Zero Trust güvenlik modeli yeni değil. Forrester Research'ten John Kindervag'ın 2010'da "Artık Chewy Merkezleri Yok: Bilgi Güvenliğinin Sıfır Güven Modelini Tanıtmak" başlıklı makalesini yazmasından bu yana ortalıkta dolaşıyor.

Sıfır Güven yaklaşımı, zaten ağ çevresinde bulunanlar da dahil olmak üzere hiçbir kullanıcıya veya uygulamaya doğası gereği güvenilmemesi gerektiği inancına odaklanır.

Bu fikir, artan siber saldırı tehdidiyle mücadele etmek için Google, Coca-Cola ve NSA gibi büyük şirketler ve kuruluşlar tarafından zaten benimseniyor. Ancak, hala ana akım olarak benimsenmesini engelleyen engeller var.

Sıfır Güven Güvenliği Hakkında Mitler

Kuruluşların Sıfır Güven modeli yaklaşımına olan ilgisi arttıkça, çerçevenin temel ilkeleri hakkında bazı yanlış anlamalar benimsenme yoluna girmiştir. İşte inanmamanız gereken birkaç efsane.

Birinci Efsane: Sıfır Güven Bir Güvensizlik Kültürü Yaratır

Sıfır Güven hakkında yaygın bir yanlış anlama, çalışanlarınıza güvenmeme fikrini teşvik etmesidir. Sıfır Güven çerçevesi, şirketlerin ağ kaynaklarına erişen kullanıcıları incelemesini gerektirse de, kişisel bir şey olarak yanlış yorumlanmamalıdır.

instagram viewer

Gerçek şu ki, güven, kuruluşunuzu bir saldırı riskine atabilecek bir güvenlik açığını temsil eder. Siber suçlular, özellikle hedef şirketler için güvenden yararlanır ve Zero Trust, bunu azaltmanın bir yolunu sunar. Herkesin bir binaya girmesine izin vermek yerine bir anahtar kart girişine eşdeğerdir.

İle En Az Ayrıcalık İlkesini kullanarak (POLP), kuruluşlar, kullanıcılara yalnızca kazandıkları güvene dayalı olarak ihtiyaç duydukları kaynaklara erişim izni verilmesi için eşik ilkelerini kişiselleştirebilir.

İkinci Efsane: Sıfır Güven Bir Üründür

Sıfır Güven, bir ürün değil, bir strateji veya çerçevedir. Asla güvenmeme ve her zaman doğrulama fikri üzerine inşa edilmiştir.

Satıcılar tarafından sunulan çeşitli ürünler Sıfır Güven elde edilmesine yardımcı olabilir; ancak bunlar Zero Trust ürünleri değildir. Bunlar yalnızca Sıfır Güven ortamında iyi çalışan ürünlerdir. Bu nedenle, bir satıcı sizden Zero Trust ürününü satın almanızı isterse, bu, altında yatan konsepti anlamadıklarının bir göstergesidir.

İlişkili: Sıfır Güven Ağı Nedir ve Verilerinizi Nasıl Korur?

Zero Trust mimarisiyle düzgün bir şekilde entegre edildiğinde, çeşitli ürünler saldırı yüzeyini etkin bir şekilde en aza indirebilir ve bir ihlal durumunda patlama yarıçapını kontrol altına alabilir. Tamamen uygulandıktan sonra, sürekli doğrulamaya sahip Zero Trust çözümü, saldırı yüzeyini tamamen ortadan kaldırabilir.

Üçüncü Efsane: Sıfır Güveni Uygulamanın Tek Bir Yolu Var

Sıfır Güven, sürekli doğrulama, En Az Ayrıcalık İlkesi erişimi ve saldırı yüzeyinin hafifletilmesini içeren bir güvenlik ilkeleri koleksiyonudur.

Yıllar geçtikçe, Sıfır Güven modeline başlamak için iki yaklaşım ortaya çıktı. İlk yaklaşım kimlikle başlar ve hızlı sonuçlar veren çok faktörlü kimlik doğrulamayı içerir.

İlişkili: İki Faktörlü Kimlik Doğrulama Nedir? İşte Neden Kullanmalısınız?

İkinci yaklaşım ağ merkezlidir ve ağ segmentasyonu ile başlar. Konsept, bu segmentler içindeki ve arasındaki trafiği kontrol etmek için ağ segmentleri oluşturmayı içerir. Ağ yöneticileri daha sonra her segment için ayrı yetkilendirme yapabilir ve böylece bir sistemdeki yanal tehditlerin yayılmasını sınırlayabilir.

Dördüncü Efsane: Sıfır Güven Sadece Büyük İşletmelere Hizmet Eder

Google, 2009 yılında Aurora Operasyonuna yanıt olarak Zero Trust mimarisini kullanan ilk şirketlerden biriydi. Bu, Google, Yahoo, Morgan Stanley ve Adobe Systems gibi büyük kuruluşları hedef alan bir dizi saldırıydı.

Google, saldırıların hemen ardından Sıfır Güven modelini benimsediğinde, birçok işletme bunun yalnızca büyük kuruluşlar için geçerli olduğunu düşündü (ve hâlâ da öyle düşünüyor). Bu fikir, yalnızca siber saldırılar büyük işletmelerle sınırlı olsaydı doğru olurdu, ki durum böyle değil. Gerçekte, hakkında Veri ihlallerinin yüzde 46'sı 2021'de küçük işletmelere yönelikti.

Medya, büyük işletmeleri etkileyen veri ihlallerini ele alma eğiliminde olsa da, küçük işletmelerin de siber saldırılara karşı korunmaya ihtiyacı olduğuna şüphe yok.

İyi haber şu ki, küçük kuruluşların Sıfır Güven modelini uygulamak için bankayı kırmaları gerekmiyor. Bu bir ürün olmadığı için işletmeler Zero Trust mimarisine yıllık mütevazı bir yatırım ayırarak kademeli olarak tanıtabilirler.

Beşinci Efsane: Sıfır Güven, Kullanıcı Deneyimini Engeller

Zero Trust'ın benimsenmesinin önündeki engellerden biri, kullanıcı deneyimi üzerindeki algılanan etkidir. Kullanıcıların kimliklerini sürekli olarak doğrularken, kullanıcıların üretkenliğinin ve çevikliğinin zarar göreceğini varsaymak anlaşılabilir bir durumdur. Ancak, uygun şekilde uygulandığında Zero Trust, kullanıcı dostu bir deneyim sunabilir.

Kuruluşlar, riskleri belirlemek ve hızlı erişim kararları almak için kullanıcı profillerini değerlendirebilir ve risk tabanlı kimlik doğrulamayı makine öğrenimi ile birleştirebilir. Risk yüksekse, sistem kaynaklarını korumak için ek bir kimlik doğrulama adımı gerektirebilir veya erişimi tamamen engelleyebilir. Aksine, risk düşükse kimlik doğrulama zorluklarını ortadan kaldırabilir.

Sıfır Güven yaklaşımı, işlerin idari tarafındaki karmaşıklığı da azaltır. Yükleniciler ve çalışanlar, sizinle iş yapmayı bırakmaları durumunda artık güvenlik yükümlülüğü olmayacaktır. Etkili bir Sıfır Güven modeli altında, sistem, arka kapıları ortadan kaldırarak, kilit varlıklara erişimlerini derhal sonlandıracaktır.

Altıncı Efsane: Sıfır Güven Şirket İçi Ortamla Sınırlıdır

Birçok işletme, Zero Trust'ı yalnızca şirket içinde yönetilebilecek bir model olarak görmeye devam ediyor. Hassas veriler artık hibrit ve bulut ortamlarında bulunduğundan bu önemli bir sorun haline geliyor. Şirket içi mimariyi etkileyen siber saldırılar ve saldırılar artarken, giderek daha fazla işletme buluta geçiyor.

İyi haber şu ki Zero Trust hızla ilerliyor.

İlişkili: Son Yıllardaki En Önemli Bulut Güvenliği Veri İhlalleri

Şirketler, bulutta Sıfır Güven mimarisi kurarak hassas verileri koruyabilir ve ağlarındaki savunmasız varlıkların açığa çıkmasını azaltabilir.

Ek olarak, uzaktan çalışma kültürü yoğunlaştıkça ve siber suçlular güvenlik açıklarından yararlanmak için yeni yollar geliştirirken, şirket içi altyapıya güvenen işletmeler bozulma riski taşır.

Asla güvenme; Her Zaman Doğrula

Kuruluşları hedef alan veri ihlallerinin sayısına bakıldığında, güvenliğe yönelik eski tarz yaklaşımın yeterli olmadığı açıkça görülüyor. Birçoğu Zero Trust'ın pahalı ve zaman alıcı olduğuna inansa da, şu anda güvenlik sorunlarına karşı harika bir panzehir.

Sıfır Güven modeli, siber saldırılarda çok sık istismar edildiği için güvene dayalı sistemleri kaldırmayı amaçlar. Ağ kaynaklarına erişmeden önce herkesin ve her şeyin doğrulanması gerektiği ilkesiyle çalışır. Bu, riskleri azaltmak ve güvenlik duruşlarını iyileştirmek isteyen şirketler için değerli bir arayıştır.

Sıfır Güven Güvenliği Fidye Yazılım Saldırılarını Nasıl Önleyebilir?

Geleneksel güvenlik modelinin fidye yazılımlarına karşı etkisiz olduğu kanıtlanmıştır. Siber saldırıları yenmek için neden sıfır güvenin en iyi yaklaşım olduğunu öğrenin.

Sonrakini Oku

PaylaşCıvıldamakE-posta
İlgili konular
  • Güvenlik
  • Çevrimiçi Güvenlik
  • Siber güvenlik
  • Çevrimiçi Gizlilik
  • İş teknolojisi
Yazar hakkında
Fawad Ali (25 Makale Yayınlandı)

Fawad bir BT ve İletişim mühendisi, hevesli bir girişimci ve bir yazardır. 2017 yılında içerik yazarlığı alanına girdi ve o zamandan beri iki dijital pazarlama ajansı ve çok sayıda B2B & B2C müşterisi ile çalıştı. İzleyicileri eğitmek, eğlendirmek ve ilgisini çekmek amacıyla MUO'da Güvenlik ve Teknoloji hakkında yazıyor.

Fawad Ali'dan Daha Fazla

Haber bültenimize abone ol

Teknik ipuçları, incelemeler, ücretsiz e-kitaplar ve özel fırsatlar için bültenimize katılın!

Abone olmak için buraya tıklayın