Zero Trust - Güvenli bir ağın özeti

Oluşturma tarihi - Güncellenme
Serhii Boiarynov
Print Friendly and PDF
Başka sorularınız var mı? Bir talep gönder

Sıfır Güven - ilk başta kulağa çok olumsuz bir şey gibi gelen şey, aslında ağınızı ve dolayısıyla müşterilerinizi maksimum güvenlik ve dolayısıyla kullanılabilirlik konusunda minimum uzlaşmayı garanti eden bir güvenlik konseptidir. 2019'un sonunda başlayan Coronavirüs salgını bize çok daha esnek olan çok farklı bir çalışma türü göstermiş olsa da, bu aynı zamanda bir BYOD (Kendi cihazını getir) olarak iş ağları için tehlikelerle birlikte geliyor. Hem çalışanların hem de işverenlerin zihniyetinde çok daha yerleşik hale gelmenin yanı sıra, daha fazla bulut hizmetinden yararlanmaya ve görevleri intranetten dışsallaştırmaya geçiş. Ağların günümüzde şöyle görünmesi alışılmadık bir durum değil:

mceclip0.png

Uzak ev ofisleri, yolda VPN ile bağlanan insanlar, ana siteyle birbirine bağlı Şube-Siteler ve farklı Hizmet Olarak Yazılım teklifleri (SaaS) kullanarak, günümüzün ağ dünyasının tüm teknolojik gücünü kullanıyoruz.

Tüm bunlar, özel olarak ele alınması gereken yeni güvenlik endişelerinin kapısını aralıyor. Sıfır güven güvenlik düzeyi elde etmek için gerekli olan üç sütun vardır:

  • görünürlük
    • Farklı cihaz türlerini, ağları vb. tarama ve tespit etme yeteneği.
  • Kontrol
    • Ağınızın yönetimsel organizasyonu, ağınızın kullanımını çerçeveler
  • Reaksiyon
    • Tehlike durumunda taviz verilmemesi ve doğrudan karşı önlemler alınması

Günümüzün ağ dünyasındaki tüm değişiklikler, Sıfır Güven terimini de ilişkilendirdiğimiz büyük bir farklı ölçüm paleti gerektiriyor. Bu yazıda, size maksimum güvenlik sağlamak için güvenlik duvarı çözümlerimize hangi ölçümlerin yerleştirilebileceğine dair bir başlangıç noktası vermek istiyoruz! Ancak, lütfen özel bir "Sıfır Güven özelliği" olmadığını, ancak Sıfır Güvenin daha çok ağınızı yönetmeye ilişkin bir kavram olduğunu unutmayın - bu nedenle size burada yalnızca öneriler ve başlangıç noktaları verebiliriz.

 

görünürlük

Görünürlük ile, ağ yöneticisinin kendi ağlarında neler olup bittiğini her zaman bilmesi ve öğrenmesi gerektiği anlamına gelir. Bir teklif, Device Insight'tır . Device Insight, ağ geçidimizde bir istemcinin IP Adresi, MAC Adresi, işletim sistemi, hatta bazen sürüm, satıcı ve cihaz türü gibi bilgilerini bulabilen güçlü bir analiz aracıdır. Teknoloji ilerledikçe gelecekte daha fazlası gelecektir - ağ geçidi cihazları yalnızca ağlarında yerel olarak kontrol etmekle kalmaz, aynı zamanda ek bilgi sağlayan bir bulut sunucusu tarafından da desteklenir.

mceclip1.png

Bu, teorik olarak size, örneğin, çalışanlarınızın bu makinelerle tam donanımlı olduğunu biliyorsanız, örneğin MacBook'ların ağa bağlanmasına izin verme imkanı verir ve kötü niyetli kişilerin cihazlarını şirkete sokmasını zorlaştırır. ağ. Bununla ilgili daha fazla bilgi için aşağıdaki makaleye ve referans olarak aşağıdaki birkaç resme bakın:

USG FLEX/ATP/VPN Serisi için Cihaz Öngörü Özelliği

mceclip2.png

 

Kontrol

İş ağları hassas altyapılardır. Mümkün olduğunca "kapıları açmaktan" kaçınmak ve herkesin kontrol etmeden içeri girmesine izin vermek istiyorsunuz. Evinizin kapısını kimsenin girmesine izin vermeyeceğiniz için, bir cihazın ağa girmesine izin verilip verilmeyeceğine karar vermek istersiniz. Bunun için elimizde farklı seçenekler var ve bunları iç içe geçirmek size bunlardan en büyük kazancı sağlıyor:

  • 2 Faktörlü Kimlik Doğrulama
    • Bir kimlik doğrulama aşamasına değil, iki kimlik doğrulama aşamasına sahip olmanın avantajlarından yararlanın
  • RADIUS/AD aracılığıyla Kullanıcı Kimlik Doğrulaması
    • Yerel kullanıcılardan kimlik doğrulama sunucularınıza göre kendilerini doğrulamaları istenebilir
  • VPN aracılığıyla Kullanıcı Kimlik Doğrulaması
    • Yerel kullanıcıların yanı sıra, uzaktan bağlı VPN istemcileriniz için de kimlik doğrulama ilkeleri uygulayabilirsiniz.
  • SecureWifi / Uzak AP
    • Ayrı iş ve özel ağlar, hatta evde!

Aşağıda, bu farklı alanlar için size bir başlangıç noktası sağlayan bazı yararlı eğitimler bulabilirsiniz:

Tüm 2FA Yöntemlerine Genel Bakış (İki Faktörlü Kimlik Doğrulama)

USG Serisi - Microsoft Active Directory ile SSL VPN istemcilerinin kimliğini doğrulayın

USG/ATP/VPN ile Active Directory Etki Alanına nasıl katılınır

Güvenli WiFi

 

Reaksiyon

Alabileceğiniz tüm ölçümler hoş ve zekicedir, ancak asıl soru şudur: Ya bunların hiçbiri yeterli olmazsa ve bir güvenlik tehdidiyle karşı karşıya kalırsanız? Zyxel ATP ve/veya USG FLEX ile korkmayın, çünkü bu cihazlar bir UTM Paketi (yani lisanslama ve kayıt üzerine) getirir, bu da size ağınıza yönelik riskleri ve tehlikeleri önlemek için tam yetenekler sağlar.

mceclip3.png

UTM Paketi şu UTM Hizmetlerinden oluşur:

  • İçerik filtresi
    • Belirli kriterlere uyan sayfalara erişimi engellemenize/izin vermemenize olanak tanır (ör. pornografik, ırkçı, şiddet içeren içerik vb.)
  • Kötü Amaçlı Yazılımdan Koruma
    • Ağlarınızı fidye yazılımları, virüsler, solucanlar, truva atları vb. kötü amaçlı yazılımlardan korur.
  • İşbirliğine Dayalı Tespit ve Müdahale
    • Kötü Amaçlı Yazılımdan Korumanızı bir sonraki düzeye taşıyın - CDR, ağınızdaki Erişim Noktalarının virüslü kablosuz istemcileri WiFi dışında engellemesine ve böylece daha fazla güvenlik sağlamasına olanak tanır
  • App Patrol
    • Normal güvenlik duvarı güvenlik politikaları ile taranması engellenemeyen ne tür içerik ve uygulamaların ağınızda kullanılabileceğini veya yasaklanabileceğini yönetin (örn.
  • IPS (Saldırı Önleme Sistemi) + ADP (Anormallik Tespiti ve -Koruma)
    • Ağınızdaki kaba kuvvet giriş girişimleri ve DoS saldırıları gibi kötü niyetli saldırılarla savaşın ve ağınız üzerinden garip, olağandışı trafik sorgularını bastırın
  • Sandboxing (yalnızca ATP Serisi)
    • UTM özelliklerinin taçlandırılmış kralı - Sandboxing, ağ üzerinden gönderilen dosyaların bulut hizmetleri aracılığıyla yarı gerçek zamanlı olarak kötü amaçlı kodlar için analiz edilmesine ve taranmasına ve ardından bir isabet kaydedildiğinde yeni kötü amaçlı yazılımdan koruma imzalarının yayılmasına olanak tanır. Bu, yeni kötü amaçlı yazılımlara sıfır saat tepki süresi sağlar ve dünya çapında yalnızca minimum sayıda istemcinin etkilenmesini sağlar. Temelde steroidler üzerinde sürü bağışıklığı oluşturmaktır!

Diğer bölümlerde olduğu gibi burada da yukarıda bahsedilen hizmetlerle ilgili bazı makaleler bulabilirsiniz:

En İyi Uygulama - ATP UTM Özellikleri

ATP Serisi: Neden bir sandbox'a ihtiyacınız var?

USG'de temel bir İçerik Filtresi Profili Oluşturma

Zyxel Tehdit İstihbaratı Web Sitesi

ZyWALL USG Serisi Güvenlikte İzinsiz Giriş Tespiti ve Önleme (IDP) Denetimi Gateways

App Patrol Profiller - Temel Kurulum

İşbirliğine Dayalı Tespit ve Müdahale (CDR)

mceclip4.png

 

SORUMLULUK REDDİ:

 Değerli müşterimiz, yerel dilinizde makaleler sağlamak için makine çevirisi kullandığımızı lütfen unutmayın. Tüm metinler doğru bir şekilde çevrilemeyebilir. Tercüme edilmiş versiyondaki bilgilerin doğruluğu hakkında sorularınız veya tutarsızlıklar varsa, lütfen orijinal makaleyi buradan inceleyin: Orijinal Versiyon

Bu bölümdeki makaleler

Daha fazlasını göster
Bu makale yardımcı oldu mu?
3 kişi içerisinden 2 kişi bunun yardımcı olduğunu düşündü
Paylaş