SIFIR GÜVEN

Modern Tehditler ; Günümüzün dijital kuruluşlarında , iş uygulamaları ve veriler kurumsal veri merkezlerinden çok uzaklara dağılmıştır. Böylece kullanıcılar
artık birçok konumdan daha fazla uç nokta kullanarak kurumsal kaynaklara daha fazla erişebilir. Nesnelerin İnterneti ( IoT ) cihazlarının ve kurumsal kendi
cihazını getir ( BYOD ) girişimlerinin hızlı büyümesi , ağdaki erişim noktalarının ve uç nokta cihazlarının çoğalmasına yol açmıştır. Sonuç olarak da geleneksel
ağ çevresi kaybolarak saldırı yüzeyi genişlemektedir. Aynı zamanda , siber tehditler daha üretken hale geliyor ve saldırganların taktikleri ile teknikleri gelişiyor
ve daha karmaşık hale gelmektedir.

Geleneksel güvenlik modelleri , bir kuruluşun ağındaki her şeye güvenilmesi gerektiği varsayımı altında çalışır. Fakat güvenin herhangi bir cihaza veya
kullanıcıya otomatik olarak genişletilmesi , kasıtlı veya kasıtsız olarak herhangi birinin tehlikeye girmesi durumunda kuruluşu riske sokar. Uç güvenlik kontrol
noktalarını atlayan saldırganlar , kötü amaçlı yazılımlar ve güvenliği ihlal edilmiş cihazlar , bu doğal güven modeli nedeniyle genelde ağa sınırsız erişime
sahiptir. Kimlik bilgisi hırsızlığı ve kötü amaçlı yazılım gibi istismarlar , saldırganların meşru hesaplara erişmesini sağlar. Ağa girdikten sonra yanal olarak
hareket edebilir ve kuruluşun kaynaklarını hedeflemek için güvenilir iç ağdan yararlanabilirler. Şirketler ağlarını uzak çalışanlara , çoklu bulut mimarilerine ve
dijital inovasyona uyum sağlamak için modernize ederken , güvenlik yaklaşımlarının da değişmesi gereklidir.

Geleneksel Erişim Denetiminin Sınırlamalarını Tanıma ; Geleneksel erişim kontrol stratejileri , doğal olarak ağdaki bir kullanıcıya veya cihaza güvenir. Bu
güven kavramı genelde kullanıcının veya cihazın konumuna bağlıdır ; Ağdalarsa güvenilirdirler. Ancak ağ çevresi kaybolmaya devam ettikçe , ağ kaynaklarının
güvenliğini sağlamak giderek imkansız hale gelmektedir. Kullanıcılar artık kurumsal ağa ev ofislerinden ve mobil cihazlardan erişmektedir. Kurumsal kaynaklar
, özel ve genel bulutlar gibi geleneksel ağın ötesinde , giderek artan bir şekilde birden fazla konumda yer almaktadır.

Geleneksel erişim kontrolünün sınırlamalarının üstesinden gelmek için kuruluşların şunları sağlayan bir çözüme ihtiyacı vardır ; Kullanıcıların ve cihazların
sürekli doğrulanması. Bölgeler oluşturmak için ağın granüler segmentasyonu. Bir ihlalin etkisini sınırlamaya yardımcı olan kontrol noktası oluşturma.
Kullanıcılar ve cihazlar için en az ayrıcalıklı erişim , böylece kullanıcılara sadece görevlerini yerine getirmeleri için ihtiyaç duydukları erişim verilir , bu da
güvenliği ihlal edilmiş bir kimliğin veya cihazın etkisini sınırlamaya yardımcı olur.

Günümüz ağları geniş , dinamik ve bazı durumlarda geçici kenarlara sahiptir. Birçok cihazın genelde çevrimdışı olması , risk ve güvenin sürekli olarak
değerlendirilmesini daha da zorlaştırmaktadıor. Ağdaki veya ağ dışındaki kullanıcılara veya cihazlara güvenilebileceğini doğrulamanın bir yolu olmadığından
, ağdaki her cihaza potansiyel olarak virüs bulaştığını varsaymalısınız.

Sıfır Güven Temelleri ; Sıfır güven modeli , John Kindervag tarafından 2009 yılında Forrester Research'te çalışırken ortaya atılan bir kavramdır. Sıfır güvenin
altında yatan temel ilke “ asla güvenme , her zaman doğrula ” dır. Sıfır güven , bir güvenlik duvarının güvenilir kurumsal ağı güvenilmeyen internetten
koruduğu geleneksel çevre tabanlı güvenlik modeline meydan okur. Çevre tabanlı model , güvenilir veya güvenilmeyen şeyleri etiketlemek kadar siyah ve
beyaz değildir. DMZ'ler genelde " biraz güvenilir " olan halka açık web siteleri ve uygulamalar için oluşturulur. Sanal özel ağlar ( VPN ) , şirket ağını uzak ve
mobil kullanıcılara genişletmek için kullanılır. Sanal yerel alan ağları ( VLAN ) ve erişim kontrolleri , insan kaynakları ve finans gibi hassas departmanları ağın
geri kalanından ayırmak için kullanılır. Ancak çevreye dayalı güvenliğe yaklaşımın dezavantajı vardır ; Aşırı dolaylı güven verir. Doğrudan veya VPN kullanarak
bağlandığınızda , dahili ağın geri kalanıyla birlikte güvenilir olursunuz. Sıfır güven modeli , güvenliği , bir kullanıcının veya aygıtın ağ konumuna dayalı zımni
güvenden uzaklaştırır. Bunun yerine güven , işlem bazında değerlendirilir. Sıfır güven ile ağ konumunuz veya IP adresiniz artık güven anlamı taşımaz. Bunun
yerine , sıfır güven modeli , güvenin , en az ayrıcalık ve bilinmesi gereken güvenlik ilkelerine dayalı erişim sağlayan çok ayrıntılı düzeyde kimlik ve bağlam
tabanlı denetimlerin bir kombinasyonundan açıkça türetilmesini gerektirir. Sıfır güven , herkes ve her şey için varsayılan reddetme duruşuyla başlar yani sıfır
güven. Sıfır güven modelinde , kullanıcı veya cihaz kaynağa erişim istediğinde , erişim verilmeden önce kimliklerinin doğrulanması gerekir. Doğrulama , sadece
kullanıcının veya cihazın kimliğine değil , bağlam ( tarih ve saat gibi ) , coğrafi konum , cihaz güvenlik durumu dahil olmak üzere diğer özniteliklere de dayanır.

Erişim “ tek ve bitmiş ” anlaşma değildir. Bir kullanıcıya veya cihaza bir kaynağa erişim izni verilmiş olması , onların ağ üzerinde serbestçe dolaşabilecekleri
anlamına gelmez. Erişim çok ayrıntılı düzeyde verilir. Tüm ağa değil , yalnızca sınırlı bir süre için belirli bir işlevi gerçekleştirmek için gereken kaynağa verilir.
Sıfır güven modelinin önemli bir unsuru da güvenin sürekli olarak yeniden değerlendirilmesi gerektiğidir. Kullanıcının veya cihazın önemli özellikleri değişirse
, güven iptal edilebilir ve kaynağa erişim kaldırılabilir.

Sıfır güven erişimi ( ZTA ) , sıfır güven modeli üzerine kuruludur ve ağa kimin , neyin eriştiğini bilmeye , kontrol etmeye odaklanır. Rol tabanlı erişim kontrolü
( RBAC ) , ZTA'nın kritik bir bileşenidir. Sadece bir kullanıcının kim olduğunu kesin olarak bilerek , rolüne göre uygun erişim düzeyi verilebilir. ZTA , yönetim
denetimi ve görünürlüğün gerekli olduğu kullanıcı uç noktalarını kapsar. Sıfır güven modeline uyum sağlamak , kullanıcıya rolü için gereken minimum ağ
erişimi düzeyini veren ve ağın diğer bölümlerine erişme veya bunları görme yeteneğini ortadan kaldıran en az erişim ilkesinin uygulanması anlamına gelir.
Ağda kimin ve neyin olduğunu bilmenin yanı sıra , ZTA ağda ne olduğu için güvenlik içerir. Sürekli artan sayıda ağa bağlı cihaz artık IoT cihazlarını da
içermektedir. Bu cihazların , kendilerini ve ağdaki rollerini tanımlamak için kullanıcı adları ve şifreleri yoktur. Bunun yerine , bu cihazlara erişimi keşfetmek ve
kontrol etmek için ağ erişim kontrolü ( NAC ) çözümleri kullanılabilir. NAC ilkelerini kullanarak , IoT cihazlarına sıfır güven en az erişim ilkesi uygulanabilir. Bu
da görevlerini yerine getirmek için yeterli ağ erişimi sağlar ve başka bir şey yapmaz.

Sıfır güven ağ erişimi ( ZTNA ) , kullanıcının veya uygulamanın bulunduğu yere bakılmaksızın uygulamalara erişimi kontrol eden ZTA öğesidir. Kullanıcı şirket
ağında , evden çalışıyor veya başka bir yerde olabilir. Uygulama , kurumsal veri merkezinde veya özel veya genel bulutta barındırılabilir.
ZTNA , VPN'nin doğal evrimidir. Günümüz ağlarının karmaşıklığı göz önüne alındığında , ZTNA , geleneksel VPN'den daha iyi güvenlik , daha ayrıntılı kontrol
ve daha iyi kullanıcı deneyimi sunar.

Sıfır Güvenin Faydaları ; Modern tehdit ortamında etkili güvenlik için kuruluşların dinamik ağ çevrelerini korumaya çalışmaktan , potansiyel olarak milyarlarca
uç , kullanıcı , sistem , cihaz ve diğer kritik kaynaklara yayılmış uygulamaları ve verileri korumaya geçmesi gerekir. Sıfır güven stratejisi , güvenliğe " asla
güvenme , her zaman doğrula " yaklaşımıyla cihazlar , kullanıcılar , uç nokta , bulut ve altyapı genelinde kapsamlı görünürlük ve koruma sağlar.

Sıfır güven , kuruluşlar için şu faydaları sağlar ;

Riski azaltır ; Ağınızdaki herhangi bir cihaza veya kullanıcıya güveni otomatik olarak genişlettiğinizde , kasıtlı veya kasıtsız olarak herhangi bir güvenlik ihlali
söz konusu olduğunda kuruluşunuzu riske atarsınız. Sıfır güven , kullanıcılar için ağ erişimini sınırlayarak ve sadece kuruluştaki rolleri veya konumlarıyla ilgili
verilere ve sistemlere erişebilmeleri için kapsamlı kimlik doğrulamasını benimseyerek güvenlik açığı noktalarını ortadan kaldırır.

Görünürlüğü artırır ; Kimin ve neyin ağa bağlı olduğunu her zaman bilirsiniz.

Güvenliği artırır ; Güvenlik , ZTNA ile ağın ötesine genişletilebilir. Sadece ağ katmanına odaklanan VPN'den farklı olarak , ZTNA , ağdan bağımsız olarak etkin
şekilde uygulama güvenliği sağlayarak bir katmana yükselir.

Sıfır Güven için Temel Olarak IAM'nin Kurulması ; Sıfır güven erişimi ( ZTA ) ile ağ kaynaklarınızı güvence altına almanın ilk adımı , erişim vermeden önce
doğrulama konusunda kullanıcılarınıza güvenmektir. IAM , ZTA'nın temel taşı , ağda ayrıcalıklı erişimin nasıl yönetileceği ve en az ayrıcalık ilkesinin
uygulanmasında rol tabanlı erişim denetiminin ( RBAC ) rolüdür.

Ağınıza Kimin Bağlandığını Bilmek ; Güvenlik ekiplerinin her zaman ağda kimin olduğunu bilmesi gerekir. BT'nin sadece gerektiğinde her bir rol veya iş için
gerekli olan kaynaklara güvenli şekilde erişim sağlayabilmesi için kuruluşların her kullanıcıyı ve bu kullanıcının şirkette hangi rolü oynadığını bilmesi kritik
öneme sahiptir. Ancak kuruluşlar , ağlarına zayıf parolalarla bağlanan kullanıcılar nedeniyle artan risk altındadır. Günümüzde pek çok çevrimiçi hesap ,
kullanıcı kimlik bilgileri gerektirdiğinden , parolalar genelde çok basittir veya birden fazla hesapta yeniden kullanılır. Saldırganların kimlik avı ve sosyal
mühendislik gibi açıklardan yararlanarak güvenliğini aşmasını kolaylaştırır. Kuruluşlar kullanıcıları için karmaşık şifrelere ihtiyaç duyduğunda bile , şifreler tek
başına yeterli değildir.

Güçlü kimlik doğrulama veya çok faktörlü kimlik doğrulama ( MFA ) , bir kullanıcının söylediği kişi olduğunu doğrulamak için birden çok faktörün kullanılması
anlamına gelir ; Bildiğiniz bir şey ( kullanıcı kimliği ve şifre ) , Sahip olduğunuz bir şey ( donanım veya yazılım belirteç veya cihaza yüklenmiş dijital sertifika ) ,
Olduğunuz bir şey ( biyometrik gösterge , parmak izi veya iris olarak )

Uyarlamalı veya bağlamsal kimlik doğrulama , erişime izin vermeden önce riski değerlendirmek için günün saati , coğrafi konum veya ağ gibi oturum açma
girişimi sırasında ek kullanıcı özelliklerini değerlendirir. Bu teknik şunlardan biri için kullanılabilir ; Riskin düşük olduğu düşünüldüğünde kullanıcı erişimine
izin veriniz. Riskin yüksek olduğu kabul edildiğinde iki faktörlü kimlik doğrulama ( 2FA ) gerektirir.

Uyarlanabilir kimlik doğrulamanın ağ özniteliğini kullanarak sistem , şirket ağında oldukları için yerinde kullanıcıdan 2FA istemeyecektir. Fakat genel veya ev
ağından oturum açan ve kurumsal kaynaklara erişmeye çalışan aynı kullanıcıdan , kullanıcının kimliğini daha fazla doğrulaması için 2FA istenir.

Fast Identity Online ( FIDO ) , çevrimiçi uygulamalar ve hizmetler için en güvenli ve en hızlı oturum açma deneyimlerini sağlar. FIDO , hem Evrensel Kimlik
Doğrulama Çerçevelerini ( UAF yani parolasız kimlik doğrulaması ) hem de Evrensel 2. Faktörü ( U2F yani evrensel iki faktörlü kimlik doğrulaması ) destekler.

Günümüzde kuruluşların karşı karşıya olduğu diğer bir zorluk da coğrafi olarak dağınık işgücüdür. Çalışanlar ana ofis , şubeler ve ev ofisleri gibi çeşitli
konumlarda çalışmaktadır. Küresel pandeminin ardından evden çalışma ve herhangi bir yerden çalışma dahil olmak üzere işin değişen doğasını ve devam
eden buluta geçişi desteklemek için kuruluşların çalışanlarını kritik iş uygulamalarına güvenli şekilde bağlamanın daha iyi bir yoluna ihtiyacı vardır. Uç nokta
cihazlarına yönelik saldırılar artmaktadır.

Günümüzde , kendi aygıtını getir ( BYOD ) ortamlarında izin verilen kişisel mobil aygıtlar için aygıt yapılandırmalarının neredeyse hiçbir standardizasyonu
yoktur. BYOD mobil cihazlarıyla ilişkili ağ riskleri şunları içerir ; Veri sızıntısı. Güvenli Olmayan Wi-Fi. Ağ sahtekarlığı. Root'lu veya jailbreak'li cihazlarda yama
uygulanmamış güvenlik açıkları. Kötü amaçlı yazılım ve casus yazılım. Bozuk şifreleme. Yanlış oturum yönetimi.

Erişim izinleri önceden onaylanmış cihazların varsayılan güvenine dayandığında kuruluşlar risk altındadır. Birçok kuruluş , eski çalışanlar tarafından ihlal
edilmiştir. Kaybolan veya çalınan cihaz , ağda bir ihlali mümkün kılan şifreleri açığa çıkarabilir. Bu nedenle güvenliğe sıfır güven yaklaşımı çok önemlidir. Siber
suçlular çok çeşitli ağ cihazlarını tehlikeye atmaya odaklandığından , güvenlik ekiplerinin ağa bağlanan her cihazın daha iyi görünürlüğüne ve algılanmasına
ihtiyacı vardır. Günümüzün kurumsal kimlik ortamları , ağ cihazları , sunucular , dizin hizmetleri ve bulut uygulamalarını içerebilen çeşitli sistemlerden
oluşmaktadır. Bu çeşitli sistemlerde bulunan bir kimliği yönetmek , kullanıcıları , yöneticileri ve uygulama geliştiricilerini olumsuz yönde etkileyecek kadar
hızlı şekilde büyük yönetimsel zorluğa dönüşebilir. Birleştirilmiş kimlik , bir grup bağlantılı kuruluştan kullanıcıların aynı kullanıcı doğrulama yöntemini çeşitli
uygulamalar ve kaynaklarla paylaşmasına olanak tanıyan bir çözümdür. Bunu , kullanıcıların çevrimiçi kimliklerini birden çok alan ve ağ arasında bağlayarak
yapar. Birleştirilmiş kimlik , kuruluşlar için birçok yaygın erişim ve güvenlik sorununu çözer. Kuruluşlar , MFA ve çoklu oturum açma ( SSO ) gibi güvenlik
araçlarını kullanarak kullanıcı erişimini yönetebilir ve uygulamalara kolay erişim sağlayabilir. Birleşik erişime örnek verecek olursak ; kullanıcıların her
seferinde oturum açmak zorunda kalmadan ortak web sitelerine , Active Directory'ye ve web uygulamalarına erişmesini sağlayan bir kuruluştur.

Sağlam IAM çözümü şu yeteneklere sahip olmalıdır ; Bağlamsal kimlik doğrulaması eklemek için gelişebilecek oturum açma , MFA ve dijital sertifikalar
aracılığıyla kimlik oluşturma. MFA'nın yanı sıra FIDO , UAF ve U2F için hem donanım hem de yazılım belirteci seçeneklerini destekleme. Ayrıcalıklı erişimde
kullanım için kimlik doğrulama kaynağından rol tabanlı bilgiler sağlama. Rol tabanlı en az ayrıcalık erişim ilkeleri oluşturma ve uygulama. Kullanıcı
uyumluluğunu ve benimsemeyi iyileştirmeye yardımcı olmak için SSO desteğiyle ek güvenlik sağlama. Bulut tabanlı hizmet olarak yazılım ( SaaS )
uygulamalarına erişim için kullanıcıların kimliğini doğrulamak için Güvenlik Onayı İşaretleme Dili'nden ( SAML ) yararlanma. Cihazlar ve kullanıcılar için her
bir uygulama için oturum bazında sıfır güven ağ erişimi ( ZTNA ) bağlantılarını doğrulama.

Rol Tabanlı En Az Ayrıcalık Erişimini Zorlama ; Yalnızca birkaç yüz kullanıcı için bireysel kullanıcı hesabı izinlerini yönetmek göz korkutucu zorluk olabilir.
Binlerce kullanıcısı olan bir işletmede bunu yönetmek imkansız olabilir. Rol tabanlı erişim denetimi ( RBAC ) , BT yöneticilerinin , gruplara veya rollere izin
kümeleri atayarak kullanıcılara atanan izinleri daha verimli yönetmesini sağlar. Bu şekilde , örneğin tüm departmandaki kullanıcılara , hassas finansal
uygulamaya veya ağ dosya paylaşımına hızlı şekilde erişim atanabilir. Kullanıcılar farklı iş rolleri arasında geçiş yaptıklarından , yöneticiler eski rolle ilişkili
izinleri kolayca iptal edebilir ve yeni rolle ilişkili izinleri atayabilir. Active Directory , RBAC yönetiminde sıklıkla önemli bir rol oynar. Ancak , RBAC iki ucu keskin
bir kılıç olabilir. Roller açıkça tanımlanmalı ve yalnızca o rol için gerekli işlevleri yerine getirmek için gereken minimum izinlere atanmalıdır. En az ayrıcalık
ilkesidir. Roller çok geniş şekilde tanımlanırsa , herkesin ihtiyaçlarını karşılamak amacıyla büyük kullanıcı gruplarına aşırı izinler atanabilir. Yetersiz tanımlanmış
roller kolayca yanlış anlaşılabilir ve bu da kullanıcıların rollere uygun olmayan şekilde atanmasına neden olabilir.
İptal edildiklerinden ve uygun şekilde atandıklarından ve rollerle ilişkili izinlerin kuruluş veya BT altyapısındaki değişiklikleri yansıttığından emin olmak için
roller aktif olarak yönetilmelidir. Rollerin veya izinlerin iptal edilmemesi , kuruluş içinde " izin kaymasına " neden olarak büyük kullanıcı grupları için aşırı
izinlere neden olabilir.

Ayrıcalıklı Erişimi Yönetme ; Kendileriyle ilişkili ayrıcalıklı erişim izinlerine sahip hesaplar , saldırganlar için özellikle değerli hedeflerdir. Bu hesaplar tipik olarak
ağdaki kritik sistemlere ve kaynaklara , ayrıca gizli veya hassas verilere erişime sahiptir. Ayrıcalıklı erişim , kullanıcının yazılım veya kötü amaçlı yazılım yükleme
, kritik sistem dosyalarını veya verilerini değiştirme veya silme , yeni hesaplar oluşturma , kullanıcı parolalarını sıfırlama gibi sistemlerde , uygulamalarda ve
ağ , güvenlik altyapısında yönetimsel değişiklikler yapmasına olanak tanır. Etki alanı yöneticileri , yerel yöneticiler , acil durum " cam kırma " hesapları , süper
kullanıcı ve ayrıcalıklı iş kullanıcıları gibi insanlar tarafından kullanılan hesaplara veya rollere ayrıcalıklı erişim izinleri atanabilir. Uygulama ve hizmet hesapları
gibi insanlar tarafından kullanılmayan hesaplara da ayrıcalıklı erişim izinleri atanabilir.

Ayrıcalıklı erişim yönetimi ( PAM ) , IAM'nin bir alt kümesidir. IAM , bir kuruluşun tüm kullanıcılarının kimliğini doğrulamak ve yetkilendirmek için kullanılırken
, PAM özellikle yüksek ayrıcalıklara yani ayrıcalıklı erişim sahip yönetici , kullanıcı hesaplarını yönetmeye ve güvenceye almaya odaklanır.

Bir firmayı incelediğimizde ortaya çıkan ağda , FortiGate yeni nesil güvenlik duvarlarını ( NGFW ) , FortiSwitch ve FortiAP kablosuz erişim noktalarına ihtiyaç
duyabilir. FortiClient , FortiAuthenticator ve FortiToken , bağlı her kullanıcının ve cihazın güçlü şekilde kimliğinin doğrulanmasını ve sıfır güven erişim
gereksinimlerini karşılamasını sağlamak için eklenebilir. FortiClient , entegre yazılım envanter modülüyle , firmalar da uç noktada kurulu yazılımlara daha
fazla görünürlük sağlayabilir. Lisansları yönetmeye ek olarak , yazılım envanteri güvenlik durumunu iyileştirebilir. Yüklü yazılımlar iş amaçları için gerekli
olmadığında , gereksiz yere potansiyel güvenlik açıkları ortaya çıkarır ve bu nedenle uzlaşma olasılığını artırır.

Sıfır güven ile incelemeler ile birlikte ; merkezi güvenlik politikası izleme ve kontrolü yoluyla temel hizmetlerin güvenliğini , güvenilirliğini ve verimliliğini
artırabiliriz. Devam eden BT ve operasyonel Teknoloji ( OT ) entegrasyonunun temellerini atabiliriz. Şirketin dijital dönüşümü için ihtiyaç duyulan merkezi
görünürlük , kontrol ve otomasyonu sağlayabiliriz.

Ortaya çıkan ağ altyapısı sayesinde daha güvenilir ve daha verimli gelecek inşa etmek için sağlam temellere sahip olabiliriz..

Sıfır Güven için EDR'den Yararlanma ; Masaüstü ve dizüstü bilgisayarlar , sunucular , Nesnelerin İnterneti ( IoT ) cihazları ve daha fazlasını içeren uç noktalar
, kurumsal BT ortamındaki en büyük tek saldırı vektörünü oluşturur. Saldırganlar uç noktaları hedefler çünkü uç nokta güvenliği genelde veri merkezindeki
güvenlikten daha az sağlamdır ve uç noktadaki günlük güvenlik kararları son kullanıcıya bırakılır.

Uç nokta algılama ve müdahalenin ( EDR ) , olayları manuel olarak araştırmak için basit bir araçtan son derece otomatikleştirilmiş algılama ve düzeltme uç
noktası çözümüne evrildiğini ve EDR'nin etkili sıfır güven stratejisi için önemli bir konum da olduğunu bilmeliyiz.

Uç Nokta Tespiti ve Yanıtının Evrimi ; Uç nokta koruması geleneksel olarak kötü amaçlı yazılımların ve bilinen diğer tehditlerin masaüstü veya dizüstü
bilgisayara bulaşmasını önlemeye odaklanmıştır. Neredeyse bu cihazlar var olduğu sürece , kullanıcılara virüsten koruma yazılımı çalıştırmaları ve güncel
tutmaları tavsiye edilmiştir. Yıllar içinde , virüsten koruma yazılımı , solucanlar , truva atları , casus yazılımlar , rootkit'ler , açıklardan yararlanmalar , kötü
amaçlı komut dosyaları ve daha fazlası dahil olmak üzere diğer kötü amaçlı yazılım türlerini geniş ölçüde kapsayacak şekilde kötü amaçlı yazılımdan koruma
yazılımına veya Uç Nokta Koruma Platformlarına ( EPP ) dönüşmüştür. Kötü amaçlı yazılımdan koruma araçları piyasaya sürüldüklerinden bu yana büyük
ölçüde iyileşmiş , hem bilinen hem de bilinmeyen tehditlerin PC'ye bulaşmasını önlemek için makine öğrenimi ve davranışsal analitikten giderek daha fazla
yararlansa da , önleme her zaman mümkün değildir. Önleme başarısız olduğunda , uç nokta algılama ve yanıt ( EDR ) , güvenlik ekiplerinin uç noktalardaki ve
ağdaki tehditleri algılaması , bunlara yanıt vermesi için araçlar sağlar. Erken EDR çözümleri , hızlı tempolu ve dinamik tehdit ortamında çalışmak için çok yavaş
ve karmaşıktır. Bu birinci nesil EDR çözümleri , son derece yetenekli güvenlik ekiplerinin uç nokta telemetrisinde belirli tehlike göstergelerini ( IoC ) aramak
için manuel sorgular çalıştırmasını , ardından manuel olarak triyaj yapmasını ve tespit edilen tehditlere yanıt vermesini gerektirir. Günümüzde çoğu kuruluş
, EDR araçlarını etkin şekilde çalıştırmak için gerekli vasıflı kaynaklara sahip değildir.

Yıllar içinde , birinci nesil EDR çözümleri , bazı işlevlerin eklenmesiyle gelişmiştir ;

» Tehdit istihbaratı ; Tehdit istihbaratı akışlarından uç nokta telemetrisinin IoC'lere otomatik korelasyonu , tehditleri tespit etmek için manuel sorgulara olan
ihtiyacı azaltır.

» Saldırı görselleştirme ; Tehditler , güvenlik analistlerinin devam eden bir saldırının veya halihazırda gerçekleşmiş bir saldırının daha eksiksiz resmini elde
etmesine yardımcı olmak için haritalandırılabilir.

» Otomatik düzeltme ; Temel yanıt yetenekleri tipik olarak belirli IP adreslerini ve işlemlerini engelleme , uç noktaları ağdan ayırma ve uç noktayı ek veriler
için sorgulama yeteneğini içerir.

» Tehdit avcılığı ; Gelişmiş arama yetenekleri ve adli verilere erişim , ağ ortamında proaktif tehdit avcılığı sağlar.

İkinci nesil EDR çözümleri , kuruluşlara uç noktaları ve ağ ortamları hakkında daha fazla görünürlük , önleme araçlarıyla ( kötü amaçlı yazılımdan koruma gibi
) sıkı entegrasyon ve özelleştirilebilir oyun kitapları kullanarak politika tabanlı otomatik risk azaltma sunar. Bir çalışma kitabı eyleminin örneği , belirli giden
saldırı iletişimlerini engellemek , fidye yazılımından kaynaklanan herhangi bir sistem hasarını otomatik olarak geri almak , kötü niyetli dosya sistemine erişimi
engellemek olabilir. Bu yetenekler , tehditlerin ve saldırıların gerçek zamanlı olarak hızlı şekilde tespit edilmesini ve otomatik olarak düzeltilmesini , eksiksiz
adli soruşturma analizini sağlar.

EDR ve Sıfır Güven ; EDR , sıfır güven stratejisinin önemli bir bileşenidir ve kuruluşların sıfır güvenin " asla güvenme , her zaman doğrula " güvenlik duruşunu
uç noktalarına kadar genişletmesini sağlar. EDR , bir kuruluşa , ağına bağlı uç noktalardan veri toplamak , düzenlemek ve analiz etmek için merkezi araç sağlar.
EDR , uyarıları koordine edebilir ve yakın tehditlere karşı yanıtları otomatikleştirebilir. Üç unsurun dahil edilmesini içerir ;

» Uç nokta veri toplama aracıları uç noktaları izler ve veri toplar. Bu süreçler , uç noktada meydana gelen aktivite , uç noktaya bağlantılar , uç noktaya ve uç
noktadan aktarılan veriler hakkındaki verileri içerir.

» Otomatik olay yanıtı , tehditleri belirlemek ve ardından otomatik yanıtı tetiklemek için özel ilke tabanlı kurallar kullanır. Otomatik yanıt , her ikisini de
tanıyabilir. Tehdit ve ne tür bir tehdit olduğunu belirleyiniz. Ardından , uç noktanın kullanıcısının oturumunun kapatılacağına dair bir uyarı göndermek , bunu
yapmak ve uç noktayı izole etmek gibi bir yanıt gerçekleştirebilir.

» Uç nokta verilerinin gerçek zamanlı analizi , önceden yapılandırılmış tehdit parametreleriyle mutlaka eşleşmeseler bile EDR'nin tehditleri hızlı şekilde teşhis
etmesini sağlar. Analiz tehdidin doğasını incelemek ve saldırının kontrol altına alındıktan , ortadan kaldırıldıktan sonra nasıl yürütüldüğünü belirlemek için
adli araçları kullanır.
EDR'nin bu üç unsuru , uç noktanızdaki ve ağ ortamınızdaki tehditlerin tespit edilmesini , kapsanmasını , araştırılmasını ve ortadan kaldırılmasını sağlamak
için etkili sıfır güven stratejisinin parçası olarak birlikte çalışır.

Tespit etme ; Bir tehdit , uç noktalarınızdaki önleyici kontrollerden kaçtığında ve ağ ortamınızı ihlal ettiğinde , hasarı en aza indirmek için hızlı algılama çok
önemlidir. Özellikle uç nokta koruma araçlarınızdan zaten kaçan gelişmiş bir tehditle uğraşırken , algılama son derece zor olabilir. EDR , tehditleri hızla tespit
etmek için sürekli dosya analizi ve siber tehdit istihbaratı kullanır. EDR , uç nokta ile etkileşime giren her dosyayı inceler ve tehdit oluşturabilecek dosyaları
işaretleyebilir. Siber tehdit istihbaratı , uç noktalarınızı hedefleyen tehditleri tespit etmek için yapay zeka ( AI ) , geçmiş ve şu anda gelişen tehdit verilerinin
büyük havuzlarının bir kombinasyonundan yararlanır.

Sınırlama ; Bir tehdit algılandığında , EDR , tehdidin ağ genelinde yayılmasını önlemek için segmentasyon kullanarak onu içerir. Tehdidin bitişik ağ öğelerine
sızmaması için ağın belirli alanlarının izole edilmesini içerir. Ancak bu yeterli olmayabilir. Bu nedenle de segmentasyona ek olarak , etkili EDR çözümü tehdidin
kendisini de içerir. Fidye yazılımı söz konusu olduğunda sınırlama özellikle önemlidir. Fidye yazılımı , uç nokta rehinesini etkin şekilde tutabildiğinden , diğer
uç noktalara bulaşmasını önlemek için kapsanması gerekir.

Dosya testi ; Korumalı alan , EDR'nin tehdidin yapısını anlamak amacıyla ağınızın bir bölümündeki koşulları simüle etmek üzere tasarlanmış ortam içinde bir
tehdidi içermesine olanak tanır. Tehdit bu güvenli ve izole alanla sınırlandırıldığında , EDR tehdidin davranışını yakından izleyerek analiz eder. Bu bilgiler ,
kuruluşun genel güvenlik duruşunu iyileştirmek için kullanılabilecek yararlı , eyleme geçirilebilir içgörüler üretebilir , gelecekteki tehditleri ele alacak şekilde
gelişmesine yardımcı olmak için siber tehdit istihbarat sistemine iletilebilir.

Eliminasyon ; EDR'nin diğer yönleri tehdit hakkında kritik bilgiler sağlarken , bu bilgiler gelecekte onu ve benzeri tehditleri ortadan kaldırmak için kullanılmazsa
yararsızdır. Eleme süreci , tehdit hakkında kritik bilgilerin toplanmasına ve ardından eylem planının yürütülmesi için kullanılmasına bağlıdır. Sistem tehdidin
nereden geldiğini ve nereye gittiğini bulmak zorundadır. Tehdidin kaynağı hakkındaki bilgiler , gelecekteki güvenlik önlemlerini geliştirmek için kullanılabilir.
Sistemin , kötü amaçlı dosyanın etkilediği veya saldırmaya çalıştığı uygulamaları , verileri , saldırıya devam etmek için dosyanın kendini kopyalayıp
çoğaltmadığını belirlemesi gerekir.

Cihaz Güvenliğine Sıfır Güven Getirme ; Uç noktalar , siber suçluların daha değerli ağ kaynaklarına erişmesi için tercih edilen bir ilk saldırı vektörüdür.

Cihazları Keşfetme ve Tanımlama ; Ağda kimin olduğunu bilmeye ek olarak , kuruluşların ağda hangi cihazların olduğunu bilmeleri gerekir. Bu cihazlar şunları
içerir ; Ağa bağlı ofis ekipmanları ( yazıcılar gibi ) . Perakende sistemleri ( satış noktası sistemleri ) . Operasyonel teknoloji ( OT ) . Nesnelerin İnterneti ( IoT )
sensörleri ve cihazları .

Tüm bu cihazları yönetmede ki zorluk , bunların geniş çaplı dağıtımında , değişen cihaz yönetimi seviyelerinde , tutarsız konfigürasyon kontrollerinde ve
birçok eski cihazda standart iletişim protokolleri için destek eksikliğinde yatmaktadır. Ağa bağlanan cihazların çoğalması , kuruluşların koruması için katlanarak
daha büyük saldırı yüzeyi yarattığından ve her uç nokta cihazının esasen mikro çevre oluşturduğundan , geleneksel ağ çevresi neredeyse tamamen ortadan
kalkmıştır. Bu cihaz patlamasının ve genişleyen saldırı yüzeyinin sonucu , birçok kuruluşun ağlarına hangi cihazların bağlandığından artık emin olmadıkları için
görünürlüğünü ve kontrolünü kaybetmesidir. Ve her mikroperimetre ayrı cihazla ilişkilendirildiğinden , bu uç noktalar kötü amaçlı yazılım bulaşmaları ve
karmaşık istismarlar için ana hedef haline gelmiştir. IoT cihazlarına yönelik saldırılar artıyor ve başarılı IoT saldırısının ölçeği ve etkisi yıkıcı olabilir. Uç nokta
saldırı yüzeyindeki en büyük büyüme alanı , IoT cihaz patlamasından kaynaklanmaktadır. Kuruluşlar ağlarına giderek daha fazla akıllı cihaz bağladıkça , IoT
cihazlarına yönelik siber saldırılar artmaktadır. Saldırganlar , dağıtılmış hizmet reddi ( DDoS ) saldırıları ve diğer kötü niyetli faaliyetler yürütmek için bu
cihazları kullanır. Uç noktaların güvenliğini sağlamak için kuruluşlar , her bir cihazın nerede olduğu , ne yaptığı ve ağ topolojisindeki diğer cihazlara nasıl
bağlandığı konusunda tam görünürlüğe sahip olmalıdır. Görünürlük eksikliği , bir kuruluşu görünmeyen risklere karşı savunmasız bırakarak birçok kuruluşun
IoT cihazlarına yönelik saldırılarla başa çıkmak için stratejisi yoktur. Güvenlik ekipleri , ağın uçlarındaki tüm cihazları keşfedebilmeli ve tanımlayabilmelidir.
Geleneksel ağ segmentasyonu bazı kuruluşlar tarafından kullanılır fakat tüm yetkili kullanıcılar ve uygulamalar tarafından aynı anda erişilebilen ve diğerlerinin
tamamı tarafından tamamen erişilemeyen güvenli ağ tabanlı segmentleri tanımlamak zordur. İlkeye dayalı bölümleme , sıfır güvenli bir ağda en az ayrıcalık
sağlamak için otomatik olarak uyarlanabilen daha dinamik ve ayrıntılı ağ bölümlendirme stratejisine olanak tanır.

Uç Nokta Görünürlüğünün ve Kontrolün Sağlanması ; Ağ erişim denetimi ( NAC ) çözümleri , kuruluşların ağdaki uç noktaların ve cihazların çoğalmasıyla ilişkili
sürekli genişleyen saldırı yüzeyine ayak uydurmasına yardımcı olur. NAC çözümleri , uygulama ve dinamik politika kontrolü için ağ ortamına görünürlük sağlar.
Cihazlar ister ağın içinden ister dışından bağlanıyor olsun , NAC çözümleri güvenliği ihlal edilmiş cihazlara veya anormal faaliyetlere otomatik olarak yanıt
verebilir. NAC çözümleriyle kuruluşlar şunları yapabilir ; Güvenlik açıkları için tüm cihazları keşfedin , tanımlayın , profilleyin ve tarayın. Devam eden ağ
kontrolünü kurun ve sağlayın. Ağ erişimini sınırlayan politikalar oluşturun ve uygulayın. Otomatik yanıt ve ağ düzenlemesini sürdürün.

Bir NAC çözümü , ağ erişimi istediğinde her cihazı otomatik olarak tanımlayabilir ve profil oluşturabilir , cihazı güvenlik açıkları için tarayabilir. Cihazdan ödün
verme riskini en aza indirmek için NAC işlemleri birkaç saniye içinde tamamlanmalıdır. Trafik taramasına dayanan NAC çözümleri , cihazların tanımlama
sırasında ağa bağlanmasına izin verir. Ancak , trafik tarama işlemi yarım saat kadar sürebilir ve bu süre zarfında ağın güvenliği ihlal edilmiş bir cihaz veya uç
nokta tarafından ihlal edilebilir. Bir NAC çözümünün merkezi bir konumdan dağıtılması kolay olmalı ve kablolu ve kablosuz ağlar arasında tutarlı çalışma
sunmalıdır.

Otomatik Yanıt ve Ağ Orkestrasyonunun Sağlanması ; Siber suçlular , saldırılarının kapsamını ve ölçeğini hızlandırmak , genişletmek için kapsamlı
otomasyondan yararlanır. Ağın görünürlüğü potansiyel tehditlerin tespit edilmesine yardımcı olsa da , yavaş manuel iş akışları nedeniyle bu tehditlere verilen
yanıt parçalı ve etkisiz olabilir. Gelişmiş güvenlik süreçlerinin avantajı olmadan , güvenlik ekipleri genelde dezavantajlı şekilde çalışır ve bu da bir kuruluşun
riskini artırır.

Cihaz Güvenliğine Sıfır Güven Getirme ; Saldırılar daha karmaşıktır ve güvenlik analistleri , farklı satıcılardan çok fazla nokta ürünüyle giderek daha karmaşık
ve parçalanmış güvenlik altyapılarıyla karşı karşıya kalmaktadır. Sürekli değişen bir ağın güvenliğinin temeli , yapısını anlamaktır. Göremediğiniz şeyi
koruyamazsınız. Etkili NAC platformu , her uç noktanın ve ağ altyapısı cihazının keşfedilmesini sağlayan , dinamik ağ erişim kontrolünün uygulanması için
bağlamsal farkındalık sağlayan ve otomatikleştirilmiş tehdit yanıtı yoluyla bir siber ihlali içerme yeteneği sağlayan ilke tabanlı güvenlik otomasyonu ve
düzenlemesi sağlar.

VPN'i Sıfır Güvenle Yeniden Tasarlamak ; Sanal özel ağlar ( VPN ) yaygın hale gelse de , birçok kuruluş artık giderek daha uzak ve mobil iş gücünü güvenli
şekilde bağlamak için daha iyi çözümler arıyor.

VPN'e veda etmek ; VPN'ler uzun zamandır şirket ağlarına uzaktan erişim için fiili yöntem olmuştur fakat özellikle güvenlik açısından bazı ciddi sorunları
vardır. Küresel pandeminin gerektirdiği son zamanlarda uzaktan çalışmanın yaygınlaşması , geleneksel VPN'lerin sınırlamalarına yeniden odaklandı.

Uzak çalışanlarını ve ev ofislerini güvence altına almak için geleneksel VPN'e güvenen kuruluşlar için birçok dezavantaj bulunmaktadır ;
» VPN'ler , güvenlik için eski ve etkisiz çevre tabanlı yaklaşımı kullanır. Kullanıcılar VPN istemcisi ile şirket ağına bağlandıklarında , genelde ağdaki tüm
kaynaklara geniş erişime sahip olurlar. Bu büyük ölçüde sınırsız erişim , kurumsal ağın geri kalanını , uç noktayı saldırı vektörü olarak kullanan tehditlere
maruz bırakır. Bölünmüş tünelleme etkinleştirilirse , bir kullanıcı şirket ağına bağlıyken şirket güvenlik duvarından geçmeden internette gezinebilir.
Kullanıcıların , halihazırda güvenliği ihlal edilmiş olabilecek kişisel cihazlara VPN istemcisi yüklemelerine izin verilirse , şirket ağında veri ihlali , fidye yazılımı
saldırısı veya kötü amaçlı yazılım bulaşması riski katlanarak artar.

» VPN'lerin sağladıkları trafik hakkında hiçbir görünürlüğü yoktur. VPN'ler , otellerden , kafelerden veya evden çalışırken şirket ağına şifreli tünel üzerinden
bağlanmak için kullanılır. Bu tünel , siber suçluların oturumu gözetlemesini engellerken , güvenlik kontrollerinin trafiği denetlemesini de engeller. Çoğu ev
ofisleri ve halka açık erişim noktaları , büyük ölçüde güvenli olmayan ağlara bağlı olduğundan , siber suçluların sosyal mühendislik taktiklerini ve kötü amaçlı
yazılımları kullanarak istismar etmesi için nispeten kolay bir hedeftir.

» VPN'ler , günümüzün yüksek oranda dağıtılmış ağ kaynakları için tasarlanmamıştır. Uygulamalar ve veriler artık kurumsal veri merkezlerine , çoklu bulut
ortamlarındadır. Çoğu VPN çözümü , bu karmaşıklık düzeyini yönetmek için tasarlanmamıştır. VPN bağlantısı , bant genişliği açısından yoğun olan ve
gecikmeye neden olan inceleme için şirket ağındaki tüm trafiği geri çeker. Bölünmüş tünelleme bu verimsizliği çözebilir fakat kendi zorluklarını yaratır.

Günümüz İşletmeleri için Güvenli Uzak Bağlantı Oluşturma ; ZTNA , geleneksel VPN'lerden daha iyi uzaktan erişim çözümü sunarak uygulama erişim
sorunlarını da giderir. ZTNA , konumun güven sağlamadığı öncüyle başlar ; Bir kullanıcının veya cihazın fiziksel olarak nerede bulunduğu önemsizdir. Herhangi
bir kullanıcı kötü niyetli davranışlarda bulunabilir ve herhangi bir cihazın güvenliği ihlal edilebilir. ZTNA bu gerçeğe dayanmaktadır. ZTNA , yalnızca bir kullanıcı
veya cihazın kimliği doğrulandıktan sonra oturum bazında bireysel uygulamalara ve iş akışlarına erişim izni verir. Kullanıcılar , erişim izni verilmeden önce
uygulamaya erişmelerine izin verildiğinden emin olmak için doğrulanır ve kimlikleri doğrulanır. Uygulamaya her erişildiğinde , cihazın uygulama erişim ilkesini
karşıladığından emin olmak için her cihaz kontrol edilir. Yetkilendirme , kullanıcı rolü , cihaz türü , cihaz uyumluluğu , konum , zaman ve bir cihazın veya
kullanıcının ağa veya kaynağa nasıl bağlandığı dahil olmak üzere çeşitli bağlamsal bilgileri kullanır. ZTNA ile kullanıcı ve cihaz , çok faktörlü kimlik doğrulama
( MFA ) ve uç nokta doğrulamasının kombinasyonu kullanılarak doğru şekilde doğrulandıktan sonra , ağa güvenli şekilde bağlanabilir ve istenen kaynaklara
en az ayrıcalık erişimi verilebilir. En az ayrıcalık ilkesi , kullanıcının ve cihazın yalnızca yetkili bir görevi veya işlevi gerçekleştirmek için gereken uygulamalara
veya kaynaklara erişebileceği ve başka hiçbir şeye erişemeyeceği anlamına gelir. Erişim kontrolü erişim noktasında bitmez. ZTNA , politikaların uygulamaları
ve diğer işlemleri uçtan uca takip etmesine izin veren ağda bir yer sağlamak yerine kimlik açısından çalışır. ZTNA , daha yüksek erişim kontrolü seviyeleri
oluşturarak son kullanıcılar için daha verimli bir çözümdür ve ihtiyaç duyulan her yerde politika yaptırımı sağlar. ZTNA kimlik doğrulama işlemi , geleneksel
VPN'den farklı olarak kimlik doğrulama noktaları sağlasa da , bu kimlik doğrulamanın nasıl gerçekleşeceğini belirtmez. Yeni veya farklı kimlik doğrulama
çözümleri uygulandıkça , bunlar sorunsuz şekilde ZTNA stratejisine eklenebilir.

Günümüzde ZTNA'yı uygulamak için iki temel yaklaşım bulunmaktadır ;

» İstemci tarafından başlatılan ZTNA ; Bazen uç nokta tarafından başlatılan ZTNA olarak adlandırılan istemci tarafından başlatılan ZTNA modeli , başlangıçta
yazılım tanımlı çevre olarak biliniyordu ve Cloud Security Alliance ( CSA ) mimarisine dayanıyor. Bu yaklaşım , güvenli tünel oluşturmak için bir cihaza yüklenen
aracı kullanır. Bir kullanıcı bir uygulamaya erişmek istediğinde , aracı kullanıcının kimliği , cihaz konumu , ağı ve kullanılan uygulama gibi bilgileri toplayarak
genel güvenlik durumunu değerlendirmek için risk profili oluşturur. Daha sonra proksi bağlantısı üzerinden uygulamaya geri bağlanarak risk profili kuruluşun
politika gereksinimlerini karşılıyorsa , kullanıcı ve cihaza oturum için uygulamaya erişim izni verilir. Uygulamalar şirket içinde veya bulut tabanlı uygulamalar
olabilir. İstemci tarafından başlatılan modeli kullanmak zor olabilir çünkü merkezi yönetim çözümü dağıtım ve yapılandırmayı koordine edemezse , ajanları
cihazlarda yönetmek BT için sorun haline gelebilir. Yönetilmeyen aygıtların ağ erişim denetleyicisi ( NAC ) gibi başka yollarla ele alınması gerekir.

» Hizmet tarafından başlatılan ZTNA ; Hizmet tarafından başlatılan ZTNA modeli , bazen uygulama tarafından başlatılan ZTNA olarak da adlandırılan ters
proksi mimarisi kullanır. BeyondCorp modeline dayalı olarak , müşteri tarafından başlatılan ZTNA'dan en büyük farkı , uç nokta aracısı gerektirmemesidir.
Güvenli tünel oluşturmak ve cihaz değerlendirmesini , duruş kontrolünü gerçekleştirmek için tarayıcı eklentisi kullanır. Önemli dezavantaj ise bulut tabanlı
uygulamalarla sınırlı olmasıdır. Uygulamanın protokollerinin Köprü Metni Aktarım Protokolü ( HTTP ) / Güvenli Köprü Metni Aktarım Protokolü'nü ( HTTPS )
temel alması gerektiğinden , HTTP üzerinden Güvenli Kabuk ( SSH ) veya Uzak Masaüstü Protokolü ( RDP ) gibi web uygulamalarına , protokollere yaklaşımı
sınırlar. Birkaç yeni satıcı ek protokol desteği sunsa da , model bulut ve şirket içi uygulamaların hibrit kombinasyonuna sahip şirketler için uygun değildir.

Kuruluşlar , mevcut altyapılarıyla entegre olan ZTNA çözümlerini seçmeye özen göstermelidir. Eksiksiz ZTNA çözümü oluşturmak , çeşitli bileşenler
gerektirmektedir ; istemci , proksi , kimlik doğrulama ve güvenlik. Genelde bu çözümler farklı satıcılar tarafından sağlanarak bileşenler farklı işletim
sistemlerinde çalışabilir ve yönetim ile yapılandırma için farklı konsollar kullanabilir. Bu nedenle satıcılar arasında sıfır güven modeli oluşturmak zor veya
imkansız olabilir.

Sıfır Güven Ağ Erişiminin Avantajlarını Görme ; Güvenliğe sıfır güven yaklaşımının benimsenmesi , birçok sisteme dokunan ve bazı kuruluşların tam olarak
uygulaması yıllar alabilen süreçtir. Ancak uzaktan erişimi ele almak , sıfır güven güvenlik modelini uygulamaya yönelik iilk adımdır. ZTNA çözümleri , geleneksel
VPN'lere göre birçok avantaj sunar ; Kuruluşlar sıfır güven modelini ağın ötesine taşıyabilir. Ağ katmanında çalışan VPN'den farklı olarak ZTNA , taşıma
katmanına odaklanarak ağdan bağımsız olarak etkin şekilde uygulama güvenliği sağlar. ZTNA , arka planda şeffaf şekilde çalışarak kullanıcı deneyimini
geliştirir. Kullanıcılar için ZTNA'yı yönetmek VPN'den daha kolaydır. Kullanıcıların artık VPN'yi ne zaman kullanacaklarını hatırlamaları veya bağlantı
sürecinden geçmeleri gerekmiyor. Birisi VPN istemcisinin bağlantısını kesmeyi unuttuğu için tünellerin kazara açık kalma riski de yoktur. ZTNA ile kullanıcı
uygulamayı başlatarak uygulama ister şirket içinde ister bulutta olsun , anında güvenli bağlantı kurar. Bu şifreli tünel , talep üzerine ve arka planda oluşturulur
ve kullanıcı için tamamen şeffaftır. Kurumsal ağ artık örtülü güven bölgesi olmadığından , kullanıcı ağda veya ağ dışında olsa da aynı tünel oluşturulur. Bir
uygulamaya veya kaynağa erişim verilmeden önce kullanıcılar ve cihazlar doğrulanır. Bu işlem , uygulamaya bağlanmanın güvenli olduğunu doğrulamak için
uç noktanın doğru bellenimi ve uç nokta koruma yazılımını çalıştırdığını doğrulayan güvenlik durumu denetimi içerir. Doğrulama , bir kullanıcı şirket içi veya
buluttaki kaynaklara erişiyor olsun , aynı erişim ilkesini kullanarak oturum başına ayrıntılıdır. Aynı politika , kimliği doğrulayan kullanıcının ve cihazın profiline
göre bu uygulamaya kimlerin erişebileceğini de kontrol eder. ZTNA , uygulama erişimine odaklandığından , kullanıcının hangi ağda olduğu önemli değildir.
ZTNA , kullanıcı nerede olursa olsun , uygulamalara otomatik olarak güvenli bağlantılar oluşturur. Her uygulama oturumu için ZTNA , hem kullanıcının hem
de cihazın güvenlik durumunu doğrular ( kullanıcılar ofisteyken bile ) . ZTNA , iş açısından kritik uygulamaları internetten gizleyerek saldırı yüzeyini azaltır.
Uygulama tarafında , kullanıcı zorlama noktasına geri bağlandığı ve ardından bu bağlantıyı uygulamaya proksi uyguladığı için uygulama internetten gizlenirken
şirket içinde veya bulutta var olabilir. Uygulamanın sadece yaptırım noktalarıyla bağlantı kurması ve bu noktaları siber suçlulardan koruması gerekir.

Daha fazla kuruluş , geleneksel VPN'lerden uzaklaşma ihtiyacını kabul etmektedir. ZTNA , kullanımı daha kolay ve daha iyi uygulama güvenliği sağlayan daha
iyi bir çözüm olduğunu kanıtlamaktadır.

Ağ Dışı Sıfır Güven Denetimini Genişletme ; Günümüz ağlarında bir kullanıcı , cihaz veyahut uygulama , herhangi bir yerden bağlanıyor olabilir ve bu da
güvenlik paradigmasını değiştirir. Konum odaklı eski , çevre tabanlı güvenlik modeli ; Kullanıcı nereden bağlanıyor? Uygulama nerede barındırılıyor? Sunucu
nereye kurulur ?
Yeni Hibrit İş Gücünün Güvenliğini Sağlama ; İşletmeler yıllardır mobil ve uzaktan çalışma senaryolarını giderek daha fazla etkinleştiriyor olsa da , küresel
salgın birçok şirketi iş gücünün çoğu için neredeyse bir gecede uzaktan çalışmaya geçmeye zorlamıştır. Kuruluşlar , çalışanlarını ofise geri getirmeye başlasalar
bile , ofis ortamını yeniden düşünmek ve yeni gerçeklik için planlama yapmak zorunda kalmaktadırlar. Evden uzaktan veya hibrit çalışmayı ( WFH ) veya
herhangi bir yerden çalışmayı ( WFA ) kalıcı olarak desteklemek bir gerçekliktir. Uzaktan ve hibrit çalışma modellerinin bu hızlı benimsenmesi , dijital saldırı
yüzeyi genişledikçe ve daha fazla uygulama , cihaz , veri ve kullanıcı açığa çıktıkça korunması gereken cihaz ve konumların sayısında artışa neden olmuştur.
Bu geniş çapta dağılmış ortamlardaki trafik akışını anlamak ve kontrol etmek çok önemlidir. WFH / WFA , hem bağlantı hem de güvenlik gerektirir.
Çalışanlarınızın iş işlevlerini yerine getirmesi için ihtiyaç duyduğu uygulamalar , şirket içi veri merkezinde , özel bulutta veya genel bulutta barındırılabilir. Bu
nedenle kullanıcı tanımlama , kimlik doğrulama , yetkilendirme ve erişim izinleri kritik öneme sahiptir.

Genel bulutta , uygulamalar hizmet olarak yazılım ( SaaS ) teklifi olarak barındırılabilir veya hizmet olarak platform ( PaaS ) veya hizmet olarak altyapı ( IaaS )
iş yükü olarak çalışıyor olabilir. WFH / WFA'yı güvenli şekilde uygulamak için daha fazla kuruluş sıfır güven erişimine ( ZTA ) bakıyor. ZTA , kimlik güvencesi
sağlayan ağlara kullanıcı ve cihaz erişimini sınırlar. Sıfır güven ağ erişimi ( ZTNA ) daha sonra kullanıcı ve cihaz erişimini sadece kullanıcıların işlerini yapmak
için ihtiyaç duyduğu uygulamalarla sınırlar. ZTA ve ZTNA'yı birleştirmek , şirketin güvenlik duruşunu güçlendirir.

WFH/WFA'ya giden perspektiften bakıldığında , güvenli erişim hizmeti kenarı ( SASE ) çözümleri , ağ üzerindeki herhangi bir yerde , herhangi bir cihazda
herhangi bir kullanıcıyı güvence altına alarak , çalışan ortamlar genelinde çalışanlar , müşteriler ve ortaklar için güvenli erişim sağlar. SASE'nin önemli bir
bileşeni olan bulut erişim güvenlik aracısı ( CASB ) , kullanıcılarınız ( uzak çalışanlar ) ile bulut uygulamaları arasında yer alır ve etkinliği izlemek ile güvenlik
ilkelerini uygulamak için kullanılabilir. SASE , günümüzün hibrit kuruluşlarının dinamik , güvenli erişim ihtiyaçlarını desteklemek için ağ ve güvenlik işlevlerini
yazılım tanımlı geniş alan ağı ( SD-WAN ) yetenekleriyle birleştiren , bulut üzerinden sağlanan bir hizmettir. Kavramsal olarak , SASE , ağ oluşturma ve güvenlik
yeteneklerini tipik olarak mevcut oldukları yerlerin ötesine taşıyarak bu da kullanıcıların konumlarından bağımsız olarak ZTNA , CASB , hizmet olarak güvenlik
duvarı ( FwaaS ) , güvenli web ağ geçidi ( SWG ) avantajlarından yararlanmasına olanak tanır.

Uygulama Erişimini ve Güvenliğini Geliştirme ; Sıfır güven modelinde , uygulama erişimi oturum bazında kontrol edilerek ister uzaktan ister şirket ağından
bağlansınlar , her kullanıcı ve cihaz doğrulanmalıdır. Uygulama erişimi , yalnızca kullanıcının atanan iş işlevlerini yerine getirmesi için gerekli olan
uygulamaların kullanılabilir olması için bireyin rolüyle eşleştirilmelidir. Uygulamanın şirket içi veri merkezinde mi yoksa bulut ortamında mı çalıştığından
bağımsız olarak sıfır güven uygulanır.

Sıfır güven uygulama erişimi ve güvenlik çözümleri ; Her uygulama oturumu için kullanıcıları ve cihazları doğrulayın. Politikaya dayalı olarak uygulamalara
kullanıcı erişimini kontrol edin. Kullanıcı nerede bulunursa bulunsun uygulama erişim politikasını uygula. Kullanıcı ve ZTNA proksi noktası arasında güvenli ,
otomatik bağlantı oluşturun. Fiziksel güvenlik duvarları , sanal cihazlar ve Güvenli ile çalışın. Service Edge ( SASE ) platformlarına erişin.

Güvenlik Hizmetlerini Uç Noktalara , Ağlara ve Buluta Sunma ; Dijital dönüşüm girişimleri ve işgücü hareketliliği eğilimleri ( WFH / WFA dahil ) , kurumsal
saldırı yüzeyini değiştirip genişleterek , hem ağ içindeki hem de dışındaki tehdit aktörleri tarafından istismar edilebilecek yeni saldırı vektörleri açmıştır.
Kapsamlı sıfır güven güvenlik stratejisi , sağlam kurumsal güvenlik hizmetlerini uç noktalara , kurumsal ağlara ve özel ile genel bulutlara genişletmelidir.
Büyüyen saldırı yüzeyinin ana nedenlerinden biri de ağa erişen IoT ve akıllı cihazların yaygınlaşmasıdır. Güvenlik ekipleri , genelde ağlarına erişen cihaz seline
ilişkin görünürlükten yoksundur. Sıfır güven yaklaşımı ; kuruluşların , ağa erişen bilinmeyen IoT uç noktalarını ve cihazları tanımlamasına , güvenliğini
sağlamasına olanak tanır. Entegre uç nokta görünürlüğü , ayrıntılı kontrol , gelişmiş koruma ve ilke ile bağlam tabanlı uç nokta değerlendirme yetenekleri ,
kuruluşların güvenliği ihlal edilmiş cihazlara karşı korunmasını sağlamak için ZTA çözümünde birlikte çalışır. Kuruluşlar , ağlarına bağlanan tüm cihazları
tanımlayan , bölümlere ayıran ve sürekli izleyen ZTNA çerçevesi uygulayarak , dahili kaynakların güvende kalmasını ve verilerin , uygulamaların ve fikri
mülkiyetin korunduğundan emin olmak için yüksek riskli , düz ağlarını değiştirebilir. Bu strateji sadece geleneksel çevre tabanlı güvenlikle ilişkili riskleri
azaltmakla kalmaz , aynı zamanda genel ağ ve güvenlik yönetimini basitleştirirken ağ dışı cihazların görünürlüğünü ve kontrolünü de artırır. Saldırılar daha
karmaşık ve gelişmiş hale geldikçe , güvenliğe yönelik geleneksel çevre tabanlı yaklaşım artık yeterli olmamaktadır. Tehdidin doğasına ve karmaşıklığına bağlı
olarak , bir kuruluşun güvenlik altyapısındaki tek bir nokta , tehdidin tüm yönleriyle ilgili görünürlüğe sahip değildir. ZTA , ağınıza bağlanan kullanıcıların ve
cihazların kimliğini onaylayarak işlevi veya işi gerçekleştirmek için gereken minimum erişim izinlerine sahip olmalarını sağlar.

Kuruluşlar , gelişen dijital dönüşüm gereksinimlerini desteklemek için hibrit ve çoklu bulut ortamlarına giderek daha fazla güveniyor. Uygulamalar şirket
içinden şubeye , veri merkezine ve buluta kadar her yerde bulunabilir. Ve artık WFH / WFA çağının eşiğinde olduğundan , kuruluşlar ağ uçlarını hem şirket
içinde hem de bulutta nasıl güvence altına alacaklarını yeniden düşünüyorlar.

Sıfır Güven Yolculuğunda On Adım ; Kuruluşunuz için sıfır güven stratejisi uygulamak , varış noktası değil , bir yolculuktur.

Varlıklarınızı ve İş Süreci Kritikliğini Değerlendirin ; Ağınızdaki her varlığı ve kaynağı aynı düzeyde koruyamazsınız. Öncelikle iş süreçleriniz için hangi varlıkların
ve kaynakların en kritik olduğunu belirleyerek çabalarınızı öncelik sırasına koymak önemlidir. Nereden başlayacağınızı belirledikten sonra , önce en kritik
kaynaklarınızı ve değerli varlıklarınızı korumak için ZTA stratejinizi uygulamaya başlayabilirsiniz. İş süreçlerinizin ve bağlı oldukları sistem ile uygulamaların
kritikliği , ek güvenlik politikası kontrolleri , hizmet seviyesi sözleşmeleri ( SLA ) , operasyonel seviye sözleşmeleri ( OLA ) , kurtarma süresi hedefleri gibi diğer
önemli kararları yönlendirecektir. RTO ve iş sürekliliği , olağanüstü durum kurtarma için kurtarma noktası hedefleri ( RPO ) .

Ağınızdaki Kullanıcıları / Varlıkları ve Rolleri Tanımlama ; Ağınızdaki her kullanıcıyı ve varlığı belirlemek , etkili ZTA stratejisi oluşturmak için çok önemlidir.
Kimlik belirlendikten sonra , erişim politikaları bir kullanıcının kuruluştaki rolüne göre belirlenir. En az ayrıcalıklı erişim ilkesi , yalnızca belirli bir rolü veya işi
gerçekleştirmek için gerekli olan kaynaklara erişim vermek için kullanılır. Ek kaynaklara erişim yalnızca gerektiğinde sağlanır. Rol tabanlı erişim denetimi (
RBAC ) , erişim yönetiminin kritik bir bileşenidir. RBAC ile kullanıcıların kimliğini doğrulama ve yetkilendirme yeteneği , ortakları , tedarikçileri ve yüklenicileri
de dahil olmak üzere tüm kuruluşa fayda sağlayan sağlam bir ağ güvenliği duruşu sağlar.

Ağınızdaki Cihazları Tanımlama ; Sıfır güven stratejisini benimsemenin sonraki adımı ise ağınızdaki tüm cihazları keşfetmek ve tanımlamaktır. Son kullanıcının
telefonu veya dizüstü bilgisayarı , sanal sunucu , ağ yazıcısı , Nesnelerin İnterneti ( IoT ) cihazı veya güvenlik rozeti okuyucusu olabilir. Uygulamaların ve
cihazların çoğalması , yönetilmesi ve korunması gereken milyarlarca kenar oluşturarak geleneksel ağ çevresini genişletmektedir Ağ erişim denetimi ( NAC )
araçları , ağınızdaki cihazlara görünürlük sağlar.

Kuruluşunuz Tarafından Kullanılan Uygulamaları Tanımlama ; Uygulamalar , iş operasyonlarının ve süreçlerinin merkezinde yer alır. Bugün bu uygulamalar ,
yalnızca veri merkezinizdeki uç noktalara veya sunuculara yüklenenleri içermiyor. Uygulama ortamı artık hizmet olarak yazılım ( SaaS ) tekliflerinden ve özel
ile genel bulutlarda barındırılan uygulama iş yüklerinden oluşmaktadır.

Ağınızda ve Varlıklarınızda Kontrol Bölgeleri Oluşturma ; Ağ segmentasyonu , ağın belirli alanlarındaki trafiği sınırlamak ve ağ içinde ek güvenlik kontrolleri
sağlamak için uzun süredir kullanılmaktadır. Belki de en eski örnek , birçok kuruluşun internet ve şirket ağı arasında halka açık web uygulamaları için
oluşturduğu askerden arındırılmış bölgedir ( DMZ ) . Dahili segmentasyon güvenlik duvarları , ağ içinde görünürlük ve kontrol sağlayarak trafiği tarama ,
koruma ve engelleme yeteneği sağlar.
Varlıklarınıza Rol Tabanlı Erişim Kontrolleri Uygulama ; Rol tabanlı erişim kontrolleri ( RBAC ) , kuruluş içindeki işlerine veya rollerine bağlı olarak , kullanıcı
gruplarının belirli bir varlığa verdiği izinleri verimli şekilde yönetmek için kullanılır. Kuruluşlar genelde grup üyeliklerinin uygun şekilde sürdürülmesini ve
doğru olmasını sağlamaya odaklanır. RBAC'ın önemli bir yönü olmasına rağmen , madalyonun sadece bir yüzüdür. Bir role atanan izinlerin aşırı olmamasının
sağlanması da aynı derecede önemlidir. Kapsam , rolün gerektirdiği belirli kaynakla sınırlandırılmalı ve yalnızca bu rol içinde bir işlevi gerçekleştirmek için
gerekli izinler verilmelidir ( yani en az ayrıcalık erişimi ) .

Ağınızdaki Cihazların Nerede İletişim Kurabileceğini Kontrol Etme ; Sıfır güven güvenlik yaklaşımı , en az ayrıcalıklı erişim ilkesinin uygulanmasına yardımcı
olan , bireysel kaynaklar etrafında ayrıntılı güven bölgeleri oluşturmak için mikro segmentasyon kullanır. Kullanıcılara ve varlıklara sadece belirli bir rolü veya
işi gerçekleştirmek için ihtiyaç duyulan kaynaklara erişim izni verilir. Mikro segmentasyon , kullanıcıların ve saldırganların ağ üzerinde serbestçe dolaşmasını
engeller. Mikro segmentasyon , trafik segmentasyonuna dinamik , ilke tabanlı öğe ekleyerek normal ağ segmentasyonundan çok daha ayrıntılı kontrol sağlar.

Çalışanlar Ağın Dışında Olduğunda Cihazların Kontrolünü Genişletme ; Gelişmiş işyeri mobilitesi ve evden çalışma ( WFH ) ve her yerden çalışma ( WFA ) dahil
olmak üzere uzaktan çalışmaya artan vurgu , uç nokta görünürlüğü , kontrol , tarama , yama ve web filtreleme dahil uç nokta güvenliğine olan ilginin artmasına
neden olmuştur. Sıfır güven stratejisi ile kuruluşlar , uç nokta görünürlüğünü geliştirerek ağ dışı cihazları koruma zorluğunun üstesinden gelebilir. Güvenlik
açığı taraması , sağlam yama politikaları ve web filtreleme , sıfır güven stratejisinin kritik unsurlarıdır. Sıfır güven yaklaşımı , ağa bağlı kaynaklara güvenli
uzaktan erişim sağlayabilir. Güvenlik ekiplerinin ağdaki veya ağ dışındaki her varlığı görmesine , kontrol etmesine ve korumasına olanak tanır. VPN'nin ötesine
geçen ZTNA , geleneksel ZTA ağ erişimini uygulama başına kullanıma genişleterek yöneticiler sadece ağda kimin olduğunu değil , aynı zamanda hangi
uygulamaları kullandıklarını da bilir , işlemler ve kullanım sürekli olarak izlenir ve denetlenir.

Uygulama Erişim Denetimini Uygula ; Etkili ZTA stratejisi , hiçbir kullanıcı veya cihazın doğası gereği güvenilir olmadığı varsayımına dayalı olarak hem ağ
bağlantısını hem de uygulama erişimini ele alır. Önce kullanıcının ve cihazın erişim yetkisi olduğu doğrulanmadan hiçbir işlem için güven verilmez.

Kullanıcıları ve Cihazları Sürekli Olarak Doğrulama ; ZTA , ağa bağlı kullanıcıların ve cihazların sürekli kimlik doğrulamasını ve izlenmesini gerektirir. Ağda
başarılı şekilde oturum açmak , kullanıcıya veya cihaza ağınızdaki kaynaklara sınırsız erişim izni vermez. Kısıtlı bölgelerdeki belirli hassas kaynaklara erişmek
için daha fazla kimlik doğrulama gerekebilir ve kullanıcı oturumlarının süresi de sınırlandırılmalıdır. Oturum sırasında cihaz durumu değişirse ve risk durumu
kabul edilemez hale gelirse , oturumların çalınmamasını ve uygun kontrollerin uygulanabilmesini sağlar.