Sıfır Güven, Derinlemesine Savunmayı Öldürdü Mü Yoksa Derinlemesine Savunma Sıfır Güveni Geliştirdi Mi?

Sıfır Güven (Zero Trust – ZT), etkili uygulamalar için, ABD federal kurumlarıyla şu anda OMB'nin M-22-09 veya DoD'nin ZT stratejisi gibi kılavuzlar yayınlamasıyla olay yaratmaya devam ediyor (kasıt yoktur) ve hala efsanelere saplanıp kalmış olsa da, ki bunlar biraz ayıklamayla devre dışı bırakılabilir, devletin siber güvenlik konusunda bir güven kaynağı olarak görülmesine olanak sağlıyor.

Değinmek istediğim böyle bir kafa karışıklığı var ve bu kafa karışıklığı, ZT'nin Derinlemesine Savunma (Defense in Depth – DiD) ve diğer kabul edilen siber güvenlik ilkelerinin yerini alıp almadığı ile ilgilidir. ZT onların yerini almadıysa, bu ilkelerin ZT ile nasıl bir ilişkisi var? Peki ya en az ayrıcalık ilkesi ve görevlerin ayrılığı gibi kabul edilen diğer ilkeler? Hemen cevap vermek gerekirse, ZT bu ilkelerin yerini almamıştır. Bununla birlikte, güvenlik uzmanlarının bu prensipleri etkili ve verimli bir şekilde uygulamaları esnasında güvenilir olmalarını sağlarken, ZT ile alakalarını nasıl devam ettirdiklerini hızlı bir şekilde anlamaya çalışalım.

Sıfır Güven, Yerleşik Bir Güvenlik İlkeleri Temeli Üzerine Kuruludur…

Herhangi bir ev inşaatında olduğu gibi her şey, destekleyeceği şeylerin çökmesini veya komşunuzun mülküne düşmesini önleyecek kadar güçlü ve sağlam bir temelle başlar. ZT için bu temel, yaygın endüstri uygulamalarını içerir ve ZT için önemli ancak genellikle bütünsel olarak yanlış sıralanan, ilgili üç temel ilkeyi vurgulamak istiyorum:

1. En az ayrıcalık ilkesi (Least Privilege)
2. Görevlerin ayrılığı (Segregation of Duties)
3. Derinlemesine Savunma (Defense in Depth – DiD)

Bu ilkeleri uygulayarak, ZT olgunluğunuzu değerlendirme zamanı geldiğinde sizin ve kuruluşunuzun zaten doğru yolda olduğunu göreceksiniz.

… Ama Sıfır Güveni Başarılı Bir Şekilde Uygulamak İçin Bunları Doğru Kullanmalısınız

Hayat ne kadar kolay hale geldi biliyor musun? Neredeyse her şey için nasıl yapıldığını gösteren el kitaplarımız ve kılavuzlarımız var. Bunlar, bir şeyi doğru şekilde nasıl yapacağınız konusunda kelimenin tam anlamıyla size yol gösterirler. Ne yazık ki, tatil için monte edeceğiniz bisiklet gibi, kılavuzu atlayıp göz kararı yapacaksınız veya gevşek bir vidayı sıkmak için yanlış aleti kullanacaksınız. Bisikleti hatalı monte etmek büyük bir sorun oluşturmayabilir, ancak siber güvenlikteki hatalar, güvenlik ilkelerinin uygulanması söz konusu olduğunda daha maliyetli ve büyük çaplı sorunlara yol açabilirler. Vurguladığımız üç tanesine odaklanmak, aşağıdakileri anlayabilmenizi sağlayacaktır:

1. En az ayrıcalık ilkesi (least privilege), tek başına kullanıldığında çok kullanışsız olabilir.

   Hepimiz biliyoruz ki, kuruluşlar, bu prensibi uygulayarak, iş gücünün yalnızca işlerini yapmak için gereken "yeterli erişime" sahip olmasını sağlayarak güvenlik pozisyonunu iyileştirmeye çalışırlar. Bunların hepsi harika olsa da, bu iş çok kapsamlı ise sıkıntılı olabilir. Birinin rolü çok fazla şeyi kapsıyorsa, güvenlik ekibinizin tek bir rol için çok fazla izin oluşturmak için uğraştığını göreceksiniz. Çok fazla görevle, ilgili kişinin kuruluşunuzun güvenliğini olumsuz yönde etkileyecek kötü bir karar vermesi daha yüksek bir ihtimaldir.

2. Görevlerin ayrılığı, en az ayrıcalık ilkesi gerçeğe dönüştürmeye yardımcı olur, ancak erişimi engellemeyi kapsamaz.

   Neyse ki, görevlerin ayrılığı ilkesi en az ayrıcalık ilkesinin uygulamasına yardımcı olur. Bu ilke dahilinde, bir birey haddinden fazla erişim hakkına sahip olmamalıdır. Bu, örneğin, bir kuruluşun satış temsilcisinin bir ürünün veya çözümün fiyatını değiştiremeyeceği anlamına gelir; bunun yerine, ilgili fiyat değişikliği yönetici gibi bir onay makamı tarafından yapılır. Bu iki ilke, temel olarak izinlere odaklanır, ancak erişim engellemeyi ele almaz. Derinlemesine Savunmaya Giriş.

3. Derinlemesine Savunma (Defense in Depth – DiD) işi bitirir.

   DiD aracılığıyla kuruluşlar, sistemlere yetkisiz erişimi önleyen kontrollere odaklanırlar. Bunlar idari, teknik ve fiziksel kontrolleri içerir. Ne yazık ki, DiD bir kuruluşun onu hatalı kullanımının kurbanı oldu, bu da "Derinlemesine Masraf" olarak bilinen duruma neden oldu ve olaydan sonra güvenlik tehditlerini önleme umuduyla durumu anlamaya çalışmadan daha fazla teknoloji ve güvenlik kontrolüne daha fazla para harcanarak sorunlar çözülmeye çalışıldı. Sıfır güven, DiD kavramlarını tekrar gündeme getiriyor ancak güvenlik uzmanlarının aşağıdakileri gerçekleştirebilmesi için bu kavramlara daha stratejik bir şekilde yeniden odaklıyor:
• Dağıtım karmaşıklığını azaltmak için ayrı güvenlik işlevlerini tek bir platformda bir araya getiren teknolojik gelişmelerden yararlanarak farklı denetimleri bir araya getirmek
• Çakışan yeteneklere sahip denetimlerin sayısını ve türlerini azaltılması yoluyla güvenlik aracı yönetimini merkezileştirerek yönetim maliyetini azaltmak
• Yüksek değerdeki varlıklara mantıksal ve fiziksel olarak en yakın şekilde uygulanabilen stratejik erişim kontrolünden yararlanarak yetkisiz erişimi engelleme ve muhtemel tehdit aktörlerinin izinsiz girişle ilgili cesaretlerini kırarken aynı zamanda içeriden gelebilecek tehdidi azaltmak

Derin Düşünme Zamanı

Bir bilgi güvenliği modeli olarak Sıfır Güven çok yol kat etti. Aynı zamanda birçok tartışma ve şüpheyle karşı karşıya kaldı. Yine de kesin olan bir şey var: ZT'nin ne üzerine inşa edildiğine odaklanırsak, bu temel ilkelerin (hepsi değilse de) çoğunun uygulamada etkili olması için, ZT'nin ortak bir hedefi sağladığını görmekteyiz.

Kaynak: Forrester