Verilerinizin iyiliği için, kimseye güvenmeyin!

Doğru yapılandırılmış kimlik ve erişim yönetimi altyapısı şirketlere siber güvenlik konusunda önemli destek sunuyor.

Kimlik ve erişim yönetimi; süreçleri karmaşıklaşan teknoloji ortamlarında doğru kişilere doğru zamanda doğru nedenlerle doğru yetkilerin verilmesini sağlarken, birçok faydayı da beraberinde getiriyor. Bunun bir örneği olarak, her ölçekte kurum tarafından kullanılabilen çözümler şirketlerin regülasyonlara uyumunu da sağladığı gibi, veri güvenliğini sağlamalarını da destekliyor. Bilişim Zirves’nin 19 Ocak’ta Thales katkıları ile gerçekleştirdiği dijital buluşma “Kimlik ve Erişim Yönetiminde Zero Trust ile Güvenlik” de erişim yönetiminin faydalarını ve gerekliliğini ortaya koydu.

Dijital etkinlikte ilk sözü alan isim “Yeni Nesil Kimlik ve Erişim Yönetimi” başlıklı sunumuyla Thales Bölge Satış Yöneticisi Eda Ernez oldu. 68 ülkede ofisleri ve 80 binin üzerinde çalışanı ile Thales hakkında kurumsal bilgiler paylaşarak konuşmasına başlayan Eda Ernez, 7 farklı iş biriminden oluşan bir Fransız teknoloji firması olan Thales’in stratejik satın almaları hakkında da bilgiler paylaştı. “Bizim içinde ulunduğumuz kısım dijital kimlik ve güvenlik ve Thales bu başlıkta farklı firmaları da süreç içinde bünyesine kattı. Özellikle kimlik tanımlama tarafında Gemalto da bu şirketlerden biri oldu” bilgisini veren Eda Ernez, Türkiye operasyonu hakkında şu bilgileri paylaştı:

Her kurumun önceliği veri koruma

“Türkiye’de tüm bu farklı iş kollarından çalışan yaklaşık 400 kişilik bir ekibiz. Bizim de içinde bulunduğumuz bölümün bir bölümü Ankara ekibimizin yönettiği kimlik ve pasaport sistemleri üretimi ve dağıtımı. Şu anda Türkiye’de kullanılmakta olan çipli pasaportlar ve çipli kimlik kartlarının bir kısmı bizim üretimimiz. Banka kartları kısmı da farklı bir iş birimimiz ve ATM kartları, kredi kartlarının çoğu yine bizim bünyemizde üretiliyor. Türkiye’de bu konuda üretim yapan bir fabrikaya da sahibiz. Bu fabrika Türkiye’nin ihtiyacını karşıladığı gibi bölgeye de destek sunmakta. Bir diğer birimimiz SIM kart bölümü. Bu konuda dünyadaki en büyük iki üreticiden biriyiz. Hem Türkiye hem globaldeki birçok operatör ile çalışıyoruz. Bizim olduğumuz bölüm ise Türkiye’de iki departman olarak aktif. Erişim yönetimi ve tanımlama sistemleri, diğeri ise veri koruma dediğimiz şifreleme ve kripto teknolojisi ile key üretilmesi ve bunların saklanması, kurumların kritik verilerinin olduğu yerde kullanılması. Bizim bu çekirdek ekibimiz olan erişim yönetimi ve veri koruma tarafında küresel bazda 2 bin 600 çalışanımız, küresel bazda 30 binden fazla müşterimiz var. Bu müşterilerin sektörel dağılımlarına baktığımızda tüm sektörleri kapsadığımızı söyleyebiliriz. Dijital ödeme sistemleri, sağlık, kamu, perakende, bankacılık ve finansal hizmetler gibi başlılardaki şirketlerde teknolojilerimiz mevcut. Çünkü sektör bağımsız her kurumun koruması gereken verisi var.”

Bulutun yükselişinde Türkiye de öne çıkıyor

Bu kurumsal bilgilerin ardından Eda Ernez, dijital dönüşüme ve bu dönüşümün en büyük çıkarımı olarak tanımladığı buluta odaklandı. Hem globalde hem de Türkiye’de giderek daha fazla kullanılan bulutun ardından ikinci başlık ise IoT ve ağ mimarisinde bunların güvenliği. Veri analitiği de bir diğer iş kolu. “Bu süreçte en fazla evrim geçiren başlık ise dijital ödeme sistemleri” diyen Eda Ernez, siber tehditlerin yoğunluk kazanması paralelinde çözümlerine yönelik ilginin de arttığına dikkat çekti.

Çünkü saldırıların başlıca yöntemleri kimlik hırsızlığı olurken, zararın başlıca nedenleri ise şifrelenmemiş veriden kaynaklanıyor. “İhlal olaylarının yüzde 69’unun kimlik hırsızlığından kaynaklandığını biliyoruz. Bunun sonucu olarak da şifrelenmemiş veriler yüzde 95 oranında çalınıyor. Bu da ciddi veri kaybı anlamına geliyor” gerçeğine dikkat çeken Eda Ernez, yoğunlaştıkları iki konunun bu olduğunu vurguladı. Ernez, bir Gartner çalışmasına da sunumunda değindi. Bulut servisleri ile ilgili bu çalışmada 2018 yılından 2022 yılına kadar küresel bazda bulut servislere yapılan yatırımlar yüzde 12,6 oranında olacak. Bu da ciddi bir bütçeye denk geliyor. 2021 yılında yatırım yapılacak alanlar sorulduğunda ise ikinci sırada siber güvenlik, üçüncü sırada bulut servisleri ve çözümleri var. Ernez’in de dikkat çektiği gibi, bu da yeni dönemde bulut servislerin daha fazla kullanılacağını gösteriyor. Küresel bazda bulut adaptasyonuna bakıldığında ABD bu başlıkta üst sırada yer alıyor. Onu izleyen İngiltere, Kanada, Hollanda var. Bu sıralamanın atındaki kategoride ise Fransa, Almanya ve Rusya’nın yanında Türkiye de var. “Türkiye’nin bulut adaptasyonunun daha geride olduğunu sanıyordum. Ama son yıllarda önemli ölçüde arttığını görüyoruz” vurusunu yapan Eda Ernez, ‘zero trust’ kavramına da şu sözlerle değindi:

Çok faktörlü kimlik doğrulama artık bir gereklilik

“Benjamin Franklin’in bir sözü var: ‘Üç kişi bir sırrı saklayabilir, eğer ikisi ölüyse.’ Bu da net biçimde zero trust kavramını bize gösteriyor. Yani kurum içi ve kurum dışı hiç kimseye ve hiçbir cihaza güvenmememiz gerekiyor. Bu noktada zero trust kapsamında kurumlar ağ sınırları içinde ya da dışında hiçbir şeye otomatik olarak güvenmemeli. Firmalar kurumun belirli bir alanına erişmek isteyen kişiler için güven sağlamak amacıyla kullanıcılara konumlarına ve diğer verilere dayalı olarak uygulama düzeyinde uygulanan esnek güvenlikten yararlanmalıdır. Ağ yapısına herhangi bir ölçüde güvenmek yerine zero trust modeli tüm çabasını uygulamaları ve eriştikleri verileri koruma üzerine kurar. Zero trust gerekliliği ve modern erişim yönetimi için tetikleyici etkenler ise bulut uygulamalarının daha fazla kullanılıyor olması, BYOD dediğimiz mobilitenin artması ve bir kişinin birden fazla cihazla kurum verisine erişme istemesi, regülasyonlar ve sürekli gelişen içerikleri ve yaptırımları, en büyük nedenlerden biri de ofis dışından çalışmanın daha yaygın hale gelmesi. Bunun bir sebebi de pandemi. Zaten bu da yeni bir gerekliliği ortaya çıkardı ve çok faktörlü kimlik doğrulama gibi yeni nesil erişim yöntemlerinin önemini artırdı. Tahminimizce son 1 yılda tanımlama pazarındaki büyüme yüzde 20 seviyelerinde. Bizim güvenlik başlığında önerimiz; içeriği de hesaba katarak doğru zamanda doğru seviyedeki güvenliği, uygulama başına ve kullanıcı başına uygulayın. Öncelikle kullanıcıların farklı özelliklerinin olduğunun kabul edilmesi gerekiyor. Herkes konumu gereği farklı verileri kullanıyor ve bunların kullanım yetkilendirilmesinin doğru yapılması gerekiyor. İkincisi tüm bu karmaşayı ortadan kaldırmak için tekil bir çözümün olması gerekiyor. Bu da bulutta veya veri merkezindeki uygulamalara kullanıcı ayrı ayrı şifre girip, bunları ezberleyip, bunları bir yerde tutmaya çalışıp erişim sağlamaktansa, tanımladığı bir noktada tek bir şifre ile sisteme giriş yapması. Üçüncü ve en önemlisi ise bunu sağlayan üreticinin fazla sayıda token çeşitliliğine de sahip olması. Bu da yine kullanıcıların farklı profillere sahip olmasından kaynaklanıyor. Bizim için ideal sistem bu.”

Kullanıcılar ve uygulamalar güvende

“Looking to the Future with ID-centric Zero Trust” başlıklı sunumuyla Thales Identity and Access Management (IAM) Pazarlama Direktörü Danna Bethlehem Coronel, zero trust konseptinin uygulamalar ve veri merkezleri için önemine dikkat çekerek konuşmasına başladı. Çünkü güvenlik kritik ve uygulamalar, çalışanların erişmesi için gerekenler var. Eskiden birçok kullanıcı çalışan ofiste iken bugün bu geleneksel yapı hızlı bir değişim içinde. Danna Bethlehem Coronel’e göre, genel veri merkezinden tüm uygulamaları sunma stratejisi hızlı bir değişim sergiliyor. Bunun temel sebebi buluta geçiş. Ayrıca pandemi yüzünden evden çalışmak zorunda kalan çalışanların da sayısı önemli ölçüde arttı. Bu da kişilerin kurumsal uygulamalara erişiminde köklü değişimleri gerekli hale getirdi. “Dijital dönüşüm ekseninde baktığımız zaman uygulamalara günlük olarak erişen çalışanlar artık çok farklı cihazlardan bu verilere erişebilmek istiyor ve veri merkezi trafiği bu noktada yoğunluk yaşıyor” vurgusunu da yapan Danna Bethlehem Coronel’in dikkat çektiği gibi, hele de çalışanların önemli bir bölümü evden işlerini yürütmeye çalışır ve kurumsal veri merkezine bir VPN ile erişmeye çalışırken bu tıkanıklık öne çıkıyor. Eskiden VPN’e ulaşan uzak çalışan belli sayıda çalışan varken, bunlar veri merkezinden buluta da erişiyordu. Ama pandemi ile birlikte daha kalabalık bir çalışan grubu karşımızda. Onlar da VPN kullanarak on prem ve bulut uygulamalarına erişim sağlıyor. Danna Bethlehem Coronel’e göre, tüm çalışanlar şu dönemde VPN odaklı ilerlediği için on prem ve bulut bağlantıları için var olan mimaride dağılımı yönetmek de zorlaşıyor. “Buluta geçtiğimizde ve tüm uygulamalara bulut veri merkezinden erişilmeye başlandığında bu bulut uygulamalarını koruyan ek bir güvenlik de yok” hatırlatmasını yapan Danna Bethlehem Coronel, şöyle devam etti:

‘Kale&hendek’ güvenlik modeli eskide kaldı

“Bulut uygulamalarında oltalama saldırılarını bu sebeple yoğun olarak görüyoruz. Bu da kötü niyetli kişilerin kurumsal bulut uygulamalarına sızabilmesine yol açabiliyor. Pandemi birçok şirketin erişim için farklı yöntemlere odaklanmasına neden oluyor ve araştırmalar da bunu gösteriyor. Çünkü birçok şirket, pandemi sonrasında da mobilite ve maliyetleri azaltmak adına evden çalışmaya devam etmeyi planlıyor. Bu da BT yöneticileri ve risk yönetim ekiplerinin uzakta çalışanları bulut uygulamalara erişimde desteklemek ve güvenliği de sağlamak adına on prem altyapı ile bu yeni sürecin yönetilemeyeceğini görüyor. Zero trust bu noktada modern erişim ihtiyaçlarına yönelik önemli bir çözüm halini alıyor. Şirketlerin bu konudaki birçok ihtiyacına da yanıtları sunuyor. Bu yapıda kurumsal güvenlik kriterleri tek bir fiziksel lokasyona bağımlı değil, buluttan sunulan erişim noktaları söz konusu. Erişim kararlarının temelinde ise kimlikler var, veri merkezi değil. Kullanıcı, cihaz veya hizmet kimliği de erişim politikaları uygulamaları paralelinde temel yapı halini alıyor. Zero trust net bir temele sahip: Kurum içinde tüm işlemler güvenilmezdir ve erişimler de nerede olduğunuza değil, erişim yetkilendirmesi ve güvene bağlıdır. Kullanıcını uygulamalar arasında yolculuğunda güvenli olduğunun sürekli teyit edilmesi bu yönüyle önemlidir. Güvenin temelinde ise kim olduğunuz ve eriştiğiniz kaynağın ne olduğu belirleyicidir. Bu mimari, uygulamaya çok yakın olan kullanıcıyı korumak adına çok kritik. Kullanıcı kimliğini sürekli teyit ederek ilerlemek bu yönüyle önemli.”

“STA ile Yeni Nesil Erişim Yönetimi” başlıklı sunumuyla Thales Sistem Satış Mühendisi Sercan Koç, yeni nesil network mimarisi üzerine kimlik ve erişim güvenliğinin önem kazandığına dikkat çekti Sercan Koç’un tabiriyle gelinen noktada ‘kale&hendek’ güvenlik modeli artık eskide kaldı. Burada sundukları STA çözümü hakkında detaylı bilgiler paylaşan Sercan Koç, “Yeni nesil ihtiyaçlar paralelinde artık yeni bir model ile bulut uygulamalarına erişmek isteyen kullanıcılar için artık lokal bir tanımlamaya gerek kalmadan erişimlerini sağlamamız gerekiyor” vurgusunu yaptı.

Dijital etkinlik, “Erişim Yönetiminin Kurumlar için Önemi” başlıklı panelle tamamlandı.

BThaber Gazetesi editörü Handan Aybars’ın yönettiği panelin katılımcıları ise Eda Ernez ve Sercan Koç’un yanı sıra Kaptan Şirketler Grubu Bilgi İşlem Müdürü Sezgin Çebi oldu. Çebi, Thales çözümlerinin konumlandırılması sürecinde izledikleri kurumsal politikalar ve elde ettikleri faydalarla olumlu geri dönüşleri aktarırken, bu başlıkta çalışmaların sürekliliğinin önemine dikkat çekti.