CISA'dan Federal Kurumlara SASE Rehberi: Sıfır Güven'e Geçişte Yeni Adım Yazılım

CISA'dan Federal Kurumlara SASE Rehberi: Sıfır Güven'e Geçişte Yeni Adım

CISA, federal kurumların eski internet ağ geçitlerini SASE ile değiştirerek sıfır güven mimarisine geçişini hızlandırmak için yeni bir kılavuz yayınla

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal kurumların eski internet ağ geçitlerini Güvenli Erişim Hizmeti Ucu (SASE) teknolojisiyle değiştirmelerine yardımcı olmak için yeni bir kılavuz yayınladı. 24 Haziran'da yayınlanan bu rehber, sıfır güven (zero trust) mimarisine geçiş sürecinin bir parçası olarak hazırlandı. Kılavuz, kurumların çevre tabanlı Güvenilir İnternet Bağlantıları (TIC) 2.0 modelinden, CISA'nın sıfır güven ilkeleri etrafında inşa ettiği daha esnek TIC 3.0 modeline geçiş yapmalarını sağlıyor.

CISA, SASE'in kurumların uzun süredir kullandığı Yönetilen Güvenilir İnternet Protokolü Hizmetlerinin (MTIPS) yerini alabileceğini belirtiyor. Eski TIC 2.0 modeli altında kurumlar, tüm internet trafiğini az sayıda merkezi erişim noktası üzerinden yönlendiriyordu. CISA, bu yaklaşımın darboğazlar yaratarak uzak ve şube kullanıcılarını yavaşlattığını ve yeni teknolojilerin benimsenmesini engellediğini söylüyor. TIC 3.0 ise kurumların daha dağıtık mimariler kurmasına olanak tanırken, CISA'ya trafik üzerinde görünürlük sağlamasını şart koşuyor.

SASE, ağ ve güvenlik işlevlerini tek, çoğunlukla bulut tabanlı bir hizmette birleştiriyor. CISA'nın tanımına göre SASE; yazılım tanımlı geniş alan ağı (SD-WAN) gibi araçları, güvenli web ağ geçitleri, bulut erişim güvenlik aracıları, yeni nesil güvenlik duvarları ve sıfır güven ağ erişimi (ZTNA) gibi güvenlik kontrolleriyle bir araya getiriyor. Kılavuz, satıcıdan bağımsız olarak belirli ürünler yerine mimariye odaklanıyor. Bu yaklaşım, kurumların kendi ihtiyaçlarına en uygun çözümü seçmelerine olanak tanıyor.

Ancak MTIPS'den ayrılmanın bir bedeli var. Kurum trafiği, CISA'nın EINSTEIN sensörlerinin bulunduğu merkezi ağ geçitlerinden akmayı durdurduğunda, ajans federal ağları izlemek için kullandığı telemetri verilerini kaybediyor. Bu görünürlüğü korumak için kurumların, eşdeğer verileri CISA'nın Kapsamlı Günlük Toplama Deposu'na (CLAW) beslemesi gerekiyor. CLAW, kurum tarafından sağlanan telemetriyi toplayan bir bulut hizmeti olarak çalışıyor.

Kılavuz ayrıca uzun süredir devam eden bir uygulamada değişiklik sinyali veriyor. CISA, şifrelenmiş TLS trafiğini kırmanın ve incelemenin artık evrensel olarak önerilen bir yaklaşım olmadığını belirtiyor. Bunun yerine, şifrelenmiş trafiğin tamamen şifresini çözmeden, makine öğrenimi de dahil olmak üzere şüpheli desenler için analiz edilmesini öneriyor. Bu yaklaşım, TLS kırmanın getirdiği karmaşıklık ve gecikme sorunlarını ortadan kaldırmayı hedefliyor.

CISA, kılavuzu öncelikle federal sivil yürütme organı (FCEB) kurumları için hazırlamış olsa da eyalet ve yerel yönetimler, kritik altyapı operatörleri ve diğer kuruluşların da faydalanabileceğini belirtiyor. Kılavuz, CISA'nın geçen yıl başlattığı sıfır güven serisinin bir parçası olarak, mikro segmentasyon rehberiyle birlikte yayınlandı. CISA'nın siber güvenlikten sorumlu geçici icra direktör yardımcısı Chris Butera, kılavuzun 'kurumların sıfır güven mimarilerinin faydalarını anlamasına yardımcı olduğunu' söyledi. Ajans, sıfır güvene ulaşmanın tek bir ürün lansmanından ziyade sürekli bir dönüşüm olduğunu vurguluyor.

Kaynak: infosecurity-magazine.com

Paylaş: