Zero Trust’a Genel Bakış
Modern iş ortamlarının ve teknolojinin hızlı değişimiyle firmalar yeni siber güvenlik stratejilerine ihtiyaç duymaktadırlar. Özellikle uzaktan çalışmanın ve hibrit ortamların yaygınlaşmasıyla geleneksel güvenlik modelleri kurumsal ağı iç ve dış tehditlere karşı korumada yetersiz kalmaktadır.
Perimeter güvenliğine dayanan bu modellerin yüksek profilli hackerlar tarafından gerçekleştirilen atak ve ihlaller karşısında dayanıklılığının beklenildiği gibi olmadığını geçmişteki bazı önemli olaylardan iyi biliyoruz. Aralarından bazılarına yer vermem gerekirse WannaCry ve Google saldırıları göz önünde bulundurulması gereken iki önemli örnektir. WannaCry, Mayıs 2017'de dünya genelinde hızla yayılan ve büyük ölçüde hasara yol açan bir ransomware saldırısıdır. Bu saldırı, aralarında FedEx, Nissan, Honda, Birleşik Krallık Sağlık Hizmetleri gibi önemli firmaları ve farklı sektörleri etkileyerek kritik sistemlerin ve üretimin durmasına neden olmuştur. WannaCry, EternalBlue olarak bilinen Amerika Birleşik Devletleri Ulusal Güvenlik Ajansı (NSA) tarafından geliştirilen bir güvenlik açığını istismar ederek yayılmıştır .Çoğu solucan ransomware yazılımı içermezken WannaCry bu konuda bir istisnaydı diyebiliriz. Bu özelliği sayesinde işletim sistemlerindeki zaafiyetlerden yararlanarak bir networkteki patch geçilmemiş bilgisayarlara lateral hareketle yayılmıştır. Google’ın durumunda ise, Aurora Operasyonu olarak bilinen Çin ordusunun spear-phishing e-mailleri ile kurumsal ağa sızmaları söz konusudur. Saldırganlar, bu ağa erişim sağlamak için Microsoft Internet Explorer’daki zero-day zaafiyetini kullandılar. Bu olaydan sonra Google, güvenlik stratejisini, baştan aşağı inceledi. Bu incelemenin sonucunda perimeter tabanlı güvenlik modelinden “BeyondCorp” adı verilen Zero Trust’a dayalı kendi güvenlik frameworklerini geliştirdiler.
Peki Nedir Bu Zero Trust?
Zero Trust “Never trust, always verify” ilkesi ile ortam güvenliğini lokasyon ve ağ çevresi yerine kullanıcılara ve cihazlara odaklar. Bu güvenlik modeli, hem kurum içi hem de kurum dışı ağlarda hiçbir varlığın varsayılan olarak hiçbir kullanıcıya ya da cihaza güvenilmemesini gerektirir.Aynı zamanda en az ayrıcalıklı erişim kavramına dayalı kimlik doğrulama ve yetkilendirme politikalarına olanak tanıyan çoklu öznitelik tabanlı güven düzeylerine geçiş yapar.
Zero Trust’ın İlkeleri
-Always Verify: Erişim istekleri dinamik siber güvenlik politikaları kullanılarak en az ayrıcalık ilkesi doğrultusunda her cihaz, kullanıcı, uygulama/iş yükü ve veri akışı için doğrulanmalıdır.
-Least Privilege: Verdiğimiz örneklerdeki en belirgin durum saldırıların yanal hareketlerle ağa sızarak kurumsal ağda ciddi hasara yol açması. Bu yanal hareketlerin ağ içinde kısıtlanması gerekir. Gerekli yetkiler, gereken zamanda (Just In Time), en az ayrıcalık ilkesi ile verilmelidir. Bu noktada microsegmentation önem kazanmaktadır. Ağ daha küçük kısımlara bölünerek, sadece bölümler için gerekli olan iletişime izin verilir. Saldırı yüzeyi böylelikle azaltılabilir.
-Assume Breach: Her zaman bir güvenlik ihlali olduğunu düşünmek olası bir tehlikenin engellenmesine ve/veya erken müdahalesine sebep olur. Cihazların sağlık ve risk durumunun belirlenmesi, network trafiğinin izlenmesi, kısaca sistem hakkında elde edebileceğimiz bütün loglar, metrikler ve sinyaller önlem almamıza yardımcı olacaktır.
-Açıkça İncelemek: Kaynaklara güvenli erişim için güven düzeyleri türetilerek birden çok öznitelik (dinamik ve statik) kullanılır. Bu güvenli erişime VPN ile erişime de örnek verebiliriz fakat, VPN tek başına bir çözüm değildir. Seçici trafik kümesi oluşturarak istemciden gelen istek, hedef yalnızca VPN kullanılarak erişilebilen bir ağdaysa trafik VPN’e yönlendirilebilir. Burada varsayılan path olarak her isteğin VPN’e gönderilmesi söz konusu değildir. VPN ataklarının popülerliğini düşünecek olursak Zero Trust VPN’e dayalı bir güvenlik modeli benimsemez. Sonuç olarak bu ilkeye göre kaynaklara erişim koşulludur ve erişim eyleme ve bu eylemlerden kaynaklanan güven düzeylerine göre dinamik olarak değişebilir.
Zero Trust’ın Temelleri
-Identity: İnsanları, kaynakları, IoT cihazlarını, servisleri temsil eder. Her bir kimliğin benzersiz şekilde tanımlanabilir olması gerekmektedir. Bütün erişim istekleri ağ içinden geliyor olsa bile doğrulanması gerekir. Multi-Factor Authentication (MFA) organizasyon içindeki phishing saldırılarını engellemek için kullanılabilir. Buna ek olarak Role Based Access Control/Just In Time (JIT) ile hedef için gerekli yetkilere sahip kimliğin, belirli bir süre erişmesine izin vererek kontrollü erişime izin verilir.
-Devices: Tüm cihazlar tanımlanmalı, envanterlenmeli, yetkilendirilmeli, izole edilmeli, güvenlik sağlanmalıdır. Ayrıca kimlik doğrulama düzeltme ve kontrol etme becerisine sahip olunması gerekir. Trusted Platform Modules ve mTLS gibi cihaz sertifikaları sayesinde cihazın güvenli olduğu doğrulanabilir.
-Network & Environment: Granular erişim ve politika kısıtlamalarıyla ağı/ortamı (şirket içi ve şirket dışı) bölümlere ayırmak (hem mantıksal hem de fiziksel olarak), izole etmek ve güvenliği sağlamak gerekir. Microsegmentation özellikle legacy sistemleri kullandığımız kısımlarda büyük önem taşıyor. Bu cihazların izole edilerek sadece iletişimde kaldığı bölümlerle operasyonları gerçekleştirmesi gerekir. Network içindeki her akışın güvenilir olduğu kanıtlanmalı. Her etkileşim doğrulanmalı ve şifrelenmelidir (encryption). Bu noktada aslında VPN’in neden tek başına yetersiz kaldığından da bahsetmekte fayda var. VPN, VPN Gateway gibi bir VPN uç noktasında şifrelemeyi bırakıyor. Dolayısıyla uçtan uca şifrelemeyi sağlamak için bunun üzerine TLS gibi bir şifreleme protokolünün eklenmesi gerekir.
- Application & Workload: On-premises veya cloud ortamında yer alan bütün uygulamaları içerir.
-Data: Veri yönetişimi verilerin güvenli ve tutarlı olmasını sağlarken bununla beraber verilerin sınıflandırılması, etiketlenmesi ve keşfi de verilerden anlamlı çıktılara ulaşmada önemlidir.
-Automation & Orchestration: Zero Trust güvenlik politikalarına ulaşmak için gereken ölçek ve güven puanlamasını sağlar.
-Visibility & Analytics: Sürekli olarak ortamların izlenmesi ve logların analiz edilmesi gerekmektedir. Herhangi bir anomali durumunda anomali belirlemesi ve otomatik aksiyon alması sebebiyle SIEM araçlarını kullanarak Zero Trust’ı organizasyon içinde sağlamak için gereklidir. Bunun dışında IT uzmanlarına yönetimsel anlamda büyük ölçüde yardımcı olmakla beraber, iş yüklerinin bir sorun esnasında kesintisiz bir şekilde devamlılığına da katkıda bulunur.
Zero Trust için merkezileştirilmiş bir yönetim platformu gerekir. Aksi halde yönetimsel işlemler oldukça karmaşık ve etkisiz bir şekilde yönetilecektir.
Zero Trust’ın Mantıksal Bileşenleri
Zero Trust’ın üç ana mantıksal bileşeni vardır. Bunlar:
· Policy Enforcement Point (PEP): PEP veri güvenliğini temel alarak, erişim kontrol politikalarını uygular. Buna göre kaynaklar ve istekler arasındaki bağlantıların etkinleştirilmesini, izlenmesini ve sonunda sonlandırılmasını yönetir. PEP, istekleri iletir ve eğer politikada bir güncelleme varsa Policy Adminisrator (PA) ile iletişim kurar.
· Policy Decision Point (PDP): İstekler PEP tarafından giriş yapıp burada değerlendirilir. Bu noktada PIP’in isteği onaylaması veya reddetmesi için gereken bilgileri sağlar. Düzenli olarak kaynakları, uç noktaları ve istekleri doğrular.
· Policy Information Point (PIP): Burada gelen erişim istekleri, PDP’den gelen bilgilerle işlenerek onaylanır ya da reddedilir.
Zero Trust Mimari Yaklaşımları
Bu başlıkta özellikle üç önemli alt başlıktan bahsetmek istiyorum. Bunlar:
-Enhanced Identity Governance: Kimlik yönetişimi, bir kullanıcıya, bir kaynağa ulaşması için gerekli olan yetkinin verilmesinden başlayıp, erişimin sonlandırılmasına kadar devam eden süreci içerir. Burada çeşitli faktörler (kullanılan cihaz, status, ) hesaplanarak bir güven seviyesi oluşturulur. Bu seviyenin sonucuna göre kaynağa kısmi erişim, tam erişim verebilir veya reddedebilir.
-Logical Microsegmentation: Microsegmentation ile firewall politikaları iş yükleri arasındaki doğu-batı trafiğini kısıtlayarak saldırı yüzeyini azaltır. Bu sayede tehditlerin yanal hareketlerini engeller. Microsegmentation için kullanılan NGF’ler (Next Generation Firewall) ya da gateway gibi servisler/fiziksel cihazlar, alakalı kaynak grubundaki bir segmenti PEP’ler olarak görev yaparak korur. Buna ek olarak bulut ortamlarında kullanılan security groupları da bu yaklaşımı sağlamaya yönelik çözümler sunarlar.
-Software Defined Perimeters: Software Defined Network (SDN)’den alınan kavramları içeren SDP, uygulama katmanı kullanılarak kurulabilir. Buradaki fikre göre sunucular/routerlar gibi altyapı bileşenlerinin nerede barındırıldığına (bulut, onpremise…) dair detaylar gizlenir.
Zero Trust’a genel bir giriş yaptığımız bu yazımızı daha da detaylandırmadan burada noktalayalım. Gelecek yazılarda bu konuya devam edip bulut ortamlarında uygulamalarına bakabiliriz.
