SaaS uygulamalarının, uzaktan çalışmanın ve gölge BT’nin yaygınlaşmasıyla birlikte kuruluşlar bulut tabanlı siber güvenliği benimseme zorunluluğunu hissediyor. Ve bu doğru çünkü kurumsal kaynaklar, trafik ve tehditler artık ofis binalarıyla sınırlı değil.
Güvenli Erişim Hizmeti Uç Noktası gibi bulut tabanlı güvenlik girişimleri (SASE) ve Güvenli Web Ağ Geçidi (SWG), Bulut Erişimi Güvenlik Aracıları (CASB), Veri Kaybını Önleme (DLP) ve Sıfır Güven Ağ Erişimi’nden (ZTNA) oluşan Güvenlik Hizmeti Uç Noktası (SSE), güvenliği etkin bir şekilde kurumsal kullanıcıların her yerine taşır, cihazlar ve kaynaklar tamamen bulut üzerinden sağlanır. Artık tüm güvenlik fonksiyonlarının bulut üzerinden sunulması ve tek bir cam panel üzerinden yönetilmesiyle, gelen ve giden trafik (diğer bir deyişle kuzey-güney trafiği) neredeyse tamamen güvenlidir.
Ancak doğu-batı trafiği, yani dahili ağ ve veri merkezlerinden geçen ve ağ çevresini geçmeyen trafik, hiçbir zaman bu bulut tabanlı güvenlik kontrollerine maruz kalmaz.
Bunu aşmanın bir yolu, özellikle doğu-batı trafiğini izleyen ve kontrol eden eski bir veri merkezi güvenlik duvarını sürdürmektir. Yeni başlayanlar için bu hibrit güvenlik mimarisi, farklı güvenlik çözümlerini yönetmenin maliyetini ve karmaşıklığını artırıyor; bu, kuruluşların bulut tabanlı birleştirilmiş güvenlik yığınlarıyla umutsuzca üstesinden gelmeye çalıştığı bir şey.
İkinci olarak, bulut ve şirket içi güvenlik bileşenleri arasında birleşik görünürlüğün bulunmaması, paylaşılan bağlamın kaybına neden olabilir ve bu da güvenlik boşluklarını kaçınılmaz hale getirir. Güvenlik Bilgileri ve Olay Yönetimi (SIEM) veya Genişletilmiş Tespit ve Yanıt (XDR) çözümleri bile, farklı trafik türleri için hibrit güvenlik yığını sürdürmenin karmaşıklığını ve operasyonel yükünü gideremez. Bu nedenle kuruluşların hâlâ, gelen, giden ve dahili trafik için her yerde koruma sağlayan ve birleşik bir kontrol paneli aracılığıyla yönetilen tek, entegre güvenlik yığınına ihtiyacı var.
Bulutta yerel güvenliği doğu-batı trafiğine genişletme
Kuruluşların hem kuzey-güney hem de doğu-batı koruması sunan bir güvenlik çözümüne ihtiyacı var ancak bunların hepsinin birleşik, bulut tabanlı bir konsoldan yönetilmesi gerekiyor. Bunu başarmanın iki yolu vardır:
1. WAN güvenlik duvarı politikası aracılığıyla
SASE ve SSE gibi bulutta yerel güvenlik mimarileri, tüm dahili trafiği en yakın varlık noktasına (PoP) yeniden yönlendirerek tipik olarak bir veri merkezi güvenlik duvarı tarafından sağlanan doğu-batı korumasını sunabilir. Kendi yapılandırma ve yönetim kısıtlamalarıyla birlikte gelen yerel bir güvenlik duvarının aksine, SSE PoP’ta yapılandırılan güvenlik duvarı politikaları, platformun merkezi yönetim konsolu aracılığıyla yönetilebilir. Yöneticiler, birleşik konsolda aşağıdakilere dayalı erişim politikaları oluşturabilir. Örneğin, yalnızca kurumsal VLAN’a bağlı ve yetkili, Active Directory’ye kayıtlı bir cihazı çalıştıran yetkili kullanıcıların şirket içi veri merkezinde barındırılan hassas kaynaklara erişmesine izin verebilirler.
Ancak bazı durumlarda kuruluşların, trafiği PoP’a yönlendirmeden doğu-batı trafik korumasını yerel olarak uygulaması gerekebilir.
2. LAN güvenlik duvarı politikası aracılığıyla
IoT VLAN’a bağlı bir CCTV kamerasının dahili bir CCTV sunucusuna erişmesi gereken bir durumu düşünün.
IoT kamerasının kötü niyetli bir tehdit aktörü tarafından ele geçirilmeye ve uzak bir C2 sunucusu aracılığıyla internet üzerinden kontrol edilmeye karşı duyarlılığı göz önüne alındığında, kameranın interneti veya WAN erişimi varsayılan olarak devre dışı bırakılmalıdır. PoP’ta veri merkezi güvenlik duvarı politikası uygulanırsa interneti devre dışı bırakılan IoT cihazlarından gelen trafik doğal olarak bu politikalardan muaf olacaktır. Bu boşluğu kapatmak için SASE ve SSE platformları, yöneticilerin yerel SD-WAN cihazında güvenlik duvarı politikalarını yapılandırmasına izin verebilir.
Tipik olarak kuruluşlar SASE veya SSE PoP’lara, sahada kurulu, soket olarak da bilinen bir SD-WAN cihazı aracılığıyla bağlanır. Merkezi kontrol paneli, yöneticilerin dahili veya LAN trafiğini WAN üzerinden PoP’a göndermeden doğrudan SD-WAN cihazında izin verme veya engelleme kurallarını yapılandırmasına olanak tanıyabilir.
Bu senaryoda, trafik önceden yapılandırılmış LAN güvenlik duvarı ilkeleriyle eşleşiyorsa kurallar yerel olarak uygulanabilir. Örneğin yöneticiler, kurumsal VLAN kullanıcılarının yazıcı VLAN’ına bağlı yazıcılara erişmesine izin verirken konuk Wi-Fi kullanıcılarının bu tür erişimini engelleyebilir. Trafiğin önceden tanımlanmış politikalarla eşleşmemesi durumunda trafik daha ileri sınıflandırma için PoP’a iletilebilir.
Bulut tabanlı doğu-batı koruması gidilecek yoldur
Güvenlik fonksiyonları giderek daha fazla buluta geçtikçe, sahada ihtiyaç duyulan kontrolleri ve güvenlik önlemlerini gözden kaçırmamak büyük önem taşıyor.
Bulutta yerel korumalar, karmaşıklıkları azaltırken ve yakınsamayı artırırken kapsamı artırmayı amaçlar. SASE ve SSE mimarileri dahilinde doğu-batı trafiğinin korunmasını sağlamak ne kadar kritik olursa olsun, bu tür platformların sunduğu birleşik görünürlük, kontrol ve yönetimi sürdürmek de aynı derecede önemlidir. Bunu başarmak için kuruluşların yeni ortaya çıkan tehditlere kapılmaktan ve farklı güvenlik çözümlerini geri eklemekten kaçınmaları gerekir.
Bu nedenle, bulut tabanlı güvenlik paradigmalarına eklenen herhangi bir şirket içi güvenlik önlemi, LAN ve WAN trafiğinde ayrıntılı politika yapılandırması ve uçtan uca görünürlük için birleşik bir kontrol panelini korumalıdır. Kuruluşların bulut ve şirket içi güvenlik arasındaki boşluğu güvenilir bir şekilde kapatabilmesinin ve sürdürülebilir, uyarlanabilir ve geleceğe hazır bir güvenlik yığını sunmasının tek yolu budur.
