Akamai I Mikro Segmentasyon Çözümü
Emre Sel |Akamai Technologies Türkiye Ülke Müdürü Emre Sel, Akamai’nin mikro segmentasyonun çözümünü ve faydalarını anlattı.
Sel şunları şöyledi:
Kurum içi ağların güncel hat koruması diyebildiğimiz firewall’ların yardımıyla dışarıdan gelen saldırıları korumada bu hatlar yetersiz kalabiliyor. Çünkü saldırılar o hatlarda durdurulmaya çalışıyor. Fakat bu saldırılar hatlardan sızdığı zaman güncel firewall’lar diye bildiğimiz o hat korumalar bu hat arkasında gerçekleşen saldırıları görmede ve engellemede yetersiz kalabiliyorlar. Dolayısıyla hat arkasındaki yapıların da korunabiliyor olması lazım. Bu firewall’lar bu konuda yetersiz. Mikro segmentasyon hattın arkasında kalan bütün satıhı korumak için gereklidir. Şimdi Akamai bu konuda tabii ki de hat korumasından satıh korumasına geçişi desteklemektedir. Hat arkasındaki kurum içi ağların içerisindeki bütün makineleri bu on-premde deploy edilmiş olsun, cloud’da deploy edilmiş olsun, Kubernetes gibi konteyner yapıları olsun hiç fark etmeksizin her bir makineyi tek bulunduğu ortamdan ya da bulunduğu operasyonel sistemden bağımsız olarak birer firewall’a çevirebiliyor. Dolayısıyla bu bir tek başına izole firewall gibi çalışabiliyor. Hat korumasından satıh korumasına geçiş bu şekilde Akamai sayesinde gerçekleşebiliyor. Tabii ki de ağ arkasındaki her bir makine birbiriyle iletişimdedir. Dolayısıyla bu ağ arkasındaki her bir makinenin hangi seviyede hangi başka makinelerle iletişimde olduğunu mikro segmentasyon çözümüyle bir haritalama şeklinde, bir topoloji şeklinde çıkarabiliyoruz. Dolayısıyla her bir makineyi tek network seviyesinde bir de işlem seviyesinde görünür hale getiriyoruz. Buna visibility diyoruz. Sizin network ağları içerisindeki her bir makinenin topolojisini çıkarıyoruz. Dolayısıyla makineler hangi seviyede birbirine iletişime geçiyor bunu görebiliyor hale geliyoruz. Görünür olan bir şeyi müdahalesini de gerçekleştirebiliyor olacağız. İki makine arasındaki iletişimde güvenlik kurallarına çarpan bir işlem olduğu zaman bu mitigasyon yöntemleriyle bloklanabiliyor. Dolayısıyla bir sızma durumunda giren makine başka bir makineye o isteği gönderemiyor ve o sızma olan makine içerisindeki herhangi bir kural dışı hareketi de gerçekleştiremiyor. Bu şöyle özetlenebilir. Bir sızma olması durumunda sızma girilen makinede kalıyor. Ne bir işlem gerçekleştirilebiliyor ne de yanal hareketlerle başka bir makineye sıçrayabiliyor. Bütün network bu şekilde izole edilmiş oluyor. Sistem tabii ki de ajan bazlı olduğu için o ajan neye izin veriyorsa ve ki bunu network yöneticileri belirleyebiliyor. Bu izin verilen işlemler dışında başka hiçbir işlem gerçekleştirilemiyor. Dolayısıyla burada bizim yaklaşımımız sıfır güven yaklaşımı. İzin verilen işlem dışında başka hiçbir işlem gerçekleştirilemez. Dolayısıyla makineler arasındaki iletişim sadece temiz ve izin verilen işlemler oluyor. Zero Trust Network Access dediğimiz yapı bu şekilde kurulabiliyor. Bir hatta bir makinenin operasyonel sistemine, kurulu ortama bakılmaksızın hatta daha da ileri gidebiliriz. Bu makineleri çalıştıran insanlar bizler çalışanlara da güvenmeden sadece ve sadece ajanın izin verdiği işlemleri gerçekleştirmesinden dolayı sıfır güven ortamında sadece izin verilen işlemlerin gerçekleştirildiği bir altyapı güvenliği sağlanmış oluyor.
