> Blog > Ağ Teknolojileri > SASE’nin Zero Trust Yaklaşımıyla Güvenlik Sağlaması

SASE’nin Zero Trust Yaklaşımıyla Güvenlik Sağlaması

Dijitalleşmenin hız kesmeden ilerlediği günümüzde, iş yapış biçimleriniz temelden değişiyor. Bulut teknolojileri operasyonlarınızın kalbine yerleşirken, uzaktan çalışma modelleri esneklik sağlıyor. Ancak bu dönüşümle birlikte, siber güvenlik alanındaki zorluklar da katlanarak artıyor.

İşte tam da bu noktada, siber güvenlik dünyasının iki güçlü ve tamamlayıcı kavramı devreye giriyor: SASE ve Zero Trust. Zero Trust güvenlik modeli nedir? sorusunun cevabı, artık günümüz siber güvenlik stratejilerinin temelini oluşturuyor ve SASE mimarisiyle birleştiğinde gerçek anlamda güçlü bir savunma hattı sunuyor.

Siber güvenlik pazarının en dinamik segmentlerinden biri olan Secure Access Service Edge (SASE), hızla büyüyen bir devrim yaratıyor. Dell’Oro Group’un Ocak 2024 tarihli son tahminlerine göre, SASE pazarının 2028 yılına kadar 16 milyar doların üzerine çıkması bekleniyor. Öngörü sadece bir finansal büyümeden çok daha fazlasını ifade ediyor. 

Siz de kurumunuzun dijital güvenliğini bir adım öteye taşımak istiyorsanız, bu iki yaklaşımın nasıl entegre çalıştığını anlamak, geleceğe daha sağlam adımlarla ilerlemenizi sağlayacaktır.

Sase Sase

SASE ve Zero Trust: Neden Birlikte Çalışır?

“SASE ile Zero Trust nasıl uygulanır?” sorusunun cevabı olası tehditlere karşı çok daha etkili yanıt verebilmenizi sağlayacak katmanlı yapıda gizlidir. İki kavram, siber güvenlik mimarinizin temel taşları haline gelmiş durumda. Birlikte çalıştıklarında ortaya çıkan sinerji, onları birbirinden ayrı ele almaktan çok daha fazlasını vadediyor.

SASE Gartner tarafından tanımlanmış, ağ hizmetlerini bulut tabanlı, yakınsak platformda birleştiren yeni bir mimari modeldir. Temelde işletmenizin tüm güvenlik gereksinimlerini tek bulut çözümünde bir araya getirir. SD-WAN, CASB, FWaaS , SWG ve elbette ZTNA (Sıfır Güven Ağ Erişimi) gibi kritik fonksiyonları tek hizmet olarak sunar. SASE’nin en büyük avantajı nerede olursanız olun tutarlı performans sunmasıdır. Veri merkeziniz, şubeleriniz veya uzaktan çalışanlarınız; herkes aynı güvenlik politikalarıyla korunur.

Zero Trust ise “asla güvenme, her zaman doğrula” felsefesine dayanan güvenlik modelidir. Adından da anlaşılacağı gibi, ağın içindeki veya dışındaki hiçbir kullanıcıya otomatik olarak güvenmemeniz gerektiğini söyler. Her erişim talebi, sanki kötü niyetli kaynaktan geliyormuş gibi ele alınır, titizlikle doğrulanır. En az ayrıcalık prensibi (least privilege), yani bir cihazın sadece işini yapmak için kesinlikle ihtiyaç duyduğu kaynaklara erişmesine izin verir. Erişim izni bir kez verildiğinde bile bağlamın değişmesi durumunda erişim, tekrar gözden geçirilir.

Bu iki yaklaşım, modern siber güvenlik tehditlerine karşı ortak bir hedefi paylaşıyor: dağıtılmış ortamlarda güvenliği güçlendirmek. Verilerinize erişimin artık sadece ofis binalarınızla sınırlı olmadığı dünyada, geleneksel güvenlik çözümleri yetersiz kalıyor. İşte SASE ve Zero Trust’ın doğal sinerjisi burada devreye giriyor:

  • Hem SASE hem de Zero Trust, bulutun doğasında var olan esnekliği benimser. SASE’nin kendisi bulut tabanlı bir hizmetken, Zero Trust ilkeleri de bulut güvenliğinde çok daha etkili bir şekilde uygulanabilir. Kullanıcılarınız nerede olursa olsun, güvenlik politikalarınız da onlarla birlikte oraya taşınır.
  • Geleneksel güvenlik IP adreslerine göre erişim kararları verirken, SASE ve Zero Trust bu yaklaşımı kökten değiştirir. Her ikisi de erişim kararlarını kimliğe, cihazın durumuna, konumuna ve diğer bağlamsal faktörlere dayandırır. Kullanıcının kim olduğu, hangi cihazı kullandığı, cihazının güvenli olup olmadığı ve hangi uygulamaya erişmek istediği gibi bilgiler, erişim izni verilmeden önce titizlikle değerlendirilir.
  • Eski VPN’ler, kullanıcıya tüm ağa geniş erişim sağlayarak aslında tek bir “güvenli” tünel açardı. Dolayısıyla içeride bir tehdit olduğunda yanal hareket (lateral movement) için büyük bir fırsat verirdi. SASE’nin Zero Trust ilkelerini uygulayan ZTNA bileşeni sayesinde, kullanıcılara sadece ihtiyaç duydukları belirli uygulamalara erişim sağlar, tüm ağa değil. Herhangi bir saldırı durumunda zarar alanını önemli ölçüde küçültür.
  • SASE, Zero Trust ilkelerinin uygulanması için ideal altyapı sunar. SASE’nin entegre güvenlik servisleri Zero Trust’ın felsefesini operasyonel hale getirmenize yardımcı olur. Tek platform üzerinden tüm güvenlik politikalarınızı yönetebilir, görünürlüğü artırabilir ve olası tehditlere karşı hızlı tepki verebilirsiniz. SASE, Zero Trust’ın soyut ilkelerini somut güvenlik çözümüne dönüştürür.

Zero Trust Network Access (ZTNA) Nedir ve SASE İçinde Nasıl Yer Alır? 

ZTNA, kuruluşunuzun özel uygulamalarına güvenli uzaktan erişim sağlayan BT güvenlik çözümüdür. Ama bunu geleneksel VPN’lerden çok farklı şekilde yapar. ZTNA her erişim talebini sıfırdan doğrular; yani kullanıcının güvenilirliğini sürekli kontrol eder. Bu yaklaşım, “yazılım tanımlı çevre” (Software-Defined Perimeter – SDP) olarak da adlandırılır, çünkü uygulamalar etrafında dinamik, mikro-çevreler oluşturur.

ZTNA’nın kalbinde yatan mantık oldukça basittir: Hiçbir zaman doğrudan ağ erişimi sağlamayın, sadece belirli uygulamalara kontrollü erişim sağlayın. Bu prensip, aşağıdaki adımlarla hayata geçirilir:

  • Kullanıcı bir uygulamaya erişim talep ettiğinde, ZTNA ilk olarak cihazın durumunu doğrular. Ardından kimlik doğrulama aşamasına geçer, çift faktörlü kimlik doğrulama süreci devreye girer. Eğer cihaz güvenli değilse veya kullanıcı kimliği doğrulanamazsa, erişim reddedilir.
  • Doğrulamanın ardından, ZTNA çözümü kullanıcının rolünü, erişmeye çalıştığı uygulamanın hassasiyetini ve hatta o anki risk puanı gibi bağlamsal bilgileri değerlendirir. Önceden tanımlanmış politikalar, bağlamsal verilere göre dinamik olarak uygulanır. Örneği, kullanıcının finansal verilere sadece belirlenmiş kurumsal cihazdan erişmesine izin verilebilir.
  • Geleneksel VPN’ler tüm ağa bir tünel açarken, ZTNA sadece kullanıcının erişim izni olan belirli uygulamaya tek tek bağlantı kurar. Kurduğunuz bağlantı, ters vekil (reverse proxy) veya istemci tabanlı bir mimari aracılığıyla sağlanır. Uygulamalar internetten “görünmez” hale getirilir, böylece saldırganlar için keşfedilmesi çok daha zor olur.
  • Erişim bir kez verildiğinde bile, ZTNA kullanıcının ve cihazın davranışlarını sürekli olarak izler. Eğer cihazın sağlığı değişirse veya kullanıcının davranışı şüpheli hale gelirse ZTNA erişimi anında kısıtlayabilir.
  • ZTNA, uygulamaya özel erişim sağlayarak mikrosegmentasyonun temelini atar. Geleneksel ağ segmentasyonunun aksine, ZTNA her uygulamayı kendi başına bir segment olarak ele alır. Saldırganın bir uygulamaya sızması durumunda, yanal hareket ile ağın diğer bölümlerine yayılmasını son derece zorlaştırır. Çünkü saldırgan, ağ kaynaklarının farkında bile olmaz.

SASE ile Kimlik Tabanlı Erişim Nasıl Sağlanır?

SASE platformları, kimlik tabanlı erişimin sağlanması için güçlü kimlik ve erişim yönetimi (IAM) yeteneklerini entegre eder. İşletmenizin mevcut kimlik sağlayıcılarıyla (Identity Providers – IdP) derinlemesine entegre olur.

SASE erişim taleplerinde MFA’yı zorunlu kılarak güvenlik seviyesini artırır. Kullanıcı adı ve parolanın yanı sıra, mobil uygulama onayı, biyometrik veri veya donanım belirteci gibi ikinci faktörün doğrulanmasını ister. Kimlik avı saldırılarının ve çalınan kimlik bilgilerinin etkisini minimize eder. SASE platformu, kendi yerleşik MFA yeteneklerini sunabileceği gibi, mevcut MFA sağlayıcılarınızla da sorunsuz şekilde entegre olabilir.

Kullanıcı deneyimini iyileştirmek ve parola yorgunluğunu azaltmak için SASE, SSO çözümleriyle entegre olur. Bir kez doğrulanmış kullanıcı, SASE platformu üzerinden erişim sağladığı tüm uygulamalara sorunsuz şekilde geçiş yapabilir, her defasında yeniden kimlik bilgisi girmesine gerek kalmaz. 

Erişim politikaları, kullanıcının IdP’deki rolüne (örneğin, Yönetici, Finans, Satış) veya ait olduğu güvenlik gruplarına göre belirlenir. Örneğin, “Finans” grubundaki bir kullanıcının hassas muhasebe yazılımına erişim izni varken, “Satış” grubundaki kullanıcı sadece CRM sistemine erişebilir.

SASE çözümleri, gelişmiş davranışsal analiz yeteneklerini kullanarak kullanıcıların normal davranış kalıplarını öğrenir. Eğer kullanıcının erişim modeli anormal hale gelirse, SASE platformu bu durumu risk faktörü olarak değerlendirir. Anında ek MFA istemine, erişimin geçici olarak askıya alınmasına veya güvenlik ekibine bildirim gönderilmesine neden olabilir.

Diyelim ki şirketinizin Pazarlama Departmanı’nda çalışan kişiler, evinden şirketinizin bulut tabanlı dosya paylaşımına erişmek istiyor. Bilgisayarından sisteme erişmeye çalıştığında, SASE platformu devreye girer. İlk olarak, kişinin kurumsal kimliği (Azure AD üzerinden) MFA ile doğrulanır. Ardından, bilgisayarının durumu kontrol edilir: İşletim sistemi güncel mi? Kurumsal antivirüs yazılımı aktif mi ve son güncellemeleri almış mı? Disk şifrelenmiş mi?

Eğer çalışanınızın bilgisayarı tüm bu güvenlik kontrollerinden geçerse SASE, Pazarlama Departmanı’na özel ayrılmış dosyalardan sadece kendi klasörlerine salt okunur erişim izni olduğunu belirleyen politikayı uygular. Şirketin finansal verilerine veya geliştirme sunucularına erişim izni yoktur, çünkü bu çalışanın rolüyle ilişkili değildir.

Çalışma sırasında bilgisayarının antivirüs yazılımında bir sorun oluştuğu tespit edilirse, SASE politikası anında dinamik olarak tetiklenir. Sisteminize erişimi otomatik olarak kısıtlanabilir veya tamamen kesilebilir. Eş zamanlı olarak güvenlik operasyon merkezine (SOC) bir uyarı gönderilir. Sorun giderilene kadar sadece daha az hassas kaynaklara, belki de sadece şirket içi intranet’e erişebileceği duruma geçirilebilir.

SASE ile Mikrosegmentasyon ve Dinamik Politika Yönetimi

Mikrosegmentasyon, ağları çok daha küçük, izole edilmiş segmentlere bölme stratejisidir. Her uygulama, sunucu, veya hatta bireysel iş yükü kendi “güvenlik bölmesine” yerleştirilir ve aralarındaki tüm iletişim varsayılan olarak engellenir. İletişime ancak açıkça onaylanırsa izin verilir. Amacı çok nettir:

  • Yanal Hareketi Engellemek: Bir güvenlik ihlali durumunda, saldırganın ele geçirdiği sistemden ağın diğer bölümlerine yayılmasını durdurmak.
  • Saldırı Yüzeyini Küçültmek: Her uygulamanın sadece kendisine ait trafiği görmesini sağlayarak potansiyel saldırı vektörlerinin sayısını azaltmak.
  • İhlal Etkisini Sınırlamak: İhlal meydana geldiğinde, etkilenen alanın çok daha küçük bir bölümle sınırlı kalmasını sağlamak.
  • Uyumluluk: Belirli endüstri düzenlemeleri için veri izolasyonu gereksinimlerini karşılamak.

SASE platformları, FWaaS bileşenini kullanarak mikrosegmentasyon politikalarını iş yükü seviyesinde zorunlu kılar. Geleneksel veri merkezinde her uygulama önüne sanal güvenlik duvarı koymak yerine, SASE’deki FWaaS, bulut üzerinden dağıtık olarak uygulanır. Trafik SASE omurgasından geçerken her uygulama arasındaki iletişimi denetleyebilir ve belirli protokollere, portlara veya uygulamalara izin verip vermediğini belirleyebilir. Örneğin web sunucusu ile veritabanı sunucusu arasındaki iletişimin sadece belirli bir veritabanı portu üzerinden olmasına izin verilebilir.

Bulut uygulamalarına (örneğin Office 365, Salesforce) erişim söz konusu olduğunda, CASB devreye girer. CASB, bulut uygulamaları içindeki verileri mikrosegmentasyon prensipleriyle denetleyebilir. Örneğin kullanıcının OneDrive’daki klasöre erişimine izin verirken, verileri indirmesini engelleyebilir.

Mikrosegmentasyonun etkinliğini artıran ve Zero Trust felsefesini tam anlamıyla hayata geçiren şey, dinamik politika yönetimidir. Güvenlik politikalarının statik olması, hızla değişen tehdit ortamına ayak uydurmakta yetersiz kalır. SASE politikalarınızı gerçek zamanlı olarak güncelleyerek mevcut koşullara adaptif hale getirir. Politika dağıtımlarını merkezi olarak yönetmenizi sağlar. Geleneksel yaklaşımlarda her güvenlik cihazında ayrı ayrı politika yapılandırması gerekirken, SASE ile tüm ağ kararlarınızı tek konsoldan tanımlayabilir, global olarak dağıtabilirsiniz.

Dinamik politika yönetimi, size ağınızdaki her etkileşim üzerinde eşi benzeri görülmemiş kontrol sağlar. Kimin neye, nereden, hangi koşullarda eriştiğini anlık olarak takip edebilir, potansiyel tehditleri daha hızlı algılayıp yanıt verebilirsiniz. Güvenlik olaylarına (SIEM entegrasyonuyla) otomatik yanıtlar verebilmenize olanak tanır.

Zero Trust Uygulayan SASE Modelleri ile Geleneksel Ağlar Arasındaki Güvenlik Farkı

Geleneksel ağ güvenliği mimarisi, genellikle bir veri merkezini veya kurumsal ağı bir kale olarak görür. Bu kalenin etrafında ise güvenlik duvarları (firewall), izinsiz giriş tespit/önleme sistemleri (IDS/IPS) gibi hendekler bulunur. Bu modelin temel varsayımı şudur: “İçerisi güvenilir, dışarısı güvensizdir.” Tüm çaba kalenin dış duvarlarını güçlendirmeye harcanır. Trafik, internetten içeriye veya içeriden dışarıya geçerken denetlenir.

Kritik iş süreçleri için hayati önem taşıyan VPN bağlantılarında, kesintisiz erişim sağlamak her zaman ana zorluk olmuştur. IPSec Failover gibi mekanizmalar devreye girer. IPSec Failover, birincil VPN tünelinde bir kesinti yaşandığında trafiği otomatik olarak yedek tünele yönlendirerek bağlantı sürekliliğini sağlamayı hedefler. Ancak bu sorunun kökünü çözmez sadece geçici yama niteliğindedir. Yedeklilik mekanizması bile, bağlantı odaklı VPN mantığı üzerine kuruludur ve saldırı yüzeyini genişletme, yanal hareket riskini azaltmada yetersiz kalma gibi geleneksel VPN’lerin güvenlik zafiyetlerini ortadan kaldıramaz. SASE ise, kimlik tabanlı ZTNA yaklaşımıyla, VPN’in bu tür yedeklilik arayışlarına gerek kalmadan, her zaman en güvenli bağlantıyı sağlar. 

Güvenlik duvarı kuralları IP adreslerine ve portlara dayalıdır. Bir IP aralığına veya belirli bir sunucu grubuna geniş izinler verilebilir. Özellikle uzaktan çalışanlar için VPN bağlantılarının neden olduğu bant genişliği sorunları ve gecikmeler, kullanıcı deneyimini olumsuz etkiler. Tüm trafiğin bir veri merkezi üzerinden yönlendirilmesi (backhauling), performansı düşürür.

SASE, Zero Trust ilkelerini benimseyerek, geleneksel modelin tüm bu zayıf yönlerini ele alır. Siber güvenliğe temelden farklı yaklaşan mimari sunar. Ağa erişmeye çalışan her kullanıcı, cihaz, uygulama ve iş yükü, nerede olursa olsun, her erişim talebinde kimliği doğrulanır ve yetkilendirilir. Ağın içindeki veya dışındaki hiçbir varlık otomatik olarak güvenilir değildir. Bu güvenli bölge kavramını ortadan kaldırır.

Eski sistemlerde güvenlik kuralları IP adresleri ve portlara göre manuel olarak tanımlanır. Örneğin, “10.0.0.0/24 ağındakiler veritabanına erişebilir” gibi sabit kurallar vardır. SASE’de ise politikalar bağlamsaldır: Kullanıcı ofisteyse tam erişim alırken, bir kafeden bağlanıyorsa yalnızca belirli uygulamalara erişebilir. Riskli cihaz tespit edildiğinde, örneğin işletim sistemi güncel değilse, otomatik olarak erişim kısıtlanır.

Geleneksel altyapılar yüksek CAPEX (donanım maliyetleri) gerektirir. SASE ise bulut aboneliği modeliyle OPEX’e geçiş sağlar. Yeni bir şube ofis açıldığında, fiziksel cihaz siparişi beklemek yerine 15 dakikada hizmet devreye alınabilir. Ortalama %40 tasarruf sağlanırken, bant genişliği ihtiyacı otomatik olarak ölçeklenir.

SASE, GDPR veya HIPAA gibi düzenlemeler için yerleşik şablonlar sunar. Tüm ağ trafiği merkezi olarak kaydedilir ve denetim raporları otomatik oluşturulur. Örneğin, sağlık sektöründeki bir hastane, hasta verilerine kimlerin eriştiğini anlık olarak izleyebilir ve yetkisiz erişimleri anında engelleyebilir.

Siber güvenlik, düşünce biçiminizi de dönüştürmemiz gereken bir alan haline geldi. Geleneksel yaklaşımların hızla yetersiz kaldığı, uzaktan çalışmanın norm olduğu bu yeni düzende, SASE artık bir zorunluluk. Zero Trust entegrasyonu kurumunuzun dijital dönüşüm yolculuğunda karşılaşacağı siber güvenlik zorluklarına karşı size eşsiz bir güvenlik duruşu sunar. Sıfır Güven prensiplerini benimseyen Berqnet SASE çözümüyle, güvenlik yönetimini basitleştirecek ve olası tehditlere karşı çok daha etkili yanıt verebileceksiniz. Detaylı bilgi ve size özel çözüm önerileri için hemen Berqnet ile iletişime geçin, geleceğin güvenliğine bugünden adım atın!

Sıkça Sorulan Sorular (SSS)

Bir kurum için SASE’ye geçiş, mevcut siber güvenlik yatırımlarını nasıl etkiler?

Bir kurum için SASE’ye geçiş, genellikle mevcut siber güvenlik yatırımlarını dönüştürücü bir etkiyle karşılar. SASE, birçok ayrı güvenlik ürününün (güvenlik duvarı, CASB, SWG, VPN gibi) tek bir entegre bulut platformunda birleşmesini hedeflediğinden, kurumlar zamanla bu eski, parçalı çözümlerden vazgeçebilir. Bu durum, donanım maliyetlerini ve operasyonel yükü azaltırken, mevcut yatırımların verimliliğini artırabilir veya daha modern çözümlere kademeli geçişi hızlandırabilir. Başlangıçta hibrit bir dönem gerekse de, uzun vadede sadeleşme ve maliyet optimizasyonu hedeflenir.

SASE’nin küresel yapısı, uluslararası şubeleri olan şirketlere ne gibi avantajlar sunar? 

SASE’nin küresel dağıtık yapısı, uluslararası şubeleri olan şirketlere tutarlı güvenlik politikaları, optimize edilmiş performans ve basitleştirilmiş yönetim gibi önemli avantajlar sunar. Geleneksel yaklaşımlar her şube için ayrı güvenlik donanımları ve VPN tünelleri gerektirirken, SASE, dünyanın dört bir yanındaki hizmet noktaları (PoP’lar) sayesinde tüm lokasyonlar için aynı bulut tabanlı güvenlik hizmetlerini sağlar. Bu, kullanıcıların nerede olursa olsun en yakın PoP üzerinden güvenli ve hızlı erişim elde etmesini sağlarken, güvenlik politikalarının merkezi olarak belirlenip tüm şubelere tutarlı bir şekilde uygulanmasına olanak tanır.

Kaynaklar

  1. Secure Access Service Edge: A Multivocal Literature Review
  2. Secure Access Service Edge (SASE): Extending Network Security to Client
  3. Research Gaps and Opportunities for Secure Access Service Edge
  4. SASE Market to Skyrocket to Over $16 Billion by 2028, According to Dell’Oro Group

Teklif Al Şimdi Ara

Size En Uygun Berqnet Çözümüyle Tanışın

Berqnet Firewall ve SASE Platformu

Teklif Al
İş Ortağı Olun

Size En Uygun Berqnet Çözümüyle Tanışın

Berqnet Firewall ve SASE Platformu

Teklif Al
İş Ortağı Olun