İÇİDEKİLER

1.GİRİŞ

2.ZERO TRUST NEDİR?

3.ZERO TRUST’IN TEMEL İLKELERİ NELERDİR?

4.ZERO TRUST GÜVEN MODELİ BİLEŞENLERİ NEDİR?

5.NASIL ÇALIŞIR?

6.HANGİ DURUMLARDA KULLANILIR?

7.PAM İLE NASIL UYGULANIR?

8.MICROSOFT’UN ZERO TRUST YAKLAŞIMDAKİ GÜVENLİK ÇÖZÜMLERİ VE ÜRÜNLERİ

9.SONUÇ

KAYNAKÇA

 

1.GİRİŞ

Zero Trust, modern güvenlik yaklaşımlarından biridir ve geleneksel güvenlik anlayışını sorgular. Geleneksel güvenlik, ağ sınırlarına dayanırken, Zero Trust, herhangi bir ağ veya kaynak üzerinde otomatik olarak güvenmeyi reddeden bir yaklaşım benimsemekte. Bu yazımda, Zero Trust teknolojisinin ne olduğunu, nasıl çalıştığını ve işletmelerin güvenlik stratejilerini nasıl geliştirebileceklerini ele alacağım.

 

2.ZERO TRUST NEDİR?

Son zamanlarda popülerleşmeye başlayan bu güvenlik yöntemi, “Sıfır Güven Güvenliği” anlamına gelir. Günümüzde gerçekleştirilen siber saldırıların birçoğu, internet ağları üzerinden gerçekleştirilir. Bu yüzden güvenlik sistemleri de daha çok bu alanda koruma sağlamayı hedeflerler.

Ancak siber korsanlar, bir şekilde cihazların veya internet ağlarının açığını buluyorlar. Bunun sonucunda korsanlar, teknoloji kullanıcılarına zarar vermeyi başarıyorlar. Zero Trust Security de bu durumu en aza indirebilmek için çabalıyor diyebiliriz. Bu kapsamda sistem izin verilen ağlarda olunsa bile herkesten yüksek güvenlikli kimlik doğrulaması istiyor. Yani sistem, ağ içerisinde olunsa bile verilere ulaşmak isteyen herkesten doğrulama yapılmasını talep ediyor.

Güvenlik sistemi, erişim izni isteyenleri sadece giriş aşamasında denetlemekle kalmıyor. Sistem, izin sürecinden sonra da erişim izni olan kişilerin hareketlerini takip ediyor. Zero Trust Security, özellikle kurumsal ağlarda veri sızıntısını en aza indirebilmek adına geliştirilen çok katı ilkeleri olan bir güvenlik sistemi denebilir.

Belirttiğimiz gibi sistem, çok katı kurallar çerçevesinde işliyor. Bundan dolayı günümüzde bireysel teknoloji kullanıcıları, bu güvenlik yöntemini kullanmaya pek ihtiyaç duymuyorlar. Ancak verileri çok değerli olan şirketler, günümüzde sistemlerinde Zero Trust Security’i kullanmayı tercih etmeye başlandı.

Sistemin katı bir güvenlik işleyişinin olması, kurumsal yerlerde aynı ağ içerisinde gerçekleşen veri sızıntılarını bile engellemeyi hedefliyor. Bundan dolayı her geçen gün popülerleşen Zero Trust Security, önümüzdeki günlerde adından söz ettirmeye devam edecek desek yanlış olmaz. Dilek (2022)

SIFIR GÜVEN ARKASINDAKİ TEKNOLOJİ

Sıfır Güven, kullanıcılara , kuruluşun yönetim politikalarına göre , yalnızca belirli bir görevi gerçekleştirmeleri için ihtiyaç duydukları sınırlı bir süre için erişim sağlama ile başlar . Buna ek olarak, puanlama, dosya sistemi izinleri, düzenleme, analitik ve çok faktörlü kimlik doğrulaması etrafında dönen en son teknolojileri kullanır.

Sıfır Güven sadece teknoloji demek değil. Ayrıca iş sürecini, paydaşları ve onların zihniyetlerini anlayarak güvenlik parametreleri geliştirir. Klasik güvenliğin tersine içten dışa doğru tasarlanmıştır. Taner(2019)

 

3.ZERO TRUST’IN TEMEL İLKELERİ NELERDİR?

a.Sıfır Güven İlkesi (Zero Trust Principle): Hiçbir kullanıcı, cihaz veya ağ trafiği varsayılan olarak güvenilir olarak kabul edilmez. Her biri, doğrulama ve yetkilendirme süreçlerinden geçmelidir.

b.Sıfır İçeriden Güven İlkesi (Zero Inside Trust Principle): Sistem içindeki kaynaklara erişen kullanıcılar veya cihazlar, ağın içerisinde bulundukları için otomatik olarak güvenilir olarak kabul edilmez. Kullanıcılar, kimlik doğrulama ve yetkilendirme süreçlerinden geçirilerek doğrulanmalıdır.

c.Minimum İlke (Principle of Least Privilege): Her kullanıcı veya cihaz, yalnızca ihtiyaç duyduğu minimum ayrıcalıklara sahip olmalıdır. İhtiyaç duyulmayan kaynaklara veya verilere erişim engellenmelidir.

d.Mikro Segmentasyon (Micro-Segmentation): Ağdaki kaynaklar, ağ segmentleri veya bölgeleri arasında kesintisiz olarak izole edilmelidir. Bu, güvenlik açıklarının yayılmasını önler ve saldırıların etkisini sınırlar.

e.Şeffaflık ve İzleme (Transparency and Monitoring): Sistemde gerçekleşen tüm ağ trafiği, kullanıcı faaliyetleri ve cihaz etkileşimleri sürekli olarak izlenmeli ve kaydedilmelidir. Bu, anormal davranışları tespit etmek ve saldırılara hızlı bir şekilde müdahale etmek için önemlidir. Rose vd.(2020)

 

4.ZERO TRUST GÜVEN MODELİ BİLEŞENLERİ NEDİR?

a.Kimlik Doğrulama (Authentication): Kullanıcıların ve cihazların kimliklerini doğrulamak için kullanılan yöntemlerin yer aldığı bileşendir. Örneğin, çok faktörlü kimlik doğrulama (multi-factor authentication), parola yönetimi, biyometrik doğrulama gibi yöntemler kullanılabilir.

b.Yetkilendirme (Authorization): Kimlik doğrulama işleminden sonra kullanıcılara veya cihazlara belirli kaynaklara erişim yetkisi veren bileşendir. Yetkilendirme politikaları, kullanıcının rolleri, ayrıcalıkları ve erişim izinleri gibi faktörlere dayalı olarak belirlenir.

c.Sıfır Güven İlkesi (Zero Trust Principle): Sıfır güven ilkesi, her kullanıcının, her cihazın ve her ağ trafiğinin varsayılan olarak güvensiz olarak ele alındığı ilkedir. Kullanıcıların ve cihazların sürekli olarak güvenlik doğrulamasından geçmesi gerekliliğini vurgular.

d.Ağ Mikrosegmentasyonu (Network Micro-Segmentation): Ağın segmentlere veya bölgelere ayrılması ve her bir segmentin izolasyonu, saldırıların yayılmasını önler. Bu, ağdaki kaynakların güvenliklerini artırır ve saldırıların etkisini sınırlar.

e.Sıfır İçeriden Güven İlkesi (Zero Inside Trust Principle): Ağın içindeki kaynaklara erişen kullanıcılar veya cihazlar, otomatik olarak güvenilir olarak kabul edilmez. Her bir kullanıcı veya cihaz, kimlik doğrulama ve yetkilendirme süreçlerinden geçirilerek doğrulanmalıdır.

f.Güvenlik Olayları ve Analiz (Security Events and Analytics): Sistemde gerçekleşen güvenlik olaylarının izlenmesi, kaydedilmesi ve analiz edilmesini sağlayan bileşendir. Anormal davranışları tespit etmek ve saldırılara hızlı bir şekilde müdahale etmek için kullanılır.

g.İş Yükü Koruma (Workload Protection): Veri merkezi veya bulut ortamındaki iş yüklerinin korunması için kullanılan bileşendir. İş yükü tabanlı güvenlik politikaları, uygulama katmanı güvenliği, güvenlik duvarları, saldırı tespit ve engelleme sistemleri gibi önlemler içerir. Rose vd.(2020)

 

5.NASIL ÇALIŞIR?

Sıfır güven, belirli bir üründen ziyade ağ güvenliğine yönelik genel bir yaklaşımı ifade eder, bu nedenle satın alabileceğiniz ve kurabileceğiniz herkese uyan tek bir çözüm yoktur. Bunun yerine, sıfır güven, çeşitli farklı güvenlik önlem ve en iyi uygulamaları kapsar. Ağınızın temel yapısı bile hassas kaynaklara erişimin yönetilmesinde büyük rol oynar. Bu nedenle kavram, sıfır güven mimarisi (ZTA) veya sıfır güven ağ mimarisi (ZTNA) olarak da bilinir.

Her ağ farklı olduğundan, sıfır güven erişiminin kuruluşunuzun özel yapısına ve ihtiyaçlarına göre uyarlanması gerekir. Sıfır güvene geçişinizi hazırlamak için kullanıcı ve veri akışları, hassas kaynakların konumu ve internete açık sistemler gibi potansiyel zayıflıklar gibi faktörleri hesaba katmanız önemlidir. 

  1. Ağınızın Haritasını Çıkarma

    Zero trust, güvenliğini uygulamanın ilk adımı, dijital altyapınızın parçası olan tüm kullanıcıların, cihazların ve hizmetlerin bir envanterini çıkarmaktır. Çoğu zaman haritalama yöntemi, sahipsiz hesaplar veya kullanılmayan arayüzler gibi hemen ortadan kaldırılması gereken güvenlik açıklarını ortaya çıkarır.

    Ağınızdaki tüm kullanıcı ve kaynakların doğru bir listesine sahip olduğunuzda, bir sonraki adım kimin hangi sistemlere erişmesi gerektiğini belirlemek ve en az ayrıcalıklı erişime dayalı bir güvenlik politikası tasarlamaktır.

  2. Planlama ve Öncelikler

    Kullanıcı ve kaynakların haritasını çıkarmak, size yalnızca ağınızın mevcut durumunun daha net bir resmini vermekle kalmaz, aynı zamanda yeni güvenlik politikanızı eyleme geçirmede sonraki adımları belirlemenize de yardımcı olur. 

    Sıfır güven mimarisini uygulamanın en kolay yolu, sıfırdan başlamak ve tüm ağı sıfır güveni göz önünde bulundurarak yeniden tasarlamaktır. Ancak, sürekli erişim, sürekli hizmet ve sürekli operasyon gibi süreklilik başka bir önemli faktör olduğundan, bu tür köklü bir değişiklik çoğu işletme için pratik bir çözüm değildir. Bu nedenle çoğu işletme, zero trust güvenliğine kademeli geçişi seçer.

    Tüm planınızı bir anda eyleme geçiremeyeceğiniz için öncelikle hangi sistem ve kaynakların güvenliğinin sağlanması gerektiğine dair net öncelikler belirlemeniz gerekir. Bu noktada kendinizi olası bir bilgisayar korsanının yerine koymanız ve ağınızın hangi alanlarının yüksek değerli hedefler veya olası giriş noktaları olduğunu düşünmeniz gerekir.

  3. Planı Eyleme Geçirme

    Zero trust güvenliğine giden yolda son adım, planınızı eyleme geçirmektir. Fakat tüm yöneticiler, bunun gibi büyük değişikliklerin bazı sorunlara ve gerilimlere neden olabileceğini bilir. Sorunsuz bir geçiş sağlamak için uzmanlar, simülasyonla başlamayı önerir. Bu test aşamasında, kaynaklara tüm erişimler yeni güvenlik ilkesine göre kontrol edilir ve sonuçlar ileride gözden geçirilmek üzere günlüğe kaydedilir. Ancak, bu ek denetimleri geçemeyen kullanıcı ve hizmetlere normal erişim izni verilir.

    Bu yaklaşım, herhangi bir karışıklığı ortadan kaldırmanıza vb. gibi önemli bir şeyi kaçırıp kaçırmadığınızı görmenize izin veren deneme çalıştırması olarak düşünebilirsiniz. Ayrıca personelinize güvenlik önlemlerine ve ek kontrollere alışmanız için biraz zaman tanır.

    Genel olarak, zero trust güvenliğinin uygulanması tek seferlik bir görev değildir, yeniden değerlendirme ve düzenli revizyonlar gerektiren sürekli bir süreçtir. Güvenlik politikanız yürürlüğe girdikten sonra bile ağınızı genişlettikçe veya yapıda değişiklikler yaptıkça onu güncellemeye devam etmeniz gerekir.Bulutistan(2023)

 

6.HANGİ DURUMLARDA KULLANILIR?

Sıfır güven modeli, başta tedarik zinciri saldırıları gibi önlenmesi zor olan siber saldırıların yanı sıra şirket sistemini genel anlamda iç ve dış tehditlerden korumak amacıyla kullanılıyor. Bu yüzden sıfır güven yaklaşımını hem risk düzeyi yüksek siber saldırılara karşı hem de kapsamlı bir siber koruma için tercih ediliyor. Tüm bu sebeplerden dolayı birlikte çalışacağınız siber güvenlik şirketinin sunduğu hizmetler büyük önem taşıyor.

Zero Trust yaklaşımı, hassas verilerin yer aldığı sistemlerde kötü amaçlı kişilerin bu verilere ulaşmasını zorlaştırmak amacıyla uygulanıyor. İçerdiği çok katmanlı kimlik doğrulama işlemleri ve gelişmiş şifreleme yöntemleri sayesinde şirket sistemini yalnızca şirket dışındaki tehlikelerden değil aynı zamanda şirket içindeki tehlikelerden de korumayı sağlıyor. Kron(2021)

 

7.PAM İLE NASIL UYGULANIR?

Sıfır güven politikası, birçok kısıtlama ve doğrulama aşaması içermekte. Tüm bu aşamaları çözümlerle yerine getiren ayrıcalıklı erişim yönetimi (PAM), Zero Trust modelinde de geçerli olan farklı bir çok teknolojiyle güvenlik sağlamakta. Merkezi parola yönetimi, iki faktörlü kimlik doğrulama (2FA), dinamik veri maskeleme, yetkili oturum yöneticisi ve ayrıcalıklı görev otomasyonu bu teknolojilerden bazılarını oluşturmakta.

Ayrıcalıklı erişim yönetimi konusunda en kapsamlı ürünlerden biri olan Single Connect, hem iç tehdit riskini en aza indiren hem de aktif koruma açısından şirketinizin erişim güvenliği süreçlerinde ihtiyaç duyabileceği tüm adımları sunar. Böylece yalnızca güçlü bir erişim güvenliği çözümüne sahip olmakla kalmaz, aynı zamanda olası tehlikeleri de gerçekleşmeden tespit ederek, hızlıca önlem alabilir ve şirketinizin güvenliğini kesintisiz şekilde sürdürülebilir. Kron(2021)

8.MICROSOFT‘UN ZERO TRUST YAKLAŞIMDAKİ GÜVENLİK ÇÖZÜMLERİ VE ÜRÜNLERİ

Microsoft Zero Trust stratejisi, şirketlerin her tür tehdide karşı daha etkili bir şekilde korunabilmesi için bir dizi güvenlik kontrollerini içerir. Aşağıdaki bileşenlerden oluşur:

  • Kimlik doğrulama ve yetkilendirme: Kullanıcıların kimliklerini doğrulamak ve erişimlerini yetkilendirmek için çok faktörlü kimlik doğrulama gibi güçlü kimlik doğrulama yöntemlerini kullanır.
  • Cihaz güvenliği: Cihazların güvenliğini değerlendirir ve uygun güvenlik politikaları oluşturur. Bu, cihaz yönetimi, güvenlik yamalarının uygulanması ve cihazların güvenlik durumunun sürekli olarak izlenmesini içerir.
  • Uygulama güvenliği: Uygulamaların güvenli bir şekilde erişilebilir olmasını sağlar. Bu, uygulamaların güvenlik kontrolleriyle korunmasını, erişim politikalarının uygulanmasını ve uygulama trafiğinin izlenmesini içerir.
  • Veri koruması: Verilerin güvenliğini sağlamak için şifreleme, erişim kontrolleri ve veri sınıflandırma gibi yöntemleri kullanır.
  • Ağ güvenliği: Ağ trafiğini izler, ağda güvenlik tehditlerini tespit eder ve zararlı aktivitelere karşı koruma sağlar.

Microsoft, “Zero Trust” yaklaşımını benimsemiş ve bu yaklaşımı uygulamak için çeşitli ürün ve hizmetler sunmaktadır.Bunlardan bazıları:

  • Azure Active Directory (Azure AD): Microsoft’un kimlik ve erişim yönetimi hizmeti olan Azure AD, Zero Trust politikalarının uygulanmasında önemli bir rol oynar. Kimlik doğrulama, çok faktörlü kimlik doğrulama (MFA) gibi güçlü kimlik doğrulama yöntemlerini destekler.
  • Microsoft Endpoint Manager: Cihaz yönetimi ve güvenlik platformudur. Zero Trust yaklaşımını desteklemek için, cihazlara erişim sağlamadan önce uygun güvenlik politikalarının uygulanmasını sağlar.
  • Microsoft Defender: Tehdit koruma çözümüdür ve Zero Trust yaklaşımında önemli bir rol oynar. Tehdit istihbaratı, davranış analizi ve yapay zeka tabanlı algoritmalara dayanan saldırı tespiti ve önleme yetenekleri sağlar.
  • Azure Information Protection: Verilerin sınıflandırılmasını, etiketlenmesini ve korunmasını sağlar. Zero Trust yaklaşımıyla uyumlu olarak, verilere erişim politikaları uygulanır ve güvenliği sağlamak için şifreleme ve yetkilendirme kullanılır.
  • Azure Sentinel: Olay ve güvenlik bilgilerinin toplanması, analizi ve yanıtlanmasını sağlayan bir güvenlik bilgi ve olay yönetimi (SIEM) çözümüdür. Bu yaklaşımını destekleyen güvenlik olayları ve tehdit istihbaratı analiz edilir ve gerekli aksiyonlar alınır. Microsoft(2023)

 

9.SONUÇ

Zero Trust, modern güvenlik tehditlerine karşı daha güçlü bir savunma sağlayan etkili bir yaklaşımdır. Veri güvenliği, esneklik ve tehdit önleme gibi avantajları vardır. Ancak, uygulama karmaşıklığı, kullanıcı deneyimi ve kültürel değişim gibi zorlukları da göz önünde bulundurmak önemlidir. Zero Trust yaklaşımını benimsemek için işletmelerin, güvenlik stratejilerini ve altyapılarını revize etmeleri gerekir. Güvenlik konusunda artan endişelerle birlikte, Zero Trust, gelecekte daha fazla benimsenen bir güvenlik modeli olabilme potansiyeline sahip olması muhtemel.

 

KAYNAKÇA

Dilek (2022)Dilek, F. E. (2022a, February 28). Zero trust security nedir?. Teknoloji.org. https://teknoloji.org/zero-trust-security-nedir/

Kron(2021). (n.d.). Zero trust (Sıfır Güven) modeli Nedir?: Kron. kron.com.tr. https://kron.com.tr/zero-trust-sifir-guven-modeli-nedir

Taner(2019)Taner, C. (2019, August 12). Zero trust nedir?. Siber Güvenlik Portalı. https://www.siberguvenlik.web.tr/index.php/2019/08/12/zero-trust-nedir/

Rose vd.(2020)Scott Rose, Oliver Borchert, Stu Mitchell, Sean Connelly https … – NIST. (n.d.). https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf

Bulutistan(2023)Bulutistan. (2023, May 10). Zero trust güvenlik modeli nedir? Avantajları Nelerdir?. Bulutistan Blog. https://bulutistan.com/blog/zero-trust-guvenlik-modeli-nedir-avantajlari-nelerdir/

Microsoft(2023)Zero trust model – modern security architecture: Microsoft security. Zero Trust Model – Modern Security Architecture | Microsoft Security. (n.d.). https://www.microsoft.com/en-us/security/business/zero-trust

 

 

Creative Commons Lisansı
Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Cloud Security – Secure Data – Cyber Security” by perspec_photo88 is licensed under CC BY-SA 2.0 .

Bu makale https://smallseotools.com/tr/plagiarism-checker/ sitesi üzerinden   14 Haziran 2023 tarihinde kontrol edilmiştir. Makale, benzerlik değeri ile kabul edilmiştir. Results Completed: 100% Plagiarism: %24 Unique: %76