Fırını onarmak için gelen tamirci kapıyı çaldığında, dikkatli hane sahipleri hanenin anahtarını vererek şunu söylemezler: “Mutfak 1. katta solda, yolu kendin bulabilirsin” ve konuttan çıkıp gitmezler. İşini yaptığından emin olmak için kalır ve servis teknisyenini takip ederler, muhakkak meskenin içinde başı boş halde dolaşmasına müsaade vermezler. Lakin kurumsal güvenlik kelam konusu olduğunda tam olarak bunlar yaşanıyor: Birçok şirkette kullanıcıların kurumsal kaynaklara erişmesine imkan sağlanması gayesiyle kullanılan standart teknoloji olan bir sanal şahsi ağ (VPN), ‘kalenin anahtarlarını teslim ediyor.”
VPN, oturum açtıktan sonra kullanıcıların rastgele bir kısıtlama olmadan hareket etmesine müsaade veriyor. Ayrıyeten, mevcut bunalımda, birçok VPN ağ geçidi ek ev-ofis kullanıcılarının yarattığı yükle çalışmakta zorlanıyor. Citrix’e nazaran, tüm trafiği kurumsal olgu merkezi aracılığıyla yönlendirme zaruriliği da değerli ölçüde gecikme müddetine neden oluyor ve imajlı konferanslar üzere vakte hassas hizmetlerin kalitesini düşürüyor. Fakat, bu tesirden kaçınmaya yönelik birden fazla mekanizma, VPN’yi karmaşık ve yönetilmesi pahalı hale getiriyor.
Citrix’e nazaran, VPN’lerin kalenin anahtarları yaklaşımı her vakit dertli olsa da, günümüzde çok daha tehlikeli hale geldi. Saldırganlar, bugünlerde çok daha geniş bir taarruz ortamını hedefleyebiliyor: Uzaktan çalışan bir kullanıcının kimlik haberlerini ele geçirmeyi yahut inançlı olmayan bir ev-ofis aygıtına erişmeyi başardıklarında, klâsik VPN bu kimselere şirket ağında serbestçe dolaşma imkanı sunuyor. Burada hassas haberleri arayabilir ve done sızdırma araçları ya da daha sonra kolaylıkla geri dönmek için art kapılar kurabilirler.
Kesinlikle daha uygun bir formül mevcut olmalı ve aslında mevcut
Citrix’e nazaran bu yaklaşımın ismi Zero Trust. Bu yeni güvenlik yaklaşımı, BT mimarisine bir güvenlik mütalaa yapısını dahil ediyor. Sıfır inanç, şu ilkeyi uyguluyor: Hiçbir devir güvenme, her hengam doğrula. Kaynaklara ağın içinden yahut dışından erişmeleri fark etmeksizin, hiçbir kullanıcının yahut aygıtın sağlam olduğu varsayılmıyor. Bunun birinci adımı, kullanıcıların tanınmasından oluşuyor ve bu da ülkü olarak donanım belirteçleri yahut yazılım belirteci pratikleri üzere çok sayıda kimlik doğrulama prosedürü uygulanarak gerçekleştiriliyor. Ağa bağlanan aygıtlar, örneğin sahipliğin (şirkete ilişkin, şahsa ait) yahut yama seviyesinin aktüel olup olmadığının denetim edilmesi aracılığıyla birebir ölçüde ayrıntılı bir biçimde inceleniyor. Tıpkı hengamda şirket doneleri, kullanıcıların erişiminin rolleri için muhtaçlık duydukları kaynaklarla sınırlanması aracılığıyla korunuyor.
Günümüzün sıfır inanç tahlilleri, son kullanıcı ve uç noktası aktivitelerini mütemadi olarak izlemek, bunları davranış kalıpları ve şirket prensipleri ile karşılaştırmak için makine tahsilinden yararlanıyor. Bu özellik, güvenlik ekiplerinin ele geçirilmiş hesaplara yahut kuruluş içinden tehditlere işaret eden alışılmadık aktiviteleri süratle saptamasına imkan tanıyor. Sıfır inanç, kuşkulu bir aktivite saptandığı anda ihtarlar sağlayarak, süratli ve yüksek seviyede maksatlı bir reaksiyona imkan tanıyor. Hadiselere müdahaleyi kıymetli ölçüde hızlandırıyor ve saldırganların ağda etrafı gözetlemek için sahip olacağı vadeyi kısaltıyor.
Bu yaklaşım, ‘kötü adamlar’ uzun yıllar boyunca araçlarını ve taktiklerini düzgünleştirirken işletmeler ve tertipler reaksiyon vermekte yavaş kaldıktan sonra, en ahir şirketlere kullanıcıların nerede bulunduğu ya da hangi aygıtları kullandığı fark etmeksizin güvenlik tarafında kaybedilen devri telafi etme fırsatı sunuyor. Uzaktan çalışmanın, buhranın daha da hızlandırmasıyla artık yeni sıradan haline geldiği günümüz yerküresine bu özellikleriyle harika koordinasyon sağlıyor.
Sıfır inanca dayalı BT ortamları, şirketlerin anahtarlarını kapıyı çalan rastgele bir ‘tamirciye’ teslim etmemesini sağlıyor. Bunun konumuna, tamirciden ve birebir hengamda başka rastgele bir ziyaretçiden, fotoğraflı bir şirket kimliği göstermesini istiyor. Mutfak kapısı dışındaki tüm kapıları kilitliyor ve teknisyenin tam olarak nerede olduğunu ve ne yaptığını biliyor. Ayrıyeten, beklenmedik bir davranışta bulunması durumunda, konut sahibini otomatik olarak uyarıyor. Citrix’e nazaran, şirketler bu biçimde, kullanıcıları ve aygıtları her devir gözleyebilir, ele geçirilmenin saptanmasını güzelleştirebilir ve atak pencerelerini daraltabilir. Birebir devirde, çalışanlar da şirket kaynaklarına rastgele bir vakitte, rastgele bir noktadan inançlı bir biçimde erişebilir.
