Ulusal Güvenlik Ajansı, organizasyonların sıfır-tröst çerçevesi ilkelerini benimseyerek bir düşmanın iç ağdaki hareketini sınırlamasına yardımcı olmak için yeni rehberlik paylaşmaktadır.
Sıfır tröst güvenlik mimarisi, bir ihlalin etkisini en aza indirmek için, fiziksel çevrenin içinde veya dışında ağdaki kaynaklara erişmek için katı kontroller gerektirir.
Ağdaki her şeyin ve herkesin güvenilir olduğunu varsayan geleneksel BT güvenlik modeline kıyasla, sıfır tröst tasarımı, bir tehdidin zaten var olduğunu ve ağ içinde serbest dizginlere izin vermediğini varsayar.
Sıfır tröst olgunluğunun ilerletilmesi, tehdit aktörlerinin bir saldırıdan yararlanabileceği çeşitli bileşenleri veya sütunları ele alarak kademeli olarak yapılır.
NSA, bugün tüm donanım ve yazılım varlıklarını, kişi olmayan kuruluşları ve iletişimler arası protokolleri içeren ağ ve çevre bileşeni için sıfır tröst rehberliğini yayınladı.
Sıfır Trust modeli, veri akışı eşleme, makro ve mikro segmentasyon ve yazılım tanımlı ağ yoluyla derinlemesine ağ güvenliği sunar.
Her biri için, bir kuruluş sıfır tröst ilkelerine göre inşa etmeye devam etmelerini sağlayan belirli bir olgunluk seviyesine ulaşmalıdır.
"Ağ ve Çevre Sütunu, ağ erişimini tanımlayarak, ağ ve veri akışlarını kontrol ederek, uygulamaları ve iş yüklerini bölümlere ayırarak ve uçtan uca şifreleme kullanarak kritik kaynakları yetkisiz erişimden izole eder"-Ulusal Güvenlik Ajansı (PDF)
Veri akışı eşlemesi, verilerin nerede ve nasıl depolandığını ve nasıl işlendiğini belirlemekle başlar. Bu durumda gelişmiş olgunluk, kuruluş tam bir envanter ve akışın görünürlüğüne sahip olduğunda ve tüm mevcut, yeni veya anormal yolları azaltabildiğinde elde edilir.
Makro segmentasyon yoluyla kuruluşlar, her departmandaki kullanıcılar için ağ alanları oluşturarak ağdaki yanal hareketi sınırlayabilir.
Örnek olarak, muhasebe alanında, açıkça gerekmedikçe insan kaynaklarına adanmış ağ segmentine erişime ihtiyaç duymaz, bu nedenle bir tehdit oyuncusu pivot için sınırlı bir saldırı yüzeyine sahip olacaktır.
Mikro segmentasyonla, ağın yönetimi daha küçük bileşenlere ayrılır ve yanal veri akışlarını sınırlamak için katı erişim politikaları uygulanır.
NSA, "mikro segmentasyonun, saldırı yüzeyini daha da azaltmak ve ihlalin meydana gelmesi durumunda etkiyi sınırlamak için kullanıcıları, uygulamaları veya iş akışlarını bireysel ağ segmentlerine izole etmeyi içerdiğini" açıklıyor.
Mikro segmentasyon üzerinde daha ayrıntılı kontrol, özelleştirilebilir güvenlik izleme ve uyarı sağlayabilen yazılım tanımlı ağ (SDN) bileşenleri ile elde edilir.
SDN, merkezi bir kontrol merkezinden paket yönlendirmesinin kontrol edilmesine izin verir, ağa daha iyi görünürlük sağlar ve tüm ağ segmentleri için politikaların uygulanmasına izin verir.
Sıfır-Trust mimarisinin ağ ve çevre sütunundaki dört bileşenin her biri için NSA, hazırlık adımından, optimal görünürlük, izleme, izleme, geniş kontrol ve yönetim sistemlerinin uygulandığı gelişmiş aşamaya kadar dört olgunluk seviyesini tanımlar. ve ağın büyümesini sağlamak için.
Sıfır bir tröst ortamı tasarlamak ve oluşturmak, olgunluk aşamalarından sistematik olarak geçmeyi gerektiren karmaşık bir görevdir.
Doğru bir şekilde yapılırsa, sonuç zayıflıklardan yararlanmaya çalışan tehditlere direnebilen, tanımlayabilen ve yanıt verebilen bir işletme mimarisidir.
NSA, Şubat 2021'de Sıfır Treust çerçevesi için ilk kılavuzu yayınladı (sıfır güven güvenliği modelini kucaklıyor), bu da arkasındaki ilkelerin modeli ve avantajlarını tanımladı.
Nisan 2023'te ajans, kullanıcı bileşeninde kullanıcı sütunu boyunca sıfır güven olgunluğunu ilerleten kullanıcı bileşeninin olgunluğuna ulaşmak için rehberlik yayınladı.
CISA, NSA Bulut Hizmetlerini Güvence Bulunmak İçin En İyi Uygulamaları Paylaşın
Yeni SSH-Snake kötü amaçlı yazılım, ağa yayılacak SSH anahtarlarını çalıyor
ABD hükümeti su tesislerine daha fazla fidye yazılımı saldırısı açıklıyor
Yeni Google Chrome Özellikleri Ev Ağlarına Karşı Saldırıları Bloklar
Active Directory'nize sıfır güven nasıl uygulanır
Kaynak: Bleeping Computer