Zephyrnet Logosu

Üretken Veri Zekası

Siber güvenlik

NSA'nın Sıfır Güven Yönergeleri Segmentasyona Odaklanıyor

Plato tarafından yeniden yayınlandı
Plato tarafından yeniden yayınlandı

Tarih:

Görüntüleme: 139

ABD Ulusal Güvenlik Ajansı (NSA), şu yönergeleri yayınladı: sıfır güven ağ güvenliği bu hafta sıfır güvenin benimsenmesine yönelik daha somut bir yol haritası sunuyoruz. Kavramın arzu edilmesi ile uygulanması arasındaki boşluğu doldurmaya çalışmak önemli bir çabadır.

İşletmeler daha fazla iş yükünü buluta kaydırdıkça, sıfır güven bilgi işlem stratejileri, çok popüler bir aşamadan, temel bir güvenlik yaklaşımı statüsünün keyfini çıkarmaya doğru ilerledi. Ama yine de “” kavramıdoğrulanana kadar güvenilmez" gerçek dünyada anlaşılması hala yavaştır (her ne kadar Birleşik Arap Emirlikleri gibi bazı bölgelerde,Sıfır güvenin benimsenmesi hızlanıyor).

John Kindervag, “Sıfır güven” terimini ilk tanımlayan kişi  2010 yılında Forrester Research'te analist olarak görev yaptığı sırada, NSA'nın hamlesini memnuniyetle karşılamış ve şuna dikkat çekmişti: "Çok az kuruluş sıfır güven ortamları oluşturmada ağ güvenliği kontrollerinin önemini anlamıştır ve bu belge, kuruluşların kendi ağ güvenliklerini anlamalarına yardımcı olmak için uzun bir yol kat etmektedir." değer."

Ayrıca, geçen yıl Illumio'ya baş müjdecisi olarak katılan ve tanıtımını yapmaya devam ettiği Kindervag, "Dünya çapındaki çeşitli kuruluşların ağ güvenliği kontrollerinin değerini daha kolay anlamalarına ve sıfır güven ortamlarının inşa edilmesini ve faaliyete geçirilmesini kolaylaştırmasına büyük ölçüde yardımcı olacak" diyor. sıfır güven kavramı.

Ağ Segmentasyonunda Sıfır Güven Merkezleri

NSA belgesi, temel olarak, düşmanların ağda dolaşmasını ve kritik sistemlere erişmesini engellemek için ağ trafiğini bölümlere ayırmak da dahil olmak üzere sıfır güvene ilişkin en iyi uygulamalara ilişkin birçok öneri içeriyor.

Konsept yeni değil: BT departmanları onlarca yıldır kurumsal ağ altyapılarını bölümlere ayırıyor ve Kindervag, "gelecekteki tüm ağların varsayılan olarak bölümlere ayrılması gerektiğini" söylediği orijinal Forrester raporundan bu yana ağ bölümlendirmesini savunuyor.

Ancak Forrester Research'ten Carlos Rivera ve Heath Mullins'in kendi makalelerinde söylediği gibi geçen sonbahara ait rapor, “Etkili bir sıfır güven mimarisi için gereken tüm yetenekleri tek bir çözüm sağlayamaz. İşletmelerin geleneksel çevre tabanlı ağ savunmasının sınırları içinde yaşadığı ve faaliyet gösterdiği günler geride kaldı."

Bulut çağında, Sıfır güven katlanarak daha karmaşık hale geliyor bir zamanlar olduğundan daha başarılı olmak. Belki de Akamai'deki ankete katılanların üçte birinden azının nedeni budur. 2023 Segmentasyon Durumu raporu Geçtiğimiz sonbahardan bu yana geçen yıl ikiden fazla kritik iş alanına bölündük.

NSA, sıkıntının bir kısmını hafifletmek için, veri akışlarının haritalanması ve anlaşılması ve uygulanması da dahil olmak üzere ağ bölümlendirme kontrollerinin bir dizi adımla nasıl gerçekleştirilebileceğini anlatıyor. yazılım tanımlı ağ (SDN). Bir iş ağının hangi bölümlerinin risk altında olduğunu ve bunların en iyi şekilde nasıl korunacağını anlamak için her adım önemli ölçüde zaman ve çaba gerektirecektir.

Akamai Kurumsal Güvenlik Grubu saha CTO'su Garrett Weber, "Sıfır güven konusunda akılda tutulması gereken önemli şey, bunun bir yolculuk olduğu ve metodik bir yaklaşım kullanılarak uygulanması gereken bir şey olduğudur" diye uyarıyor.

Weber ayrıca segmentasyon stratejilerinde de bir değişiklik olduğunu belirtiyor. "Yakın zamana kadar segmentasyonu dağıtmak yalnızca donanımla gerçekleştirilemeyecek kadar zordu" diyor. "Artık yazılım tabanlı segmentasyona geçişle birlikte kuruluşların segmentasyon hedeflerine çok daha kolay ve daha verimli bir şekilde ulaşabildiğini görüyoruz."

Ağ Mikro Segmentasyonuyla Daha İleriye Gitmek

NSA belgesi ayrıca makro ve mikro ağ segmentasyonu arasında da ayrım yapıyor. İlki, departmanlar veya çalışma grupları arasında hareket eden trafiği kontrol eder; böylece bir BT çalışanının, örneğin insan kaynakları sunucularına ve verilerine erişimi olmaz.

Mikro bölümleme, trafiği daha da ayırır, böylece açıkça gerekmedikçe tüm çalışanlar aynı veri erişim haklarına sahip olmaz. Akamai raporuna göre "Bu, saldırı yüzeyini daha da azaltmak ve bir ihlal meydana gelmesi durumunda etkiyi sınırlamak için kullanıcıları, uygulamaları veya iş akışlarını ayrı ağ bölümlerine ayırmayı içeriyor."

Güvenlik yöneticileri “saldırganların kontrolleri atlayamayacağından emin olmak için uygulamalarına odaklanmak amacıyla mikro segmentasyonu kullanma yönünde adımlar atmalıdır. Tek oturum açma erişimini alt üst etme, yandan yüklenen hesapları kullanmak veya verileri harici kullanıcılara sunmanın yollarını bulmak," diyor AppOmni'nin CTO'su ve kurucu ortağı Brian Soby.

Bu, Akamai'nin raporunda da belirtildiği gibi, güvenlik kontrollerinin her bir iş akışı için neyin gerekli olduğuna göre tanımlanmasına yardımcı olur. Yazarlar, "Segmentasyon iyidir, ancak mikro segmentasyon daha iyidir" dedi.

Karmaşık bir çaba olabilir, ancak meyve suyu sıkılmaya değer: Akamai'nin raporunda araştırmacılar "azmin işe yaradığını" buldu. Segmentasyonun, kritik varlıklarının çoğunu segmentlere ayırmış olanlar için savunma üzerinde dönüştürücü bir etkisi olduğu kanıtlandı; bu da onların fidye yazılımlarını tek bir varlık segmentasyonuna sahip olanlara göre 11 saat daha hızlı azaltmalarına ve kontrol altına almalarına olanak sağladı."

Kindervag hâlâ sıfır güveni savunuyor. Çekiciliğinin ve uzun ömürlülüğünün bir kısmı, anlaşılması kolay bir kavram olmasından kaynaklanmaktadır: İnsanlar ve uç noktalar, yetkili olduklarını kanıtlamadıkça hizmetlere, uygulamalara, verilere, bulutlara veya dosyalara erişemezler ve o zaman bile erişim sağlarlar. yalnızca ihtiyaç duyulan süre boyunca verilir.

Güven, insani bir duygudur dedi. "Bunu ilk önerdiğimde insanlar bunu anlamadılar ama mesele risk almak ve güvenliğinizdeki açıkları kapatmaktan ziyade tehlikeyi yönetmekle ilgili."

spot_img

En Son İstihbarat

spot_img

Telif Hakkı @ 2024 Plato Technologies Inc.