Zero Trust nedir ?

Zero trust temel prensibi kötü niyetli aktörlerin her zaman network'ünüzde olduğu kabul edilir.Tehditlerin karmaşıklığı ile birliklte zero-trust yaklaşım şekli ortaya çıkmıştır.Least privilege (Minimal yetkilendirme)kontrolü ile kurumlara yapılacak olası saldırı yüzeni ve ihlali olasılığı azaltılmaktadır.Basit bir deyişle kurumsal güvenlik firewall'un arkaasındaki her şeyi güvenli kabul etmek yerine "asla güvenme,her zaman dogrula" (never trust,always verify)

Tüm ağların güvenilmez olarak kabul edilmesi gerektiğini 2010 yılında Forrester Research analisti John Kindervag tarafından ortaya atılmıştır.Her network'ün ihlal edilebileceğini kabul eder ve bütün bağlantıların güvenli olmayan bir bağlantıdan geliyormuş gibi doğrulanması gerektiği özellikle vurgulanmaktadır.Günümüz güvenlik bakış açısısı zero-trust yaklaşımı ile tamamen değişmiştir.

Ağa sızan kötü niyetli aktörler ya da kurum içi kötü niyetli kişiler olmak üzere yatayda yayılım gerçekteştirerek, kritik bilgiye ulaşma eylemindedirler. Dolayısı ile zero-trust yatayda yayılma eğiliminde olan kötü niyetli aktörleri sınırlamak için kritik bir öneme sahiptir.Zero-trust , micro-segmentation,uçtan uca şifreleme ve çok faktörlü kim doğrulaması gibi stratejelerin kullanılmasını içerir.

NIST'e göre erişim,kontrol ve denetim uyglamasını mümkün olduğunca ayrıntılı hale getirmek ve yetkisiz erişimleri engellemektir.

Zero-trust mimarisinde iki temel yaklaşım şekli bulunmaktadır;

1.Kimlik merkezli

2.Network merkezlidir.

Her iki yaklaşım şekli zero-trust ilkesini benimser ve başarıya ulaştırmak için farklı teknolojiler ve politika kuralları kullanır.

Gelişmiş kimlik yönetişimi yaklaşımı, politika oluşturmanın temel bileşeni olarak kullanıcıların, cihazların ve hizmetlerin kimliğini kullanır. Bu yaklaşım hem insan hem de cihaz kimliklerini içermelidir:

İnsan Kimlikleri(Human Identities): Network'teki kullanıcılar, kendilerini tanımlamak için kullanıcı adlarından ve parolalardan veya bir tür çok faktörlü kimlik doğrulamasından yararlanmaktadır.

Cihaz Kimlikleri (Machine Identities): Kullanıcılar gibi, cihazlar'da diğer kaynaklara veya birbirlerine bağlandıklarında kendilerini tanımlamaları ve kimliklerini doğrulamaları gerekir, ancak bunun yerine kriptografik anahtarlar ve dijital sertifikalar kullanmaktadırlar.

Kurumsal kaynak erişim ilkeleri, kimliğe ve atanan özniteliklere dayanmaktadır. Kurumsal kaynaklara erişmek için birincil gereksinim, belirli bir kullanıcıya, hizmete veya makineye verilen erişim ayrıcalıklarına dayanmaktadır.. Daha uyarlanabilir bir kimlik doğrulaması sağlamak için politika uygulaması, kullanılan cihaz, varlık durumu ve çevresel faktörler gibi diğer faktörleri de dikkate alınmaktadır.

Network Micro-Segmentation

Bir kuruluş, ağ mikro segmentasyonuna ve ağ geçidi güvenlik bileşenlerinin kullanımına dayalı bir Sıfır Güven Ağı uygulamayı da seçebilir. Bu yaklaşımı uygulamak için Yeni Nesil Güvenlik Duvarları (NGFW'ler) ve/veya Yazılım Tanımlı Ağ (SDN) bileşenleri, her kaynak veya ilgili kaynak grubu için politikaları ve korumayı zorunlu kılar.

Ancak bu yaklaşım, kuruluşun kaynaklara erişim yetkisi olmadan önce kullanıcıların, hizmetlerin ve makinelerin kimliğini doğrulaması gerekeceğinden, tam olarak işlev görmesi için bir kimlik yönetişim programı gerektirir. Ayrıca, kurumsal ağların karmaşıklığı ve dağılımı göz önüne alındığında, bu yaklaşım zaman alıcı, yoğun kaynak gerektiren ve hataya açık bir uygulama olabilmektedir..

Kimlik, herhangi bir Sıfır Güven yaklaşımının merkezinde yer alır. Sıfır Güven modelinde erişim yönetimi kritik öneme sahiptir. Kimlik doğrulama ve yetkilendirme işlemi sırasında kimliğin değerlendirilmesi, kullanıcının nerede olursa olsun, yetkili olduğu kaynağı kullanarak söylediği kişi olmasını sağlar.Dolayısı ile buradaki temel ilke ve amaç zero-trust modeline uygun, sürekli bir doğrulama hali içersindedir.