Yazılım Tanımlı Çevre Nedir?

Yazılım tanımlı çevre (SDP), bulut tabanlı ve tesis içi veri merkezlerini korumak için uzaktan kullanım özelliklerine sahip bir ağ altyapısıdır. SDP yaklaşımının amacı, ağ çevresinin temeli olarak donanımın değil, yazılımın kullanılmasıdır. Cloud Security Alliance, SDP’yi 2013’te veri ihlali risklerini azaltan güçlü ağlar için bir çözüm olarak oluşturmuştur.

SDP’ler, şirketlerin verileri halka açık ve özel bulut sistemleri dahil olmak üzere farklı kanallara dağılmış şekilde yönettiği modern BT ortamında etkili bir çözümdür. SDP altyapısı, BT yöneticilerine hem uzak hem de tesis içi ağlar için tek bir güvenlik kontrolü sağlar.

SDP altyapısı, geniş ağ erişimini kısıtlayan çevre tabanlı ağlardan farklılık gösterir. SDP, bu yöntemin yerine önceden belirlenmiş bir politikaya dayanarak kullanıcılara yalnızca belli hizmet ve ana bilgisayarlara erişim sağlar. Dolayısıyla, SDP’ler kurumsal BT sistemlerinin saldırıya açık yüzeylerini ciddi oranda azaltır ve kötü amaçlı saldırıların azalmasını sağlar. Bu altyapı, ağ kaynaklarına erişmek ve onları kullanmak isteyen her kişi veya varlık için kurumsal ağ çevresinin içinde mi yoksa uzaktan mı erişiyor olduklarına bakılmaksızın katı bir kimlik doğrulama ve açık bir izin süreci gerektiren bir güvenlik paradigması olan Sıfır Güven yaklaşımının da temellerini oluşturur. Kimlikleri doğrulanana kadar herkesin ağa erişimini engellemek ve Sıfır Güven yaklaşımını benimsemek, verilerinize nasıl erişildiğini ve verilerin nasıl kullanıldığını sürekli takip etmenizi sağlar.

SDP’ler, geleneksel çevre tabanlı ağlara göre daha güvenli alternatiflerdir. Bu altyapı, varsayılan olarak her kullanıcının erişiminin engellendiği ve katı bir doğrulama süreci gerektiren sıfır güven protokollerini destekler. SDP, erişimi kullanıcı kimliklerini ve cihazları içeren iki adımlı bir yaklaşımla doğrular.

SDP’ler, Kullanıcıların ağ erişimini bilmeleri gerekenlerle sınırlayarak, kullanıcılarla sunucular arasında özel ve adanmış bağlantılar oluşturur. Ağ, konumdan ve altyapıdan bağımsızdır, böylece BT uzmanları kullanıcı faaliyetlerini uzaktan takip etmek için ağ geçitlerini her yerden kurabilir. SDP’nin esnekliği, küresel uygulamaları ve otomatik erişim politikalarının kişiselleştirilmesini destekler.

SDP yaklaşımı, bir kaynağa erişmeye çalışan tüm uç noktaların, ağdaki herhangi bir varlığa erişmelerine izin verilmeden önce doğrulanıp yetkilendirilmesini sağlar. Yazılım tanımlı çevreler, kullanıcıların kimliğini bir kullanıcı adı ve şifre kombinasyonuyla veya ek güvenlik için birden fazla kimlik doğrulama süreciyle doğrular. Cihazlarda son güncelleme kontrolleri ve kötü amaçlı yazılım tehditlerine ve ilgili güvenlik risklerine karşı taramalar yapılır.

SDP, cihazların geçerli ve yetkili olduğundan emin olunmasını sağlar, bu da çalışanların sistemlerinin tehlikeye girebileceği kendi cihazını getir (BYOD) türü iş yerlerinde kritik bir unsurdur. Yazılım tanımlı çevreler, ayrıca üçüncü tarafların kolayca erişebileceği IoT cihazlarından kaynaklanan güvenlik risklerini de ortadan kaldırır. SDP’nin dinamik işlevleri, kullanıcıların tüm uygulamalara zahmetli yönetim süreçleri olmadan belli bir süreç üzerinden bağlanmasını sağlarken, gerekli BT kaynaklarına erişimin de sıkı kurallara tabi olmasını sağlar.

Katı kimlik doğrulama süreci, ciddi veri ihlallerine neden olan gelişmiş sürekli tehditler ve izinsiz bağlantı izleme gibi ağ saldırısı olaylarını azaltmayı hedefler.

Her bir kullanıcının bir ağın içerisindeki veya ötesindeki bir noktaya erişmek için kimliğini ve cihazını doğrulaması gerekir. SDP, genellikle detayları SDP kontrolörüne aktarmadan önce bilgileri bir üçüncü taraf kimlik sağlayıcıdan (IdP) alır. Kullanıcı ve cihazın kimliği doğrulandıktan sonra, cihazla sunucu arasında bireysel bir ağ bağlantısı kurulur.

SDP kontrolörü, ağın karşılıklı bir TLP (aktarım katmanı güvenliği) üzerinden sağlanan bilgileri doğrulayan mantıksal bileşenidir. Karşılıklı TLP’ler, güvenli bir şifreli bağlantı sağlamadan önce kullanıcıların ve hizmet sağlayıcıların meşru olduğunu doğrulayan ağ güvenliği protokolleridir.

SDP ağ geçitleri, kontrolörden kimlik doğrulama onayını aldıktan sonra kullanıcılara erişim izni verir. Sağlanan bağlantılara yalnızca doğrulanan kullanıcı ve hizmet sağlayıcılar tarafından erişilebilir. Bireysel bir ağ bağlantısı sağlandıktan sonra, o kullanıcı internete erişebilir, ancak başka hiçbir kullanıcı o bireysel ağa erişemez ve ağ bağlantısı yalnızca o kullanıcının erişme yetkisine sahip olduğu varlıkları içerir.

VPN’ler (sanal özel ağlar), genellikle şifresiz kanallar üzerinden şifreli bir bağlantı sağlayarak, özel bir ağı taklit eder. VPN stratejisi, kurumsal kullanıcı erişimlerinde ek bir güvenlik katmanı sağlasa da veri ihlallerine açık durumdadır.

Ek olarak, kullanıcıların her bir ekstra bağlantı için ayrı VPN’ler oluşturması gereken çok seviyeli erişim senaryolarında VPN’ler kullanışsız olabilmektedir. VPN kimlik bilgilerinin saldırganların eline geçmesi, kötü amaçlı kullanıcıların veri merkezlerini istedikleri gibi kullanmalarına neden olan kurumsal ağ güvenlik açıklarıyla aynı riskleri taşır. Birden çok VPN kullanımı karmaşık BT yönetimi rutinine neden olduğundan, veri ihlali riski daha da artar.

Buna karşın, SDP’ler her oturum açılışında kısıtlı erişim sağlayarak kullanıcılarla sunucular arasında benzersiz bağlantılar kurdukları için VPN’lerden daha güvenlidir. Ek olarak, SDP’nin çift kimlik doğrulama süreci, kullanıcı bilgileri veya cihazlar çalındığında dahi yetkisiz erişimi engeller. Bazı SDP’lerde yetkisiz cihazlardan gelen erişim taleplerini anında reddeden dahili bir kara liste sistemi bulunmaktadır.

SDP’nin temel direklerinden biri, ağa olabilecek en az ayrıcalıkla erişim sağlamak için çok küçük gruplardan faydalanma özelliğidir. Bu altyapı, bir Sıfır Güven yaklaşımı oluşturmanın temelidir. Forcepoint’in sürekli Sıfır Güven güvenlik yaklaşımı, basit bir SDP’nin ötesine geçer ve kullanıcıların yalnızca veri erişimini değil, verilerin kullanılmasını da kontrol etmesini sağlar.