1. Anasayfa
  2. Citrix Cloud

Yeni Nesil Güvenli Erişim Modeli : SASE

Yeni Nesil Güvenli Erişim Modeli : SASE
0

Kuruluşlar bulut kullanımıyla büyümeyi hızlandırmaya çalışırken, geleneksel kurumsal tesislerin dışında daha fazla veri, kullanıcı, cihaz, uygulama ve hizmet kullanılır. Bu da kurumsal çevrenin artık bir konum olmadığı anlamına gelir. Çevre dışındaki bu kaymaya rağmen, ağ mimarileri hala her şeyin bir ağ çevresinden geçmesi ve ardından geri çekilmesi gerekecek şekilde tasarlanmıştır. Kullanıcılar, nerede olurlarsa olsunlar, yine de genellikle pahalı ve verimsiz teknolojileri kullanarak, yalnızca dış dünyaya tekrar sık ​​sık geri dönmek için kurumsal ağa geri dönmelidir. Bu, hizmet kullanılabilirliği, kullanıcı performansı ve üretkenlik açısından önemli zorluklar yaratır.

Gartner tarafından tanımlanan Secure Access Service Edge (SASE) , güvenli ve hızlı bulut dönüşümü sağlamak için güvenlik ve ağ teknolojilerinin tek bir bulut tabanlı platforma dönüştürülmesini öngören bir güvenlik çerçevesidir.

Gartner, SASE terimini yarattı ve ilk olarak bir SASE uygulamasının neye benzemesi gerektiğini açıklayan 2019 teknik incelemesinde tanımladı. Danışmanlık firması, SASE’in hala gelişmekte olduğunu ve tüm özelliklerinin henüz kullanıma hazır olmayabileceğini belirtiyor.

Bu tanımları ilk okumaya başladığımda, ilk düşüncem şuydu, bu model Zero Trust mıdır? Aslında hayır, bu birden çok özelliğin birleşimidir ve Zero Trust bu hizmet yığının temel bir parçasıdır.

Basitçe söylemek gerekirse, SASE, SD-WAN yeteneklerini güvenlikle birleştirir ve bunları bir hizmet olarak sunar. Kullanıcı oturumlarında uygulanan güvenlik politikaları, her biri için dört faktöre göre uyarlanır:

  • Bağlanan varlığın kimliği
  • Bağlam (cihazın sağlığı ve davranışı, erişilen kaynakların hassasiyeti)
  • Güvenlik ve uyumluluk politikaları
  • Her oturumda sürekli bir risk değerlendirmesi.

Bir bulut hizmeti olduğu için, SASE kolayca büyütülebilir, küçültülebilir ve kullanıma göre faturalandırılabilir. Sonuç olarak, hızlı değişim zamanında cazip bir seçenek olabilir. Bu alandaki bazı satıcılar, evdeki çalışanları ve kurumsal veri merkezlerini SASE ağlarına bağlamak için donanım cihazları sunarken, çoğu satıcı bağlantıları yazılım istemcileri veya sanal cihazlar aracılığıyla yönetir.

Şimdi, hangi üreticiye sorduğunuza bağlı olarak, hepsinin bir SASE hizmet yığını nasıl olması gerektiğine dair farklı cevapları olacaktır. Ancak asıl amaç, sıkı bir şekilde entegre edilmiş bir dizi temel güvenlik bileşenine sahip olmaktır. SASE terimini icat eden Gartner, SASE mimarileri için “Core” ve “Recommended” olarak iki ana bölüm oluşturmuştur ve bu bölümlerin içerikleri de aşağıda listelenmiştir;

CORE

SD-WAN: SD-WAN , geleneksel yönlendirici tabanlı çözümlere kıyasla daha az karmaşıklığa izin verirken, her tür ağ aktarımı üzerinde esnek, düşük gecikmeli bağlantı sağlar. Özellikle bulut tabanlı ve gerçek zamanlı uygulamalar SD-WAN’lardan yararlanır.

Secure Web Gateway: SWG, kullanıcılar ve web arasında yer alan, genellikle bir bulut hizmeti olarak hat içinde uygulanan bir kurumsal siber güvenlik çözümüdür. Kullanıcı trafiği, URL filtreleme, uygulama kontrolü ve kötü amaçlı yazılımdan koruma gibi yerleşik ağ güvenliği özellikleri aracılığıyla inceleme ve gerektiğinde daha fazla eylem için SWG’ye iletilir.

Cloud Access Security Broker: CASB, tüm onaylanmış ve onaylanmamış SaaS uygulamaları için erişim kontrolünü yönetir.

Zero Trust Network Access: ZTNA, onaylı uygulamalara erişen yetkili kullanıcılar için en az ayrıcalık ilkesini uygular. Aynı zamanda kimlik ve bağlama duyarlıdır, erişim girişimlerini Microsoft Azure Active Directory gibi bulut hizmetlerinden gelen kimlik bilgilerine ve günün saati ve konum gibi parametrelere göre değerlendirir. Tehditlerin yanal hareketini önlemek için temel ağ yerine uygulamalara erişim bile verilebilir. Genel olarak ZTNA, geleneksel VPN çözümlerine kıyasla daha iyi bir kullanıcı deneyimi, daha sıkı güvenlik kontrolleri ve daha az karmaşıklık sağlar.

Firewall as a Service: FWaaS, yalnızca güvenilir trafiğin geçebilmesini sağlamak için bir kuruluş ağında giriş ve çıkış güvenlik kontrolleri uygular. Daha spesifik olarak, bir FWaaS çözümü anormallik tabanlı (imzasız) tehdit algılama, ağ korumalı alanı, coğrafi konum, kötü amaçlı yazılımdan koruma yazılımı ve IDS / IPS çözümlerini entegre edebilir. FWaaS, veri merkezleri, bulut bulut sunucuları ve şube ofisleri için kapsamlı koruma sağlamak üzere genellikle analitik çözümleriyle entegredir.

Data Loss Protection: DLP, SASE platformunun tek geçişli mimarisine entegre edilmiştir. Veri kaybına karşı koruma motoru, kullanımdaki, hareket halindeki ve hareketsiz durumdaki verilere görünürlük sağlar. Riskli verileri veya etkinlikleri karantinaya alabilir, şifrelemeyi zorunlu kılabilir ve bir veri ihlali genel riskini azaltmak için ağ güvenlik uyarıları gönderebilir.

Encryption/Decryption of Content at Line Speed, at Scale: SASE’in tek geçişli mimarisi, servis zinciri denetleme motorları ile geleneksel güvenlik yığınlarının gecikmesini azaltmak için şifreli trafiğin yalnızca bir kez açılmasına ve incelenmesine olanak tanır

Recommended

Web Application and API Protection

Remote Browser Isolation

Network Sandbox

Support for Managed and Unmanaged Devices

Aynı hizmet yığınının bir parçası olarak birçok satıcı, EDR (Endpoint Detection and Response), Browser Isolation, Sandbox, DNS filtering gibi farklı ürünlerine kombin edebilirler.

Neden SASE Gereklidir?

Ağ iletişimi ve güvenlikte SASE’e geçişi yönlendiren üç ana piyasa eğilimi vardır:

Uygulamalar SaaS’ye taşınıyor

Geleneksel mimarilerde, SaaS trafiğinin veri merkezine aktarılması gecikmeyi kötüleştirecek ve ağ maliyetlerini artıracaktır. Bulut hizmetleri daha yaygın hale geldikçe güvenlik, veri merkezinden kullanıcılara daha yakın, onlar ve bulut arasındaki yolda ilerlemelidir.

Remote çalışma artık normal hale geldi:

Çalışanlar, bulundukları yerden bağımsız olarak aynı deneyimi ve güvenliği bekler. Ne yazık ki, geleneksel VPN’ler ayrıntılı güvenlik kontrolleri sunmaz ve bu da bu deneyimi kötüleştirir.

Tehditler hızla gelişiyor:

Güvenlik ekiplerinin yeni tehditlere ayak uydurmak için altyapılarını sürekli olarak yükseltmeleri ve güncellemeleri gerekiyor. Bu karmaşık ve zaman alıcı bir çalışmadır ve hala kuruluşlarını sıfırıncı gün tehditlerine açık bırakmaktadır.

Geleneksel Yaklaşım

Şimdi, işgücünün çoğunun evde çalıştığı bu salgında giderek daha yaygın hale geldiğini gördüğümüz aşağıdaki senaryoyu hayal edin. Yönetilen bir cihazda uzaktan çalışan bir kullanıcınız var ve SaaS tabanlı bir uygulamaya veya veri merkezinizdeki bir hizmete erişmek istiyor.

Klasik bir senaryo olarak, URL adreslerini kullanarak AD kullanıcı adı+şifre & 2FA bilgilerini girip hizmetlerinize erişiyorlar.

Bu yaklaşımla ilgili bazı sorunlar;

Son kullanıcı cihazı tehlikeye atılabilir ve bu daha sonra veri hırsızlığı yapmak veya altyapının içine girmek için bir atlama noktası olarak kullanmak için kullanılabilir.
Son kullanıcı, herhangi bir koruma mekanizmamızın olmadığı hizmetlerden veya uygulamalardan büyük miktarda bilgi indirmeye karar verebilir.
Başka bir senaryo, kullanıcılar artık evden çalışırken, trafiğin IPS ve TLS şifresini çözen büyük süslü güvenlik duvarının yerleştirildiği ofiste olduğu gibi aynı güvenlik politikalarına sahip değillerdir. Dolayısıyla, kötü amaçlı URL’lere veya kötü amaçlı etki alanlarına yönlendirildiklerinde artık kullanıcılar kimlik avı saldırılarıyla bombardımana tutulurlar. Son kullanıcıların eriştiği kötü amaçlı etki alanlarına ve URL’lere karşı koruma sağlamak için sınırlı seçeneklerimiz olabilir. Bazı URL’ler, kullanıcı tarayıcıdaki güvenlik açıklarından yararlanarak kötü amaçlı kod çalıştırmaya yönlendirmek için kullanabilir. Ve gerekli önlem alınmadığında kullanıcıların cihazlarında ne yaptıklarına bakılmaksızın, kullanıcıların yanında kötü niyetli saldırganlarında sisteme eriştiğini görebiliriz.

SASE nasıl benimsenir?

Veri merkezleri ve şubeler arasında önceden var olan bağlantıları işleyen geleneksel ağ ve güvenlik sistemleri ile kuruluşlar büyük olasılıkla önce hibrit yaklaşımlara geçecekler. SASE, yeni bağlantıları, cihazları, kullanıcıları ve konumları işlemek için kullanılacaktır.

SASE, ağ ve güvenlik sorunları için bir çare değildir ve gelecekteki kesintileri önlemez, ancak şirketlerin kesintilere veya krizlere daha hızlı yanıt vermesine ve böylece kuruluş üzerindeki etkilerini en aza indirmesine olanak tanır. Ek olarak, SASE, şirketlerin uç bilgi işlem, 5G ve mobil yapay zeka gibi yeni teknolojilerden yararlanmak için daha iyi konumlanmalarına olanak tanıyacak.

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir