Çalışma şeklimiz daha hızlı, daha esnek ve daha mobil hale geldi. Citrix’e göre, BT güvenliğinin eski kale duvarlarını terk ederek, modern hibrit çalışmanın hızı, çevikliği ve kullanıcı dostu özelliği amaçlanarak sıfırdan tasarlanmış bir teknolojiye geçmenin artık tam zamanı.
Yazan: Citrix Türkiye Ülke Müdürü Serdar Yokuş
Daha dağıtılmış ve mobil bir çalışma biçimi evden çalışmayı olanaklı hale getirerek çalışanların üretken ve sağlıklı kalmasını sağlarken, kriz zamanında işletmelerin çalışır durumda olmayı sürdürmesine yardımcı oldu. Salgın olmasaydı bile, çalışanların, işletmelere çevik iş akışları için gereken esnekliği sağlarken iş-yaşam dengesini optimize eden yeni yaklaşımlar arayışında olmaları nedeniyle, esnek çalışma eğilimi artacaktı. Ancak günümüzün esnek çalışma dönemi, bazı zorlukları da beraberinde getiriyor. Çalışanlar, artık sıklıkla geleneksel güvenlik çevresinin dışında çalışıyorlar. Ayrıca, giderek daha fazla çalışan, geleneksel ve merkezi olarak yönetilen cihazlar ve şirket içi iş uygulamaları yerine veya bunlara ek olarak, kendi cihazlarını ve artan sayıda bulut hizmetini kullanıyor. Bu farklı türde ortam, iş süreçlerini yeterince güvenli düzeyde tutmak için gereken kontrol düzeyine ulaşmayı giderek zorlaştırıyor.
Saldırganları dışarıda tutarak güvenli bir duruma ulaşmaya çalışmak anlamına gelen eski usul ‘castle and moat’ (kale ve hendek) yaklaşımı, son birkaç on yılda bir dönem güvenlik tasarımına hakim olmuş bir kavramdır; ancak günümüzün farklı türde hibrit çalışma ortamı kendi sınırlarını belirliyor. Değişen iş dünyası, yeni bir güvenlik mimarisi gerektiriyor. Bu nedenle, Zero Trust yaklaşımı, bugünlerde çok hararetli bir şekilde tartışılıyor. Zero Trust, işletmelerin artık çalışanlarına güvenmediği anlamına gelmiyor. Aksine, işletmelerin, çalışanların hassas kaynaklara eriştiği teknolojik bağlama körü körüne inanmaları mümkün değildir ve inanmamaları da gerekiyor. Sonuçta, çalışanların kendi cihazlarını ve Wi-Fi ev ağı veya halka açık Wi-Fi erişim noktası gibi potansiyel olarak güvenilmeyen bir ağ bağlantısını kullanarak iş uygulamaları ve şirket verileri ile çalışmaları artık olası bir senaryodur. Bu nedenle, Zero Trust ortamı, “asla güvenme, her zaman doğrula!” ifadesini esas alır.
Citrix uyarıyor, Zero Trust dikkatli şekilde planlanmalı
Bunu başarmak için, yapay zeka ve sürekli izleme ile desteklenen modern güvenlik yazılımı, kullanıcı (veya daha doğrusu kullanıcı hesabı) ve uç nokta davranışını, güvenlik ihlaline işaret edebilecek tüm olağandışı etkinlik göstergeleri açısından sürekli olarak değerlendirir. Yine de, Zero Trust ortamlarının tümü aynı değil
Tamamen hizmet olarak sunulan yazılım (SaaS) tabanlı çalışan, yeni kurulmuş bir şirkette, Zero Trust konseptini hizmet olarak sunulan yazılım hizmetlerine ve uç nokta cihazlarına uygulamak yeterli olabilir. Bununla birlikte, çoğu kurumsal BT ortamı bundan daha karmaşıktır: Bunlar, eski VPN teknolojisi ve çok çeşitli masaüstü ve mobil cihazların yanı sıra çok çeşitli şirket içi veya hatta dahili olarak geliştirilmiş özel uygulamalar içerme eğiliminde. Buna göre, Zero Trust yaklaşımının dikkatli bir şekilde planlanması ve bireysel BT ortamına uyarlanması gerekir.
İlk adım tüm yönleri kapsayan ağ mimarisini kurmak
Citrix’e göre, Zero Trust ortamına doğru ilk adım, kullanıcılar veya kaynaklar nerede olursa olsun, dahili ve/veya bulut tabanlı olan kurumsal BT kaynaklarıyla etkileşim kuran kullanıcıların tüm yönlerini kapsayan bir Zero Trust ağ mimarisi kurmaktan oluşur. Bu, risk profillerinin oluşturulmasıyla birlikte kullanıcı erişimi bağlamının değerlendirilmesini gerektirir. Güvenlik ekibi, bu risk profillerini ve sürekli bağlam analizini esas alarak, herhangi bir eski usul ağ güvenlik duvarı çevresinden bağımsız olarak, merkezi güvenlik ilkelerini uygulayabilir ve zorunlu tutabilir.
Bağlam oluşturma; IP adresi ve coğrafi konum, cihaz durumu (şirkete ait, özel şahsa ait), işletim sistemi durumu (kısıtlı işletim modundan çıkarılmış/yönetici yetkisi ele geçirilmiş veya güvenli), yama durumu vb. gibi pek çok özelliğin kontrol edilmesini ve ayrıca kimlik ve erişim yönetimi için dijital sertifikaların doğrulanmasını içerir. Daha sonra, tüm bu verilere ilişkin sürekli değerlendirme, önceden tanımlanmış ayrıntılı ilkelerle uyumlu hale getirilir. Örneğin işletmeler; yalnızca cihazın tamamen güvenli olması ve kullanıcı kimliğinin çok faktörlü kimlik doğrulama yoluyla tespit edilmesi halinde çalışanların hassas kaynaklara erişebileceğine karar verebilir.
Zero Trust yaklaşımının faydası, güvenlik ile kullanılabilirlik arasında mükemmel bir denge kurmasıdır: Çalışanlar, çoğu zaman Zero Trust kurulumunun sürekli olarak yüksek düzeyde güvenlik sağladığının farkında bile olmayacaktır. Güvenlik önlemlerinin uygulandığını, yanlışlıkla veya bir saldırganın bir kullanıcı hesabını ele geçirmeyi başarması gibi nedenlerle, yalnızca olağandışı bir durum olduğunda fark edeceklerdir.
BT güvenlik mimarisinin de günümüzün hızla gelişen iş dünyasına uyum sağlaması gerekiyor. Zero Trust, sorunsuz çalışan deneyimi sağlarken, her yerden güvenli çalışmanın yolunu açıyor. Citrix, “BT güvenliğinin eski kale duvarlarını terk ederek, modern hibrit çalışmanın hızı, çevikliği ve kullanıcı dostu özelliği amaçlanarak sıfırdan tasarlanmış bir teknolojiye geçmenin artık tam zamanı” diyor.