Teknoloji son yıllarda katlanarak ilerledi. Bilgi ve verilere artık sadece bir tıkla ulaşılabilir hale geldi. Bizlerin tek tıkla ulaştığı, böyle kolay ve kullanışlı bir altyapı oluşturmak için, bir veri merkezi içinde, aslında çok sayıda karmaşık ve detaylı sistem vardır. Böylesine büyük bir sistem çalışırken de, bir siber saldırının hedefi olmak çok da kolaydır. İşte bu noktada mikrosegmentasyon devreye girer.
Mikrosegmentasyon Nedir?
Mikrosegmentasyon, esas olarak, tehdit unsurlarının ağ üzerinden erişim kazanmasını önlemeye yardımcı olan bir güvenlik önlemidir. Bunu, ağınızın farklı alanlarını daha küçük ve daha güvenli bölümlere ayırarak yapar.
Ağınızı birden çok odası olan bir ev olarak düşünebilirsiniz. Her oda, uygulamalarınız, ağınız ve verileriniz gibi ağınızdaki farklı bir öğeyi temsil eder. Kötü amaçlı yazılım ağa girdiğinde hemen yayılmaya ve farklı odalara taşınmaya çalışır. Mikrosegmentasyon sayesinde ise her odanın kilitli kapısı vardır.
Bu, kötü amaçlı yazılımın yatay olarak ağın diğer bölümlerine yayılmasını önler ve siber güvenlik sisteminizin tüm ağı kesintiye uğratmadan çalışmasını sağlar. Bu özellik aynı zamanda kişilerin ağın hassas bilgiler içerebilecek yetkisiz alanlarına erişmesini de engeller. Mikrosegmentasyon, ağı bireysel iş yüklerine göre de bölebilir.
Mikrosegmentasyon Nasıl Çalışır?
Mikrosegmentasyonun tüm amacı, ağın saldırı yüzeyini azaltmaktır. Şirket içi, bulut ve hibrit ağ ortamlarında güvenli alanlar oluşturulur. Bunu başarmak için, her segmentin etrafına, tehditlerin ağ boyunca hareket etmesini önleyen bir “duvar” inşa edilir. Her bölüm daha sonra kendi daha küçük güvenlik çeperiyle donatılır.
Mikrosegmentasyon, özel güvenlik ayarları ile belirli cihazlara ve sistemlere de uygulanabilir. Bu, ağ genelinde detaylı kontrol ve ideal görünürlük sağlar. Tehditler, bölümlere ayrılmış bir ağ içinde çok daha hızlı tanımlanabilir.
Mikrosegmentasyon Yaklaşımları
Bölmek istediğiniz ağ katmanına göre ağ mikrosegmentasyonu uygulanabilir. Her katmanın farklı bir yaklaşımı olsa da hepsinin nihai hedefi aynıdır, ağı güvenli hale getirmek.
Ağ Tabanlı Mikrosegmentasyon
Ağ katmanında mikrosegmentasyona ağ tabanlı bir yaklaşım yer alır. Politikalar IP yapıları veya ACL’ler kullanılarak yapılandırılıp uygulanırken, VLAN’lar segmentler oluşturmak için kullanılır. Uygulaması oldukça basit olsa da darboğazlara yol açabilir. Bu yüzden kontrolü sağlamak karmaşık ve daha maliyetli bir hale gelebilir.
Hipervizör Tabanlı Mikrosegmentasyon
Tüm ağ trafiğinin hipervizörden geçmesi, hipervizörü mikrosegmentasyon kurmak için ideal bir ortam yapar. Bu yaklaşım, mevcut güvenlik duvarlarıyla birlikte kullanılabilir ve güvenlik ilkelerinin bir hipervizörden diğerine geçişini kolaylaştırır.
Diğer taraftan, azalan süreç görünürlüğü, üretici kilitlenmeleri ve bulut ortamları veya çıplak donanım, konteyner veya fiziksel iş yükleri için genel sınırlamalar gibi dezavantajlara sahiptir.
Ana Bilgisayar Tabanlı Mikrosegmentasyon
Yazılım tanımlı bir çerçeve kullanan ana bilgisayar tabanlı bir yaklaşım, ayrıntılı ve dağıtılmış güvenlik ilkeleri sağlamak için her iş yükünün yerleşik güvenlik duvarı özelliklerini kullanır. Mikrosegmentasyon daha sonra, merkezi görünürlüğü artırmak için uç nokta ana bilgisayarlarındaki konumlandırma ajanlarına bağlıdır. Bu bazen zaman alıcı ve karmaşık olabilir.
Mikrosegmentasyonun Faydaları
Mikrosegmentasyon, ağlar için çeşitli avantajlar sunar. Avantajlardan bazıları şunlardır:
Saldırı Yüzeyini Minimize Etmek. Mikrosegmentasyonun en önemli avantajı, tehditleri izole etme yeteneğidir. Böylece, ağınızın siber saldırılara karşı savunmasız olan yüzey alanını azaltır. Kötü amaçlı yazılım ve tehdit aktörleri, ağ boyunca yatay olarak hareket edemezler ve içinde bulundukları segmentle sınırlı kalmaları gerekir.
Tehditlere Hızlı Müdahale. Mikrosegmentasyon, ağın genel görünürlüğünü artırır ve siber güvenlik ekibinizin tehdit aktörlerini gerçek zamanlı olarak tespit etmesine ve yanıt vermesine olanak tanır. Her segmentin kapsanması ayrıca ihlallerin izole kalmasını sağlayarak, ağa daha fazla zarar vermesini önler.
Gelişmiş Güvenlik. Siber güvenlik, ağ genelinde görünürlüğe dayanır. Mikrosegmentasyonla, bireysel segmentler ve ağ trafiği, anormallikler veya şüpheli davranışlar açısından yakından izlenebilir. Bu sayede, mikrosegmentasyon BT korumanızı geliştirir.
Kontrolün Geliştirilmesi. Ağınız, müşterileriniz ve iş ortaklarınızla ilgili kritik iş yükleri ve önemli bilgilerle doludur. Mikrosegmentasyon, ağ içindeki her önemli iş yükünün ayrıntılı, sabit ve güvenilir kontrolüne sahip olmanızı sağlar. Her segment için güvenlik politikaları gerektiği gibi değiştirilebildiğinden, kritik iş yüklerine daha gelişmiş koruma da sağlanabilir. Bu şekilde mikrosegmentasyon, şirketiniz için gerekli düzenlemelere uyum sağlamasını da kolaylaştırır.
ZTNA ve Mikrosegmentasyon
Gartner, Zero-Trust Network Access(ZTNA), kimliğe veya bağlama dayalı olarak bir uygulama veya uygulama grubu etrafında bir erişim sınırı oluşturan bir ürün veya hizmet olarak tanımlar. Bu siber güvenlik teknolojisi, ağa erişime yönelik her girişimin gözden geçirilmesi ve tehlikeli olduğunun varsayılması gerektiğine dayanmaktadır.
Siber güvenliğe Zero-Trust yaklaşımı, kesin güveni reddeder ve ağdaki hareketi kısıtlayarak ağınızın güvenliğini korur. Mikrosegmentasyon, Zero-Trust mimarisini temel alır ve etkinleştirir.
Her iki yaklaşım da ağ boyunca yatay hareketi sınırlamaları ve iş yüklerini izole etmek için segmentasyona güvenmeleri açısından benzerlik gösterirler. Mikrosegmentasyonu, Zero Trust güvenlik modellerinin bize öğrettiklerinin uygulaması olarak düşünebiliriz.
Sangfor Access Secure
Sangfor’un bulut tabanlı SASE çözümü Sangfor Access Secure, dünyanın herhangi bir yerinden bulut uygulamalarına ve hizmetlerine kullanıcı ve cihaz erişimini doğrulamak için Zero-Trust Network Access (ZTNA) uygular.
Erişim, yalnızca önceden yapılandırılmış ilkelere ve kullanıcı profillerine dayalı olarak yetkili iş uygulamalarına verilir. Ağ ve güvenlik işlevlerinin entegrasyonu, birleşik bir hizmet oluşturur. Platform ayrıca siber tehditlerin ve kötü amaçlı trafiğin hızlı bir şekilde tanımlanmasına da olanak tanır.
Bulut tabanlı hizmet sağlama modeli aracılığıyla Sangfor Access Secure, SD-WAN, WAN optimizasyonu, SWG, CASB, NGFW ve ZTNA dahil olmak üzere çok çeşitli ağ ve güvenlik işlevleri sunar.
Sangfor, ZTNA teknolojisini sağladığı için 2022 “Gartner Emerging Technologies: Adoption Growth Insights for Zero Trust Network Access” raporunda da örneklerden biri olarak yer aldı.
Sangfor’un siber güvenlik ve bulut bilgi işlem çözümleri hakkında daha fazla bilgi için www.sangfor.com.tr adresini ziyaret edebilirsiniz.