PERİMETRENİN YIKILIŞI VE YENİ DÜZEN




Bulut Bilişim, BYOD[1], mobilite ve IoT çalışma anlayışımızı tamamen değiştirmiş durumda. Bu gelişmeler veriye nerede, ne zaman ve nasıl erişeceğimizi öngörülemez şekilde şekillendirdi. Sürekli olarak istediğimiz kaynağa bağlıyız ve ulaşabiliyoruz. Özellikle pandemi sürecinde de bunu iyice tetkik etmiş bulunmaktayız. Bu sürekli bağlı (connected) olma durumu şirketler için çok efektif olmakta ama güvenlik açısından müthiş bir değişim ve tehdit oluşturuyor.

Yukarıda saymış olduğum yeniliklerden önce aslında ağımızın sınırlarını, uç noktalarını biliyorduk, yani ağımızın perimetresini tanıyorduk. Fakat yeni teknolojiler ile artık bu perimetreye hâkim değiliz, hatta hatırı sayılır bir zaman verilerimiz kendi kontrol ettiğimiz cihazlarda dahi değil, bulutta! Bu sadece son kullanıcılar için geçerli değil, birçok şirket verilerini, uygulamalarını, kendi veri merkezlerinden buluta taşıyor ve bu bulut platformları onlar tarafından kontrol edilmiyor. Birde buna çalışanların verilere, dosyalara kendi şirketlerin iç ağından veya cihazlarından değil de kendi cihazlarından, evlerinden eriştiğini düşünün. 20 yıl önceye kıyasla şirketlerin ağlarının perimetresi tamamen değişmiş durumda ama biz hala ağlarımızın güvenliğini bu milenyumda ortaya çıkmamış cihazlara teslim etmiş durumdayız.

Bu konu ile ilgili iki farklı düşünce ekolü var, fakat iki tarafta artık perimetrenin değiştiği konusunda hem fikir. Artık tek, statik, değişmez perimetresi yok alt yapılarımızın. Bu değişim ile organizasyonların risklere bakış açısının da tamamen değişmesi gerektiği konusunda herkes hem fikir, lakin bu değişime nasıl yaklaşmamız gerektiğinde fikir ayrılığı yaşanıyor. İlk olarak benim daha yakın olduğum fikri anlatacağım, ama okuyucunun kendisi karar vermeli mavi mi yoksa kırmızı hapı mı seçeceğine.

Biliyoruz ki insanlar uyur, hayvanlar uyur, bitkiler bile metabolizmalarını yavaşlatır belirli zamanlarda ama veri asla uyumaz. Veri sürekli bir yerden bir yere önlenemez bir şekilde akar. Veri artık şirketlerin çok güvenlikli veri merkezlerinde tutulmuyor. Bulutta tutabiliyorlar, son kullanıcılar kendi cihazlarında tutabiliyor ve daha bir sürü örnek verebiliriz. Peki söz hakkımızın olmadığı bulut sistemlerinde ya da çalışanın kendi cep telefonunda ki şirket verilerini nasıl koruyacağız? İşte uzmanlar artık eski, perimetreye dayalı güvenlik anlayışının artık geçerliliğini yitirdiğini düşünüyorlar. Artık ağımızın WAN ile LAN bacakları arasına Firewall koymak bir çözüm değil çünkü atak vektörleri artmış durumda. Kontrolümüzün dışında olan, verilerimizi barındıran ortamlarda öyle. Ve bunlara ek olarak başka bir durum daha var. Sırf yerel ağımızda ya da firewall arkasında ve üzerinde antivirüs yazılımı yüklü diye bir bilgisayara güvenemeyiz. Günümüzde şirketler bu güven yanılgısından hızlı bir şekilde uzaklaşmakta [2].

Peki nasıl bir yol izlemeliyiz? Günün sonunda efektif olsa da olmasa da IPS, Firewall gibi güvenlik cihazları bize alt yapılarımızın güvenliği için yardımcı oluyor, ama bu yeterli değil. Artık ağların sınırlarını korumaktan çok verilerin (data-centric) korunduğu yapıların olması gerekli. Çünkü verilerimizin bulunduğu konumlarda (mesela bulut) söz hakkına sahip değiliz. Üçüncü parti bir iş ortağımız tarafından erişilebilen cihazlar ya da veri konusunda da tam kontrolümüz yok. Dolayısı ile odağımızı veriyi korumaya yönlendirmeliyiz. Ne kadar güvenlik cihazı kullansak da erişmediğimiz noktalarda bu cihazların hiçbir hükmü yok. Yapılabilecekler mesela şunlar olabilir; veri öncelikli bir güvenlik anlayışına geçebiliriz. Alt yapımızı korumak, cihazlarımızı, ağlarımızın sınırlarını korumaktansa veriyi korumaya öncelik verebiliriz. Bir diğer seçenek ise Zero-Trust [2] yapısına geçmek. Bu yapıda bütün cihazlar ve ağlar risk taşımaktadır ve her an herkes tehdit oluşturabilecek aksiyonlarda bulunabilir. Son olarak iki faktörlü doğrulama ve çalışan eğitimleri de bu yaklaşım için değerli olacaktır.

Bir diğer bakış açısıda şunu savunmakta, evet perimetre anlayışımız değişmeli ama bizim daha küçük yani mikro-perimetlerimiz olmalı. Her biri için ayrı güvenlik uygulamalarına sahip olmalıyız. Yani gerekirse her micro-perimetre için ayrı bir Firewall, IPS, IDS ve diğer güvenlik cihazlarından olmalı [3]. DMZ için ayrı, satış ekibinizin kendi ofisi için ayrı, iş ortaklarınızın ulaştığı cihazlar için ayrı ayrı güvenlik teçhizatları olmalı. Yani günün sonunda bu klasik güvenlik cihazlarına ihtiyacımız giderek artacak. 


Veri hareketli, veri sürekli bir yerden bir yere akıyor. Günümüz dünyası için akmalıda. Öncelik veriyi korumak mı olmalı, yoksa ağlarımıza eski zamanlarda ki kaleler gibi güvenli duvarlar mı inşa etmeliyiz? Yukarıda bununla ilgili iki farklı görüş var. Ben ilk anlattığımı daha efektif buluyorum, yani verinin güvenliğin merkezinde olduğu yapıyı. Birde unutmamak lazım, Orta Çağ’da ve feodal sistemlerde bolca var olan kalelerin, duvarların hepsi bir bir yıkıldı. Belki bu, bize güvenlik anlayışımızda bir ders olur.



Ali ÇOLUK 

www.linkedin.com/in/ali-coluk/

Referanslar:

1) https://www.beyaz.net/tr/guvenlik/makaleler/byod_nedir.html

2) https://www.siberguvenlik.web.tr/index.php/2019/08/12/zero-trust-nedir/#:~:text=SIFIR%20G%C3%9CVEN%20A%C4%9EI%20NEDIR%3F,sahip%20olmas%C4%B1n%C4%B1n%20%C3%B6nlenmesi%20anlam%C4%B1na%20gelir.

3) https://blogs.cisco.com/security/the-death-of-the-network-perimeter-and-the-firewall-not-so-fast

Yorum Gönder

1 Yorumlar

  1. Teşekkur ederim.. guvenlik ancak kurumsal olarak saglananilir.. bireysel olasi degil.. birey dunya ve ahirette emniyet istiyorsa SALIH olmalı.. mala.. cana.. onura.. namusa saldırmamalı..

    YanıtlaSil