İçeriğe atla

Zero trust

Zero Trust güvenlik modeli, Zero Trust mimarisi (ZTA), Zero Trust ağ erişimi (ZTNA) ve çevresiz güvenlik olarak da bilinir. BT sistemlerinin strateji, tasarım ve uygulanmasına yönelik bir yaklaşımı tanımlar. Zero Trust güvenlik modelinin ana konsepti "asla güvenme, her zaman doğrula" ilkesine dayanır. Bu, kullanıcıların ve cihazların, kurumsal bir LAN gibi izin verilmiş bir ağa bağlı ve daha önce doğrulanmış olsalar bile varsayılan olarak güvenilmemesi gerektiği anlamına gelir.[1][2]

Zero Trust Mimarisinin Uygulanması

ZTA, güçlü kimlik doğrulama, erişim izni vermeden önce cihaz uyumluluğunu doğrulama ve yalnızca açıkça yetkilendirilmiş kaynaklara en az ayrıcalıklı erişimi sağlamayı içerir. Çoğu modern kurumsal ağ, birçok birbiriyle bağlantılı alan, bulut hizmetleri ve altyapı, uzaktan ve mobil ortamlara bağlantılar ve IoT cihazları gibi geleneksel olmayan BT bağlantılarını içerir.[3]

Zero Trust'ın gerekçesi, geleneksel yaklaşımın (varsayımsal "kurumsal çevre" içindeki kullanıcılara ve cihazlara veya VPN aracılığıyla bağlanan kullanıcılara ve cihazlara güvenmenin), bir kurumsal ağın karmaşık ortamında yetersiz kalmasıdır. Zero Trust yaklaşımı, kullanıcıların ve cihazların kimlik ve bütünlüğünü konumdan bağımsız olarak kontrol etmeyi ve kullanıcı kimliği, cihaz sağlığı ve kullanıcı kimlik doğrulaması kombinasyonuna dayalı olarak uygulamalara ve hizmetlere erişim sağlar. Zero Trust mimarisi, tedarik zincirleri gibi belirli alanlarda kullanım için öne çıkmıştır.[4]

Zero Trust ilkeleri, veri erişimi ve veri yönetimine uygulanabilir. Bu, her veri erişim isteğinin dinamik olarak kimlik doğrulamasını gerektiren ve kaynaklara en az ayrıcalıklı erişimi sağlayan Zero Trust veri güvenliğini getirir. Erişim izni verilip verilmeyeceğini belirlemek için, Öznitelik Tabanlı Erişim Denetimi (ABAC) kullanarak verinin niteliklerine, kullanıcının kim olduğuna ve çevrenin türüne dayalı politikalar uygulanabilir.[5]

Tarihçe

2001'de, OSSTMM'nin (Açık Kaynak Güvenlik Testi Metodolojisi Kılavuzu) ilk sürümü yayınlandı. Bu sürüm güvene odaklanan unsurlar içeriyordu. 2007 civarında çıkan 3. sürüm ise güvenin bir zafiyet olduğunu belirten ve OSSTMM 10 kontrollerinin güven seviyelerine göre nasıl uygulanacağını anlatan bir bölüm içeriyordu.[6]

2003'te, Jericho Forum, bir kuruluşun BT sistemlerinin çevresini tanımlamanın zorluklarını vurguladı ve bu yıl, "çevresizleşme" adı verilen trendi tartıştı.

2009 boyunca süren bir Çin APT saldırısı olan Aurora Operasyonu'na yanıt olarak, Google, BeyondCorp adı verilen bir Zero Trust mimarisi uygulamaya başladı.

2010 yılında, analist John Kindervag, Forrester Research'te daha sıkı siber güvenlik programları ve şirket içi erişim kontrolünü belirtmek için Zero Trust modeli terimini kullandı. Ancak, Zero Trust mimarilerinin yaygın hale gelmesi neredeyse on yıl aldı, bu durum kısmen mobil ve bulut hizmetlerinin artan benimsenmesiyle hızlandı.[7]

2018'de, ABD'de NIST ve NCCoE'deki siber güvenlik araştırmacıları tarafından yürütülen çalışma, "NIST SP 800-207 - Zero Trust Architecture"ın yayınlanmasına yol açtı. Bu yayın, Zero Trust'ı, bir ağın tehlikeye girmiş olarak görüldüğü durumlarda bilgi sistemleri ve hizmetlerinde doğru, istek başına erişim kararlarını zorlamadaki belirsizliği azaltmak için tasarlanmış kavramlar ve fikirler topluluğu olarak tanımlar. Zero Trust mimarisi (ZTA), Zero Trust kavramlarını kullanan ve bileşen ilişkilerini, iş akışı planlamasını ve erişim politikalarını kapsayan bir kuruluşun siber güvenlik planıdır. Bu nedenle, Zero Trust işletmesi, Zero Trust mimarisi planının bir ürünü olarak bir kuruluşun yerleşik ve sanal ağ altyapısı ve operasyonel politikalarıdır.[8]

Kaynakça

  1. ^ Bulutistan (25 Nisan 2023). "Zero Trust Güvenlik Modeli Nedir? Avantajları Nelerdir?". Bulutistan Blog. 21 Mayıs 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024. 
  2. ^ "Zero Trust Nedir?". Makale. Beyaznet. 24 Şubat 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024. 
  3. ^ "Sıfır Güven Modeli - Modern Güvenlik Mimarisi | Microsoft Güvenlik". www.microsoft.com. 4 Şubat 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024. 
  4. ^ "Zero Trust security | What is a Zero Trust network?". Makale. Cloudflare. 15 Mayıs 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024. 
  5. ^ "What is Zero Trust? | IBM". www.ibm.com (İngilizce). 20 Haziran 2024. 6 Nisan 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024. 
  6. ^ "The evolution of zero-trust security". www.cryptomathic.com (İngilizce). 22 Eylül 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024. 
  7. ^ Heath, David (18 Nisan 2023). "The Evolution of Zero Trust and the Frameworks that Guide It". IBM Blog (İngilizce). 29 Eylül 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024. 
  8. ^ "What is Zero Trust Security? Principles of the Zero Trust Model". crowdstrike.com (İngilizce). 7 Nisan 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024. 

İlgili Araştırma Makaleleri

Basit Ağ Yönetim Protokolü, bilgisayar ağları büyüdükçe bu ağlar üzerindeki birimleri denetlemek amacıyla tasarlanmıştır. Cihaz üzerindeki sıcaklıktan, cihaza bağlı kullanıcılara, internet bağlantı hızından sistem çalışma süresine kadar çeşitli bilgiler SNMP'de tanımlanmış ağaç yapısı içinde tutulurlar.

<span class="mw-page-title-main">Biyometri</span>

Biyometri, yaşayan organizmaların ölçümlerine verilen genel isimdir. Kimlik doğrulama ve erişim kontrolü için insan vücudunun biyolojik özelliklerini kullanan sistemlerdir. Bu sistemler, parmak izi, yüz, göz, ses ve damar örüntüsü gibi çeşitli biyolojik veri türlerini tarayarak ve analiz ederek çalışır. Biyometri, gelişmekte olan bir teknolojidir ve gelecekte daha da yaygın olarak kullanılması muhtemeldir. Biyometrik sistemler daha ucuz ve daha güvenilir hale geldikçe, kimlik doğrulama ve erişim kontrolü için tercih edilen yöntem haline gelebilir.

<span class="mw-page-title-main">Sanal özel ağ</span> Uzaktan erişim yoluyla farklı ağlara bağlanmayı sağlayan internet teknolojisi

Sanal Özel Ağ, uzaktan erişim yoluyla farklı ağlara bağlanmayı sağlayan bir internet teknolojisidir. VPN, sanal bir ağ uzantısı oluşturarak, ağa bağlanan cihazların fiziksel olarak bağlıymış gibi veri alışverişinde bulunmasına olanak tanır. Basitçe, İnternet veya diğer açık ağlar üzerinden özel bir ağa bağlanmayı mümkün kılan bir bağlantı türüdür.

<span class="mw-page-title-main">Bilgisayar güvenliği</span> bilgisayar sistemlerinin ve ağlarının, hırsızlık, hasar, kötüye kullanım gibi durumlara karşı koruma mekanizmaları

Bilgisayar güvenliği, elektronik ortamlarda verilerin veya bilgilerin saklanması ve taşınması esnasında bilgilerin bütünlüğü bozulmadan, izinsiz erişimlerden korunması için, güvenli bir bilgi işleme platformu oluşturma çabalarının tümüdür. Bunun sağlanması için duruma uygun güvenlik politikasının belirlenmesi ve uygulanması gereklidir.

İnternet Protokolü Güvenliği (IPsec), Internet Protokolü (IP) kullanılarak sağlanan iletişimlerde her paket için doğrulama ve şifreleme kullanarak koruma sağlayan bir protokol paketidir. IPsec, içinde bulundurduğu protokoller sayesinde, oturum başlarken karşılıklı doğrulama ve oturum sırasında anahtar değişimlerini gerçekleştirme yetkisine sahiptir. İki bilgisayar arasında (host-to-host), iki güvenlik kapısı arasında(network-to-network), bir güvenlik kapısı ve bir bilgisayar arasında(network-to-host) sağlanan bağlantıdaki veri akışını korumak için kullanılır. IPsec kriptografik güvenlik servislerini kullanarak IP protokolü ile gerçekleştirilen bağlantıları korumak için kullanılır. Ağ seviyesinde doğrulama veri kaynağı doğrulama,veri bütünlüğü, şifreleme ve replay saldırılarına karşı koruma görevlerini üstlenir.

<span class="mw-page-title-main">IEEE 802.1X</span>

IEEE 802.1x, bağlantı noktası tabanlı ağ erişim kontrolü için kullanılan bir standarttır ve 802.1 protokol grubunun bir parçasıdır. Bir kablolu (LAN) veya kablosuz (WLAN) ağa dahil olmak isteyen istemci cihazlara kimlik doğrulama mekanizması sağlar.

<span class="mw-page-title-main">Microsoft hesabı</span> çevrim içi hesap

Microsoft account, Microsoft tarafından Windows Live hizmetlerinde sağlanan bir özelliktir. Kullanıcılara bir hesap kullanarak web sitelerine, cihazlara ve uygulamalarına oturum açmalarını sağlar.

<span class="mw-page-title-main">Donanımsal güvenlik modülü</span>

Donanımsal Güvenlik Modülleri, güçlü kimlik doğrulama için gerekli sayısal anahtarları koruyup yöneten ve kripto işleme sağlayan fiziksel bir aygıttır. Geleneksel olarak bu modüller takılabilir kart veya bir bilgisayar ya da ağ sunucusuna takılabilen harici bir aygıt şeklindedir.

<span class="mw-page-title-main">Google Hesabı</span> Google Hesap

Google Hesabı, Google tarafından çevrimiçi hizmetlere erişim amacıyla kimlik doğrulama ve yetkilendirme sağlayan bir kullanıcı hesabıdır. Tüm Google ürünlerine Google Arama, YouTube, Google Kitaplar, Google Finans, Google Haritalar ve diğerleri de dahil olmak üzere, bir hesap gerektirir. Google Hesabı, Gmail, Google+, Google Hangouts, Blogger ve diğerleri kullanımını için gereklidir. En önemlisi,günümüzde Androidle çalışan akıllı telefonlar ve tablet bilgisayarların hizmetlerini kullanmak için Google kimlik hesabı gereklidir.

<span class="mw-page-title-main">Apple ID</span>

Apple ID veya Apple Kimliği, böyle iWork, iCloud, iTunes Store ve Apple Store gibi ürünlerin çoğu için sunduğu herhangi bir e-posta sağlayıcısından bir müşterinin mevcut e-posta adresini kullanarak, çeşitli online sistemlere giriş yapmak için kullanılan bir all-in-one kullanıcı hesapıdır. Apple Inc. tarafından yaratılmıştır.

Kimlik Yönetimi, Kimlik ve Erişim Yönetimi olarak da bilinir, bilgisayar güvenliğinde, “doğru kişilerin, doğru zamanda, doğru amaçlarla, doğru kaynaklara erişimini sağlayan” güvenlik ve işletme disiplinidir. Giderek daha da çok unsurlu hale gelen teknoloji ortamında uygun kaynaklara erişim ihtiyacını ve yine gittikçe titiz hale gelen uyumluluk gerekliliklerini hedefler.

Veritabanı güvenliği, çok çeşitli bilgi güvenliği kontrollerinin kullanımı ile ilgilidir ve veri tabanlarınının(imkân dahilinde verileri, veritabanı uygulamalarını veya kayıt edilmiş işlevleri, veri tabanı sistemlerini, veritabanı sunucularını ve ilişkili ağ bağlantılarını içerir.) gizliliğini, bütünlüğünü ve erişilebilirliğini saldırılara karşı korur. Teknik, idari, yargı ve fiziksel gibi çeşitli türde ve kategoride kontroller veritabanı güvenliği kapsamı içerisine girer. bilgisayar güvenliği, bilgi güvenliği ve risk yönetimi alanları içerisinde, veritabanı güvenliği uzmanlık gerektiren bir konudur.

<span class="mw-page-title-main">Kimlik doğrulama</span>

Kimlik doğrulama, bir varlığın(kurum, kişi ya da sistem) doğruladığı bir veri parçasının doğruluğunun teyit edilmesidir. Kimlik tanıma(identification), bir kişinin veya bir şeyin kimliğini kanıtlayan veya gösteren bir eylemi tanımlamanın; kimlik doğrulama, bu kimliğin gerçekten doğrulanma sürecidir. Bu süreç, kişinin kimliğini, kimlik belgelerini doğrulanması, bir dijital sertifikayla internet sitesinin gerçekliğinin doğrulanması, bir yapının yaşının Radyokarbon tarihleme yöntemiyle belirlenmesi ya da bir ürünün ambalajına ve etiketine bakarak doğrulamasını içerir. Diğer bir ifadeyle, kimlik doğrulama, genellikle en az bir çeşit kimlik tanımının doğrulanmasını içerir.

Çok faktörlü kimlik doğrulma (MFA) bir bilgisayar kullanıcısına, kullanıcının kimlik doğrulama mekanizmasına başarılı bir şekilde iki ya da daha fazla kanıt sağladığında erişim sağlandığı bir kimlik doğrulama yöntemidir: bilgi, sahiplik ve devralma.

Tarayıcı izolasyonu, bir internet kullanıcısının tarama etkinliğini içinde bulunduğu yerel ağ ve altyapıdan fiziksel olarak yalıtmayı amaçlayan bir siber güvenlik modelidir. Tarayıcı izolasyon teknolojileri farklı yöntemlerle bu modeli gerçekleştirse de ortak amaç tarayıcı ve kullanıcı tarama etkinliğini efektif şekilde birbirinden izole ederek web-tarayıcıları, tarayıcı tabanlı güvenlik açıklarından ve internet kaynaklı fidye yazılımı ve benzer kötü amaçlı yazılımlardan korumaktır. Uzaktan tarayıcı izolasyonu olarak bilinen modelde, teknoloji sağlayıcısı tarayıcı izolasyonunu bulut tabanlı bir hizmet olarak sunar ve hizmet alan kuruluş ilişkili sunucu altyapısını yönetmek zorunda kalmadan kullanıcılarını teknolojiden faydalandırabilir. Kullanıcı tarama etkinliklerini ve ilgili riskleri izole etmek için sunuculara bağımlı olmayan, bunun yerine istemci tarafında koşan diğer bir yaklaşım yerel tarayıcı izolasyonu ise tarayıcı etkinliğini kullanıcı bilgisayarı üzerinden hipervizör teknoloji kullanarak sanallaştırmaya dayalıdır. İstemci tarafı çözümleri, uzaktan çözümlerden farklı olarak fiziksel yalıtımı sağlamadığından güvenliği düşürür ancak hizmet alan kuruluşun genel sunucu maliyetlerinden kaçınmasına izin verir.

<span class="mw-page-title-main">İnternet güvenliği</span>

Internet güvenliği, yalnızca Internet, sıkça tarayıcı güvenliği ve World Wide Web ile ilgili değil, aynı zamanda Ağ Güvenliği, uygulama ve işletim sistemleri sistemleri ile bir bütün olarak ilgilidir. Amacı, internet üzerinden saldırılara karşı kullanılacak kurallar ve önlemler oluşturmaktır. İnternet, bilgi alışverişi için güvenli olmayan bir kanalı temsil eder; bu da kimlik avı, çevrimiçi virüsler, truva atları, solucanlar ve daha fazlası gibi yüksek bir saldırı veya dolandırıcılık riskine yol açar.

Bilgisayar güvenliğinde genel erişim denetimi; tanımlama, yetkilendirme, kimlik doğrulama, erişim onayı ve kimlik denetimini içerir. Erişim kontrolünün daha dar bir tanımı, sadece erişim onayını kapsar. Erişim onayı yapısında sistem; nesnenin erişim yetkisine bağlı olarak, zaten kimliği doğrulanmış bir nesneden erişim isteği verme veya erişim isteğini reddetme kararı alır. Kimlik doğrulama ve erişim kontrolü genellikle tek bir işlemde birleştirilir; böylece erişim, başarılı kimlik doğrulamasına veya anonim erişim belirtecine(jetonuna) dayalı olarak onaylanır. Kimlik doğrulama yöntemleri ve belirteçleri arasında parolalar, biyometrik taramalar, fiziksel anahtarlar, elektronik anahtarlar ve aygıtlar, gizli yollar, sosyal engeller, insanlar ve otomatik sistemler tarafından izleme bulunur.

Güvenlik teknik uygulama rehberi, belirli bir ürün için siber güvenlik gereksinimlerinden oluşan bir yapılandırma standardıdır. STIG'lerin kullanımı, genel güvenliği artırmak için ağlar, sunucular, bilgisayarlar ve mantıksal tasarımlar içindeki protokollerin güvenliğini sağlamak için bir metodoloji sağlamaktadır. Bu kılavuzlar, uygulandığında, güvenlik açıklarını daha da azaltmak için yazılım, donanım, fiziksel ve mantıksal mimariler için güvenliği artırmaktadır.

Ağ güvenliği, bilgisayar ağının ve ağdan erişilebilen kaynakların yetkisiz erişimini, kötüye kullanımını, değiştirilmesini veya reddedilmesini önlemek, tespit etmek ve izlemek için benimsenen politika, süreç ve uygulamalardan oluşur .Ağ güvenliği, ağ yöneticisi tarafından kontrol edilen bir ağdaki verilere erişim yetkisini içerir. Kullanıcılar atanmış bir ID ve şifre veya yetkileri dahilindeki bilgilere ve programlara erişmelerine izin veren diğer kimlik doğrulama bilgilerini seçer .Ağ güvenliği, günlük işlerde kullanılan hem genel hem de özel çeşitli bilgisayar ağlarını kapsar: işletmeler, devlet kurumları ve bireyler arasında işlem ve ilişki yürütmek. Ağ güvenliği bir şirket gibi özel veya genel erişime açık olabilir. Ağ güvenliği, kuruluşlarda, işletmelerde ve diğer kurum türlerinde yer alır. Bir ağ kaynağını korumanın en yaygın ve basit yolu, ona benzersiz bir ad ve buna karşılık gelen bir parola atamaktır.

Ayrıcalıklı Erişim Yönetimi (PAM), kimlik yönetimi ve siber güvenliğin bir dalıdır. Organizasyon içerisindeki ayrıcalıklı hesapların kontrolü, izlenmesi ve korunmasına odaklanır. Ayrıcalıklı statüye sahip hesaplar, kullanıcılara genişletilmiş izinler sağlar ve bu da onları, hayati sistemlere ve hassas verilere erişim sağladıkları için saldırganların ana hedefi haline getirir.


Bu sayfa, bu Vikipedi makalesine dayanmaktadır.
Metin, CC BY-SA 4.0 lisansı altında mevcuttur; ek koşullar uygulanabilir.
Görseller, videolar ve sesler kendi lisansları altında mevcuttur.