Sıfır Güven Ağı Erişimi (ZTNA) nedir?

Sıfır Güven Ağ Erişimi (ZTNA), Sıfır Güven güvenlik modelinin uygulanmasını mümkün kılan teknolojidir. "Sıfır Güven", tehditlerin hem ağın içinde hem de dışında mevcut olduğunu varsayan bir BT güvenlik modelidir. Sonuç olarak, Sıfır Güven, iç kaynaklara erişim izni verilmeden önce her kullanıcı ve her cihaz için sıkı doğrulama gerektirir.



ZTNA, erişimi kontrol etmede yazılım tanımlı çevre (SDP) yaklaşımına benzer. ZTNA'da, SDP'de olduğu gibi, bağlı cihazlar, bağlı oldukları kaynaklar (uygulamalar, sunucular vb.) dışında ağdaki hiçbir kaynağın farkında değildir.

Şöyle bir senaryo düşünün: Her sakine, şehrindeki diğer tüm sakinlerin telefon numaralarının bulunduğu bir telefon rehberi veriliyor ve herkes herhangi bir numarayı arayarak başka bir kişiye ulaşabiliyor. Şimdi de herkesin gizli bir telefon numarasına sahip olduğu ve bir sakinin diğer bir sakini aramak için o kişinin telefon numarasını bilmesi gerektiği bir senaryo düşünün. Bu ikinci senaryo birkaç avantaj sunuyor: İstenmeyen aramalar yok, yanlış kişiye yanlışlıkla yapılan aramalar yok ve vicdansız kişilerin şehrin telefon rehberini kullanarak sakinleri kandırması veya dolandırması riski yok.

ZTNA, ikinci senaryoya benziyor. Ancak telefon numaraları yerine, ZTNA "gizli" IP adresleri, uygulamalar ve hizmetler kullanıyor. Kullanıcılar ve ihtiyaç duydukları kaynaklar arasında bire bir bağlantılar kuruyor; tıpkı birbirleriyle iletişim kurması gereken iki kişinin telefon numaralarını paylaşması gibi. Ancak iki kişinin numara alışverişi yapmasının aksine, ZTNA bağlantılarının periyodik olarak yeniden doğrulanması ve yeniden oluşturulması gerekir.
​

Sanal özel ağlar (VPN'ler), birçok kuruluşun ZTNA yerine erişimi kontrol etmek için kullandığı yöntemdir. Kullanıcılar bir VPN'e giriş yaptıktan sonra, tüm ağa ve o ağdaki tüm kaynaklara erişim kazanırlar (bu genellikle kale ve hendek modeli olarak adlandırılır). ZTNA ise yalnızca istenen belirli uygulamaya erişim izni verir ve varsayılan olarak uygulamalara ve verilere erişimi reddeder.

ZTNA ve VPN'ler arasında teknik düzeyde de farklılıklar vardır. Bu farklılıklardan bazıları şunlardır:

OSI model katmanı: Birçok VPN, OSI modelinde ağ katmanı olan 3. katmanda IPsec protokolü üzerinde çalışır. ZTNA genellikle uygulama katmanında çalışır. (Bazı VPN'ler, IPsec yerine şifreleme için TLS protokolünü kullanarak uygulama katmanında çalışır; ZTNA genellikle benzer bir yaklaşıma sahiptir.)
Uç nokta yazılım kurulumu: IPsec VPN'ler, tüm kullanıcı cihazlarına yazılım kurulumu gerektirir. Bu durum bazen ZTNA için de geçerlidir, ancak her zaman değil.
Donanım: VPN'ler genellikle yerel VPN sunucularının kullanımını gerektirir ve kullanıcı cihazları, genellikle kuruluşlarının çevre güvenlik duvarından geçerek bu sunuculara bağlanır. ZTNA bu şekilde yapılandırılabilir, ancak çoğunlukla bulut üzerinden sunulur ve kullanıcıların ağ performansını etkilemeden her yerden bağlanmalarını sağlar.
Bağlantı düzeyi: ZTNA, bir kullanıcının cihazı ile belirli bir uygulama veya sunucu arasında bire bir şifreli bağlantılar kurar. VPN'ler kullanıcılara tüm LAN'a aynı anda şifreli erişim sağlar. Bir kullanıcının IP adresi ağa bağlanırsa, o ağdaki tüm IP adreslerine bağlanabilir.

Son olarak, VPN'ler hassas değildir ve kullanıcıları ve cihazları, nerede olduklarına ve neye erişmeleri gerektiğine bakılmaksızın büyük ölçüde aynı şekilde ele alır. "Kendi cihazını getir" (BYOD) yaklaşımları giderek yaygınlaştıkça, bu erişime izin vermek tehlikelidir, çünkü kötü amaçlı yazılım bulaşmış herhangi bir uç nokta daha sonra tüm ağı enfekte edebilir. Bu nedenlerle, VPN'ler sık sık saldırı hedefi olmaktadır.
​

ZTNA, her kuruluş veya satıcı tarafından biraz farklı şekilde yapılandırılır. Bununla birlikte, ZTNA mimarilerinde tutarlı kalan birkaç temel ilke vardır:

Uygulama ve ağ erişimi: ZTNA, uygulama erişimini ağ erişiminden ayrı ele alır. Bir ağa bağlanmak, bir kullanıcıya otomatik olarak bir uygulamaya erişme hakkı vermez.
Gizli IP adresleri: ZTNA, IP adreslerini ağa ifşa etmez. Bağlı cihazlar için ağın geri kalanı görünmez kalır; yalnızca bağlı oldukları uygulama veya hizmet hariç.
Cihaz güvenliği: ZTNA, erişim kararlarında cihazların risk ve güvenlik durumunu faktör olarak dahil edebilir. Bunu, cihazın kendisinde yazılım çalıştırarak (aşağıdaki "Ajan tabanlı ZTNA ve hizmet tabanlı ZTNA" bölümüne bakın) veya cihaza giden ve cihazdan gelen ağ trafiğini analiz ederek yapar.
Ek faktörler: Yalnızca kullanıcı kimliğine ve rolüne göre erişim sağlayan geleneksel erişim kontrolünün aksine, ZTNA, kullanıcı konumu, isteklerin zamanlaması ve sıklığı, istenen uygulamalar ve veriler gibi ek faktörlerle ilişkili riskleri değerlendirebilir. Bir kullanıcı bir ağa veya uygulamaya giriş yapabilir, ancak cihazı güvenilir değilse erişim reddedilir.
MPLS Yok: ZTNA, MPLS tabanlı WAN bağlantıları yerine TLS üzerinden şifrelenmiş İnternet bağlantıları kullanır. Geleneksel kurumsal ağlar özel MPLS bağlantıları üzerine kuruludur. ZTNA ise bunun yerine genel İnternet üzerine kuruludur ve ağ trafiğini gizli tutmak için TLS şifrelemesi kullanır. ZTNA, bir kullanıcıyı daha büyük bir ağa bağlamak yerine, kullanıcı ile uygulama arasında küçük şifrelenmiş tüneller kurar.
IdP ve SSO: Çoğu ZTNA çözümü, ayrı kimlik sağlayıcıları (IdP'ler), tek oturum açma (SSO) platformları veya her ikisiyle de entegre olur. SSO, kullanıcıların tüm uygulamalar için kimliklerini doğrulamalarına olanak tanır; IdP, kullanıcı kimliğini saklar ve ilgili kullanıcı ayrıcalıklarını belirler.
Aracı mı, hizmet mi: ZTNA, bir uç nokta aracısı kullanabilir veya bulutta olabilir. Aradaki fark aşağıda açıklanmıştır.
Aracı tabanlı ZTNA mı, hizmet tabanlı ZTNA mı?
Aracı tabanlı ZTNA, tüm uç nokta cihazlarına "ajan" adı verilen bir yazılım uygulamasının yüklenmesini gerektirir.

Hizmet tabanlı veya bulut tabanlı ZTNA, uç nokta uygulaması yerine bir bulut hizmetidir. Bir ajanın kullanımını veya kurulumunu gerektirmez.

Sıfır Güven felsefesini uygulamayı düşünen kuruluşlar, ihtiyaçlarına en uygun ZTNA çözümünün ne olduğunu değerlendirmelidir. Örneğin, bir kuruluş yönetilen ve yönetilmeyen cihazların artan karışımından endişe duyuyorsa, ajan tabanlı ZTNA etkili bir seçenek olabilir. Alternatif olarak, bir kuruluş öncelikle belirli web tabanlı uygulamaları kilitlemeye odaklanıyorsa, hizmet tabanlı model hızla devreye alınabilir.

Bir diğer husus ise, hizmet tabanlı ZTNA'nın bulut uygulamalarıyla kolayca entegre olabilmesi ancak şirket içi altyapıyla o kadar kolay entegre olmamasıdır. Tüm ağ trafiğinin şirket içi uç nokta cihazlarından buluta, ardından tekrar şirket içi altyapıya gitmesi gerekiyorsa, performans ve güvenilirlik ciddi şekilde etkilenebilir.
​

Satıcı Uzmanlığı: Kimlik ve erişim yönetimi (IAM), ağ hizmetleri ve ağ güvenliği geleneksel olarak ayrı alanlarda olduğundan, çoğu ZTNA satıcısı genellikle bu alanlardan birinde uzmanlaşmıştır. Kuruluşlar, ihtiyaçlarına uygun bir uzmanlık alanına sahip bir satıcı aramalı veya üç alanı da tek bir bütünleşik ağ güvenliği çözümünde birleştiren bir satıcı bulmalıdır.

Uygulama Seviyesi: Bazı kuruluşlar, Sıfır Güven stratejisini desteklemek için (örneğin, Kimlik Sağlayıcı veya uç nokta koruma sağlayıcıları) ilgili teknolojilere zaten yatırım yapmış olabilirken, bazıları tüm ZTNA mimarilerini sıfırdan oluşturmak zorunda kalabilir. ZTNA satıcıları, kuruluşların ZTNA dağıtımlarını tamamlamalarına, tüm ZTNA mimarilerini oluşturmalarına veya her ikisine de yardımcı olmak için nokta çözümleri sunabilir.

Eski Uygulamalara Destek: Birçok kuruluşun hala işleri için kritik öneme sahip şirket içi eski uygulamaları vardır. İnternet üzerinde çalıştığı için ZTNA, bulut uygulamalarını kolayca destekler, ancak eski uygulamaları desteklemek için ek yapılandırma gerekebilir.

Kimlik Sağlayıcı Entegrasyonu: Birçok kuruluşun zaten yerleşik bir Kimlik Sağlayıcısı vardır. Bazı ZTNA sağlayıcıları yalnızca belirli Kimlik Sağlayıcılarla (IdP) çalışarak müşterilerini kimlik veritabanlarını kendi hizmetlerini kullanacak şekilde taşımaya zorlar. Diğerleri ise IdP'den bağımsızdır; herhangi bir IdP ile entegre olabilirler.
​

Sıfır Güven Uygulama Güvenliği olarak da adlandırılan Sıfır Güven Uygulama Erişimi (ZTAA), ağ erişimi yerine uygulama erişimine ZTNA ile aynı prensipleri uygular. ZTAA çözümleri, IdP ve SSO sağlayıcılarıyla entegre olarak, bağlantıları şifreleyerek, bir uygulama için her erişim isteğini ayrı ayrı değerlendirerek ve istek bazında engelleme veya izin verme yoluyla kullanıcıların uygulamalara erişimini doğrular. ZTAA, tarayıcı üzerinden veya uç nokta aracısı kullanılarak aracısız olarak sunulabilir.​