Bilişim Teknolojileri Dergisi Telekom Türkiye

“NSX ile güvenlik farkındalığı en üst düzeyde”

Murat Mediçeler VMware Türkiye Ülke Müdürü

“Uçtan uca, istemciden veri kaynağına kadar olan iletişim, güvenlik altına alınmalı ve tüm bu iletişim matriksi içinde bulunan bileşenler, önceden belirlenmiş ve bileşenden bağımsız olarak yapılandırılmış şirket güvenlik politikalarının bir parçası haline getirilmelidir.”

Yeni nesil güvenlik tehditleri şimdiye kadar karşılaştığımız tehditlerden çok farklı. Bugüne kadar veri merkezi sınır güvenliğine odaklanılıp, veri merkezi dışından gelen saldırılara karşı önlem alınıyordu. Günümüzde ise tehditlerin büyük bir kısmı veri merkezinin kendi içinde, diğer bir deyişle doğu-batı trafiği ile oluşuyor. Araştırmalar da gösteriyor ki, bu veri trafiği toplam veri merkezi trafiğinin en az %80’ini oluşturuyor. Bu yüzden veri merkezi güvenlik politikasını belirlemek ve daha güvenli bir altyapı kurmak için kurumların gelişim sürecini şu iki farklı basamakta değerlendirmek gerekiyor:

Veri merkezi trafiği ile ilgili farkındalığın oluşturulması

Oluşabilecek güvenlik zaafiyetlerinin güvenliğe ihtiyaç duyulan ilk noktada bertaraf edilmesi.

VMware vRNI (vRealize Network Insight) ile ilk ihtiyacın karşılanması, yani trafik farkındalığının oluşması ve bu kapsamda ihtiyaç duyulan güvenlik politikalarının oluşturulmasında kurumlara değer katıyoruz. NSX ve Appdefense ürünleri ile gerek sanal ortamın içindeki gerekse de bu ortamlardan diğer veri merkezi bileşenlerine doğru olan trafik kontrol altına alınıyor. Müşterilerimiz genel geçer IP bazlı güvenlik politikalarından kurtulduklarında, tüm veri merkezi ortamı için geçerli güvenlik politikalarını kendileri belirleyebiliyor. Bu sayede daha güvenli, yönetimi kolay ve farkındalığın en üst düzeyde olduğu bir altyapıya sahip oluyorlar.

Öncelikli olarak yapılması gereken iş, veri merkezi iletişim haritasının oluşturulmasıdır. Bu yolla veri merkezi için hangi iletişim katmanı kullanıldığı ve bu katmanların ihtiyaç duyduğu asgari iletişim yöntemlerinin belirlenmesi gerekiyor. İletişim yöntemlerinin belirlenmesi ile oluşabilecek güvenlik açıklarını gidermek için gerekli aksiyonların alınması gerekiyor.

Şimdiye kadar uygulanan güvenlik yaklaşımları, ne yazık ki günümüz ihtiyaçları düşünüldüğünde gerekli çözümleri sunamıyor. Mobil istemcilerin ve veri merkezleri arasındaki iletişimin artması ile birlikte, iletişim kurulan her noktada geçerli olacak kurumsal standart güvenlik politikalarının oluşturulması, ihtiyaç haline gelmiştir.

Veri merkezi ile iletişim kuran istemcilerin ve aynı veri merkezi ile etkileşim halinde olan diğer veri merkezlerinin belirlenmesinin ardından, uçtan uca, istemciden veri kaynağına kadar olan iletişim, güvenlik altına alınmalı ve tüm bu iletişim matriksi içinde bulunan bileşenler, önceden belirlenmiş ve bileşenden bağımsız olarak yapılandırılmış şirket güvenlik politikalarının bir parçası haline getirilmelidir.

“Cep telefonlarındaki hassas şirket verilerini korunması için gelişmiş çözümlerimiz var. Çalınan telefonlardaki hassas veriler, telefon kapalı bile olsa, cihazın içine yerleştirilen merkezi kimlik yönetimi ile risk oluşturmaması için hemen silinebiliyor.”

Saldırgan, ele geçirdiği sunucuda hapsedilebilir

Yeni nesil siber tehditlerin zararının en aza indirilmesinin tek yolu özellikle veri merkezi içindeki saldırı yüzeyinin daraltılması ile sağlanabilir. Mümkün olduğunca tüm bileşenlerin iletişim kurduğu yollar asgari düzeyde tutulup, ihtiyaçlar belirlenerek veri ağı sınırları çizilmelidir. Sunucular aynı işlevde olsa dahi birbirleri ile olan iletişim, uygulamanın ihtiyaç duyduğu kaynaklar dışında kısıtlanmalıdır.

Veri merkezi içerisinde Mikrosegmentasyon uygulanarak, her sunucuda çalışan uygulamanın sınırlarının çizildiği ve aynı sunucu kümesi dahi olsa diğer sunucularla olan iletişimin sanal ortamlarda hipervizör seviyesinde önlendiği bir yapı kurgulamak gerekiyor. Bu sayede herhangi bir açıktan dolayı bir sunucu saldırgan tarafından ele geçirilmiş bile olsa, saldırının sadece bu sunucuda kalması sağlanabiliyor. Saldırganın işletim sistemini ele geçirmesinin ardından virüs programları gibi ajan bazlı çalışan uygulamaları da etkisiz hale getirebileceği düşünüldüğünde bu yapının işletim sisteminden bağımsız kurgulanması çok önemlidir.

Kurumsal işletmelerin bir kısmının kendilerine özgü nedenler ile önemli iş yüklerini ve verilerini bulut üzerine taşımaya sıcak bakmadığı, hepimizin malumu. VMware olarak, bulut teknolojilerinin geleceğinin, kullanıcıya seçme özgürlüğü ve esnekliği veren hibrit bulut teknolojisinde olacağına inanıyoruz. Bulutun sunduğu ekonomik avantajların yanında iş yüklerini doğru zamanda doğru yerde konumlandırabilmek ve bunu yaparken de güvenli bir altyapıya sahip olmak büyük önem taşıyor. Bir başka deyişle her kurum belli ihtiyaçlar ve nedenler çerçevesinde bulut kullanmaya başlıyor. Bulut yapısını kullansa da, kendi bulutunu oluştursa da, kurumlar, tüm altyapılar için geçerli yenilenebilir güvenlik politikaları oluşturmalıdır. Bir iş yükü ya da uygulama sunucusu hangi veri merkezinde çalışırsa çalışsın, uygulama bazlı oluşturulan güvenlik politikaları sunucu ile birlikte çalıştığı ortama taşınmalıdır. Vmware NSX ile birlikte, birden fazla veri merkezi bulunduran işletmelerde, lokasyon bağımsız güvenlik politikaları oluşturabildiğimiz gibi bu iş yüklerinin AWS, IBM veri merkezi gibi bulut ortamlara taşındığı durumda bile sunucuların güvenlik politikaları bu sunucular ile birlikte taşınabilir hale geliyor.

Appdefense, “anomali”yi önceden görüyor

Yönetilen yapılar büyüdükçe, oluşan siber tehditlerin algılanması da aynı oranda zorlaşıyor. Oluşan tehditlerin alarm olarak raporlanması, farklı ürünler ile sağlansa da, oluşan alarmlar içinde gerçek tehdidin belirlenmesi sağlanamadığı gibi, çoğu zaman önlem almak için iş işten geçmiş oluyor.  Ayrıca yapılar da her geçen gün değişiyor. Güvenlik birimleri, gelişen ve değişen bu yapıya adapte olmak zorunda kalıyor.

Tam da bu ihtiyaca cevap vermek için VMware Appdefense ürünümüzü duyurduk. Appdefense ile birlikte artık uygulama haritasını, veri trafiği ve işletim sistemi uygulama alışkanlıklarını ile birlikte oluşturup, anomali durumunu önceden belirleyip önleyebiliyoruz.

Bu sayede “false-positive” ve “true-negative” alarmlar minimum düzeye indirildiği gibi saldırılara anında tepki verebiliyoruz. Güvenlik birimleri oluşan alarmlar arasında gerçek tehditleri aramak yerine güvenlik açıklarını tespit edip, bu açıkların veri merkezine zarar vermemesi için gerekli aksiyonları alabiliyor.

Birbirinden farklı cihazlar kullanan ne kadar fazla insana erişim izni verirseniz, verilerinizi ve uygulamalarınızı o kadar çok güvenlik tehdidine açık hale getirmiş olursunuz. Asıl zorluk, şirket içindeki veya dışındaki kullanıcılar için güvenli veri uygulamalarını hayata geçirmekte. Bir sigorta şirketini örnek olarak ele alalım: Sigorta satmak için gereken tüm verileri Müşteri Hizmetleri biriminde çalışan herkese sunabilmeleri gerekiyor. Peki, cep telefonları çalındığında ya da kaybolduğunda, o telefonu elinde bulunduran herhangi biri aynı bilgilere ulaşabilecek mi? Bu tür olasılıklara karşı cep telefonlarının her ay düzenli olarak denetlenmesi ve takip edilmesi gerekiyor. Aynı zamanda cep telefonunun çalındığına dair bir bilgi geldiğinde, hassas şirket verilerinin başkasının eline geçmemesi için telefonun içindeki kritik bilgileri anında silebilecek sistemlere yatırım yapmaları gerekiyor.

Telefon kapalı bile olsa güvenlik riski altında, verileri silebiliyor

Bugün VMware, bu riski ortadan kaldırmak için gereken teknolojiyi, Airwatch hizmetinin bir parçası olarak kullanıcılara sunuyor. Bunu, cep telefonlarındaki verilerin ve uygulamaların güvenliğini sağlayan bir tür sigorta poliçesi olarak tanımlayabiliriz. Daha önce şirketlerin bu tür bir güvenlik seçeneği yoktu ama şimdi var. Telefon kapalı bile olsa, söz konusu merkezi kimlik yönetimi, cihazın içinde bulunan, şirketle ilgili tüm hassas verileri bir çırpıda silebilir. Yani güvenlik hala potansiyel bir sorun, fakat koruma sağlayacak gelişmiş çözümler de mevcut.

Farklı mobil cihaz ya da ağ cihazlarının ayrı ayrı sistemler tarafından yönetilmesinden ziyade, cihaz ya da donanımdan bağımsız olarak kullanıcı temelli güvenlik politikalarının oluşturulması gerektiğine inanıyoruz. VMware Workspace ONE platformu ile kurum kullanıcılarının erişim ihtiyacı duyduğu herhangi bir uygulamaya olan erişim kontrolünü herhangi bir cihaz üzerinden (masaüstü, mobil vb.) kullanıcı kimliği ve uygulama entegrasyonu ile birlikte belirlenen güvenlik politikaları uyarınca erişilebilir hale getiriyoruz.

VMware NSX bir üründen ziyade bir güvenlik platformu. NSX ile birlikte müşterilerimiz kendi bünyelerinde bulunan tüm ürünler için bir çatı oluşturmuş oluyorlar. Virüs programları, güvenlik duvarları gibi birçok uygulama ve ürün NSX çatısı altında toplanıp, tek bir güvenlik politası oluşturulabiliyor. Müşterilerimizin, konusunda uzman güvenlik üreticileri ile olan alışkanlıkları değişmediği gibi tüm bu ürünlerin bir arada çalışması ile birlikte, daha verimli, daha yetenekli ve yönetilebilir bir yapıya kavuşmuş olacaklar.