2020’den önce, yavaş da olsa büyüyen bir uzaktan çalışmaya geçiş belirtileri vardı. Ancak COVID-19 salgını sırasında kuruluşlar, operasyonların devam etmesi ve işgücünü koruması için hibrit veya uzaktan çalışma politikalarını hızla benimsemek zorunda kaldı. O zamandan beri BT ekipleri, uzak çalışanların işlerini yapmak için yönetilmeyen cihazları ve lisanslı olmayan ağları kullanmalarına izin verirken bulutta yada on-prem’de kurumsal uygulamalar ve masaüstleri dağıtmaya devam etti. Sonuç olarak, bu durum çok sayıda ağ güvenliği riskine kapı açmıştır.
BT ekipleri, dağıtılmış işgücüne güvenli uzaktan erişim sağlamak için geleneksel olarak sanal özel ağlara (VPN’ lere) güvenmektedir. Ancak uzak kullanıcılardan gelen ölçeklenebilirlik taleplerinin artması, SaaS ve web tabanlı uygulamaların, yeni güvenlik mimarisi taleplerinin yanı sıra buluttaki gelişmiş siber güvenlik tehditleriyle, VPN’ler ve geleneksel ağ güvenlik araçları buna ayak uyduramadı.
Uzaktan çalışma ortamlarında kullanıcı verimliliğini ve güvenliğini artırmaya yardımcı olmak için birçok kuruluş sıfır güven ağı erişimi (ZTNA) gibi daha modern bulut yerel güvenlik çözümlerine yönelmektedir. Örneğin, Citrix Workspace, Citrix Secure Private Access ile birlikte kuruluşlara uçtan-uca saldırı yüzeyi korumasına, kullanıcı kimliğine, konuma ve cihaz duruşuna dayalı uyarlanabilir kimlik doğrulamasına ve yalnızca Citrix VDI veya DaaS iş yüklerine değil, BT tarafından onaylanan diğer tüm VDI olmayan uygulamalara da çoklu oturum açma (SSO) erişimi sağlar.
VPN: Güven İlişkisi
VPN’in birincil rolü, iki güvenilir ağın birbiriyle iletişim kurmasını sağlamaktır. Örneğin, bir şirketin bilgi sistemleri arasında veri alışverişi yapmak için VPN aracılığıyla iki yapıyı birbirine bağlanmasına izin vermektir. Kolaylık sağlamak için, VPN geleneksel olarak dış erişim için de kullanılmıştır, ancak tanım olarak, bu durumda bir siteye güvenilmez.
VPN’in çalışma modu oldukça basittir. Bir kullanıcı cihazı VPN sunucusunda kimliğini doğrular; bu, kimliğini bir şirket dizininde denetler ve kimlik doğrulandıktan sonra, bir ağa erişim yetkisi verir ve böylece üzerinde bulunan çeşitli kaynaklara erişime izin verir.
ZTNA: Uygulama Düzeyinde Yetkilendirme
ZTNA Gartner’ın tabiriyle; bir uygulama veya uygulama kümesi etrafında kimlik ve bağlam tabanlı, mantıksal erişim sınırı oluşturan bir ürün veya hizmettir. Uygulamalar keşiften gizlenir ve erişim bir güven aracısı aracılığıyla adlandırılmış varlıklar kümesiyle sınırlandırılmıştır. Aracı, erişime izin vermeden önce belirtilen katılımcıların kimliğini, bağlamını ve ilke bağlılığını doğrular ve ağın başka bir yerinde yanal hareketi yasaklar. Bu, uygulama varlıklarını genel görünürlükten kaldırır ve saldırı alanını önemli ölçüde azaltır.
ZTNA, ağ erişiminden -> uygulama erişimi sağlama eylemini tamamen yalıtır. Bu yalıtım, güvenliği aşılmış aygıtlar tarafından bulaşma gibi ağ için riskleri azaltır ve yalnızca belirli uygulamalara ve yalnızca kimliği doğrulanmış yetkili kullanıcılara erişim izni verir.
ZTNA, hem ağ hem de uygulama altyapısının yetkisiz kullanıcılar tarafından görünmez hale alınmasını sağlayan yalnızca outbound bağlantılar yapar. IP’ler asla internete maruz kalmaz, bu da ağın bulunmasını imkansız kılan bir “darknet” oluşturur.
ZTNA’nın yerel uygulama segmentasyonu, kullanıcılara yetki verildikten sonra uygulama erişiminin bire bir olarak verilmesini sağlar. Yetkili kullanıcılar ağa tam erişim yerine yalnızca belirli uygulamalara erişebilir. Segmentasyon, aşırı izin verilen erişimin yanı sıra kötü amaçlı yazılımların ve diğer tehditlerin yanal hareket riskini önler.
ZTNA, geleneksel bir ağ güvenliği yaklaşımı yerine kullanıcıdan uygulamaya mottosunu savunan bir yaklaşım benimsiyor. Ağ, MPLS yerine uçtan-uca şifreli TLS mikro tünellerinden yararlanarak yeni şirket ağı haline gelir.
ZTNA vs VPN
| VPN | ZTNA | |
| Architecture | Simple barrier / Mono Site | Double barrier / Multi Sites |
| Access | Network | Application/resource |
| Traceability | Who logged in | Who logged in to what |
| Traceability | Not interconnectable with PAM | Transparent interconnection with PAM |
| Administration | No application declaration and complex access assignment | Application declaration and fast access assignment |
| Agent | Necessary | Access possible without an agent |
| Conformity check | Simple | Granular |
| Authentication management | Primary Authentication Management | Primary and Secondary Authentication Management |
ZTNA VPN’in yerini alır mı?
Zero Trust, özellikle uzaktan çalışma ortamlarında ağ güvenliğine yönelik kapsamlı, çok katmanlı bir yaklaşımdır. VPN’ler, ağ güvenliğini ZTNA kadar derinden ele almaz ve çoğunlukla geniş ağ tabanlı korumaya dayanır. Bu, ZTNA’NIN VPN için daha güvenli bir yedek olabileceği anlamına gelir. Gartner’a göre 2023 yılına kadar işletmelerin% 60’ı uzaktan erişim için VPN’lerin yerine kademeli olarak ZTNA metoduna geçeceklerini ileri sürüyor.
ZTNA neden geleneksel VPN’den daha iyi bir seçim olsun?
VPN’ler ayrıntılı ağ koruması sağlamaz. Öte yandan, ZTNA kimlik, zaman ve cihaz duruşu değerlendirmeleri gibi kıstaslara dayalı uyarlanabilir erişim sağlayarak güvenliğe çok daha katı bir yaklaşım sunar. Bu, son kullanıcılara işlerini etkili bir şekilde yapmaları için ihtiyaç duydukları uygulamalara ve verilere yalıtılmış erişim sağlar ve siber tehdit, veri ihlali veya diğer ağ güvenlik açıkları riskini önemli ölçüde en aza indirir. Buna ek olarak, ZTNA otomatik olarak tüm kullanıcılar için en düşük erişim düzeyine sahip varsayılan bir en az ayrıcalık (PoLP) ilkesini oluşturur. Geleneksel bir VPN ise, yetkili kullanıcılara körü körüne güvenir ve tüm şirket ağına geniş erişim sağlar.
SDP ve VPN arasındaki fark nedir?
SDP ile VPN arasındaki temel fark, her birinin kullanıcılara ağ erişimi verme şeklidir. VPN genellikle yetkili kullanıcılara kullandıkları cihazdan bağımsız olarak tüm şirket ağına erişim izni verir. SDP yalnızca yetkili kullanıcılara kullanmaları gereken kurumsal uygulamalara veya kaynaklara sınırlı erişim izni verir.
