CISA'dan Sıfır Güven İçin SASE Rehberi: Federal Ajanslara Yeni Yol Haritası Yazılım

CISA'dan Sıfır Güven İçin SASE Rehberi: Federal Ajanslara Yeni Yol Haritası

CISA, sıfır güven mimarisine geçişte federal ajansların eski internet ağ geçitlerini SASE ile değiştirmesi için rehber yayınladı.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal ajansların sıfır güven mimarisine geçiş sürecinde eski internet ağ geçitlerini Secure Access Service Edge (SASE) teknolojisiyle değiştirmelerine yardımcı olacak yeni bir rehber yayınladı. 24 Haziran'da yayımlanan rehber, ajansların çevre tabanlı Trusted Internet Connections (TIC) 2.0 modelinden, CISA'nın sıfır güven ilkeleri etrafında inşa ettiği daha esnek TIC 3.0 modeline geçişte SASE'i nasıl kullanabileceklerini açıklıyor. CISA, SASE'in ajansların uzun süredir kullandığı Managed Trusted Internet Protocol Services (MTIPS) sisteminin yerini alabileceğini belirtiyor.

Eski TIC 2.0 modeli altında ajanslar, tüm internet trafiğini az sayıdaki merkezi erişim noktası üzerinden yönlendiriyordu. CISA, bu yaklaşımın uzak ve şube kullanıcılarını yavaşlatan darboğazlar yarattığını ve yeni teknolojilerin benimsenmesini engellediğini ifade ediyor. Buna karşılık TIC 3.0, ajansların trafiklerine ilişkin CISA'ya görünürlük sağlamaları koşuluyla daha dağıtık mimariler oluşturmasına olanak tanıyor. SASE, ağ ve güvenlik işlevlerini tek, çoğunlukla bulut tabanlı bir hizmette birleştiriyor. CISA'nın tanımına göre bu; yazılım tanımlı geniş alan ağı (SD-WAN) ile güvenli web ağ geçitleri, bulut erişim güvenlik aracıları, yeni nesil güvenlik duvarları ve sıfır güven ağ erişimi (ZTNA) gibi güvenlik kontrollerini kapsıyor. Rehber, belirli ürünler yerine mimariye odaklanarak satıcı bağımsız bir yaklaşım sunuyor.

MTIPS'ten ayrılmanın bir bedeli var: Ajans trafiği, CISA'nın EINSTEIN sensörlerinin bulunduğu merkezi ağ geçitlerinden geçmeyi bıraktığında, CISA federal ağları izlemek için kullandığı telemetri verilerini kaybediyor. Bu görünürlüğü korumak için ajanslar, eşdeğer verileri CISA'nın Kapsamlı Günlük Toplama Ambarı (CLAW) adlı bulut hizmetine beslemek zorunda. Rehber ayrıca uzun süredir devam eden bir uygulamada değişikliğe işaret ediyor: CISA, şifrelenmiş TLS trafiğini kırma ve incelemenin artık evrensel olarak önerilmediğini, çünkü bu işlemin karmaşıklık ve gecikme yarattığını belirtiyor. Bunun yerine, tamamen şifre çözmeden, makine öğrenimi de dahil olmak üzere şifrelenmiş trafikte şüpheli desenlerin analiz edilmesini öneriyor.

CISA rehberi federal sivil yürütme organı (FCEB) ajanslarını hedeflese de, eyalet ve yerel yönetimler, kritik altyapı işletmecileri ve diğer kuruluşların da faydalanabileceğini belirtiyor. Rehber, CISA'nın geçen yıl başlattığı sıfır güven serisinin bir parçası olup, mikro segmentasyon rehberinin ardından geliyor. CISA'nın siber güvenlikten sorumlu geçici genel müdür yardımcısı Chris Butera, rehberin 'ajansların sıfır güven mimarilerinin faydalarını gerçekleştirmesine yardımcı olduğunu' söyledi. Ajans, sıfır güvene ulaşmanın tek bir ürün lansmanından ziyade sürekli bir dönüşüm olduğunu vurguladı.

Paylaş: