VMware Zero Trust Mimarisi

Zero Trust nedir?

Güvenlik, kurumlar için eskiden beri süregelen bir zorluk olmasına karşın, günümüz dünyasında artan işgücü ile beraber güvenlik zorlukları (sorunları) giderek artmaktadir. Zero Trust terimini ilk kez kullanan analist John Kindervag, güvenlik çevresi içindeki varlıklara otomatik olarak güvenmeyen bir güvenlik modelinden bahsetmiştir.. O zamandan beri, hızla değişen çalışma stilleri ve SaaS uygulamalarının artan kullanımı, Zero Trust modelinin, verilerinizin güvenliğini ve korunmasını amaçlayan mimari bir zihniyet olan alternatif güvenliğin en önemli biçimlerinden biri haline gelmesine neden oldu.

Zero Trust bugün belki de en önemli konulardan birtanesi ve şuanda yazılım firmalarının güvenlik konusunda üstünde durduğu yegane konulardan biridir. Yalnız şuanda kafa karıştıran durum, Zero Trust modelinin yada teriminin sabit bir tanımı olmamasıdır. Çoğu uzman, Zero Trust için, belirli bir ağa bağlı olduğu için birine veya bir şeye güvenmememiz gerektiğini kabul eder. Ancak, yerel ağa güvenmeyeceğimiz takdirde, diğer yöntemleri kullanarak güven tesis etmeliyiz.

Geleneksel güvenlik mimarisiyle ilgili bir başka sorun, yerel ağın genellikle geniş bir çevreyi kapsadığı ve bu da güvence altına alınması zor olmasıdır. Büyük bir yapı veya çevre içerisine girildiğinde, saldırıyı kontrol altına almak zordur. Örnek vermek gerekirse, bu durum bir savaşta aynı anda bütün cepheleri kontrol altına almanıza benzer Tehditlerin paralel olarak hareket etme kabiliyeti (doğu-batı trafiği), aşağıdaki şekilde gösterildiği gibi, genellikle büyük bir çevreye sahip olmanın sonucudur.

Hal böyle olunca Zero Trust ile, ağ yapılarınızı yalnızca belirli bir uygulama için backend sistemini ve verilerini içerecek şekilde daraltırız. Tüm kullanıcı erişimi aynı şekilde ele alınır. Güvenlik açısından, dahili olarak bağlanan geleneksel bir cihazın kullanılması ile İnternet üzerinden bağlanan bir cihazın kullanılması arasında bir fark yoktur. Tüm istekler aynı katı gereklilikler kullanılarak doğrulanır. Birden çok küçük yapılar ile, bir alanda bir saldırının kontrol altına alınması çok daha kolaydır.

Varsayılan olarak, yerel ağın çevresindeki her şeye güvenemezsek, güvenimizi nereye koyabiliriz? Bu aşamada VMware’de, Zero Trust çözümü beş güven sütunu geliştirmeye dayanmaktadır. Bu sütunlar cihaz güveni, kullanıcı güveni, aktarım / oturum güveni, uygulama güveni ve veri güvenidir

Zero Trust Mimarisine Genel Bakış

Geleneksel güvenlik mimarisi ile, yerel ağ genellikle tek bir arıza noktası olabilen tek bir büyük çevreden oluşur. Bir saldırgan bu çevreye nüfuz etmeyi başarırsa, saldırı tüm DMZ boyunca yatay olarak hareket edebilir. Güvenlik öncelikle çevreye odaklandığından, saldırının kontrol altına alınması çok zor olabilir.

Mikro çevre kavramı, mimariyi tek bir büyük DMZ’den, her uygulama ve o uygulamanın verileri etrafındaki çok sayıda küçük sınıra dönüştürür. Bir saldırgan bu sınırlardan birine girmeyi başarırsa, yalnızca bu çevre içinde hareket edebilir ve daha kolay bir şekilde bulunabilir. Bu çok katmanlı yaklaşım üstün güvenlik sağlar.

Çok katmanlı yaklaşım, veri ve uygulama etrafına güvenlik eklenmesini, aktarım veya erişimin güvenli olduğundan emin olmayı ve kullanıcı ve erişim istemek için kullanılan aygıt hakkında güçlü bir bilgiye sahip olmayı içerir. Her katmandaki güvenlik denetimleri, denetim günlüklerini ayıklamanıza ve analiz oluşturmanıza olanak tanır. Günlükler ve analizlerle, tüm uygulamaların ve verilerin eşit şekilde korunduğu ve varsayılan olarak hiçbir kullanıcıya veya cihaza güvenilmeyen otomasyon ve düzenleme elde edebilirsiniz.

Aşağıdaki VMware Zero Trust: Teknik Genel Bakış videosu, VMware Zero Trust mimarisine teknik bir genel bakış sağlar ve aşağıdaki bölümler kısa bir özet sunar.

Zero Trust Mimarisinin Beş Sütunu

Aşağıdaki alt bölümler, her bir sütunu kategorilere ayırabilecek ve hangi VMware çözümlerinin güven oluşturmaya yardımcı olabileceğini gösteren parametrelere örnekler sunmaktadır.

Cihaz Güveni

Zero Trust modelinde, cihaz ve kullanıcı güveni, insanların sıklıkla başladığı iki temel dayanaktır. Genel olarak, bu iki alan, çözüm sunan en fazla ürün ve satıcıyı bulduğunuz alanlardır. Bir BT yöneticisi olarak Zero Trust için, cihazlarınıza güvenmeden önce onları bilmeniz gerekir. Hangi cihazlara sahip olduğunuzu ve böylece şirketiniz tarafından kontrol edildiğini belirten bir envanteriniz olmalıdır. Bu cihazları izleyen, yöneten ve kontrol eden bir çözümünüz olmalıdır.

Cihaz güvenini Zero Trust’ın bir parçası olarak entegre ederek, aşağıdaki parametreler hakkında ayrıntılı bilgi edinebilirsiniz:

Cihaz Güven Parametreleri

Cihaz Güvenini Çözecek Ürünler

• VMware Workspace ONE UEM , cihaz güveni oluşturmak için
• Aygıt kimlik doğrulaması gerçekleştirmek için VMware Unified Access Gateway
• Uç nokta güvenliği sağlamak için VMware Carbon Black

Kullanıcı Güveni

Kullanıcıya yüksek düzeyde güven sağlamak için modern ve güçlü kimlik doğrulama yöntemlerini kullanmalısınız. Yalnızca şifrelere güvenmek yeterli değildir. Birçok kimlik doğrulama yöntemini birlikte zincirleyebilirsiniz, ancak güvenlik avantajlarını kullanıcı deneyimindeki olası düşüşlere karşı da tartmanız gerekir. Sertifikalar, kullanıcı kimlik doğrulama yönteminizin temeli olarak idealdir. Sertifika tabanlı kimlik doğrulaması uygulandığında, kritik sistemler için çok faktörlü kimlik doğrulama (MFA) gibi şeyler ekleyebilirsiniz. Günümüzde çoğu MFA çözümü kullanıcı dostudur ve kullanıcı deneyimine en az rahatsızlık verir.

Zero Trust’in bir parçası olarak, daha güvenli kullanıcı kimlik doğrulama yöntemleri kullanmanız gerekir. Bu sütun, dinamik ve bağlamsal verileri kullanarak karar vermenize yardımcı olabilecek güçlü bir koşullu erişim motoru gerektirir .

Kullanıcı Güven Parametreleri

Kullanıcı Güvenini Çözecek Ürünler

Güçlü kimlik doğrulama ve dinamik koşullu erişim gerçekleştirmek için

VMware Workspace ONE Access ve VMware Workspace ONE Intelligence

Oturum Güveni

Kullanıcı, cihazları ve arka uç uygulaması ile verileri arasında iletişimi sağlamak için aktarım ve oturum güvencesine ihtiyacımız var. Bu güven sütunu, arka uca yalnızca geçerli isteklerin iletilmesini sağlamada kritik öneme sahiptir. İdeal bir durumda, mevcut bir oturumla etkileşim kurabilir ve güven düzeyinde bir değişiklik meydana geldiğinde oturumu hemen sonlandırabilirsiniz. Ancak bugün sadece birkaç çözüm bu yeteneğe sahiptir ve uygulamalara destekleri sınırlıdır. Bugün yapabileceğimiz en iyi şey, arka ucun kesinlikle mümkün olduğunca korunduğundan emin olmaktır.

Kaynaklara en az ayrıcalık erişimi olan Zero Trust ilkesini kullanarak, kullanıcılara erişim haklarını sınırlayabilir ve çalışmalarını gerçekleştirmek için gereken minimum izinleri verebilirsiniz.

Taşıma / Oturum Parametreleri

Taşıma / Oturum Güvenini Çözecek Ürünler

• Oturum için güvenli aktarım sağlamak üzere VMware Unified Access Gateway ve VMware Horizon 7
• Ağ üzerinde en az ayrıcalıklı erişimi uygulamaya yardımcı olacak kaynakların bölümlenmesi için VMware NSX-T DataCenter

Uygulama Güveni

Uygulamalarda tek oturum açmaya izin veren kullanıcı kimlik doğrulamasının modernizasyonu ile hem güvenlik hem de iyileştirilmiş bir kullanıcı deneyimi elde edersiniz. Zero Trust için tasarlanmamış geleneksel uygulamalar için, yalıtım biçiminde koruma ekleyebilirsiniz.

Uygulama Güven Parametreleri

Uygulama Güvenini Çözecek Ürün

• Uygulama güvenini uygulamak için VMware Horizon 7 ve VMware Workspace ONE UEM
• VMware Workspace ONE Güçlü kullanıcı kimlik doğrulamasına dayalı tek oturum açma gerçekleştirmek için erişim

Veri Güveni

Günün sonunda, büyük önem taşıyan veriler, güçlü güvenliğe sahip olmak için ihtiyacımızın tamamını kapsar. Veri ihlallerine ve sızıntılarına karşı korunmalı ve kullanıcılarımızın etkileşimde bulunduğu doğru, değiştirilmemiş veriler olduğundan emin olmalıyız. Veri sınıflandırması ve bütünlüğü, çoğunlukla uygulamanın kendisi tarafından ele alınsa da, bir Sıfır Güven mimarisi oluştururken mümkün olan her yerde güven seviyesini artırmalıyız.

Zero Trust modelinin son direği olarak verilerin güvende olduğundan emin olmalısınız.

Veri Güven Sütunu Parametreleri

Veri Güvenini Çözecek Ürünler

• Verilerin bütünlüğünü korumak, kontrol etmek ve sağlamak için VMware Workspace ONE UEM , VMware Horizon 7 ve VMware NSX-T DataCenter

Analiz ve Otomasyon

Zero Trust mimarisinin beş sütununda güven oluşturarak görünürlük ve analiz elde edebilirsiniz. Tüm trafiği kaydederek görünürlük sağlayan bir sisteme ihtiyacınız var. Bu bilgiler daha sonra ağ modellerini öğrenmek ve izlemek için kullanılabilir. Ortaya çıkan analizler, etkili dinamik politika ve güven kararları vermenize yardımcı olur.

Görünürlük ve analiz ile otomasyon ve düzenleme oluşturabilirsiniz. Workspace ONE ve Horizon platform hizmetleri, tüm ortamdan bağlamsal bilgiler toplamanızı sağlar, tam zamanında kararlar vermenizi ve tehditlerin giderilmesi için otomasyonu kullanmanızı sağlar.

Aşağıdaki bölümlerde, analiz ve otomasyon için gerekli öğeler hakkında ayrıntılar ve hangi VMware çözümlerinin yardımcı olabileceğini belirlemenize yardımcı olmak için verilmiştir.

Görünürlük ve Analiz

Sıfır Güven ilkesini izleyen bir çözümü uygulamak için “asla güvenme, her zaman doğrulama, en az ayrıcalığı uygulama”, tüm trafiği günlüğe kaydederek görünürlük sağlayan bir sisteme ihtiyacınız vardır. Bu bilgiler daha sonra ağ modellerini öğrenmek ve izlemek için kullanılabilir. Ortaya çıkan analizler, etkili dinamik politika ve güven kararları vermenize yardımcı olur.

Görünürlük ve Analiz Parametreleri

Görünürlük ve Analiz Yapacak Ürünler

• VMware Horizon 7
• VMware Unified Access Gateway
• VMware Workspace ONE Erişimi
• VMware Workspace ONE UEM
• VMware Workspace ONE Intelligence
• VMware Workspace ONE Trust Netwok

Otomasyon ve Orkestrasyon

Zero Trust’ın bir parçası olarak, daha güvenli kullanıcı kimlik doğrulama yöntemleri kullanmanız gerekir. Bu sütun, dinamik ve bağlamsal verileri kullanarak karar vermenize yardımcı olabilecek güçlü bir koşullu erişim motoru gerektirir .

Otomasyon ve Orkestrasyon Parametreleri

Bina Otomasyonu ve Orkestrasyon Ürünleri

• VMware Workspace ONE UEM
• VMware Workspace ONE Intelligence

Horizon Uygulamaları için Zero Trust Çözümü

Aşağıdaki şemada, çeşitli Workspace ONE ve Horizon bileşenlerinin aşağıdaki Zero Trust öğelerini içeren uçtan uca bir çözüm oluşturmak için nasıl etkileştikleri gösterilmektedir:

• Cihaz uyumluluğunun doğrulanması
• Koşullu, en az ayrıcalık erişimi
• Sertifika tabanlı ve çok faktörlü kimlik doğrulama
• Tek seferlik
• Ağların mikro bölümlenmesi
• Otomatik gerçek zamanlı tehdit algılama ve düzeltme
• Şifreleme
• Oturum koruması
• Verilerin korunması

Bu diyagramdaki sayılar aşağıdaki eylemlere karşılık gelir:

1. Aygıt, Workspace ONE Intelligent Hub kullanarak yönetim sistemine kaydolur. Aygıt kaydedildikten sonra, Workspace ONE UEM aygıta yönetim profilleri, aygıt sertifikaları ve kullanıcı sertifikaları gönderir.
2. Workspace ONE UEM, cihaz bilgilerini Workspace ONE Intelligence’a gönderir. Intelligence artık bu cihaz verilerini tehditleri tespit etmek ve Workspace ONE UEM’e düzeltme eylemleri gerçekleştirmesi konusunda talimat vermek için kullanabilir.
3. Trust Network aracısı uç nokta aygıtlarını korumak ve tehditleri gidermek için kullanılır. Bir tehdit belirlendiğinde, aracı ilgili tehdit bilgilerini Trust Network Cloud deposuna gönderir ve saklar.
4. Workspace ONE Intelligence, aygıtta yeni bildirilen tehditler için Trust Network veritabanını her 30 saniyede bir sorgular. Bu adımda, gelen tehdit verileri bir otomasyon için tanımlanan koşulla eşleşirse otomasyon eylemleri tetiklenir.
5. Kullanıcı Zero Trust çözümü tarafından korunan herhangi bir şeye erişmeye çalıştığında, öncelikle Workspace ONE Access’in koşullu erişim mekanizmasından geçmelidir.
6. Sertifika tabanlı kullanıcı kimlik doğrulaması sırasında Workspace ONE Access ayrıca aygıt UUID’sini sertifikadan toplar. Bu bilgilerle, Workspace ONE Erişimi, Workspace ONE UEM’den cihazın durumunu isteyebilir.
7. Kullanıcı koşullu erişim kurallarını başarıyla geçip uygulamayı başlattığında, Workspace ONE Access bu denetim olaylarını Workspace ONE Intelligence’a besler.
8. Workspace ONE Access bir SAML yapay nesnesi ve onaylama oluşturur. Bunlar, kullanıcının Horizon kaynaklarına erişmesine izin veren erişim belirteçleridir. Kimlik doğrulama isteği, SAML yapısı kullanılarak Unified Access Gateway’e iletilir.
9. Unified Access Gateway, SAML yapısını alır ve güvenilir bir kimlik sağlayıcısından geldiğinden emin olmak için JWT token ayarlarını doğrular.
10. Horizon Enrollment Server, Horizon tarafından yayınlanan uygulamada veya sanal masaüstünde tek oturum açmayı etkinleştirmek için kullanılır. Enrollment Server, Connection Server’dan sertifika imzalama istekleri alır ve ardından kullanıcı adına kısa ömürlü bir sertifika oluşturmak için bunları güvenilir Sertifika Yetkilisine iletir.
11. Horizon Agent yazılım hizmeti, tüm hedef VM’lerin, fiziksel sistemlerin veya RDSH sunucularının konuk işletim sistemine yüklenir. Bu aracı VM’lerin Connection Server tarafından yönetilmesine ve bir Horizon Client’ın hedef VM’de bir protokol oturumu oluşturmasına izin verir.
12. Dynamic Environment Manager, bir Horizon masaüstünün veya yayınlanan uygulama oturumunun Horizon Smart Policy’lerini Politikalarını ayarlar.
13. NSX-T Data Center, kullanıcı kimliğine göre mikro bölümleme güvenlik duvarı ilkesini uygular. Bu, ulaşım seviyesine en az ayrıcalık erişimi ilkesini uygular.

Umarım sizler içinde faydalı olmuştur.