Zero trust
Zero Trust güvenlik modeli, Zero Trust mimarisi (ZTA), Zero Trust ağ erişimi (ZTNA) ve çevresiz güvenlik olarak da bilinir. BT sistemlerinin strateji, tasarım ve uygulanmasına yönelik bir yaklaşımı tanımlar. Zero Trust güvenlik modelinin ana konsepti "asla güvenme, her zaman doğrula" ilkesine dayanır. Bu, kullanıcıların ve cihazların, kurumsal bir LAN gibi izin verilmiş bir ağa bağlı ve daha önce doğrulanmış olsalar bile varsayılan olarak güvenilmemesi gerektiği anlamına gelir.[1][2]
Zero Trust Mimarisinin Uygulanması
[değiştir | kaynağı değiştir]ZTA, güçlü kimlik doğrulama, erişim izni vermeden önce cihaz uyumluluğunu doğrulama ve yalnızca açıkça yetkilendirilmiş kaynaklara en az ayrıcalıklı erişimi sağlamayı içerir. Çoğu modern kurumsal ağ, birçok birbiriyle bağlantılı alan, bulut hizmetleri ve altyapı, uzaktan ve mobil ortamlara bağlantılar ve IoT cihazları gibi geleneksel olmayan BT bağlantılarını içerir.[3]
Zero Trust'ın gerekçesi, geleneksel yaklaşımın (varsayımsal "kurumsal çevre" içindeki kullanıcılara ve cihazlara veya VPN aracılığıyla bağlanan kullanıcılara ve cihazlara güvenmenin), bir kurumsal ağın karmaşık ortamında yetersiz kalmasıdır. Zero Trust yaklaşımı, kullanıcıların ve cihazların kimlik ve bütünlüğünü konumdan bağımsız olarak kontrol etmeyi ve kullanıcı kimliği, cihaz sağlığı ve kullanıcı kimlik doğrulaması kombinasyonuna dayalı olarak uygulamalara ve hizmetlere erişim sağlar. Zero Trust mimarisi, tedarik zincirleri gibi belirli alanlarda kullanım için öne çıkmıştır.[4]
Zero Trust ilkeleri, veri erişimi ve veri yönetimine uygulanabilir. Bu, her veri erişim isteğinin dinamik olarak kimlik doğrulamasını gerektiren ve kaynaklara en az ayrıcalıklı erişimi sağlayan Zero Trust veri güvenliğini getirir. Erişim izni verilip verilmeyeceğini belirlemek için, Öznitelik Tabanlı Erişim Denetimi (ABAC) kullanarak verinin niteliklerine, kullanıcının kim olduğuna ve çevrenin türüne dayalı politikalar uygulanabilir.[5]
Tarihçe
[değiştir | kaynağı değiştir]2001'de, OSSTMM'nin (Açık Kaynak Güvenlik Testi Metodolojisi Kılavuzu) ilk sürümü yayınlandı. Bu sürüm güvene odaklanan unsurlar içeriyordu. 2007 civarında çıkan 3. sürüm ise güvenin bir zafiyet olduğunu belirten ve OSSTMM 10 kontrollerinin güven seviyelerine göre nasıl uygulanacağını anlatan bir bölüm içeriyordu.[6]
2003'te, Jericho Forum, bir kuruluşun BT sistemlerinin çevresini tanımlamanın zorluklarını vurguladı ve bu yıl, "çevresizleşme" adı verilen trendi tartıştı.
2009 boyunca süren bir Çin APT saldırısı olan Aurora Operasyonu'na yanıt olarak, Google, BeyondCorp adı verilen bir Zero Trust mimarisi uygulamaya başladı.
2010 yılında, analist John Kindervag, Forrester Research'te daha sıkı siber güvenlik programları ve şirket içi erişim kontrolünü belirtmek için Zero Trust modeli terimini kullandı. Ancak, Zero Trust mimarilerinin yaygın hale gelmesi neredeyse on yıl aldı, bu durum kısmen mobil ve bulut hizmetlerinin artan benimsenmesiyle hızlandı.[7]
2018'de, ABD'de NIST ve NCCoE'deki siber güvenlik araştırmacıları tarafından yürütülen çalışma, "NIST SP 800-207 - Zero Trust Architecture"ın yayınlanmasına yol açtı. Bu yayın, Zero Trust'ı, bir ağın tehlikeye girmiş olarak görüldüğü durumlarda bilgi sistemleri ve hizmetlerinde doğru, istek başına erişim kararlarını zorlamadaki belirsizliği azaltmak için tasarlanmış kavramlar ve fikirler topluluğu olarak tanımlar. Zero Trust mimarisi (ZTA), Zero Trust kavramlarını kullanan ve bileşen ilişkilerini, iş akışı planlamasını ve erişim politikalarını kapsayan bir kuruluşun siber güvenlik planıdır. Bu nedenle, Zero Trust işletmesi, Zero Trust mimarisi planının bir ürünü olarak bir kuruluşun yerleşik ve sanal ağ altyapısı ve operasyonel politikalarıdır.[8]
Kaynakça
[değiştir | kaynağı değiştir]- ^ Bulutistan (25 Nisan 2023). "Zero Trust Güvenlik Modeli Nedir? Avantajları Nelerdir?". Bulutistan Blog. 21 Mayıs 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024.
- ^ "Zero Trust Nedir?". Makale. Beyaznet. 24 Şubat 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024.
- ^ "Sıfır Güven Modeli - Modern Güvenlik Mimarisi | Microsoft Güvenlik". www.microsoft.com. 4 Şubat 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024.
- ^ "Zero Trust security | What is a Zero Trust network?". Makale. Cloudflare. 15 Mayıs 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024.
- ^ "What is Zero Trust? | IBM". www.ibm.com (İngilizce). 20 Haziran 2024. 6 Nisan 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024.
- ^ "The evolution of zero-trust security". www.cryptomathic.com (İngilizce). 22 Eylül 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024.
- ^ Heath, David (18 Nisan 2023). "The Evolution of Zero Trust and the Frameworks that Guide It". IBM Blog (İngilizce). 29 Eylül 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024.
- ^ "What is Zero Trust Security? Principles of the Zero Trust Model". crowdstrike.com (İngilizce). 7 Nisan 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024.