Bulut platformların benimsendiği, nesnelerin interneti cihazlarının birçok endüstri tarafından kullanıldığı ve neredeyse tüm iş süreçlerinin dijital altyapılar üstünden yürütüldüğü bir çağda, ağ güvenliği kritik konulardan birine dönüşüyor. Elbette bugünün ihtiyaçları, ağ güvenliğinde yeni yaklaşımları beraberinde getiriyor. Tam da bu sebepten, bir dönemin en güçlü uzaktan erişim teknolojilerinden VPN, yerini daha kapsamlı ve güvenli bir çözüm sunan Sıfır Güven Ağ Erişimi (ZTNA) yaklaşımına bırakıyor.
İş süreçlerinin çoğunlukla uzaktan, birbirine bağlı cihazlarla yürütüldüğü, nesnelerin interneti gibi teknolojilerin birçok endüstride benimsendiği, kurumsal ağların pek çok çalışan ve cihaz tarafından kullanıldığı bir dönemde ağ güvenliği de kritik hale geliyor. Küresel BT şirketi IBM’in 2022 Veri İhlalinin Maliyeti raporuna göre, ortalama maliyeti 4,35 milyon dolara varan ve 5 işletmeden dördünü tehdit eden veri ihlalleri, internetin kurumsal ölçekte yaygınlaşmaya başladığı dönemden bu yana elde edilen öğrenimlerle gelişiyor. İşletmeler için ortak bir ağ altyapısı ve işbirliğine açık platformlar kullanmak verimlilik açısından önem arz ederken, çalışanları ve cihazları birbirine bağlayan dijital köprüler potansiyel riskler oluşturuyor. Tehdit aktörleri çoğalıyor, saldırı vektörleri çeşitleniyor ve gelişimin bu denli hızlı olduğu bir dijital dünyada siber güvenlik yaklaşımları da dönüşüyor.
Sıfır Güven Ağ Erişimi (Zero Trust Network Access | ZTNA), bu dönüşümün son çıktılarından biri olarak konumlanıyor. Küresel araştırma şirketi Gartner’ın gelecek yılın sonuna kadar 5 işletmeden üçünün geçiş yapacağını öngördüğü ZTNA teknolojisi, bugün güvenli ağ erişimi açısından modern işyerinin vazgeçilmezlerinden biri olarak benimseniyor.
Güvenli ağ erişiminin kısa tarihi
Ağ güvenliğine duyulan ihtiyaç, 1950’li yıllara dek uzansa da bu konudaki modern çözümlerin kökü sayılabilecek gelişmeler, kurumsallaşmanın yaygınlaştığı 90’lı yıllarda yaşanıyor. Bu ihtiyaç, uzaktan erişime yönelik taleple birleşirken, John Ioannidis ve ekibinin 1993’te Columbia Üniversitesi ve AT&T laboratuvarlarında başladıkları araştırmalar, swIPe olarak kısaltılan bir teknolojinin icadıyla sonuçlanıyor. Kaynak ve hedef arasında bir sağlama yapmayı ve bağlantıyı ancak bu koşulda kurmayı öngören swIPe, sanal özel ağ (VPN) teknolojisinin temeli sayılıyor.
Bu gelişmeyi uzak bağlantı araçları (Remote Desktop Protocol | RDP) çözümleri izliyor ve çalışanlar, ofislerdeki bilgisayarlara özel yazılımlar aracılığıyla farklı noktalardaki bilgisayarlardan erişebiliyor. Bu yöntemin tersine saldırı (reverse attack) yöntemiyle tüm ağın ele geçirilebilir açıklar taşıdığının keşfedilmesi, uzak bağlantıda daha yaratıcı yollara duyulan ihtiyacı kanıtlıyor.
Farklı teknoloji ve bağlantı protokolünü bir arada kullanan sanal özel ağlar (Virtual Private Network | VPN) iki bilgisayar arasındaki iletişimi şifreleyerek gerçekleştirmeyi öngörüyor. Temel anlamda iki cihaz arasında özel bir tünel oluşturan ve fiziksel olarak bağlıymış gibi veri alışverişini olanaklı kılan VPN teknolojisi, uzun yıllardır aktif olarak kullanılıyor. Yine de ağ üzerinde tam hakimiyet sunamayan, raporlama olanaklarını azaltan ve daha maliyetli bir çözüm olan VPN, bugün yerini ZTNA’ya bırakıyor.
VPN’in bir adım ötesi: Sıfır Güven Ağ Erişimi (ZTNA) nedir?
İlk kez 2010’da Forrester araştırma şirketinde analist olarak görev yapan John Kindervag tarafından kullanıldığı tahmin edilen “sıfır güven” terimi, bir kuruluşun kendi sınırları içinde veya dışında hiçbir şeye güvenmemesi gerektiği fikrine odaklanıyor. Sonrasında Gartner’ın savunduğu temel siber güvenlik yaklaşımlarından birine dönüşecek olan bu kavram, ZTNA teknolojisinin de temelini oluşturuyor.
Gartner, ZTNA kavramının tanımını “Bir uygulama veya uygulama grubu etrafında kimlik ve bağlama dayalı, mantıksal erişim sınırı oluşturan bir ürün veya hizmettir” cümlesiyle özetliyor. Gartner’a göre ZTNA’da uygulamalara erişim, bir aracı tarafından verilen izinle sağlanıyor ve ağa erişebilecek varlıklar önceden tanımlanıyor. ZTNA’nin sunduğu aracı, erişime izin vermeden önce erişim talebinde bulunan kullanıcı veya cihazların kimliğini, bağlamını, belirlenen ilkelere bağlılığını doğrulamaya ve olağandışı ağ taleplerini yasaklamaya yarıyor.
Temel yaklaşımı “Asla güvenme, daima doğrula!” olarak özetlenebilecek Sıfır Güven Ağ Erişimi teknolojisi, ağa yapılacak her bağlantının riskli olduğu varsayımıyla hareket ediyor. ZTNA, bir işletme ağına erişim talebinde bulunan herhangi bir kullanıcı veya cihazın, her seferinde daha önce belirlenmiş güvenlik protokolleriyle doğrulanmasını ve erişim izninin ancak koşullar sağlandığında verilmesini öngörüyor. Şirketlerin merkez ofisinden, uzaktan veya şubelerinden çalışan tüm personelin, bulut platformların ve internete bağlı cihazların talepleri ZTNA aracısı tarafından her istekte denetlenmiş oluyor. Bu sayede işletmeler için dış dünyaya ve saldırı vektörlerine karşı bir açık oluşturma potansiyeli taşıyan durumların büyük bir çoğunluğu ortadan kaldırılıyor ve tehdit tabanı oldukça daraltılıyor.
ZTNA teknolojisinin avantajları
Bugün modern işletmeler, iş süreçlerinin en yüksek verimlilikle kesintisiz bir biçimde yürüyebilmesi için bağlı cihazlarını ve kurumsal ağlarını her yerden erişilebilir kılmak durumunda kalıyor. Kuruluşun yerleşik ağında bulunmasa bile uzak konumlardaki tüm ağ talebi kaynaklarının ağa güvenli bir biçimde erişebilmesine olanak tanıyan ZTNA, geleneksel VPN’in yerine konumlanıyor.
VPN’e kıyasla aşılması oldukça zor çoklu engeller sunan, erişimi ağa değil, yalnızca yetkilendirilmiş uygulama ve kaynaklarına yönlendiren, ayrıntılı uygunluk kontrolü koşulları tanımlamaya olanak tanıyan ZTNA, dijital iş dönüşümü senaryolarının başarıyla uygulanabilmesi için en çok tercih edilen hizmetlerden birine dönüşüyor. ZTNA’nın temel avantajları, aşağıdaki başlıklarda özetlenebiliyor:
Görünmez uygulamalar: Sıfır Güven Ağ Erişimi teknolojisi, işletmelerin uygulamalarını internette görünmez hale getiriyor. Yalnızca yetkilendirilmiş kullanıcı ve cihazlar, yalnızca yetkilendirildikleri alanlarda her seferinde doğrulanarak erişebiliyor.
Üst seviye yetki kontrolü: ZTNA, kurumsal ağları mikro bölümlere ayırmaya ve bu sayede güvenlik ihlali oluşturabilecek saldırı yüzeyini azaltmaya olanak tanıyor. Güvenlik ihlali olasılığını büyük ölçüde düşüren ZTNA, olası bir ihlalde müdahale etmeyi de kolaylaştırıyor.
Mevcut uygulamalara erişim: ZTNA’nın esnek yapısı, özel veri merkezlerinde konumlanan uygulamalara güvenli bağlantıyı da kolaylaştırıyor.
Daha iyi kullanıcı deneyimi: ZTNA yetkilendirmesi kullanan işletmelerin çalışanları için ihtiyaç duydukları uygulama ve kaynaklara erişmek kesintisiz, hızlı ve güvenli bir deneyime dönüşüyor.
Berqnet ZTNA’yı en yeni siber güvenlik teknolojisinin parçası olarak sunuyor
2013 yılından bu yana faaliyet gösteren ve %100 yerli Ar-Ge süreçleri yürüten Berqnet, Türkiye’nin ilk ZTNA çözümünü, modern işyerinin siber güvenlik ihtiyaçlarına tek platformdan uçtan uca yanıt vermeyi vaat eden Güvenli Erişim Hizmeti (Secure Access Service Edge | SASE) platformunun bir parçası olarak sunuyor.
En yeni ve bütünsel siber güvenlik teknolojisi sayılan SASE, karmaşık bir yazılım tanımlı geniş alan ağının (Software Defined Wide Area Networking | SD-WAN) özelliklerini, merkezi bir sunucu yerine doğrudan kullanıcı veya cihazlara ileten bulut tabanlı güvenlik protokollerini bir araya getiren bir güvenlik mimarisi olarak tanımlanıyor. Hizmet olarak güvenlik duvarı (FWaaS), yazılım tanımlı geniş alan ağı, güvenli web ağ geçidi (Secure Web Gateway | SWG) ve ZTNA’yı kapsayan bir çatı mimari olan SASE, tehdit aktörlerinin işletmeleri hedefleyebileceği tüm potansiyel noktalara hitap eden teknolojileri buluşturuyor. Bir platform olarak sunulan ve bu yönüyle her ölçekten işletme için kolayca kullanıma hazır hale getirilebilen SASE, siber güvenlik maliyetlerini düşürmeye, donanım ihtiyaçlarını ortaya kaldırmaya ve kurumsal ağ için tam zamanlı görünürlük sunmaya yarıyor. Tüm bu yönleriyle, ZTNA’yi de içeren SASE mimarisi, uzun vadeli ağ güvenliği yatırımları için en uygun seçeneğe dönüşüyor.
