha karmaşıktır: Bunlar, eski VPN teknolojisi ve çok çeşitli masaüstü ve taşınabilir aygıtların yanı sıra çok çeşitli şirket içi yahut hatta dahili olarak geliştirilmiş özel uygulamalar içerme eğiliminde. Buna nazaran, Zero Trust yaklaşımının dikkatli bir halde planlanması ve ferdî BT ortamına uyarlanması gerekir.
İlk adım tüm tarafları kapsayan ağ mimarisini kurmak
Citrix’e nazaran, Zero Trust ortamına yanlışsız birinci adım, kullanıcılar yahut kaynaklar nerede olursa olsun, dahili ve/veya bulut tabanlı olan kurumsal BT kaynaklarıyla etkileşim kuran kullanıcıların tüm istikametlerini kapsayan bir Zero Trust ağ mimarisi kurmaktan oluşur. Bu, risk profillerinin oluşturulmasıyla birlikte kullanıcı erişimi bağlamının değerlendirilmesini gerektirir. Güvenlik takımı, bu risk profillerini ve daima bağlam tahlilini temel alarak, rastgele bir eski yöntem ağ güvenlik duvarı etrafından bağımsız olarak, merkezi güvenlik unsurlarını uygulayabilir ve mecburî tutabilir.
Bağlam oluşturma; IP adresi ve coğrafik pozisyon, aygıt durumu (şirkete ilişkin, özel şahsa ait), işletim sistemi durumu (kısıtlı işletim modundan çıkarılmış/yönetici yetkisi ele geçirilmiş yahut güvenli), yama durumu vb. üzere pek çok özelliğin denetim edilmesini ve ayrıyeten kimlik ve erişim idaresi için dijital sertifikaların doğrulanmasını içerir. Daha sonra, tüm bu datalara ait daima kıymetlendirme, evvelce tanımlanmış detaylı prensiplerle uyumlu hale getirilir. Örneğin işletmeler; sadece aygıtın büsbütün inançlı olması ve kullanıcı kimliğinin çok faktörlü kimlik doğrulama yoluyla tespit edilmesi halinde çalışanların hassas kaynaklara erişebileceğine karar verebilir.
Zero Trust yaklaşımının yararı, güvenlik ile kullanılabilirlik ortasında kusursuz bir istikrar kurmasıdır: Çalışanlar, birçok vakit Zero Trust kurulumunun daima olarak yüksek seviyede güvenlik sağladığının farkında bile olmayacaktır. Güvenlik tedbirlerinin uygulandığını, kazara yahut bir saldırganın bir kullanıcı hesabını ele geçirmeyi başarması üzere nedenlerle, sırf olağandışı bir durum olduğunda fark edeceklerdir.
BT güvenlik mimarisinin de günümüzün süratle gelişen iş dünyasına ahenk sağlaması gerekiyor. Zero Trust, sıkıntısız çalışan tecrübesi sağlarken, her yerden inançlı çalışmanın yolunu açıyor. Citrix, “BT güvenliğinin eski kale duvarlarını terk ederek, çağdaş hibrit çalışmanın suratı, çevikliği ve kullanıcı dostu özelliği amaçlanarak sıfırdan tasarlanmış bir teknolojiye geçmenin artık tam zamanı” diyor.
Kaynak: (BHA) – Beyaz Haber Ajansı