Microsoft’un Sıfır Güven ilkelerine dayalı bir güvenlik mimarisi oluşturmak için kullanıcıların kurumsal ağ kapsamı içinde veya dışında olmasına bakılmaksızın, Sıfır Güven İlkesi, erişimi sürekli kılarak doğrulayarak ve onaylayarak verilerin, kaynakların ve kimliklerin güvenliğini sağlamaya odaklanır. Bu kapsamda Microsoft Sıfır Güven ilkelerini kullanarak bir güvenlik mimarisinin nasıl oluşturulacağına ilişkin bir yol haritası (Road Map ) sunar. Aşağıdaki maddelerde Microsoft’un Sıfır Güven ilkelerine dayalı bize sunmuş olduğu yol haritasını (Road Map) inceleyelim.
- Identify and Classify Data: Verilerinizin hassasiyetini ve sınıflandırmasını tanımlar. Verileri, erişim kontrollerini ve koruma mekanizmalarını belirlemenize yardımcı olarak hassasiyet seviyelerine göre sınıflandırılır.
- Identity and Access Management (IAM): Sağlam kimlik ve erişim yönetimi çözümleri uygulayarak. Kimlikleri yönetmek, güçlü kimlik doğrulaması uygulamak için (Multi-Factor Authentication veya MFA) ve uygun rol tabanlı erişim denetimleri (RBAC) sağlamak ile birlikte Azure Active Directory’yi (Azure AD) kullanılmalıdır.
- Device Management : Hem kurumsal hem de kişisel cihazlara güvenli erişim sağlamak amacı ile güvenli cihaz yönetimini sağlar. Cihaz ilkelerini, uyumluluğu ve güvenlik yapılandırmalarını yönetmek için Microsoft Intune kullanılmalıdır.
- Network Security: Ağ merkezli bir güvenlik yaklaşımından uygulama merkezli bir yaklaşıma geçilmelidir. Uygulama düzeyinde erişimi denetlemek için Azure Sanal Ağları ve Azure Güvenlik Duvarı’nı uygulanmalıdır. Azure hizmetlerini genel internete maruz bırakmadan güvenli bir şekilde bağlanmak için Azure Özel Bağlantısını kullanılmalıdır.
- Micro-Segmentation: Ağınız içinde yanal hareketi sınırlamak için mikro segmentasyon ilkelerini uygulanılır. Kaynaklar arasındaki trafik akışını denetlemek için Azure Ağ Güvenlik Gruplarını (NSG’ler) ve Azure Uygulama Güvenlik Gruplarını (ASG’ler) kullanılmalıdır.
- Data Protection: Hem bekleyen hem de aktarılan verileri şifreleyin. Verilerin güvenliğini sağlamak için Azure Disk Şifrelemesi, Azure Depolama Şifrelemesi ve Azure SQL Veritabanı Şeffaf Veri Şifrelemesi gibi hizmetlerden yararlanabilirsiniz.
- Threat Detection and Response: Azure Sentinel gibi araçları kullanarak gelişmiş tehdit algılama ve yanıtlama yetenekleri uygulayın. Potansiyel tehditleri belirlemek ve bunlara yanıt vermek için davranış analitiğini ve yapay zeka odaklı içgörüleri kullanılmalıdır.
- Least Privilege Access: Kullanıcılara görevlerini yerine getirmeleri için gereken minimum erişimi vererek en az ayrıcalık ilkesini uygulanmalıdır. Ayrıcalıklı rolleri yönetmek için Azure AD Ayrıcalıklı Kimlik Yönetimi olan (PIM) kullanılmalıdır.
- Continuous Monitoring and Auditing: Erişim kalıplarını izlemek, anormallikleri tespit etmek ve uyumluluğu sürdürmek için sürekli ortam izleme sağlanmalıdır. Ortamınızı izlemek ve denetlemek için Azure İzleyici ve Azure Güvenlik Merkezi’nden yararlanabilirisiniz.
- Conditional Access Policies: Konum, cihaz sağlığı ve risk düzeyi gibi çeşitli faktörlere dayalı olarak kullanıcıların kaynaklara ne zaman ve nasıl erişebileceğini belirlemek için koşullu erişim ilkeleri oluşturmalısınız.
- User and Entity Behavior Analytics (UEBA): Olağandışı veya şüpheli etkinlikler için kullanıcı ve varlık davranışını analiz etmek üzere UEBA araçlarını kullanılmalıdır. Bu, araç potansiyel içeriden gelen tehditlerin veya güvenliği ihlal edilmiş hesapların tespit edilmesine yardımcı olmaktadır.
- Education and Training : Kullanıcılarınızı ve personelinizi en iyi güvenlik uygulamaları, kimlik avı farkındalığı ve Sıfır Güven ilkelerinin önemi hakkında düzenli olarak farkındalık eğitimleri verilmesi ivedilik ile planlanmalıdır. Ve bu eğitimlere katılım sağlanmalıdır.
- Incident Response Plan : Güvenlik olaylarına etkili bir şekilde nasıl müdahale edileceğini özetleyen kapsamlı bir olay müdahale planı oluşturmalısınız. Bu plan, etkilenen kaynakların izole edilmesini, etkinin hafifletilmesini ve normal operasyonların eski haline getirilmesini kapsamalıdır.
Sıfır Güven ilkesinin her kurum yada kuruluşa uyan tek bir yaklaşım olmadığını lütfen unutmayınız; Her kurum veya kuruluşun faaliyet gösterdiği kamusal yada ticari alan kapsamında hizmet veriği alanlar değişkenlik göstermektedir. Bu neden ile Sıfır Güven ilkesinin mimarisi dikkatli planlamalı ve kurum yada kuruluşunuzun ihtiyaçlarına göre değerlendirilmelidir. Ve gelişen tehdit ortamına dayalı sürekli düzenlenmeler gerektirir. Microsoft, kurum yada kuruluşların Sıfır Güven güvenlik mimarilerini etkili bir şekilde uygulamalarına yardımcı olacak bir dizi araç ve kaynak sağlar. Microsoft uzmanlarına veya güvenilir siber güvenlik uzmanlarına danışmak, özel ortamınıza ve gereksinimlerinize göre uyarlanmış bir yol haritası ( Road Map ) ile kurum yada kuruluşunuza uygun bir güvenlik mimarisinde doğru adımlar ile ilerlemenizi sağlar.
Kaynak : Microsoft