Gelişen teknoloji, teknoloji kullanıcıları için olumlu sonuçlar getirdiği kadar olumsuz sonuçlar da getiriyor. Bu olumsuz sonuçlar, genellikle kullanıcı güvenliği kısmında ortaya çıkıyorlar. Bundan dolayı teknoloji kullanıcıları için çeşitli güvenlik sistemleri geliştirilmeye devam ediliyor. Bu sistemlerden birisi de Zero Trust Security oldu. Son zamanlarda oldukça popülerleşmeye başlayan Zero Trust Security, özellikle kurumsal yerlerin ilgisini çekiyor diyebiliriz. Ancak bu kavrama tam olarak hakim olmayan kişiler, Zero Trust Security nedir diye merak ediyorlar.
Bizler de bu yazımızda sizler için Zero Trust Security kavramına açıklık getirmeye çalışacağız. Bu kavramın tam olarak nasıl bir güvenlik sistemini ifade ettiğini açıklayacağız. Bunun yanı sıra bu güvenlik sisteminin, diğer popüler güvenlik sistemleriyle farklarına değineceğiz.
Konunun detaylarına girmeden önce Zero Trust Security kavramına yakından bakmak daha doğru olacaktır. Şimdi gelin Zero Trust Security nedir birlikte daha yakından inceleyelim.
İçindekiler
Zero Trust Security Nedir?
Günümüzde sanal korsanlar, gelişen teknolojiyi kullanarak çeşitli siber saldırı yöntemleri geliştirdiler. Bunun sonucunda teknoloji kullanıcıları, kişisel verileri başta olmak üzere verilerini ve cihazlarını koruyabilmek adına güvenlik sistemleri geliştirme ihtiyaçları hissediyorlar. Bu sistemlerden birisi de Zero Trust Security olarak karşımıza çıkıyor. Fakat belirttiğimiz gibi bu sistem, son zamanlarda popülerleşmeye başladı. Bundan dolayı birçok teknoloji kullanıcısı, Zero Trust Security nedir diye merak ediyor.
Son zamanlarda popülerleşmeye başlayan bu güvenlik yöntemi, “Sıfır Güven Güvenliği” anlamına gelmektedir. Bilindiği üzere günümüzde gerçekleştirilen siber saldırıların birçoğu, internet ağları üzerinden gerçekleştiriliyorlar. Bundan dolayı güvenlik sistemleri de daha çok bu alanda koruma sağlamayı hedefliyorlar.
Ancak siber korsanlar, bir şekilde cihazların veya internet ağlarının açığını buluyorlar. Bunun sonucunda korsanlar, teknoloji kullanıcılarına zarar vermeyi başarıyorlar. Zero Trust Security de bu durumu en aza indirebilmek için çabalıyor diyebiliriz. Bu kapsamda sistem izin verilen ağlarda olunsa bile herkesten yüksek güvenlikli kimlik doğrulaması istiyor. Yani sistem, ağ içerisinde olunsa bile verilere ulaşmak isteyen herkesten doğrulama yapılmasını talep ediyor.
Güvenlik sistemi, erişim izni isteyenleri sadece giriş aşamasında denetlemekle kalmıyor. Sistem, izin sürecinden sonra da erişim izni olan kişilerin hareketlerini takip ediyor. Zero Trust Security, özellikle kurumsal ağlarda veri sızıntısını en aza indirebilmek adına geliştirilen çok katı ilkeleri olan bir güvenlik sistemi diyebiliriz.
Belirttiğimiz gibi sistem, çok katı kurallar çerçevesinde işliyor. Bundan dolayı günümüzde bireysel teknoloji kullanıcıları, bu güvenlik yöntemini kullanmaya pek ihtiyaç duymuyorlar. Ancak verileri çok değerli olan şirketler, günümüzde sistemlerinde Zero Trust Security’i kullanmayı tercih etmeye başladılar.
Sistemin katı bir güvenlik işleyişinin olması, kurumsal yerlerde aynı ağ içerisinde gerçekleşen veri sızıntılarını bile engellemeyi hedefliyor. Bundan dolayı her geçen gün popülerleşen Zero Trust Security, önümüzdeki günlerde adından söz ettirmeye devam edecek desek yanlış olmayacaktır.
Peki Zero Trust Security, nasıl işliyor? Bu sistemi, bu kadar güvenli yapan ilkeler neler? Gelin şimdi hep birlikte sistemin nasıl çalıştığına bakalım.
Zero Trust Security Sistemi Nasıl İşliyor?
Zero Trust Security, aslında adından da anlaşılacağı üzere hiçbir cihaza, kişiye güvenmemeyi temsil ediyor. Bundan dolayı bu güvenlik sistemi, erişim izni isteyen kişilerin her adımını takip ediyor diyebiliriz. Sistem, korunan alanda tam anlamda kontrol sağlayabilmek için katı güvenlik ilkelerine sahip.
Bu kaynaklardan ilki ağ içinden de olsa dışından da olsa kimseye güvenilmemesi gerektiği ilkesi oluyor. Bu ilke kapsamında sistem, hem ağ içinden hem de ağ dışından korunan verilere erişmek isteyen kişilere doğrulama yapıyor. Bu doğrulama, veri erişimi isteyen cihazın kimliği ve cihazın güvenliği üzerinden gerçekleştiriliyor.
Bir diğer ilke sürekli denetle ilkesi olarak karşımıza çıkıyor. Belirttiğimiz gibi sistem, ilk erişim izni kapsamında belirli bir doğrulama işlemi gerçekleştiriyor. Ancak sistemin gerçekleştirdiği doğrulama ve kontroller bununla sınırlı kalmıyor. Sistem, erişim izni kapsamında yapılan önemli işlemler esnasında da doğrulama işlemleri gerçekleştiriyor. Bunun sebebi Zero Trust Security’nin tek seferlik doğrulama ile çalışan güvenlik sistemlerine karşı geliştirilmiş olması diyebiliriz.
Zero Trust Security, kendisi gibi son zamanların en popüler güvenlik yöntemlerinden birisi olan çok faktörlü doğrulama sistemiyle de iç içe çalışmaktadır. Belirttiğimiz gibi doğrulama işlemi, bu güvenlik sisteminin temelini oluşturuyor. Bundan dolayı sistem, en etkili doğrulama yöntemlerini kullanmayı hedefliyor. Tabii ki etkili doğrulama yöntemlerinden bahsettiğimiz bir alanda çok faktörlü doğrulama günümüzde olmazsa olmaz bir sistemdir.
Son olarak bu güvenlik sistemi, erişim izni verilen kişilerin izin verilen veri veya hizmete minimum düzeyde erişim sağlayabilmesini hedeflemektedir. Yani sistem, erişim izni verdiği kişilere korunan veri veya hizmetin kapısını tamamen açmıyor. Kişiler, izin alsalar bile korunan veri veya hizmete belirli bir oranda erişim sağlayabiliyorlar. Daha fazla erişimin yolu da tabii ki daha fazla doğrulamadan geçiyor.
Kısacası Zero Trust Security, yoğun doğrulama sistemleri üzerine çalışan bir güvenlik sistemi olarak ön plana çıkıyor diyebiliriz. Bunun yanı sıra sistem, her ne kadar doğrulamalar sonucunda korunan veri ve hizmetlere erişim izni veriyor gibi gözükse de aslında izin alan kişiler, korunan alanın belirli bir alanına erişebiliyorlar.
Zero Trust Security Neden Popülerleşmeye Başladı?
Günümüzde veriler, birçok mal ve hizmetten daha değerli konuma gelmeye başladılar. Bundan dolayı bireyler ve şirketler, ilk olarak verilerini korumayı hedefliyorlar. Özellikle kurumsal şirketler, işleyişlerine aksaklık yaşamamak için veri güvenliklerine büyük önem veriyorlar. Ancak eski güvenlik yöntemleri, her ne kadar yüksek güvenlik düzeyinde çalıştıklarını belirtseler de günümüz için yetersiz kalmaya başlıyorlar.
Bu noktada Zero Trust Security, özellikle kurumsal şirketler için çok ilgi çekici oluyor. İlk olarak sistem, belirttiğimiz gibi yoğun bir doğrulama sistemi üzerinden çalışıyor. Yani tek bir kimlik doğrulaması, korunan veri veya hizmete erişmek için yeterli olmuyor. Bu da tabii ki şirketler için ilgi çekici geliyor.
Bunun yanı sıra sistem, korunan veri ve hizmetlerde minimum sızıntı yaşanabilmesi adına erişim izni verilen kişilerin veri veya hizmetlere tamamen erişmelerini engelliyor. Erişim izni alan kişilerin daha çok veri veya hizmet bilgisine erişebilmeleri için daha çok doğrulama yapmaları gerekiyor. Bu da korunan veri ve hizmetlerin gizlilik düzeylerini artırıyor.
Aynı zamanda doğrulama sayısının çok fazla olması, ağa veya cihazlara sonradan sızan kişilerin kolaylıkla tespit edilmesini sağlıyor. Bu sayede güvenlik sistemi, sızıntı olan cihaz veya ağları belirli bir karantina uygulamasına tabii tutuyor.
Son olarak Zero Trust Security kullanıcıları, bu güvenlik sistemiyle koruyacakları veri veya hizmetleri kendileri belirleyebiliyorlar. Yani bir verinin sadece belirli bir kısmını korumak istiyorsanız bunu Zero Trust Security ile sağlamanız oldukça kolay oluyor.
Sistemin hem bütünsel hem de belirli alan üzerinden güvenlik sağlaması, özellikle kurumsal şirketler için oldukça cazip geliyor. Bundan dolayı günümüzde birçok şirket, eski güvenlik sistemleri yerine Zero Trust Security ile veri ve hizmet güvenliklerini sağlamayı tercih ediyorlar. Bu şirketlerin başında teknoloji devi Google geliyor. Sistemin sunduğu imkanlar, önümüzdeki süreçte birçok şirketin daha bu güvenlik sisteminden faydalanmasını sağlayacaktır diyebiliriz.
Zero Trust Security Gerçekten Üst Düzey Güvenlik Sağlıyor mu?
İnsanların veri ve cihazlarını koruma isteği, kötü niyetli kişilerin bu durumu art niyetli kullanmalarına sebep oluyor. Bundan dolayı geliştirilen her güvenlik sistemi, maksimum güvenlik sloganı ile kullanıcılarına hizmet veriyor. Bu durum, Zero Trust Security nedir sorusunun cevabını öğrenen kişilerin akıllarında normal olarak bu sistem gerçekten üst düzey güvenlik sağlıyor mu sorusunu oluşturuyor.
Bu noktada güvenlik uzmanları, oldukça tepkililer. Çünkü Zero Trust Security kavramının yaygınlaşması, güvenlik hizmeti sağlayan kişilerin bu kavramı kötü niyetli kullanmaya başlamalarına sebep oldu. Bu kişiler, kavram arkasına sığınarak hizmet vermeye çalışıyorlar. Bundan dolayı neredeyse her güvenlik şirketi, sağladıkları hizmette Zero Trust Security kapsamında hizmet verdiklerini belirtiyor.
Ancak belirttiğimiz gibi Zero Trust Security sisteminin belirli ilkeleri mevcut. Bundan dolayı bu güvenlik sistemini benimsediğini belirten şirketlerin, ilk olarak bu ilkelere uygun hareket etmeleri gerekiyor. Zaten bu sistemin bu kadar güvenilir olmasını da aslında bu ilkeler sağlıyor diyebiliriz. Bundan dolayı başta “ağda onaylanan cihazlara bile güvenme” ilkesinin uygulanması gerekiyor.
Daha sonra korunan veri veya hizmetin tek parça halinde korunmaması gerekiyor. Yani erişim izni alan kişiler, tek izinle tüm veri veya hizmete erişememeli. Son olarak denetleme ilkesi çok iyi uygulanmalı. Tek bir erişim izni, sisteme erişim için yeterli olmamalı. Erişim izni verilen kişiler, süreç boyunca çeşitli doğrulama yöntemlerine tabii tutulmalılar.
Sistem için kalıplaşan güvenlik ilkelerine uygun davranan şirketler, güvenlik konusunda günümüz şartları için oldukça iyi durumdalar diyebiliriz. Bunun yanı sıra belirttiğimiz gibi bu kavram arkasına saklanarak aslında Zero Trust Security ilkelerine uymayarak hareket eden şirketler de mevcut.
Bu noktada güvenlik sistemlerinizi bir güvenlik şirketine bıraktıysanız şirketin Zero Trust Security ilkelerine uygun olarak davranıp davranmadığından emin olmanız gerekiyor. Eğer kendi BT ekibiniz ile Zero Trust Security ile veri ve hizmetlerinizi korumayı hedefliyorsanız aynı şekilde ilkelere bağlı kalmanız gerekiyor.
Zero Trust Security Nedir: Genel Değerlendirme
Zero Trust Security, günümüzde hızla yaygınlaşmaya devam eden modern bir güvenlik sistemi olarak karşımıza çıkmaktadır. Sistem, temel olarak kendi ağında bağlı olan cihazlara bile güvenme ilkesiyle çalışmaktadır. Bunun yanı sıra sistem, üst düzey güvenlik için başka ilkelere de sahiptir.
Bu ilkeler, temel olarak erişim izni için izin isteyen kişilerin çeşitli doğrulamalardan geçmelerini sağlamaktadır. Bunun yanı sıra sistem, korunan veri veya hizmetleri bölerek korumayı tercih ediyor. Yani erişim iznine sahip olan kişiler, tüm veri veya hizmetlere erişemiyorlar. Sistem, daha çok erişim izni için daha çok doğrulama yapmayı tercih ediyor. Bu sayede korunan veri veya hizmetlerin gizliliği üst düzeyde sağlanmış oluyor.
Bunun yanı sıra doğrulama sayısının çok olması, sızıntı ihtimalini en aza düşürüyor. Çünkü eski güvenlik sistemleri genellikle tek doğrulama üzerinden çalışıyorlar. Bunun sonucunda erişim izni alan cihazlarda daha sonrasında sızıntı yaşanması, veri ve hizmetlerin gizliliğini tehlikeye atıyor. Zero Trust Security, bunun önüne geçebilmek adına erişim izni isteyen kişilere belirli aralıklarla doğrulama yapmayı tercih ediyor.
Sistem, sunduğu üst düzey koruma seviyesi ile özellikle kurumsal şirketlere hitap ediyor diyebiliriz. Bundan dolayı günümüzde bu sistemi kullanmayı tercih eden şirketlerin sayısı hızla artmaya devam ediyor. Veri ve hizmet güvenliğinin oldukça önem kazandığı bu süreçte bu sistemi kullanmayı tercih eden şirket sayısı da artmaya devam edecektir. Bu yüzden önümüzdeki günlerde Zero Trust Security, kendisinden daha çok söz ettirecektir.
Sizler için hazırlamış olduğumuz Zero Trust Security rehberimiz burada sona eriyor. Bu rehberimizde temel olarak Zero Trust Security nedir sorusuna cevap vermeye çalıştık. Bunun yanı sıra bu sistemin nasıl çalıştığına ve sunduğu avantajların neler olduğuna da değindik.
Sizler de Zero Trust Security hakkındaki soru ve düşüncelerinizi aşağıdaki yorum bölümünden bizlerle paylaşabilirsiniz.
