CISA'dan Yeni Rehber: SASE ile Sıfır Güven Modeline Geçiş Siber Güvenlik

CISA'dan Yeni Rehber: SASE ile Sıfır Güven Modeline Geçiş

CISA, federal kurumların sıfır güven mimarisine geçişini hızlandırmak için SASE teknolojisini benimsemelerine yönelik kapsamlı bir rehber yayınladı.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal kurumların eski internet ağ geçitlerini Secure Access Service Edge (SASE) teknolojisiyle değiştirmelerine yardımcı olmak için yeni bir rehber yayınladı. 24 Haziran'da yayımlanan bu rehber, kurumların çevre tabanlı Trusted Internet Connections (TIC) 2.0 modelinden, sıfır güven ilkeleri etrafında inşa edilen daha esnek TIC 3.0 modeline geçişte SASE'i nasıl kullanabileceklerini açıklıyor. CISA, SASE'in kurumların uzun süredir bağımlı olduğu Managed Trusted Internet Protocol Services (MTIPS) çözümünün yerini alabileceğini belirtiyor.

Eski TIC 2.0 modeli altında, kurumlar tüm internet trafiğini az sayıda merkezi erişim noktası üzerinden yönlendiriyordu. CISA, bu yaklaşımın darboğazlar yaratarak uzak ve şube kullanıcılarını yavaşlattığını ve yeni teknolojilerin benimsenmesini engellediğini söylüyor. Buna karşılık TIC 3.0, kurumların CISA'ya trafikleri hakkında görünürlük sağlamaları koşuluyla daha dağıtık mimariler kurmalarına izin veriyor. SASE, ağ ve güvenlik işlevlerini tek, çoğunlukla bulut tabanlı bir hizmette birleştiriyor. CISA'nın tanımı, yazılım tanımlı geniş alan ağı (SD-WAN) gibi araçları, güvenli web ağ geçitleri, bulut erişim güvenlik aracıları, yeni nesil güvenlik duvarları ve sıfır güven ağ erişimi (ZTNA) gibi güvenlik kontrolleriyle bir araya getiriyor. Rehber, belirli ürünlerden ziyade mimariye odaklanarak satıcıdan bağımsız bir yaklaşım benimsiyor.

CISA'nın sıfır güven yol haritası hakkında daha fazlası: CISA ve Ortakları OT Güvenliği İçin Sıfır Güven Rehberi Yayınladı. MTIPS'ten çıkışın bir pürüzü var. Kurum trafiği, CISA'nın EINSTEIN sensörlerinin bulunduğu merkezi ağ geçitlerinden geçmeyi bıraktığında, ajans federal ağları izlemek için kullandığı telemetri verilerini kaybediyor. Bu görünürlüğü korumak için kurumlar, eşdeğer verileri CISA'nın bulut tabanlı bir hizmet olan Kapsamlı Log Toplama Deposu'na (CLAW) beslemek zorunda. Rehber ayrıca uzun süredir devam eden bir uygulamada değişikliğe işaret ediyor. CISA, şifrelenmiş TLS trafiğini kırmanın ve incelemenin artık evrensel olarak önerilen bir yaklaşım olmadığını, karmaşıklığı ve eklediği gecikme nedeniyle belirtiyor. Bunun yerine, tamamen şifre çözmeden, makine öğrenimi de dahil olmak üzere şifrelenmiş trafikteki şüpheli desenleri analiz etmeyi öneriyor.

Sistem Güvenliği

CISA, rehberi federal sivil yürütme organı (FCEB) kurumlarına yönelik olarak hazırladı ancak eyalet ve yerel yönetimler, kritik altyapı operatörleri ve diğer kuruluşların da faydalı bulabileceğini belirtti. Rehber, CISA'nın geçen yıl başlattığı sıfır güven serisinin bir parçası olup, mikro segmentasyon konulu bir kılavuzla birlikte yayımlandı. CISA'nın geçici siber güvenlik icra direktör yardımcısı Chris Butera, rehberin 'kurumların sıfır güven mimarilerinin faydalarını gerçekleştirmesine yardımcı olduğunu' söyledi. Ajans, sıfır güvene ulaşmanın tek bir ürün dağıtımından ziyade sürekli bir dönüşüm olduğunu vurguladı.

SASE'in benimsenmesi, kurumların ağ altyapılarını modernize etmeleri ve siber güvenlik duruşlarını iyileştirmeleri için önemli bir adım. CISA'nın rehberi, bu geçişin nasıl yapılacağına dair pratik bir yol haritası sunuyor. Özellikle MTIPS'ten çıkış ve CLAW'a veri besleme zorunluluğu, kurumların dikkat etmesi gereken kritik noktalar. Ayrıca TLS trafiğinin şifresini çözmeden analiz edilmesi, performans ve güvenlik arasında bir denge kurulmasına yardımcı olabilir. Bu rehber, sadece federal kurumlar için değil, aynı zamanda sıfır güven yolculuğunda olan tüm kuruluşlar için değerli bilgiler içeriyor.

CISA'nın yayımladığı bu rehber, sıfır güven mimarisine geçişte SASE'in rolünü net bir şekilde ortaya koyuyor. Kurumlar, bu rehber sayesinde hem ağ performansını artırabilir hem de güvenlik görünürlüğünü koruyabilir. SASE'in sunduğu birleşik ağ ve güvenlik hizmeti, geleneksel çevre tabanlı modellerin sınırlamalarını aşarak daha esnek ve ölçeklenebilir bir altyapı sağlıyor. Bu dönüşüm, siber tehditlerin giderek karmaşıklaştığı günümüzde, kurumların güvenlik ihtiyaçlarını karşılamak için kritik öneme sahip.

Kaynak: infosecurity-magazine.com

Paylaş: