Ağ güvenliğine genel bir bakış sağlayacak bu yazının orjinal ingilizce haline buradan ulaşabilirsiniz. Okuyuculara genel bir fikir ve derinlik kazandıracak diğer yazılara bağlantılar orjinal siteye giden linkler içermektedir. Buradaki amaç yazının ve sonrasındaki okumaların orjinal metinlerden devam edilmesini sağlamaktır. Keyifli okumalar. Cahit.
Ağ Güvenliğine Genel Bakış
Yazar: Dale Strickland©
Hassas verileri dış saldırılara ve içeriden gelen tehditlere karşı korumak için birleştirilebilecek çok çeşitli ağ güvenliği donanımı, yazılımı ve yöntemleri vardır.
Bu makale, ağ güvenliği temel ilkelerini ve siber güvenlik uzmanları tarafından ağ güvenlik açıklarını azaltmak için kullanılan en popüler teknolojileri ana hatlarıyla açıklamaktadır.
Ağ Güvenliği nedir?
Ağ güvenliği, bir ağı ve verilerini güvence altına almak için tasarlanmış ve uygulanan herhangi bir uygulama veya araçtır. Yazılım, donanım ve bulut çözümlerini içerir. Etkili ağ güvenliği araçları, çok çeşitli siber saldırıları durdurur ve bir veri ihlali durumunda saldırıların ağa yayılmasını önler.
Günümüz siber ortamında, her kuruluş, çevrimiçi kaynaklarının çalışma süresini korumak için ağ güvenliği süreçleri ve çözümleri uygulamalıdır. Tüm ağ güvenliği çözümleri, ağ güvenliğinin temel ilkelerine uygun olarak uygulanmaktadır.
Ağ Güvenliğinin İlkelerini Anlamak
CIA Üçlüsü
CIA üçlüsü, ağ güvenliğini sağlamak için birlikte çalışan üç temel ilkeden oluşur. Herhangi bir ağ güvenliği çözümü aşağıdaki ilkelerden birini destekleyecek şekilde kategorize edilebilir:
- Confidentiality/Gizlilik: Veriler tehditlere ve yetkisiz erişime karşı korunur.
- Integrity/Bütünlük : Veriler, kazara veya kasıtlı değişikliklerin veya silinmenin önüne geçilerek doğru ve güvenilir tutulur.
- Availability/Kullanılabilirlik : Veriler, erişim yetkisine sahip olanlar için erişilebilir durumda tutulur.
Ağ Güvenliği Bileşenleri
Siber saldırıları ve bilgisayar korsanlığı girişimlerini caydırmak için, donanım , yazılım ve bulut güvenlik bileşenleri olmak üzere toplam üç tür ağ güvenlik bileşeni çağrılabilir .
Donanım bileşenleri , bir ağ içinde bir dizi güvenlik işlemi gerçekleştiren sunucuları ve aygıtları içerir. Donanım bileşenleri iki şekilde ayarlanabilir:
- Ağ trafiğinin yolu dışında (“hat dışı”): Ağ trafiğinden ayrı bir varlık olarak çalışan hat dışı güvenlik araçlarına, trafiği izleme ve kötü amaçlı verileri tespit ettiklerinde uyarılar verme görevi verilir.
- Ağ trafiği yolunda (“sıralı”): İki sıralı donanım aracından daha popüler bir seçenek, potansiyel tehditlerle karşılaştıkları anda veri paketlerini doğrudan bloke etmekle görevlendirilir.
Güvenlik yazılımı bileşenleri , ağdaki cihazlara yüklenir ve ek algılama yetenekleri ve tehdit giderme sağlar. Yazılım ağ güvenliği bileşenlerinin en yaygın biçimi antivirüs uygulamalarıdır.
Bulut hizmetleri , güvenlik altyapısının bir bulut sağlayıcısına yüklenmesini gerektirir. Tüm ağ trafiği bulut sağlayıcısından geçtiği için koruma stratejisi sıralı donanım cihazlarına benzer. Oradayken, trafik, engellenmeden veya ağa girmesine izin verilmeden önce potansiyel tehditlere karşı taranır.
Ses ağları genellikle aynı anda çalışan birkaç güvenlik bileşeninin birleşimine dayanır. Bu tür çok katmanlı bir savunma sistemi, bir tehdit bir bileşenin çatlaklarından sızmayı başarsa bile, başka bir koruma katmanının ağa erişim kazanmasını engellemesini sağlar.
Katmanlı Güvenlik
Katmanlı güvenlik, ağları tehditlere karşı korumak için birden çok güvenlik denetimini birleştiren bir ağ güvenliği uygulamasıdır. Katmanlı bir güvenlik yaklaşımı kullanarak, bir ağ, ağa sızabilecek çok çeşitli güvenlik tehditlerini ele almak için mümkün olan en geniş kapsama alanına sahiptir. Katmanlı bir güvenlik yaklaşımı, bir tehdidin güvenlik katmanlarından birini atlaması durumunda tehdit algılama ve yanıt için ek fırsatlar da sağlar.
Örneğin, bir evi dışarıdaki davetsiz misafirlere karşı koruma çabasında, bir ev sahibi bir çit, kapı kilitleri, güvenlik kameraları ve bir bekçi köpeği kullanabilir. Eklenen her güvenlik katmanı, savunma stratejisinin genel etkinliğini artırırken, aynı anda diğer güvenlik önlemlerini tamamlayan ve tamamlayan benzersiz tehdit algılama ve önleme yetenekleri ekler.
Sıfır Güven Çerçevesi
Sıfır güven, kurumların dahili bir kaynaktan gelse bile ağ genelinde trafiğe otomatik olarak izin vermemesi gerektiğini vurgulayan bir siber güvenlik çerçevesidir. Bu, ağ güvenliğinin harici tehditlere odaklanan sağlamlaştırılmış bir güvenlik çevresi oluşturarak sağlandığı kale ve hendek çerçevesinden farklıdır.
Sıfır güven temel kavramı, trafiğin meşru olduğu doğru bir şekilde doğrulanana kadar güvenilemeyeceğidir. Bu, ağları içeriden gelen tehditlere ve normalde tehdit aktörlerine ağ boyunca yayıldıklarında minimum dirençle sağlayacak olan iç çevredeki riskli kimlik bilgilerine karşı korur.
Doğrulama, çok faktörlü kimlik doğrulama (Multi-Factor Authentication-MFA), kimlik ve erişim yönetimi (Identity and Access Management-IAM) ve veri analitiği dahil olmak üzere çeşitli yöntem ve teknolojiler aracılığıyla gerçekleştirilir. Bölümlere ayrılmış bir ağda, mevcut olan doğrulama sistemleri, kullanıcı etkinliğinin tüm oturum boyunca meşru olduğundan emin olmak için her bir bölümden geçerken trafiği doğrulamaya devam eder.
Ağ Güvenliği Türleri, Araçları ve Yöntemleri
Erişim Kontrolü ve Kimlik Doğrulama
Erişim kontrolü ve kimlik doğrulama önlemleri, kullanıcı kimlik bilgilerini doğrulayarak ve bu kullanıcıların yalnızca rolleri için gerekli olan verilere erişmelerine izin verilmesini sağlayarak ağları ve verileri korur. Erişim kontrolüne ve kimlik doğrulamaya yardımcı olan araçlar arasında Ayrıcalıklı Erişim Yönetimi (Privileged Access Management-PAM), Hizmet Olarak Kimlik (Identity as a Service-IaaS) sağlayıcıları ve Ağ Erişim Kontrolü (Network Access Control-NAC) çözümleri bulunur.
Erişim kontrolü ve kimlik doğrulama çözümleri, geçerli kullanıcıların ağa güvenli uç noktalardan eriştiğini doğrulamak için de kullanılır. Doğrulamak için, en son güvenlik güncellemelerinin ve önkoşul yazılımların uç nokta cihazına yüklenmesini sağlayan bir ‘sağlık kontrolü’ gerçekleştirir.
Anti-Virus & Anti-Malware
Virüsten koruma ve kötü amaçlı yazılımdan koruma, ağları daha fazla sızmak için kullanabilecekleri bir arka kapı oluşturmak için tehdit aktörleri tarafından kullanılan kötü amaçlı yazılımlardan korur. Virüsten koruma ve kötü amaçlı yazılımdan koruma programları arasında benzerlikler olsa da, bunların tam olarak aynı olmadığını unutmamak önemlidir.
- Anti-Virüs: Önleme tabanlı, uç nokta cihazlarının virüs bulaşmasını proaktif olarak durdurarak ağları korur.
- Kötü Amaçlı Yazılım Önleme: Tedavi tabanlı, ağa sızan kötü amaçlı programları tespit edip yok ederek ağları korur.
Kötü amaçlı yazılımın doğası sürekli olarak geliştiğinden, her iki ağ güvenliği seçeneğini birlikte uygulamak, ağ güvenliğini sağlamak için en iyi yöntemdir.
Uygulama Güvenliği
Uygulama güvenliği, ağ genelinde kullanılan yazılımın güvenli olmasını sağlar. Kullanılan yazılım miktarı sınırlandırılarak, yazılımın en son güvenlik yamalarıyla güncel tutulması ve ağda kullanılmak üzere geliştirilen uygulamaların olası istismarlara karşı uygun şekilde güçlendirilmesi ile uygulama güvenliği sağlanır.
Davranış Analitiği
Davranış analizi, anormal davranışları tespit etmek amacıyla geçmiş ağ etkinliği verilerini güncel olaylarla karşılaştıran gelişmiş bir tehdit algılama yöntemidir. Bunun bir örneği, bir kullanıcının belirli bir veritabanına günde ortalama 3-4 kez erişmek için belirli bir uç nokta cihazı kullanması durumunda, bu kullanıcının farklı bir veritabanına birkaç kez erişmek için yeni bir uç nokta cihazı kullandığı bir durum olabilir. incelenmek üzere işaretlenecek.
DDoS Önleme
Dağıtılmış Hizmet Reddi (Distributed Denial-of-Service-DDoS) saldırıları, ağı çok sayıda gelen bağlantı talebiyle aşırı yükleyerek ağı çökertmeye çalışır. DDoS önleme çözümleri, ağın meşru bağlantılar için erişilebilirliğini sürdürme çabasıyla, yasadışı trafiği belirlemek ve filtrelemek için gelen istekleri analiz eder.
DDoS saldırıları, ya ağa çok sayıda gelen istek göndermek için komut dosyaları yürüten dağıtılmış bir saldırganlar ağı aracılığıyla ya da güvenliği ihlal edilmiş ve botnet olarak bilinen düzenlenmiş bir sisteme dönüştürülmüş çok sayıda cihaz aracılığıyla gerçekleştirilir .
Veri Kaybını Önleme (Data Loss Prevention-DLP)
Veri kaybı önleme (Data Loss Prevention-DLP) araçları, kullanıcıların hassas veya değerli bilgileri ağ dışında paylaşmasını engelleyerek ve verilerin kaybolmamasını veya kötüye kullanılmamasını sağlayarak bir ağ içindeki verileri korur. Bu, kişisel olarak tanımlanabilir bilgiler (PII) gibi hassas olduğu düşünülen veriler için e-posta, dosya aktarımları ve anlık iletiler yoluyla gönderilen dosyaları analiz ederek gerçekleştirilebilir.
E-posta Güvenliği
E-posta güvenlik önlemleri, ağları, kullanıcıları kötü amaçlı web sitelerine giden bağlantılara tıklamaları veya ağa kötü amaçlı yazılım getiren görünüşte masum ekler indirmeleri için kandırmaya çalışan kimlik avı saldırılarından korur. E-posta güvenlik araçları, şüpheli e-postaları belirleyerek ve kullanıcının gelen kutusuna ulaşmadan önce onları filtreleyerek kimlik avıyla proaktif olarak mücadele eder.
2019 Verizon Veri İhlali Araştırma Raporuna (Data Breach Investigations Report-DBIR) göre, kötü amaçlı yazılımların% 94’ünün e-posta yoluyla teslim edildiği ve veri ihlallerinin% 32’sinin kimlik avı saldırıları içerdiği keşfedildi. E-posta güvenlik araçları, ağ üzerinden geçen ve kullanıcıların gelen kutularına gelen kötü amaçlı e-postaların hacmini azaltarak kimlik avı önleme eğitimini tamamlar.
Uç Nokta Güvenliği
Uç nokta güvenliği, ağa bağlanacak cihazların potansiyel tehditlere karşı güvende olmasını sağlayarak ağları korur. Uç nokta güvenliği, ağ güvenliğinin yanı sıra ağ erişim kontrolü, uygulama güvenliği ve ağ izleme gibi diğer birkaç ağ güvenliği aracını birleştirerek elde edilir.
Bir uç cihazı , bir yerel alan ağı (Local Area Network-LAN) veya iş istasyonları, dizüstü bilgisayarlar, akıllı telefonlar, yazıcılar ve mobil kiosk olarak geniş alan ağı (Wide Area Network-WAN), bağlı olduğu herhangi bir donanımın parçası.
Güvenlik duvarları
Güvenlik duvarları, gelen trafik ve ağ arasında bir bariyer görevi gören donanım araçları ve yazılım programlarıdır. Güvenlik duvarı, ağ üzerinden gönderilen veri paketlerini, verilerin ağa girmesine izin verilip verilmeyeceğini belirten önceden tanımlanmış ilkeler ve kurallarla karşılaştırır.
Mevcut farklı güvenlik duvarı türleri hakkında daha fazla bilgi edinin. Temel türler, donanım ve yazılım güvenlik duvarı çözümleridir.
Mobil Cihaz Güvenliği
Mobil cihaz güvenlik merkezleri, mobil cihazların ağa erişimini sınırlamak ve ağ üzerinde izin verilen mobil cihazların güvenlik açıklarının izlenmesini ve yönetilmesini sağlamaktır.
Mobil cihaz güvenlik önlemleri, yöneticilerin mobil cihazlarda hassas verileri bölümlere ayırmasına, veri şifrelemesini zorlamasına, kurulmasına izin verilen uygulamaları belirlemesine, kayıp veya çalınan cihazları bulmasına ve hassas verileri uzaktan silmesine olanak tanıyan mobil cihaz yönetimi (Mobile Device Management-MDM) çözümlerini içerir.
Ağ İzleme ve Tespit Sistemleri
Ağ izleme ve algılama sistemleri, gelen ve giden ağ trafiğini izlemek ve anormal veya kötü niyetli ağ etkinliğine yanıt vermek için tasarlanmış çok çeşitli uygulamaları içerir.
Ağ izleme ve algılama sistemlerine örnekler:
- İzinsiz Girişi Önleme Sistemleri (Intrusion Prevention Systems-IPS), izinsiz giriş girişimlerini otomatik olarak engellemek amacıyla ağ trafiğini politika ihlalleri gibi şüpheli etkinliklere karşı tarar .
- Saldırı Tespit Sistemleri (Intrusion Detection Systems-IDS) , IPS’ye benzer şekilde çalışır ve ağ paketlerini izlemeye ve şüpheli etkinlikleri inceleme için işaretlemeye odaklanır.
- Güvenlik Bilgileri ve Olay Yönetimi (Security Information And Event Management-SIEM) , ana bilgisayar tabanlı ve ağ tabanlı saldırı algılama yöntemlerinin bir kombinasyonunu kullanarak ağ olaylarına ayrıntılı bir genel bakış sağlar. SIEM sistemleri, yöneticilere güvenlik olaylarını araştırmak ve şüpheli davranışları işaretlemek için değerli günlük verileri sağlar.
Ağ Bölümleme
Ağ bölümleme, ağ güvenliği tehditlerinin yayılabileceği kolaylığı azaltmak için yaygın bir ağ güvenliği uygulamasıdır . Ağ bölümleme, her bir alt ağın kendi benzersiz erişim kontrolleriyle yönetildiği daha büyük bir ağın birden çok alt ağa sınıflandırılmasını içerir. Her bir alt ağ, izleme yeteneklerini geliştirmek, ağ performansını artırmak ve güvenliği geliştirmek için kendi benzersiz ağı gibi davranır.
Sanal Özel Ağlar (Virtual Private Networks-VPN)
Sanal özel ağlar, belirli bir uç noktadan bir ağa güvenli uzaktan erişim sağlar. Bir VPN, ağa gönderilen ve ağdan gönderilen verilerin yetkisiz analizini önlemek için içinden geçen tüm ağ trafiğini şifreler. Genellikle şirketlerinin ağına güvenli bir bağlantıya ihtiyaç duyan saha dışı çalışanlar tarafından kullanılır ve rolleri için gerekli olan verilere ve uygulamalara erişmelerine olanak tanır.
Bir sunucunuz var mı veya kiraladınız mı? 21 Sunucu Güvenliği İpucumuzla onu nasıl koruyacağınızı öğrenin.
Web Güvenliği
Web güvenliği, uç nokta cihazlarını web tabanlı tehditlere karşı proaktif olarak koruyarak ağları korur. Web filtresi gibi web güvenliği teknolojileri, bir kara liste tutmak, yaygın olarak yararlanılan ağ bağlantı noktalarını engellemek ve kullanıcıların internette yüksek riskli etkinliklere girmesini önlemek için bilinen kötü amaçlı veya savunmasız web sitelerinin bir veritabanını kullanır.
Web filtreleme çözümleri, yalnızca web filtresinin beyaz listesindeki önceden yetkilendirilmiş alanlara izin verecek şekilde yapılandırılabilir. Bir beyaz liste kullanıldığında, web filtresi beyaz listede olmayan tüm web sitelerine erişimi engeller.
Web güvenlik ürünleri ayrıca, bir web sitesine bağlantı isteklerini analiz etme ve web sitesinin, kullanıcıların erişmesine izin vermeden önce ağın minimum güvenlik gereksinimlerini karşılayıp karşılamadığını belirleme özellikleri içerebilir.
Kablosuz Güvenlik
Kablosuz güvenlik önlemleri, ağı kablosuz bağlantılara özgü güvenlik açıklarına karşı korur. Wi-Fi ağları, yakındaki cihazlarla bağlantıları açık bir şekilde yayınlayarak yakındaki tehdit aktörlerinin ağa erişmeye çalışması için ek fırsatlar yaratır. Kablosuz güvenlik, kablosuz ağlar üzerinden aktarılan verileri şifreleme, erişimi kısıtlamak için MAC (Media Access Control Address) adreslerini filtreleme ve ağın adının yayınlanmasını önlemek için ağ SSID’sini (Service Set Identifier) özelleştirme gibi yöntemlerle geliştirilir.
Sonuç
Bir ağı gerçekten korumak için, birden çok özel donanım ve yazılımın kurulması ve yönetilmesi gerekir. CIA üçlüsünün ilkelerini destekleyen araçlarla katmanlı bir ağ güvenliği yaklaşımı uygulayarak, bir ağ çok çeşitli güvenlik açıklarına karşı güvence altına alınabilir.
Bu makale, CurrentWare Pazarlama Koordinatörü Dale Strickland© ile birlikte yazılmıştır .
Yazının orjinal ingilizce haline buradan ulaşabilirsiniz.
Bu eser Creative Commons Atıf-GayriTicari-Türetilemez 4.0 Uluslararası Lisansı ile lisanslanmıştır.
Marmara Üniversitesi Teknik Eğitim Fakültesi’nden 1991 yılında mezun olduktan sonra Uşak Endüstri Meslek Lisesi’nde Teknik öğretmen olarak göreve başladı. 1993 Yılında Marmara Üniversitesi Teknik Eğitim Fakültesi Eğitim Bölümünde araştırma görevlisi olarak akademik çalışmalara başladı. 1998 yılında M.Ü. Teknoloji Eğitimi Yüksek Lisansı, 1999 yılında İ.Ü. İşletme Davranış Bilimleri Yüksek lisans tezlerini vererek başarıyla mezun oldu. 2001 yılından itibaren Marmara Üniversitesi Bilgisayar ve Öğretim Teknolojileri bölümünde öğretim görevlisi olarak çalışmaya devam etmektedir. Yürüttüğü dersler arasında temel bilgisayar eğitimi, bilgisayar donanımı, bilgisayar ağları ve haberleşme, işletim sistemleri, web tabanlı programlama, açık kaynak kodlu yazılımlar, uzaktan eğitim, içerik geliştirme, eğitim yönetim sistemleri dersleri yer almaktadır. 2011-2016 yılları arası Atatürk Eğitim Fakültesi ve birimleri internet sayfaları, 2013-2015 yılları arasında Marmara üniversitesi internet sayfaları ve akademik idari birimler web sayfaları koordinatörü olarak görev yapmıştır. Çok sayıda seminer ve konferansta bildiri sunmuş, konuşmacı olarak katkı sağlamış, düzenleme ve yürütme kurullarında görevler almıştır. Akademik dergi, kongre, sempozyum, kurumsal ve kişisel web sayfaları hazırlayarak yayınlamıştır. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Baş Denetçi Sertifikası sahibidir.