Sıfır Güven teknoloji sütunları bölüm 2

  • 7 dakika

Bu ünitede devam edeceğiz ve kalan Sıfır Güven dağıtım hedeflerini açıklayacağız.

Sıfır Güven ile verilerin güvenliğini sağlama

Veri koruma stratejisinin üç temel öğesi şunlardır:

  1. Verilerinizi tanıma - Şirket içinde ve bulut hizmetlerinde hangi hassas verilere sahip olduğunuzu bilmiyorsanız, verileri yeterince koruyamazsınız. Kuruluşunuzun tamamında verileri bulmanız ve tüm verileri duyarlılık düzeyine göre sınıflandırmanız gerekir.
  2. Verilerinizi koruyun ve veri kaybını önleyin - Hassas verilerin, verileri etiketleyen ve şifreleyen veya aşırı paylaşımı engelleyen veri koruma ilkeleri tarafından korunması gerekir. Bu, veriler kurumsal ortamınızın dışına çıktığında bile yalnızca yetkili kullanıcıların verilere erişebilmesini sağlar.
  3. İzleme ve düzeltme - İlke ihlallerini ve riskli kullanıcı davranışlarını algılamak için hassas verileri sürekli izlemeniz gerekir. Bu, erişimi iptal etme, kullanıcıları engelleme ve koruma ilkelerinizi iyileştirme gibi uygun eylemleri gerçekleştirmenizi sağlar.

Veri Sıfır Güven dağıtım hedefleri

Bir bilgi koruma stratejisinin kuruluşunuzun tüm dijital içeriğini kapsaması gerekir. Temel olarak, etiketleri tanımlamanız, hassas verileri keşfetmeniz ve ortamınızda etiketlerin ve eylemlerin kullanımını izlemeniz gerekir. Duyarlılık etiketlerinin kullanımı bu kılavuzun sonunda açıklanmaktadır.

Veriler için uçtan uca bir Sıfır Güven çerçevesi uygularken öncelikle şu ilk dağıtım hedeflerine odaklanmanızı öneririz:

I. Erişim kararları şifrelemeye tabidir.
II. Veriler otomatik olarak sınıflandırılır ve etiketlenmiştir.

Bunlar tamamlandıktan sonra şu ek dağıtım hedeflerine odaklanın:

III. Sınıflandırma, akıllı makine öğrenmesi modelleri tarafından genişletilir.
IV. Erişim kararları bir bulut güvenlik ilkesi altyapısı tarafından yönetilir.
V. Duyarlılık etiketine ve içerik incelemesine dayalı olarak DLP ilkeleri aracılığıyla veri sızıntısını önleyin.

Sıfır Güven ile uç noktaların güvenliğini sağlama

Sıfır Güven "Asla güvenme, her zaman doğrulama" ilkesine bağlıdır. Uç noktalar açısından bu, her zaman tüm uç noktaları doğrulama anlamına gelir. Buna yalnızca yüklenici, iş ortağı ve konuk cihazları değil, cihaz sahipliği ne olursa olsun çalışanlar tarafından iş verilerine erişmek için kullanılan uygulamalar ve cihazlar da dahildir.

Sıfır Güven bir yaklaşımda aynı güvenlik ilkeleri, cihazın kendi cihazını getir (KCG) aracılığıyla şirkete ait mi yoksa kişisel mi olduğuna bakılmaksızın uygulanır; cihazın bt tarafından tam olarak yönetilip yönetilmediği veya yalnızca uygulamalar ve verilerin güvenliği sağlanır. İlkeler, pc, Mac, akıllı telefon, tablet, giyilebilir veya IoT cihazının bağlı olduğu her yerde güvenli kurumsal , ev geniş bant veya genel İnternet olsun tüm uç noktalar için geçerlidir.

Uç nokta Sıfır Güven dağıtım hedefleri

Uç noktaların güvenliğini sağlamak için uçtan uca bir Sıfır Güven çerçevesi uygularken öncelikle şu ilk dağıtım hedeflerine odaklanmanızı öneririz:

I. Uç noktalar bulut kimliği sağlayıcılarına kaydedilir. Herhangi bir kişi tarafından kullanılan birden çok uç noktanın güvenliğini ve riskini izlemek için, kaynaklarınıza erişebilecek tüm cihazlarda ve erişim noktalarında görünürlüğe sahip olmanız gerekir.

II. Erişim yalnızca bulut tarafından yönetilen ve uyumlu uç noktalara ve uygulamalara verilir. Erişim verilmeden önce cihazların minimum güvenlik gereksinimlerini karşıladığından emin olmak için uyumluluk kuralları ayarlayın. Ayrıca, uyumsuz cihazlar için düzeltme kuralları ayarlayarak kişilerin sorunu nasıl çözeceklerini bilmesini sağlayın.

III. Veri kaybı önleme (DLP) ilkeleri, kurumsal cihazlar ve KCG için uygulanır. Kullanıcının erişim elde ettikten sonra verilerle neler yapabileceğini denetleme. Örneğin, dosya kaydetmeyi güvenilmeyen konumlarla (yerel disk gibi) kısıtlayın veya verileri korumak için bir tüketici iletişim uygulaması veya sohbet uygulamasıyla kopyalayıp yapıştırma paylaşımını kısıtlayın.

Bunlar tamamlandıktan sonra şu ek dağıtım hedeflerine odaklanın:

IV. Uç nokta tehdit algılama, cihaz riskini izlemek için kullanılır. Tüm uç noktaları tutarlı bir şekilde yönetmek için tek bir cam bölme kullanın ve daha az ancak eyleme dönüştürülebilir uyarılar alacak şekilde uç nokta günlüklerini ve işlemlerini yönlendirmek için bir SIEM kullanın.

V. Erişim denetimi, hem kurumsal cihazlar hem de KCG için uç nokta riskiyle karşılanır. cihaz uyumluluk ilkeleri ve cihaz Koşullu Erişim kuralları için bilgi kaynağı olarak Uç Nokta için Microsoft Defender veya diğer Mobile Threat Defense (MTD) satıcılarından gelen verileri tümleştirin. Cihaz riski, bu cihazın kullanıcısı tarafından erişilebilecek kaynakları doğrudan etkiler.

Sıfır Güven ile altyapının güvenliğini sağlama

Azure Blueprints, Azure İlkeleri, Bulut için Microsoft Defender, Microsoft Sentinel ve Azure Sphere, dağıtılan altyapınızın güvenliğini artırmaya büyük katkıda bulunabilir ve altyapınızı tanımlamak, tasarlamak, sağlamak, dağıtmak ve izlemek için farklı bir yaklaşım sağlayabilir.

Altyapı Sıfır Güven dağıtım hedefleri

Altyapınızı yönetmek ve izlemek için uçtan uca bir Sıfır Güven çerçevesi uygularken öncelikle şu ilk dağıtım hedeflerine odaklanmanızı öneririz:

I. İş yükleri izlenmekte ve anormal davranışlara karşı uyarılır.
II. Her iş yüküne bir uygulama kimliği atanır ve tutarlı bir şekilde yapılandırılır ve dağıtılır.
III. Kaynaklara insan erişimi tam zamanında gerektirir.

Bunlar tamamlandıktan sonra şu ek dağıtım hedeflerine odaklanın:

IV. Yetkisiz dağıtımlar engellenir ve uyarı tetiklenir.
V. Ayrıntılı görünürlük ve erişim denetimi, iş yükleri arasında kullanılabilir.
VI. Her iş yükü için segmentlere ayrılmış kullanıcı ve kaynak erişimi.

Sıfır Güven ile ağların güvenliğini sağlama

Kurumsal güvenlik duvarının arkasındaki her şeyin güvenli olduğuna inanmak yerine, uçtan uca bir Sıfır Güven stratejisi ihlallerin kaçınılmaz olduğunu varsayar. Bu, her isteğin kontrolsüz bir ağdan geldiğini doğrulamanız gerektiği anlamına gelir; kimlik yönetimi bu konuda önemli bir rol oynar.

Ağ Sıfır Güven dağıtım hedefleri

Ağların güvenliğini sağlamak için uçtan uca bir Sıfır Güven çerçevesi uygularken öncelikle şu ilk dağıtım hedeflerine odaklanmanızı öneririz:

I. Ağ segmentasyonu: Bazı mikro segmentasyonlarla birçok giriş/çıkış bulutu mikro çevresi.
II. Tehdit koruması: Bulutta yerel filtreleme ve bilinen tehditlere karşı koruma.
III. Şifreleme: Kullanıcıdan uygulamaya iç trafik şifrelenir.

Bunlar tamamlandıktan sonra şu ek dağıtım hedeflerine odaklanın:

IV. Ağ segmentasyonu: Tam dağıtılmış giriş/çıkış bulutu mikro çevreleri ve daha derin mikro segmentlere ayırma.
V. Tehdit koruması: Makine öğrenmesi tabanlı tehdit koruması ve bağlam tabanlı sinyallerle filtreleme.
VI. Şifreleme: Tüm trafik şifrelenir.