Teknoloji ile hayatımızın iç içe geçtiği yaşantımızda, siber tehditler de tıpkı tıp dünyasında ortaya çıkan virüsler gibi, göğüslememiz ve çare üretmemiz gereken unsurlar olarak her daim var olmuşlardır. Son iki yılda karşı karşıya olduğumuz pandemi koşulları, nasıl ki alışılagelenin çok dışında tıbbi bir tehdit olarak karşımıza çıktı ise, günümüzde karşılaştığımız siber tehditler de geçmişte bildiklerimizden çok farklı formlarda karşımıza çıkmaktadır. Bu tehditler ile mücadelede klasik yöntemlere ek olarak farklı tedbirler ve yaklaşımlar göstermek elzem bir hal almaktadır.
Ya Sanıldığı Gibi Değil İse
Geçmişte tecrübe ettiğimiz, dış unsurlar üzerinden iç kaynaklara direk hedefli siber ataklar, yerini daha öngörülemez ve komplike tehditlere bırakmaktadır. Bu yeni tehdit metodunun en belirgin özellikleri, kaynaklar üzerinde bir süre bekleyen, ortamı öğrenen ve edindiği bilgilere göre farklı kaynaklara atlama yapabilen özelliklere sahip olmasıdır. Bu özellikleri sayesinde güvenlik açıklarının çoğu, zaten güvenli olarak nitelediğimiz sistemler üzerinden kaynaklanmaktadır. Gerçek hayattan bir örnek ile pekiştirmek gerekir ise, son teknoloji güvenlik ekipmanları ile korunan çok güvenli bir ev yaptıktan sonra, evinize hırsızlık niyeti olan kişileri misafir olarak davet etmeye benzemektedir. İçeri girmekte bir zorluk ile karşılaşmayan bu kişiler(tehditler), içerideki ana hedeflerine ulaşmak için güven duygusunu zedelemeyecek şekilde hareket etmektedirler. Belirli bir zamanı geçirip, gerekli esnekliğe kavuştuklarında ise esas hedefleri olan zafiyeti açığa çıkartıp kullanmaktadırlar. Bu tehdit yöntemi bize, art niyetli aktörlerin artık sadece bir erişimi hedeflemek yerine yayılmacı, öngörülemeyen ve yatay hareketi hedefleyen bir yapıya büründüğünü anlatmaktadır.
Güven(me)me Modeli
Yazının bu noktasına kadar detaylandırmaya çalıştığımız tehditler vuku bulduğunda, hedef sistemler üzerinde yetkisiz erişim, sistem kesintileri, veri kaybı ve sızıntılarına sebebiyet verebilmektedirler. Bunun faturası ise işgücü, para, zaman ve itibar kaybı olarak işletmelere yansımaktadır. Sıfır güven mimarisi (Zero Trust Architecture) bu ve benzeri tehdit yaklaşımlarının önüne geçebilmek adına ortaya çıkmış, yeni nesil güvenlik yaklaşımlarının nasıl olması noktasında sektöre referans noktası olmaktadır. Adından da anlaşılabileceği üzere bu model temel olarak, iç yahut dış hiçbir kaynağa tam olarak güvenilmemesi ve sahip olunan verinin, erişmeye ihtiyaç duyanlar harici tüm kaynaklara karşı izole edilmesi prensibine dayanır. Güven duymamaya ek olarak, kaynaklar, kişiler ve erişimler sürekli olarak izlenebilir ve doğrulanabilir olmalıdır. Bir çalışan hesabının, çalışan bilgisayarından uygulama sunucularına bugün erişebiliyor olması, yarın için de yüzde yüz geçerli midir? Temel olarak sıfır güvenlik mimarisi bu doğrulama, izleme ve güvenlik adımlarının tümüne verilen konseptin ismidir. Mikro segmentasyon ise bu konsepti uygulamanın ilk adımı olarak kabul edilir.
Mantıksal Olarak Ayrışma
Segment kelime manası ile bölüm, parça, kesit anlamlarına gelmektedir. Ağ dünyasındaki insanların aslında uzun yıllardır aşina olduğu bir terimdir. Eskiden ağ altyapıları, üzerindeki tüm kullanıcıları tek bir evrensel kümede toplarken, zaman içerisinde ihtiyaçlar sebebi ile sanal ağlar (VLAN) ile daha küçük kümelere yani segmentlere ayrılabilme özelliği kazanmışlardır. Güvenlik duvarı terminolojisinde ise bu ayrışma durumunda kalan bölümlere, “alan” manasına gelen “Zone” terimi uygun görülmüştür. Bu ayrışmaların altında yatan temel sebep, ayrışan kaynakların farklı fonksiyonlara, görevlere ve yetkilere sahip olması ve birbirine kontrollü bir şekilde erişmesi gerekliliğine dayanır. Mikro segmentasyon terimi ise, zaten hali hazırda ayrışmış olan kümelerin daha da ufak bölümlere ayrışmasına verilen isimdir.
Kavram Olarak Mikro Segmentasyon
Sunucu havuzlarının ayrı bir segment olması ve ayrı olan bu kaynaklara erişimin bir güvenlik duvarı üzerinden kontrol edilmesi geçmişte bir çok işletme için yeterli gelmekteydi. Günümüz gereksinimleri göz önünde bulundurulduğunda, mevcut ayrışmanın eksik kaldığı bazı noktalar, bizleri daha mikro seviyede bir ayrışmaya itmektedir. Sunucu havuzlarının büyümesi, uygulama sayılarının artması, uygulamalar arası iletişimin karmaşıklaşması gibi sebepler mevcut durumu daha kompleks bir hale getirmektedir. Ek olarak ayrışma kıstasının sadece “sunucu” gibi geniş bir kavram olması, hedeflenen güvenlik perspektifi için yeterli gelmemeye başlamıştır. Devops uygulama metodlarını da göz önünde bulundurularak, artık uygulamalarımıza öyle bir sınır çizilmeli ki, sınır içerisine sadece gerekli kaynakların erişimleri sağlanmalı, bunun harici bir iletişime izin verilmemesi gerekmektedir. Bu gereksinimin sağlandığı noktada, ayrışmanın kıstası da doğal olarak “sahip olunan uygulamalar” olmaktadır. Böylece uygulamalar artık bizim mikro segmentlerimizi oluşturmakta ve olası güvenlik açıklarının etkileri bu segment dahilinde sınırlanabilmektedir.
Olası Faydalar ve Kazanılan Disiplinler Nelerdir?
Daha küçük segmentlere ayrılmış ağ altyapısı ve bu alt yapıların daimi olarak izlenmesi ile birlikte birçok fayda ortaya çıkmaktadır. Ağ hareketleri üzerinde daha kolay görünülürlük sağlanabilmektedir. Uygulamalara ait trafik akışlarına hakimiyet artmakta, bu da ağ üzerindeki genel farkındalığın artmasına sebebiyet vermektedir. Sıfır güven mimarisi için gerekli olan siber güvenlik disiplinin sağlanması için temel bir altyapı oluşturmaktadır. Art niyetli davranışlar için atak alanı daraltılmakta ve olası tehdit önleme hamleleri kolaylaşmaktadır. Sunucu ve uygulama geliştirme ekipleri için ağ ve güvenlik açısından belirli bir standardizasyon sağlamaktadır. Multi disiplin bir yaklaşım olması sebebi ile, farklı ekipler arasında altyapı farkındalığının artmasına katkı sağlamaktadır. Güvenlik yaklaşımlarının ve poliçe yönetiminin, altyapının farklı noktalarında tutarlı bir şekilde ilerlemesine katkı sağlamaktadır. Ölçeklenebilirlik açısından ciddi bir operasyonel zaman kazancı sağlamaktadır.
Nereden Başlamalı?
Başarılı bir mikro segmentasyon projesi için birincil koşul doğru envanterin eksiksiz olarak çıkartılmasıdır. Çıkartılan envantere ait uygulama ve proseslerin ilişkisel ağlarının tanımlanması, ikincil adım olacaktır. Bu ilişkisel ağ ile birlikte envanterimizin hangi uygulamalara, hangi proseslere sahip olduğunu, bunların gerek farklı sistemler gerekse farklı kişiler ile nasıl bir iletişim içerisinde olduğunun ortaya çıkması hedeflenmektedir. Üçüncü evre olarak, kontrol ve izlenebilirlik evresi gelmektedir. Bu evrede çeşitli çözümler ile birlikte ilişkisel ağın, gerçek ağ trafiği ortaya çıkartılmakta, detaylı olarak uygulama bağlılık analizleri ortaya çıkmaktadır. Bu üç evre sonucunda, günümüzde geçerli ağ ve bilgi güvenliği çözümlerini, mevcut altyapımız üzerine uygulama noktasında karışıklığı ortadan kaldırmış ve sıfır güven mimarisine bir adım daha yaklaşılmaktadır.
Altyapınıza uygulayabileceğiniz çözümler ve uygulanmış örnekler ile ilgili bilgi almak için bizimle iletişime geçebilirsiniz.