Sunucu ağlarında mikrosegmentasyon

Mikrosegmentasyon artık günümüz modern ağ altyapılarının korunmasında, güvenlik stratejilerinin en önemli unsurları arasında yer almakta. Seneler içinde gelinen noktada klasik güvenlik politikalarının geçerliliğinin sorgulanması ve konunun mikro düzeyde tekrar ele alınması tabi ki kurumlar için hiç de kolay olmadı. Değişen tehdit davranışları bu gelenekçi güvenlik anlayışının yeniden ele alınmasını bir anlamda zorunlu kıldı denilebilir.

Gelenekçi güvenlik anlayışı tehdidin ağın dışından kaynaklandığı varsayımına dayanmakta ve bu nedenle çoğu çevre güvenlik çözümü (IPS/IDS/Güvenlik duvarları) özünde yalnızca Kuzey-Güney trafiğine odaklanmaktaydı. Geleneksel perimeter firewall’lar veri merkezlerinin kahramanıydı. Bir kalenin dışındaki muhafız ve hendek gibiydiler, ağınızı aşılmaz bir kale haline getiriyor, trafik ağınıza Kuzey-Güney yönünde gidip geliyor ve yalnızca doğru izinlere sahipse içeri girebiliyor veya dışarı çıkabiliyordu. Bununla birlikte, ağ trafiğinin yüzde 75’inden fazlası Doğu-Batı veya yatayda sunucudan sunucuya olup, bu durum güvenlik ekipleri tarafından büyük ölçüde görünmemekte ve yatayda herhangi bir güvenlik önlemi de alınmamaktaydı. Yani veri merkezinin içinde sinsice ilerleyen, en kritik verilerinize nüfuz eden, kaynaklar üzerinde bir süre bekleyen, ortamı öğrenen ve edindiği bilgilere göre farklı kaynaklara atlayabilen, verileri kullanılamaz hale getiren tehditler için alınan hemen hiçbir önlem yoktu. Kale benzetmemize geri dönecek olursak, bu davetsiz misafirler içeride dolaşırken, kapının dışında duran nöbetçinin maalesef hiçbir şeyden haberi yoktu.

Mikro segmentasyon, veri merkezlerini, uygulamaları ve iş yüklerini tespit edilmeden yatay olarak hareket edecek gelişmiş tehditlere karşı sunucu ağlarında tam koruma sağlama ihtiyacından gelişmişti. Ayrıca, iş yükleri ve uygulamalar daha dinamik hale gelip mikro servis seviyesinde yayılma ya başladıkça, ağ genelinde güvenlik ilkelerini tutarlı bir şekilde uygulamak imkansız hale geliyordu. İşte tüm bu çıkmazlar bir anda tüm gözlerin yazılım tabanlı mikro segmentasyon çözümlerine çevrilmesine sebep oldu.

Bu çözümler güvenlik ekiplerinin derinlemesine görünürlük kazanmasına, segmentasyonun ana bilgisayar/sunucu düzeyine kadar ayrıntılı hale getirilmesine, dağıtılmış ve dinamik ortamlardaki iş yüklerini takip edebilecek politikaları uygulamasına olanak tanıyarak günümüzde kurumların karşılaştığı gelişmiş siber tehditlere karşı tutarlı, proaktif savunma sağlamasına ciddi anlamda yardımcı oldu.

Mikro segmentasyon, güvenlik duvarları veya VLAN’lar kullanarak donanım düzeyinde yapılandırma yapmak yerine yazılım ilkelerini kullanarak BT kaynakları arasında ayrım oluşturur. Bu ayrışmaların altında yatan temel sebep, ayrışan kaynakların farklı fonksiyonlara, görevlere ve yetkilere sahip olması ve birbirine kontrollü bir şekilde erişmesi gerekliliğine dayanır. Mikro segmentasyon terimi ise, zaten halihazırda ayrışmış olan kümelerin daha da ufak bölümlere ayrışmasına verilen isimdir. Yöneticiler, bu politikaları kullanarak bir segmentin hangi kaynaklara veya hizmetlere erişmesine izin verileceğini belirleyebilir.

Mikro segmentasyon, örneğin IP adreslerine, IP ağ segmentlerine, MAC adreslerine veya Virtual Machine (VM, Sanal Makine) adlarına dayalı segmentasyon gibi ayrıntılı bir ayrıştırma modeli sağlamaktadır. Bir ağı, gruplandırma kurallarına göre birkaç bölüme ayırır ve bu bölümler arasındaki trafiği kontrol etmek için politikalar uygular. Bu şekilde, veri paketleri yalnızca belirli noktalar arasında iletilebilir.

Bu yöntem, gemi mimarisinde de kullanılan gemiyi su basmasını azaltmak ve batmasını önlemek için su geçirmez bölmelere ayırmaya benzetilebilir.

Mikro segmentasyon, hizmet kaynaklarını ihtiyacınız dahilinde oluşturulan segmentlere göre yönetir ve sıfır güven güvenlik modelini uygulamak için minimum izin ilkesine dayalı olarak hizmetler arasındaki erişimi sıkı bir şekilde kontrol eder. Bu, saldırı yüzeyini en aza indirir ve saldırganların anormal doğu-batı trafiğini önleyerek iç güvenliği sağlar.

Sunucu ağlarında mikro segmentasyonu benimseyen kurumlar somut faydalar elde ederler:

Azaltılmış saldırı yüzeyi: Mikro segmentasyon, tüm ağ ortamına görünürlük sağlar. Yeni saldırı vektörlerinin oluşumu ve yayılımını daha doğduğu noktada engeller. Bu günümüzde DevOps’un hızla büyüyen dünyasında özellikle önemlidir.

Gelişmiş ihlal tespiti: Mikro segmentasyon, güvenlik ekiplerine ağ trafiğini önceden tanımlanmış politikalara göre izleme ve veri ihlallerine yanıt verme imkanı sunduğu gibi, ekiplere düzeltme süresini kısaltma olanağı da tanır.

Daha güçlü mevzuat uyumluluğu: Sunucu ağlarını yöneten ekipler, mikro segmentasyonu kullanarak düzenlemelere tabi sistemleri altyapının geri kalanından izole eden politikalar oluşturabilir. Düzenlemeye tabi sistemlerle iletişimin ayrıntılı kontrolü tehdit risklerini azaltır.

Basitleştirilmiş kural yönetimi: Mikro bölümlere ayrılmış bir ağa veya Sıfır Güven güvenlik modeline geçiş, kural yönetimini basitleştirme fırsatı sunar. Bazı mikro segmentasyon çözümleri, öğrenilen uygulama davranışına dayalı olarak otomatik uygulama keşfi ve kural önerileri de sunabilir.

Mikrosegmentasyonda Anahtar Model: Sıfır Güven Kurumlara ait sunucu sistemleri zarar gördüğünde, hedef sistemler üzerinde yetkisiz erişim, sistem kesintileri, veri kaybı ve sızıntılarına sebebiyet vermekte ve bunun faturası işgücü, para, zaman ve itibar kaybı olarak işletmelere yansımaktadır.

Sıfır güven mimarisi (Zero Trust Architecture) bu ve benzeri tehdit yaklaşımlarının önüne geçebilmek adına ortaya çıkmış, yeni nesil güvenlik yaklaşımlarının nasıl olması gerektiğine dair sektöre referans noktası olmaktadır. Adından da anlaşılabileceği üzere bu model temel olarak, iç veya dış hiçbir kaynağa tam olarak güvenilmemesi ve sahip olunan verinin, erişmeye ihtiyaç duyanlar hariç tüm kaynaklara karşı izole edilmesi prensibine dayanmaktadır. Güven duymamaya ek olarak, kaynaklar, kişiler ve erişimler sürekli olarak izlenebilir ve doğrulanabilir olmalıdır. Mikro segmentasyon ise bu konsepti uygulamanın ilk adımı olarak kabul edilir.

Başarılı bir Sıfır Güven uygulamasının temeli, kesinlikle beş temel kavrama bağlıdır. Bu kavramlar yalnızca sağlam bir Sıfır Güven temeli oluşturmaya yardımcı olmakla kalmaz, aynı zamanda kurumlarda güvenliğin ele alınma biçimine, sürdürülebilir ve verimli bir şekilde yürütülebilmesine de kılavuzluk etmektedir.

1-Koruma Yüzeyini Tespit Edilmesi

Bir kuruluş için kritik olan veri türünün resmi olarak tanımlanması ve belgelenmesi ve bunların nerede saklandığının anlaşılması, koruma yüzeyinin ana hatlarını belirlemek açısından önemlidir.

Bu sebeple hassas verileri /sunucuları belirleyin ve sınıflandırın. Ağınızı veri hassasiyetine göre bölümlere ayırın. Mikrosegmentasyon için bu ilk ve en önemli adımdır.

2-Bağlantıların/Akışın Tespit Edilmesi

Ağ genelinde trafik akışını özetleyen standart bir ağ mimarisi şeması yeterli değildir. Sıfır güven modelinin etkili olabilmesi için tüm ağ için bağlantıların kapsamlı bir haritası gereklidir. Sıfır Güven, kullanılan uygulamaların ve bunlarla ilişkili veri sunucularının kapsamlı erişim karnelerinin belirlenmesini gerektirir. Bunun için ilgili servislerin sahipleri ile birlikte çalışmak önemlidir.

3-Mikro Segmentasyon Kullanarak Ağın Tasarlanması

Artık odak nokta, koruma yüzeyini mikro bölümlere ayırmak için araçlar ve teknolojiler kullanmaya geliyor. Mevcut bilgi güvenliği araçlarından bazıları, güvenlik duvarları, derin paket inceleme araçları, izinsiz giriş önleme sistemleri ve veri kaybı önleme araçlarıdır. Bu araçlar, Sıfır Güven ortamı oluşturmada etkili olabilir, ancak özellikle yatay trafiği kontrol etmek için yeterli değildirler. Olası kötü amaçlı etkinlikleri tespit etmek ve koruma amaçlı etkin yanıtlar vermek için mikro segmentasyon uygulamaları kullanılmalıdır.

4-Sıfır Güven Politikalarının Uygulanması

Politikalar geliştirmek ve uygulamak, güçlü bir sıfır güven modeli oluşturmak için en kritik ve zaman alıcı adımlardan biridir.

Uygun trafik akışının kabul edilmesi veya reddedilmesi için kuruluşların koruma yüzeylerini gerçekten anlamaları ve bunları yönetim anlayışlarına yansıtmaları gerekir. Bu ayrıntılı politikalar, güvenlik araçları aracılığıyla tüm ağ iş yüklerinde uygulanmak üzere kurum talimatlarına eklenmelidir. Bu sebeple detaylı analizler yapan izleme (monitoring) uygulamaları ile çalışılmalı, gerçek zamanlı izleme yapılmalıdır.

5-Ağın İzlenmesi ve Süreklilik

Tüm logları merkezi Güvenlik Bilgileri ve Olay Yönetimi (SIEM-Security Information and Event Managment) uygulamalarına yönlendirmek ve bunları kötü amaçlı etkinliklerin tespiti açısından izlemek, tüm kaynakların daha iyi korunmasını sağlayacaktır.

Bu işlem, derin paket inceleme araçları ve diğer ağ güvenliği izleme teknolojileri kullanılarak yapılabilir. Ayrıca, istenmeyen trafiği etkili bir şekilde izlemek ve engellemek için otomasyon araçları da etkin şekilde kullanılabilir. Bu aşamada önemli bir konu da rutin iyileştirilmelerle sürekliliğin sağlanmasıdır.

Mikrosegmentasyon Nasıl Çalışır?

Sıfır Güven tabanlı mikrosegmentasyon, kötü niyetli yanal hareketin etkisini sınırlamak için bir ağdaki iş yüklerini izole etmeye dayalı bir teknolojidir ve bu çözümler üç farklı kategoride değerlendirilmektedir:

Ajan tabanlı çözümler: İş yükü üzerinde bir yazılım ajanı kullanılır. Bu tip sistemler merkezi güvenlik duvarlarından yararlanabilir veya iş yükü kimliğine, özniteliklerine dayalı yalıtım yeteneklerini kullanabilirler.

Ağ tabanlı segmentasyon çözümleri: Ağ altyapısına bağlıdır. Bu tarz sistemler dağıtık ağ anahtarları, yönlendiriciler, yük dengeleyiciler veya yazılım tanımlı ağlar (SDN) gibi fiziksel veya sanal cihazlardan yararlanırlar.

Yerel bulut çözümleri: Bulut hizmeti sağlayıcılarında (Örn. Amazon, Azure güvenlik duvarı veya Google Cloud güvenlik duvarı) bulunan yerleşik yeteneklerden yararlanılır.

Bir mikro segmentasyon çözümü, veri merkezleri içindeki dinamik işleyişe tam uyum sağlamalıdır. Granüler güvenlik, dinamik ortamlar için önemli bir konudur. Örneğin günümüzde docker, kubernetes gibi mikro servis mimarileri ile oluşturulmuş uygulamalar birkaç saniye içinde servis verebilir duruma gelebilmektedir.

Çoğu kez iş yüklerine atanan ip adresleri kısıtlayıcı statik bir veriyi temsil etmekte ve IP tabanlı kural yönetimini imkansız hale getirmektedir. Mikro segmentasyon ile güvenlik politikaları, ip/subnet/vlan yapıları yerine kimlikler veya öznitelikler cinsinden ifade edilir. Burada bahsi geçen nitelik verisi sunucunun ismi, ön eki, etiketi veya üye olduğu active directory grubu olabilir. Böylece uygulamada veya altyapıda yapılan değişiklikler, güvenlik ilkelerinde gerçek zamanlı ve hiçbir insan müdahalesi gerektirmeden otomatik olarak işlemektedir.

Özetle; Mikro segmentasyon yazılımları, ayrıntılı güvenlik ilkelerini sunucu iş yükleriyle ilişkilendirerek, bir saldırganın çevre savunmalarına sızdıktan sonra bile bir veri merkezi boyunca yatay olarak hareket etme yeteneğini sınırlar.

Bu durum, veri merkezi içinde sunucudan sunucuya yayılabilen tehditleri ortadan kaldırabilmeye imkan tanıyabileceği gibi, ağları birbirinden güvenli bir şekilde izole edebilme ve bir ağ güvenlik olayının toplam saldırı yüzeyinin azaltabileceği anlamına da gelmektedir. Aslında günümüzde güvenlik ihtiyaçlarının veri ağları işletmecileri için ne kadar önemli bir konu olduğu ortadayken mikrosegmentasyon ürünlerinin gelişim yolculuğuna da hep birlikte daha uzun yıllar şahitlik edecek gibi görünüyoruz.