ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal ajansların sıfır güven (zero trust) yaklaşımına geçiş sürecinde eski internet ağ geçitlerini Secure Access Service Edge (SASE) teknolojisiyle değiştirmelerine yardımcı olmak için yeni bir kılavuz yayınladı. 24 Haziran'da yayımlanan rehber, ajansların çevre tabanlı Trusted Internet Connections (TIC) 2.0 modelinden, CISA'nın sıfır güven ilkeleri etrafında inşa ettiği daha esnek TIC 3.0'a geçişte SASE'i nasıl kullanabileceklerini açıklıyor. CISA, SASE'in ajansların uzun süredir kullandığı Managed Trusted Internet Protocol Services (MTIPS) hizmetinin yerini alabileceğini belirtiyor.
Eski TIC 2.0 modeli altında ajanslar tüm internet trafiğini az sayıda merkezi erişim noktası üzerinden yönlendiriyordu. CISA, bu yaklaşımın uzak ve şube kullanıcılarını yavaşlatan darboğazlar oluşturduğunu ve yeni teknolojilerin benimsenmesini engellediğini söylüyor. Buna karşın TIC 3.0, ajansların CISA'ya trafikleri hakkında görünürlük sağlaması koşuluyla daha dağıtık mimariler oluşturmasına izin veriyor. SASE, ağ ve güvenlik işlevlerini tek, çoğunlukla bulut tabanlı bir hizmette birleştiriyor. CISA'nın tanımı, yazılım tanımlı geniş alan ağı (SD-WAN) gibi araçları, güvenli web ağ geçitleri, bulut erişim güvenlik aracıları, yeni nesil güvenlik duvarları ve sıfır güven ağ erişimi (ZTNA) gibi güvenlik kontrolleriyle bir araya getiriyor.
Ancak MTIPS'ten uzaklaşmanın bir bedeli var. Ajans trafiği, CISA'nın EINSTEIN sensörlerinin bulunduğu merkezi ağ geçitlerinden geçmeyi bıraktığında, ajans federal ağları izlemek için kullandığı telemetri verilerini kaybediyor. Bu görünürlüğü korumak için ajanslar, eşdeğer verileri CISA'nın bulut tabanlı Kapsamlı Log Toplama Deposu'na (CLAW) beslemek zorunda. Rehber ayrıca uzun süredir devam eden bir uygulamada değişiklik sinyali veriyor. CISA, şifrelenmiş TLS trafiğini kırma ve inceleme yaklaşımının artık evrensel olarak önerilmediğini, karmaşıklığı ve eklediği gecikme nedeniyle bunun yerine makine öğrenimi kullanarak trafiği tamamen şifre çözmeden şüpheli desenler için analiz etmeyi öneriyor.
Nasıl Önlem Alınmalı?
CISA, rehberi federal sivil yürütme organı (FCEB) ajanslarını hedeflese de eyalet ve yerel yönetimler, kritik altyapı operatörleri ve diğer kuruluşların da faydalanabileceğini belirtiyor. Rehber, CISA'nın geçen yıl başlattığı sıfır güven serisinin bir parçası olup mikro segmentasyon konulu bir kılavuzla birlikte yayımlandı. CISA'nın siber güvenlikten sorumlu geçici icra direktör yardımcısı Chris Butera, rehberin 'ajansların sıfır güven mimarilerinin faydalarını gerçekleştirmesine yardımcı olduğunu' söyledi. Ajans, sıfır güvene ulaşmanın tek bir ürün lansmanından ziyade sürekli bir dönüşüm olduğunu vurguladı.