Mimarinin temeli güvenlikle yükseliyor

Kurumsal bilişim altyapıları zaten bir değişim ve gelişim içindeydi, ama pandemi dönemi bu adımları hızlandırdı. Bilişim altyapılarında bulut gücünü gösterir, hizmet olarak kullanılan başlıklar öne çıkarken, güvenlik başlığında adımlar da yeniden tanımlanıyor. 

Çünkü hem sürdürülebilirlik için yeni stratejiler gerekli hale geldi hem riskler değişi ve gelişti hem de rutin kurumsal ihtiyaçlar yepyeni bir güvenlik anlayışını gerekli kılmaya başladı. Ofisten çıkan çalışanların artık hibrit çalışma modelleri ile ilerlemesi bunun ilk akla gelen örneği. BThaber ve Cisco iş birliğinde 27 Nisan’da düzenlenen “Cisco ile Güvenlik Mimarisi” dijital etkinliği bu konuda yetkin isimleri bir araya getirdi.

Açılışı yapan isim Cisco Teknik Çözümler Mimarı Murat Çakır oldu. “Cisco Referans Güvenlik Mimarisi” başlıklı sunumuyla Murat Çakır, bu mimarinin sadece Cisco ürünü olmak zorunda olmadığına vurgu yaptı. Bu yapıda beş ana katmandan oluşan bir mimari söz konusu. Hibrid çalışma ve uzaktan çalışmaya geçişle beraber dışarıdaki kullanıcıların bağlandıkları makinelerin güvenlik duruşları da önem kazandı. Cisco Security ürünleri, network için kullanılan IdentityServer gibi ürünler yıllardır en çok kullanılan, oturmuş ürünlerdi. “Bunun üzerine kattığımız katmanlar da oldu” vurgusunu yapan Murat Çakır, güvenlik yönetimi kademesindeki çalışanların, kullanıcıların makinelerinin net bir şekilde kurum kimliğine, kurum politikaları ile örtüşen bir şekilde kullanıp kullanmadıklarını görme şansı olduğunu da vurguladı. Uç noktaya indirilen güvenlik servislerini çok yetkin biçimde konumlandırdıklarını ifade eden Murat Çakır, ekledi: “Burada kullanıcılarımız için çok rahat bir Cisco geçişi oluyor. Çünkü çoğu OpenDNS temelli Umbrella ürünümüzde zaten DNS güvenliğinde kullanmaya başlıyorlar.” Servislere göre network ve güvenlik birleştirilebiliyor. Bunları kendi özel bulutlarında yapmak isteyenler de hibrit bulutta konumlandırmak isteyen de olabiliyor. Sahada veya lokalde yönetmek isteyenlere tercih imkanı sunduklarını vurgulayan Murat Çakır, Cisco ürünlerinin her türlü yeniliğe bugünden hazır olduğunun altını çizdi. Entegrasyon ve uç noktaya iletim, haberleşme kadar iş yüklerinin de paylaşımı bu güvenlik mimarisinde önem taşıyor. Bütün bu yapının temeli ise amaçla ilgili teknolojiye dayanıyor. Murat Çakır’ın tanımıyla, amaçla ilgili teknolojiyi kullananlar, üretenler, teknolojiyi ve cihazları birleştirsin, konuştursun istiyoruz. Burada olmazsa olmaz bir konu da Cisco’nun başından beri önem verdiği OT network’leri. Çünkü OT networkler ayakta değilse hiçbir şey ayakta kalmıyor. Bu vurgusunu, “Bunu Ukrayna’da BlackEnergy siber tehdidi ile yaşadık” örneği ile pekiştiren Murat Çakır, şöyle devam etti:

Bilgi ve aksiyon paylaşımı esas

“Hibrid olmayan, on-prem bir veri merkezi ile dışarıdan alınmış SaaS servisleri çalışıyor olabilir, fark etmiyor. Koruma sağlanabiliyor ve iş yükleri üzerinde kendi özellikleri ile sağlanıyor. İş yüklerinin üzerinde çalıştığımız zaman, her servis ve uygulamaya da hakim olduğumuz için onların üzerinde zafiyetleri de doğrudan söyleyebiliyoruz ve bir karne çıkartıyoruz. Genel resmi ortaya koyan ve yönetim kurulu toplantısında gösterebileceğimiz bir karnemiz de oluyor. Bunların hepsinde firewall’larımızı, fiziksel uygulamaları kullanmamız mümkün. Bunları Kubernetes gibi ortamlarda da kullanmamız mümkün. Baştan başa bir mimari var, ama bu mimarinin operasyonu başka bir katman olarak göze çarpıyor. Çünkü bu operasyonu ne kadar fazla araçla ve ne kadar sürede yönettiğiniz çok önemli. Yani bir güvenlik olayı olduğu zaman bu karşı harekete geçme süreniz ve yanıtınız ne kadar sürüyor sorusuna verilen yanıtlar kritik. İşte güvenlik odağında bizim çalıştığımız konu da bunu hızlı, net ve en doğru biçimde yapabilmek. Burada kuralları değiştiren olabilmek için bizim ürünlerimiz kendi aralarında, ama diğer ürünlerle de konuşsunlar istedik. Bu ürünlerle konuşurken de sadece bilgiyi ve içeriği paylaşmasınlar aynı zamanda aksiyonları da paylaşsınlar diye yola çıkmıştık. Herkes yatırımları yapmak konusunda aynı kabiliyete ya da bütçeye sahip olamıyor. Biz de dedik ki herhangi bir Cisco Security ürünü alan kullanabilsin, ayrıca diğer Cisco ve Cisco olmayan ürünleri de entegre edebilsin, ücretsiz olarak orkestrasyonu, operasyonu ve yanıtı üstlensin istedik.”

SD-WAN mimarisi ve güvenliği

Dijital etkinlik, “Referans Mimarinin Bileşenleri” başlıklı panel ile devam etti. BThaber Gazetesi Editörü Handan Aybars‘ın yönettiği panelin katılımcıları ise Cisco Kurumsal Ağlar Çözüm Mimarı Kubilay Akgül, Cisco Ürün Satış Sorumlusu Özgür Güler ve Cisco CTO’su Ümit Aşkan oldu. Cisco’nun güvenlik referans mimarisi aslında çok büyük bir katmandan oluşuyor ve burada tüm paydaşlara IT ekibi olan ve IT ekibi dışındaki taraflara çok önemli görevler düşüyor. Bu noktada da Cisco ürün ve çözümleri önemli bir destek noktası sağlıyor. Cisco SD-WAN yapısının birçok alanda karşımıza çıktığını belirterek söze başlayan Kubilay Akgül’ün belirttiği gibi SD-WAN mimarisinin kendi güvenliği önemli. Çünkü cihazların güvenli bir şekilde buluşması ve konuşmaya başlaması olmazsa olmazlardan.

Burada asıl konsantre oldukları noktayı ‘o altyapıyı kullanan kullanıcıları korumak için ne tür güvenlik çözümleri sağlamak gerektiği’ sözleri ile tanımlayan Kubilay Akgül, detayları da paylaştı. Buna göre, öncelikle farklı güvenlik ihtiyaçlarına sahip olan farklı grupları segmente edip, makro segmentasyon ile birbirinden tamamen izole etmek esas. Bütün bu güvenlik özelliklerinin uç sistem üzerinden, kutu üzerinde verilmesi değerlendirildiğinde, ‘güvenlik özelliklerini buluta taşıyalım’ denilen noktada önce DNS güvenliği daha sonra güvenli internet erişimi dediğimiz, son zamanlarda SASE şeklinde bir çözüm haline gelen Umbrella çözümü var. Kubilay Akgül, SD-WAN cihazlarının tamamının otomatik olarak binlercesinin tünelle bulut güvenlik sistemlerine bir erişim sağlaması ve bu tüm lokasyonlardaki kullanıcıların internete erişirken ihtiyaç duydukları güvenlik özelliklerinin bulut ortamında sağlanmasında Umbrella’nın önemine dikkat çekti. Kutu üzerinde sağlanan tüm güvenlik özellikleri SD-WAN tarafında sunulan tüm lisans kategorileri içinde de mevcut. Akgül’ün tabiriyle bunun için ayrı ve ekstra bir lisansa ihtiyaç olmuyor. “Bugün Cisco SD-WAN kullanan tüm müşterilerimiz bahsettiğim tüm güvenlik özelliklerine sahip oluyor” diyen Kubilay Akgül, şöyle devam etti:

Bulut güvenliği Umbrella’da

“Konu güvenlik olduğunda ister uç tarafta ister bulutta olsun, orada doğru güvenliği doğru koşullarda ihtiyaçlar doğrultusunda biz her zaman masada tutmaya çalışıyoruz. Bazen ikisinin hibrid olarak kullanılması da gerekebiliyor. Önce on-prem özelliklerle veri merkezine veya şubeden şubeye olan erişimin güvenliği söz konusu olduğunda, kutu üzerinde güvenlik özellikleri konulurken yavaş yavaş bulut adaptasyonu ile artık trafiğin çok büyük kısmı veri merkezinize değil, direkt internete çıkmaya başladığında hem ölçeklenebilirlik anlamında hem daha fazla güvenlik özelliğine ihtiyaç duyduğumuz noktada bulut güvenliği çok daha efektif olarak sunulabilen bir özellik oluyor. Bulut güvenliği dediğimizde, biz daha çok Umbrella’yı konuşuyoruz. Meraki’nin de üzerinde güvenlik özellikleri var. SD-WAN dediğimizde yine kutu üzerinde özellikler var. Talos bizim tehdit istihbarat birimimizdir. Bunların daha ölçeklenebilir bir şekilde internete taşınmış hali aslında bulut güvenliği ya da bizim dilimizde Umbrella. İster ana merkez binanızda olun isterseniz uzak ofislerinizde olun ister mobil olarak bir kafeteryada, evinizden çalışıyor olun, bulunduğunuz ortam, kullandığınız cihaz bağımsız olarak güvenliği sağlamak için kesinlikle burada bulut güvenliğini Umbrella sağlıyor. Gelişen riskler gelişen tehditler söz konusu olduğunda kurumsal farkındalık oldukça yüksek seviyede. Bunun güvenli bir şekilde sağlanması için konuştuğumuz müşterilerimizle mutlaka güvenlik konuşuluyor. Mutlaka konu bulut güvenliğine geliyor. Bulut hizmetlerini bağlılıktan dolayı bulut güvenliği olmazsa olmaz.”

Talos, istihbaratı ile güç veriyor

Meraki yapısı, bu çözümün arka tarafında ciddi bir entegrasyon oluşturuyor. Özgür Güler, bunu iki yönden değerlendirdi. Birincisi Meraki’nin ürün portföyünde olan bir güvenlik ürünü olan, Meraki MX Security Appliance denilen, aynı zamanda SD-WAN için de kullanılan ürün ailesi. Bu ürün ailesi, içerisindeki güvenlik özellikleri ile birlikte doğrudan Cisco güvenlik portföyünün bir parçası. Çünkü MX Security Appliance, tehdit istihbaratı için Talos’un gücünü kullanıyor. Burada bir entegrasyondan ziyade, doğrudan Cisco’nun güvenlik ailesinin bir parçası tanımını yapmak mümkün Meraki MX ve SD-WAN ailesi için. İkinci olarak ise daha çok entegrasyon tarafında ele alınabilecek firewall tarafından çok, network ürün ailelerinde ciddi entegrasyon mevcut. Tüm Cisco Ağ Kabul Denetimi (NAC) özelliklerinin kullanılması, mikro segmantasyon gibi kullanım alanlarının gerçekleştirilmesi ve bunların bütün Access point’lerle uygulanması gerçekleştiriliyor. Özgür Güler, şu bilgileri de paylaştı:

“Burada asıl önemli başlık Umbrella. Çünkü Umbrella’nın çok farklı bir yeri var Meraki için. Çok derin entegrasyonlar söz konusu. Sadece Meraki’nin firewall’u MX ile değil, aynı zamanda Access point’ler ile de entegre olabilir bir yapı var Umbrella’da. Her ikisinin de bulut platformu olması sayesinde network seviyesinde DNS güvenliğini uygulamak mümkün olabiliyor. Hem de client’lara, son kullanıcıya hiç dokunmadan DNS güvenliğini network seviyesinde uygulamak mümkün olabiliyor. Hem de bu yapıda son kullanıcının haberi bile olmadan, son kullanıcının bilgisayar üzerinde herhangi bir değişiklik yapması gerekmeden, misafir kullanıcılarımıza da uygulayabileceğimiz seviyede, DNS güvenliğini uygulamak söz konusu. Umbrella tarafında DNS güvenliği dediğimiz ‘sadece burası güvenlidir, burası değildir’ şeklinde değil. Umbrella tarafındaki politikalar da çok geniş ve orada belli filtreler uygulanabiliyor. Bunların tamamını network seviyesinde uygulamayı sağlıyor. Bugünlerin çok önemli konusu olan SASE tarafı var. Bu konuda kurumsal farkındalığa baktığımızda, müşterilerimizle konuştuğumuzda genellikle kurumsal farkındalığın oldukça iyi seviyede olduğunu söyleyebilirim. İnsanlar özellikle hibrid çalışma dönemine geçişle birlikte dışarıda çalışan kullanıcıların, ofisten çalışan kullanıcıların, evinden çalışan kullanıcıların hepsine aynı güvenlik politikalarını aynı güvenlik seviyesini uygulayabilme seviyesinde çok ciddi bir efor sarf ediyorlar. Bu noktada önerdiğimiz çözümleri sağlayabilmeleri için önemli araçlar onlara sunuluyor. Bu konuda ciddi bir talep var açıkçası. Farkındalığın olduğunu bilmek güzel.”

Tüm işleyiş pandemi ile değişti

Bütün sistemlerin, şirketlerin ana işleyiş noktaları veri merkezleri. Bu veri merkezlerinin içinde duran kurumsal varlıklara erişirken mutlaka seviyelendirilmeleri gerekiyor. Bu vurguyu yapan Cisco CTO’su Ümit Aşkan’a göre, pandemiden sonra kullanıcıların veriye eriştikleri yerler de çok önemli hale geldi. Çünkü insanlar mobil çalışıyorlar. Bir kullanıcının bir şirket bilgisayarından bir veriye erişirken sahip olabileceği güvenlik seviyesi ile bir genel ortamdan bu sistemlere erişmesi gerektiği zaman kullandığı makine kendine ait olmadığı için gereken güvenlik seviyesi birbirinden farklı olabiliyor. Bu nedenle Ümit Aşkan’ın da belirttiği gibi, kullanıcıların bu verilere erişme zamanlarına veya eriştikleri cihazların tiplerine göre seviyelendirilmeleri gerek. “Burada yetkilendirmeyi yaparken şirket içerisinde çalışan bütün departmanların ortak olarak bir karara varması gerek öncelikli olarak” vurgusunu yapan Ümit Aşkan, şunları söyledi:

“Artık sistemler otomatik olarak geliyor ve birbirini besliyor. Bir yerden gelen veri başka bir yerde otomatik olarak girdi olarak kullanılıp ona göre kurallar otomatik olarak işletilebiliyor ve bu da operatörlerin işlerini yapmasını kolaylaştırıyor, hata yapma seçeneğini azaltıyor. Siz kural setlerini sistemlere verdiğiniz zaman sistemler otomatik olarak yüklendiğinde hata riski çok daha az oluyor. Bu durumda DevOps yapısının ne kadar önemli olduğunu anlıyoruz. Sistemlere temel olarak baktığımız zaman şirketlerin hepsi dijital dünyanın içerisinde dijital olarak uygulamalarla işletiliyor. Bazı uygulamalara şirketlerin kendi çalışanları erişiyor. Bir veri merkezinin içinde birçok sistem var. Bu sistemlerin her birisinin birbirinden ayrık olarak yürütülebilir olması, bir sistemde bir sıkıntı çıktığı zaman başka bir sisteme etki etmemesi gerekiyor. Bunları tamamen ayırt etmeniz gerekiyor ki bir yerde sorun yaşadığınız zaman diğer sistemlerinizi etkilemesin. Bu da yazılım seviyesinden başlıyor. Bu uygulamaları geliştirdikten sonra da yapısal olarak uygulama setinin içerisindeki parçaların tamamen birbirinden hem segmente edilebilir hem ayrı ayrı yürütülebilir hem de ayrı ayrı güvenlik seviyelerinde kullanılabilir olması gerekiyor. Sonuçta her şirketin bir iş akış modeli, bu modellere ve prosedürlere göre değiştirmeniz gereken noktalar var. Bu yapının tamamı incelenir ve bu yapının içerisinde güvenlik seviyelerinin işletimi belirlenirken şirketlerin mutlaka terzi dikim modeline gitmesi gerekiyor. Sonuçta şirketler kaynaklarına göre de değişiyor. Şirketlerin kaynakları daha optimum kullanılabilmesi için sistemler ne kadar kendi içlerinde çalışırsa, operasyon ekiplerine de o kadar az iş düşüyor. Birçok servisi barındıran veri merkezlerinde servislerin kategorize edilmesi çok önemli bir nokta. Bundan sonra da segmente edilmesi kritik. Çünkü veri merkezi dış dünyaya açık ve birçok etkiye, riske duyarlı durumda. O kadar farklı servisin içerisinde o kadar farklı ve birbiri ile bağlı uygulama çalışıyor ki o servisi verebilmek ve o uygulamaların hepsinin ne olduğunu bilmek çok kritik ve zor bir konu. Çünkü sürekli yeni şeyler yazılıp ekleniyor, yeni parçalar devreye alınıyor, sistemler değişebiliyor. Bunu ortadan kaldırabilmek için artık yepyeni uygulamalar var. Cisco’nun uygulaması bütün veri merkezi içerisinde var olan bütün altyapının tamamını sizin için irdeliyor ve bu altyapı içerisinde bulunan bütün uygulamaların birbiri ile nasıl konuştuğunu size gösterebiliyor. Gerçek zamanlı olarak bütün veri merkezi içerisinde ne olduğunu, hangi uygulamanın hangi diğer uygulama ile konuşurken neleri kullandığını da gösterebiliyor.”