Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makale, iyi bilinen Sıfır Güven çerçevelerine genel bir bakış sağlar ve Microsoft'nin Sıfır Güven benimseme modeli çerçeve anlayışından uygun ölçekte benimsemeye geçmenize nasıl yardımcı olduğunu gösterir.
Sıfır Güven tek bir çerçeve değildir. Bu, birden çok sektör ve kamu standardına uygun bir güvenlik modelidir. Bu standartlar rakip çözümler değildir. Her biri temel kavramları tanımlama, ilerleme durumunu değerlendirme veya kuruluş genelinde benimsemeyi koordine etme gibi Sıfır Güven farklı bir yönünü ele alır.
Endüstri çerçeveleri Sıfır Güven neleri başarması gerektiğini tanımlamaya yardımcı olsa da, kuruluşların bu kılavuzu çözüm planlama, tasarım ve dağıtım için belirli bir stratejiye ve mimariye çevirmesi gerekir.
Microsoft'in Sıfır Güven benimseme modeli bunu yapar. Sıfır Güven benimsenmesini ve uygulanmasını hızlandırmak için, sektör çerçeveleriyle uyumlu ve bunları temel alan bir referans stratejisi ve mimari sunar.
Tavsiye
Microsoft, Güvenlik Benimseme Çerçevesi (SAF) atölyeleri gibi zengin bir güvenlik benimseme atölyeleri kümesi sunar. Yapılandırılmış benimseme modeli rehberliğimiz, bu atölyelerde Microsoft Unified tarafından uzmanlarca sunulan rehberlikle uyumludur. SAF atölyeleri hakkında daha fazla bilgi edinin.
NIST Sıfır Güven
National Institute of Standards and Technology (NIST) Özel Yayını (SP) 800-207 Sıfır Güven Architecture Sıfır Güven mimarisinin sektörde tanınan bir tanımını oluşturur. Sıfır Güven ne olduğu ve güven kararlarının belirli satıcılardan, ürünlerden veya dağıtım yol haritalarından bağımsız olarak nasıl alınıyor olduğu açıklanır.
NIST SP 800-207, kuruluşların güvenlik, BT ve mimari ekipleri arasında paylaşılabilen Sıfır Güven kavramlarının ortak, yetkili bir tanımına ihtiyacı olduğunda en çok yararlıdır.
NIST özellikleri
NIST, Sıfır Güven'ı kaynaklara erişimin hiçbir zaman örtük olarak güvenilmediği bir mimari olarak açıkça tanımlar.
NIST'deki Sıfır Güven ilkeleri şunlardır:
- Bütünsel ve pratik bir güvenlik yaklaşımı benimsemek için bir ihlalin gerçekleştiğini varsaymak.
- Varlıklara erişim vermeden önce güveni açıkça doğrulama.
- Gerekli en düşük ayrıcalığı vererek patlama yarıçapını sınırlandırma.
Temel mimari kavramlar şu konulara odaklanır:
- Bağlamsal sinyalleri kullanarak erişim isteklerinin sürekli dinamik değerlendirmesi.
- Kurumsal ilkeye karşı sinyalleri değerlendiren merkezi ilke karar mantığı.
- Korumalı kaynaklara yakın olan ilke uygulama işlevi kararı uygular.
NIST tarafından tanımlanan Sıfır Güven kavramsal mimari, ilke altyapıları, zorlama noktaları ve bağlamsal sinyaller kullanılarak erişim kararlarının nasıl değerlendirilip uygulandığına odaklanır.
Şunlara dikkat edin:
- NIST SP 800-270, teknoloji yapılarını veya kimlik, uç noktalar veya veri koruması gibi güvenlik etki alanlarını tanımlamaz.
- Kimlik, cihaz duruşu, uygulamalar ve veriler, ayrı mimari etki alanları yerine güven kararlarını bilgilendiren konular, kaynaklar ve bağlam kaynakları olarak modellenir.
Microsoft'in güvenlik benimseme modeli ilke ve bileşenlerini işletimsel bir çerçeve içinde uygulayarak bu mimariyi temel alır.
NIST güven kararlarının nasıl alınıp uygulandığını tanımlasa da benimseme modelimiz iş planlaması, sahiplik, çözüm tasarımı, uygulama ve ilerleme izleme konusunda yol göstermek için bu özellikleri güvenlik disiplinleri ve teknoloji sütunları arasında düzenler.
Implementation
Uygulama kılavuzu NIST SP 1800-35 Sıfır Güven Mimarisi Uygulama içinde sağlanır.
Bu uygulama kılavuzu için:
- NIST, Microsoft dahil olmak üzere 24 satıcıyla işbirliği yaparak, Sıfır Güven için siber güvenlik referans tasarımları uygulamaya istekli kuruluşlara yönelik pratik adımlarla bir kılavuz geliştirdi.
- Microsoft aşağıdakiler arasında Sıfır Güven özellikleri uygulamaya yönelik teknoloji sağlayan satıcılardan biri olarak katıldı:
- Kimlik ve erişim yönetimi.
- Uç nokta yönetimi ve yapılandırması.
- Tehdit koruması ve izleme.
- Dağıtılmış kaynaklara güvenli erişim.
Bu diyagram, NIST SP 1800-35 işbirliğinin sonucudur. Microsoft Siber Güvenlik Referans Mimarisi (MCRA)'dan indirilebilir. MCRA hakkında daha fazla bilgi edinin
CISA Sıfır Güven Olgunluk Modeli
Cybersecurity and Infrastructure Security Agency (CISA) Sıfır Güven Olgunluk Modeli benimseme ve değerlendirmeye göre düzenlenmiştir. Bu olgunluk modeli, kuruluşların geçerli duruşlarını düzenlemelerine ve değerlendirmelerine, iyileştirmeleri önceliklendirmelerine ve ilerleme durumunu izlemelerine yardımcı olur.
CISA özellikleri
NIST'nin aksine CISA bir başvuru mimarisi tanımlamaz ve bunun yerine özellikleri belirli tasarım desenlerinden bağımsız olarak değerlendirir.
- Model, Kimlik, Cihazlar, Ağlar/Ortam, Uygulamalar/İş Yükleri ve Veriler dahil olmak üzere sütun tabanlı etki alanlarını kullanır.
- Ayrıca üç çapraz kesme özelliği tanımlar: Görünürlük ve Analiz, Otomasyon ve Düzenleme ve İdare.
- Ayrıca dört olgunluk aşaması yakalar: Geleneksel, başlangıç, gelişmiş ve optimal.
- İdare aynı zamanda tek başına bir yapı olarak değil, tüm etki alanlarında iş uyumluluğu, net sahiplik ve ölçülebilir sonuçlar sağlayan bir çapraz kesme özelliği olarak kabul edilir.
Implementation
Model, Microsoft güvenlik benimseme modeliyle uyumludur ve bu modeli bilgilendirirken Microsoft, NIST SP 800-207 gibi kavramsal çerçeveleri pratik uygulamayla köprü haline getirmek için Mimari gibi disiplinler sunarak modeli daha da genişletir.
| CISA | Benimseme disiplini/yapı taşı | Ayrıntılar |
|---|---|---|
|
Identity Kimlik kimlik doğrulamayı, yetkilendirmeyi, kimlik riskini, yaşam döngüsünü kapsar. Uygulamalar ve iş yükleri uygulama erişim denetimlerini, iş yükü kimliğini ve güvenli uygulama etkileşimini kapsar. |
Disiplin: Kimlik ve Erişim Teknoloji: Kimlik |
Microsoft'ta erişim denetimi, CISA ise bunları birbirinden ayırırken hem kimlik hem de uygulama katmanlarını kapsar. |
|
İdare Kuruluş genelinde politikalar, kontroller ve uygulama. |
Disiplin: Strateji, Tümleştirme, İdare Güvenlik Mimarisi Teknoloji: Tümü. |
CISA'nın ilke ve denetim özellikleri doğrudan SecOps sonuçlarıyla eşlenebilir. Microsoft, yönetişimin diğer yönlerine (iş uyumu, risk yönetimi, roller ve daha fazlası) ek olarak mimari disipline ve referans mimarilerine de özel önem verir. |
|
Devices Cihaz envanteri, duruşu, uyumluluğu; ağ segmentasyonu, güvenli bağlantı, ortam denetimleri. Eğitsel olmayan, kısıtlanmış ve özelleştirilmiş cihazlar dahil. |
Disiplin: Kimlik ve Erişim, Altyapı güvenliği, OT/IoT güvenliği Teknoloji: Uç Noktalar |
Altyapıya duyulan güven, etki alanını ve yanal hareketi en aza indirmeyi amaçlayan Sıfır Güven hedefiyle uyumlu olarak, cihaz sağlığı ve kontrollü bağlantı yoluyla tesis edilir. Microsoft, benzersiz sahiplik ve risk yönetimi nedenleriyle OT/IoT cihazlarını ayrı bir uzmanlık alanı olarak değerlendirir. |
|
Uygulamalar ve iş yükleri Uygulamalar ve İş yükleri uygulama erişim denetimlerini, iş yükü kimliğini ve güvenli uygulama etkileşimini kapsar. |
Disiplin: Geliştirme Güvenliği Teknoloji: Uygulamalar |
CISA'nın iş yükü odağı, dağıtım sonrası etkinlik olarak ele almak yerine uygulama ve hizmet yaşam döngülerine güvenlik ekleyerek DevSecOps hedefleriyle uyumlu hale getirmektedir. |
|
Networks Ağ segmentasyonu, güvenli bağlantı, ortam denetimleri. |
Disiplin: Kimlik ve Erişim Teknoloji: Ağlar |
Microsoft, teknolojiler arasında net bir strateji, mimari ve ilke tutarlılığı sağlamaya yardımcı olmak için tüm erişimi (kimlik, uygulamalar ve ağlar) tek bir uzmanlık alanında birleştirir. |
|
veri Ağ konumundan bağımsız olarak veri sınıflandırma, envanter, erişim denetimi, şifreleme ve koruma. |
Uzmanlık Alanı: Veri Güvenliği Teknoloji: Veriler |
Her iki model de verileri birincil koruma hedefi olarak konumlandırır ve Sıfır Güven’ın çevre güvenliğinden veri merkezli kontrollere geçişini pekiştirir. |
|
Görünürlük ve Analiz, Otomasyon ve Düzenleme Büyük ölçekte telemetri toplama, sürekli izleme, tespit, müdahale otomasyonu ve ilke uygulama. |
Disiplin: SecOps Teknoloji: Tümü |
CISA'nın çapraz kesme özellikleri, tehditleri algılama, yanıtı otomatikleştirme ve tüm etki alanlarında güveni sürekli yeniden değerlendirme gibi SecOps sonuçlarıyla doğrudan eşler. |
| Tüm sütunlar genelinde olgunluk aşamaları | Güvenlik duruşu | Duruş yönetimi CISA modelinin temel amacıdır: geçerli durumu değerlendirme, boşlukları belirleme, iyileştirmeleri önceliklendirme ve zaman içinde Sıfır Güven ilerleme durumunu izleme. |
Bilgi için bkz. Microsoft bulut hizmetleriyle CISA Sıfır Güven Olgunluk Modelinin uygulanması.
Açık Grup Sıfır Güven Başvuru Modeli
The Open Group’un Sıfır Güven Referans Modeli, Sıfır Güven’ı kurumsal kabiliyet ve entegrasyon perspektifinden ele alır. Belirli uygulama adımlarını tanımlamak yerine kuruluşların büyük ölçekte Sıfır Güven tanımlaması, tümleştirmesi ve çalıştırması gereken özellikleri ve idare yapılarını açıklar.
Grup özelliklerini açma
Özellikler şunlardır:
- Özellikler + Mimari Yapı Taşları (ABB) dayanıklı güvenlik sonuçlarını ve bunları etkinleştirmek için kişileri, süreci ve teknolojiyi yönlendiren güvenlik özelliklerini tanımlar.
- İşbirliği ve Tümleştirme Modelleri , güvenliğin strateji, risk yönetimi, operasyonlar ve kuruluşun diğer yönleriyle nasıl tümleştireceğini gösterir.
Yetenekler birlikte çalışan kişi, süreç ve teknoloji öğelerinden oluşur:
- Kişiler: Açık Grup Rolleri ve Sözlük standartlarında roller olarak tanımlanır
- Process: aynı Sıfır Güven Referans Modeli standardında mimari yapı taşları (ABB'ler) olarak tanımlanan süreç
- Technology: aynı Sıfır Güven Referans Modeli standardında ABB'ler olarak tanımlananlar
Bu diyagramda şu özellikler gösterilir:
Bu diyagramda bu özelliklerin NIST Siber Güvenlik Çerçevesi'nin (NIST CSF) işlevleriyle nasıl uyumlu olduğu gösterilmektedir:
Implementation
Model, önerdiğimiz benimseme modeline karşılık gelir.
| Grup Aç | Benimseme uzmanlık alanı | Hizalama |
|---|---|---|
|
Sıfır Güven Strateji ve İdare Kuruluşların Sıfır Güven idare, risk yönetimi, ilke sahipliği ve kişilerin, sürecin ve teknolojinin uyumu dahil olmak üzere iş ile uyumlu bir strateji olarak nasıl oluşturduğunu tanımlar. |
Strateji, Tümleştirme ve İdare | Hem Open Group hem de Microsoft, Sıfır Güven’ı teknik bir kontrol kümesi olarak değil, kurumsal bir strateji olarak açıkça konumlandırır. Bu, kuruluş genelinde yönetici uyumluluğu, sahiplik ve tümleştirmeyi doğrudan destekler. |
|
Capability tabanlı Sıfır Güven mimarisi Belirli teknolojileri veya ürünleri belirlemeden Sıfır Güven mimarileri tasarlamak için mimari yapı taşları ve yetenek gruplandırmaları sağlar. |
Güvenlik mimarisi | Bu, NIST'nin soyut mimarisi ve uygulama kılavuzu arasındaki boşluğu doldurarak mimarların Sıfır Güven ilkeleri kurumsal ölçekli tasarımlara çevirmesini sağlar. |
|
Kimlik, Kimlik Doğrulaması, Yetkilendirme ve İlke Zorlama özellikleri Kimliği doğrulamak, güveni dinamik olarak değerlendirmek ve ortamlar arasında tutarlı bir şekilde erişim kararları almak için gereken özellikleri tanımlar. |
Kimlik ve erişim | Bir benimseme disiplini olarak erişim güvenliğiyle doğrudan örtüşür: kimin neye, hangi koşullar altında erişebileceği ve bu kararın nasıl uygulandığı. |
|
Veri odaklı koruma özellikleri Veri sınıflandırması, koruma ve ilke temelli erişim dahil olmak üzere konum fark etmeksizin bilgilerin korunmasını vurgular. |
Veri güvenliği | Sıfır Güven’ın çevre güvenliğinden veri odaklı güvenliğe geçişini yansıtır ve veri korumanın bir benimseme alanı olmasıyla doğal olarak uyum sağlar. |
|
Görünürlük, izleme, analiz ve yanıt özellikleri Telemetri toplama, güven sinyallerini izleme ve gözlemlenen risk temelinde ilkeyi uyarlama özellikleri içerir. |
SecOps | Sıfır Güven operasyonları ve büyük ölçekte güvenlik izleme için temel olan sürekli değerlendirme ve uygulamayı mümkün kılar. |
|
Uygulama ve hizmet etkileşimi güvenlik özellikleri Uygulamaların ve hizmetlerin güvenli etkileşimler, hizmet kimliği ve çalışma zamanı yaptırımı da dahil olmak üzere Sıfır Güven’a nasıl katıldığını ele alır. |
Geliştirme güvenliği | Sıfır Güven’ın modern uygulama yaşam döngülerine ve servisten servise iletişime entegre edilmesini destekler. |
|
Platform ve ortam güvenliği özellikleri Ağı güven sınırı olarak ele almadan iş yüklerini barındıran platformların, ağların ve ortamların güvenli çalışmasını kapsar. |
Altyapı güvenliği | Altyapıyı zorunlu kılınabilir olarak değerlendirerek ancak doğası gereği güvenilmeyen Sıfır Güven ilkeleriyle altyapı güvenliğini uyumlu hale getirme. |
|
Genişletilmiş ortam ve geleneksel olmayan varlık desteği BT/OT/IoT yakınsamasını ve kısıtlanmış ve heterojen ortamlarda Sıfır Güven özellikleri gereksinimini açıkça tanır. |
Altyapı (OT/IoT güvenliği) | OT/IoT'nin ayrı sahiplik gerektirdiği ancak yine de kurumsal Sıfır Güven stratejisine uygun olması gereken benimseme gerçekliğiyle eşleşir. |
|
Yetenek tabanlı olgunluk ve sürekli iyileştirme Tehditler ve teknoloji geliştikçe mevcut durumu değerlendirmeyi, iyileştirmeyi yönlendirmeyi ve zaman içinde uyum sağlamayı amaçlayan bir yetenek modeli sağlar. |
Güvenlik duruşu | Sıfır Güven’ı tek seferlik bir dağıtım olarak değil, devam eden bir program olarak konumlandırır; bu da güvenlik duruşu yönetimi hedefleriyle doğrudan uyumludur. |
Microsoft teknolojilerini modelle eşleme
Sıfır Güven Başvuru modeli, Sıfır Güven bileşenlerinin genel bir özetini de içerir. Bu diyagramda Microsoft teknolojilerin bu bileşenlerle nasıl eş olduğu gösterilmektedir:
DoD Sıfır Güven Stratejisi
ABD Savunma Bakanlığı bir DoD Sıfır Güven Stratejisi ve Yol Haritası yayınladı.
DoD Sıfır Güven Stratejisi için Microsoft bulut hizmetlerinin nasıl yapılandırılacağı hakkında bilgi için bkz. DoD Sıfır Güven stratejisi için Microsoft hizmetlerini yapılandırma.
Sonraki Adımlar
Bir iş senaryosu seçin ve güvenlik uzmanlık alanlarının senaryoyla nasıl eşlenip eşlenegli olduğunu öğrenin.