Bilgi Güvenliği Bakış Açısı ile Kurumsal Güvenlik Mimarisi

0
2858
views
Güvenlik mimarisi, güvenlik gereksinimlerini ele almak için çözümler tasarlamada kullanılan disiplinler kümesini veya bu hedeflere ulaşmak için kullanılan genel bir çerçeveyi ifade eder. Kurumsal güvenlik mimarisi, kurumsal bilgi sistemleri mimarisinin temel bir yapı taşıdır. Tek bir uygulamadaki ayrı ayrı işlevsel ve işlevsel olmayan bileşenlere odaklanmak yerine, birden çok uygulamadaki sistem veya iş süreci tarafından kullanılabilecek bir dizi güvenlik hizmeti için uzun vadeli ve stratejik bir tasarıma odaklanır. Bu yazıda Kurumsal Güvenlik Mimarisi konusu incelencektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

 

Kurumsal Güvenlik Mimarisi (Enterprise Security Architecture – ESA),

  • Basit, uzun vadeli bir kontrol görünümünü temsil eder
  • Ortak güvenlik kontrolleri için birleşik bir vizyon sağlar
  • Mevcut teknoloji yatırımlarından yararlanır
  • Mevcut ve gelecekteki tehditlere esnek bir yaklaşım sağlar
  • Kuruma ait temel işlevlerin ihtiyaçlarına odaklanır

 

Güvenlik mimarisinin ilk aşamada oluşturulması ile kurumsal mimarinin içerisinde yer alacak bileşenlerin sahip olması gereken güvenlik fonksiyonları, bu bileşenlerin devreye alındığı andan itibaren güvenli biçimde işletilebilmelerini sağlayacaktır. Zaman içerisinde sisteme dahil edilen farklı uygulamaların ve hizmetlerin kendine özgü veya eksik güvenlik kabiliyetleri nedeni ile kurumun bilgi sistemleri altyapısının zafiyete uğraması ihtimali azalacaktır. Uçtan uca tutarlı bir güvenlik modeli kurumsal mimariye hakim kılınabilecektir.

 

 

 

A) Temel Amaç ve Hedefler

Kurumsal Güvenlik Mimarisinin temel amacı, kuruma ait bilginin gizli kalmasını, bütünlüğünün sağlanmasını ve erişiminin sürekli kılınmasını sağlamak, güvenlik hizmetlerinin geliştirilmesi için öncelikleri belirlemek ve bu öncelikleri bilgi güvenliği programının planlamasına entegre etmektir.

Kurumsal Güvenlik Mimarisi;

  • Basit ve uzun vadeli bir yaklaşım ele alınmalıdır. Güvenlik mimarisi, kuruluşun en yaygın risklerini ele alarak doğru kontrol düzeyine sahip olunmasını sağlamak için, kapsamlı fakat aynı zamanda basit olmalıdır. Gereksiz hizmet tekrarlarından veya karmaşıklıklardan kaçınmalı ve zaman içinde geliştikçe kontrol gereksinimlerini karşılayabilmelidir
  • Mimari, güvenlik kontrollerine bütüncül bir bakış açısıyla bakmalı, bu kontrollerdeki olası boşlukları belirlemeli ve iyileştirme için uzun vadeli bir plan sağlamalıdır.
  • Mimari, mümkün olduğunca kuruluşta halihazırda (mevcutta) bulunan teknolojileri yeniden kullanmalı ve mevcuttaki teknolojik yatırımlardan faydalanmalıdır.
  • Mimarinin uygulanması, mevcut ve gelecekte ortaya çıkan tehditler için güvenlik önlemleri ve karşı önlemler sağlayacak kadar esnek olmalıdır. Ayrıca kuruluş içindeki çekirdek uygulamaların amaçlandığı gibi çalışmasına ve entegre olmasına izin verecek kadar esnek olmalıdır.

 

Kurumsal güvenlik programı, kuruluşun kurumsal risk yönetimi, kurumsal BT yönetişimi, kurumsal mimarisi ve fiziksel güvenlik programları ile entegre olmalıdır.

Kuruluşun güvenlik mimarisi ayrıca aşağıdaki güvenlik programları desteklemeli ve bu programlar ile bütünleşmelidir.

  • Tüm bilgilerin zaman içinde değer ve risk açısından eşit veya sabit olmadığını kabul eden etkili bir güvenlik programı
  • Riskleri kabul edilebilir iş seviyelerine düşüren kalite süreçleriyle birlikte en kritik varlıkları korumak için doğru teknolojiyi uygulayan etkili bir güvenlik programı
  • Teknoloji ve süreçlerin zaman içinde değer ve risklerdeki değişikliklere uyum sağlayabilmesi için düzenli yönetim incelemeleri ve teknoloji değerlendirmelerini içeren yüksek kaliteli bir güvenlik programı

 

Kurumsal güvenlik mimarisi oluşturulurken ulaşılmak istenen hedefler aşağıdaki gibi sıralanabilir.

  • BT mimarlarına ve üst yönetime rehberlik etmek ve güvenlikle ilgili daha iyi yatırım ve tasarım kararları alınmasını sağlamak,
  • Güvenlik politika, prosedür ve standartlarını desteklemek, etkinleştirmek ve genişletmek,
  • Teknik mimari ve çözüm seviyelerinde güvenlikle ilgili kararları yönlendirmek için kullanılan genel güvenlik stratejilerini açıklamak,
  • En iyi güvenlik uygulamalarının kullanılmasını sağlamak için endüstri standartlarından ve modellerinden yararlanmak

 

B) Kurumsal Güvenlik Mimarisini Tanımlama ve Sürdürme

Kurumsal Güvenlik Mimarisi’nin oluşturulması, kuruluşun genel stratejik yönüne ve bu stratejiyi desteklemek için kullanılan BT sunum stratejilerine ilişkin temel bir anlayışla başlamaktadır.

Güvenlik, öznelerin (bilgi isteyen aktif taraflar) nesnelere (bilgi sağlayan pasif taraflar) erişimi konusuna bağlı olduğundan, ortak kullanıcı türleri, hassas veya kritik varlık türleri ve bu ikisi arasındaki erişimin nasıl olması gerekliliği ile ilgili çaba sarfedilmesi gerekir.

Kuruluşun üst düzey öncelikleri ve güvenlik mimarisi ilkeleri tartışılır ve belgelenir. Diğer gereksinimler, kilit paydaşlarla görüşmeler, dokümantasyon incelemeleri, mevcut BT güvenlik yönetimi süreçleri ve prosedürleri aracılığıyla elde edilir.

Tüm bu girdiler daha sonra güvenlik hizmetleri için kapsamlı bir dizi gereksinim sağlamak için kullanılır.

Herhangi bir tasarımın başarısı daha sonra bu standartlarla uyuma göre ölçülebilir. Bu gereksinimler belgelenir mimari model türetmek için girdi olarak kullanılırlar.

Bir güvenlik mimari ortak güvenlik hizmetlerini tanımlayan kavrasal hedef modellerle işe başlar. Bu hizmetler, hedeflenen kullanıcılara, eriştikleri sistem ve verilere ve kullanım senaryolarında güvenliğin nasıl uygulanması gerektiğine göre tanımlanır.

Başlangıçta, güvenlik mimarı en kritik iş sorunlarını ele almayı amaçlayan sınırlı bir hedef model seti geliştirmeyi seçebilir. Gelecekte başka modeller eklenebilir.

Bileşen modelleri ve fiziksel modeller, ayrı sistemler içindeki güvenlik bileşenlerini ele alırlar ve önemli ölçüde daha ayrıntılıdırlar.

Bileşen modelleri, genel bileşenler, bileşen akışları ve düğümler açısından güvenlik işlevselliğini tanımlar.

Güvenlik hizmetlerini bağlam içinde gösteren fiziksel modeller de uygulama sırasında geliştirilir.Bu tür modeller, yeni hizmetlerin dağıtımına odaklanan projelerin bir parçası olarak geliştirilir ve geliştirme sırasında Kurumsal Güvenlik Mimarisi’ne dahil edilir.

Modeller, mimarinin son şeklini çerçevelemeye yardımcı olurken, kurumu mevcut ortamdan gelecekteki duruma taşıyacak pratik, sıralı bir dizi geçiş faaliyetine dayandırılmaları önemlidir. Modellerin geliştirilmesi ile mevcut güvenlik kontrolleri ortamı belgelenmiştir. Daha sonra bir boşluk analizi yapılır ve bu boşlukları ele almaya yönelik adımlar, iş önceliklerine ve karşılıklı bağımlılıklara göre önceliklendirilir. Bunlar daha sonra stratejik bir yol haritasına eklenerek, bu boşlukların tipik olarak üç 3 ile 5 yıl gibi uzun bir süre boyunca nasıl ele alınacağını gösterir.

Güvenlik mimarı, tasarımların geliştirilmesi sırasında ortaya çıkabilecek sorunları, riskleri ve planlanan güncellemeleri ele almaya hazırlıklı olmalıdır.

 

B.1) Ortak Güvenlik Hizmetleri

Aşağıda, Kurumsal Güvenlik Mimarisi için yapı taşı olarak kullanılabilecek hizmetlerin örnek bir sınıflandırması yer almaktadır.

  • Boundary Control Services: Bu hizmetler, bilginin bir sistem kümesinden diğerine iletimine izin verilip verilmediğiyle ilgilidir. Sınır kontrol sistemleri, giriş noktalarını bir bölgeden diğerine izole ederek güvenlik kontrol bölgelerini güçlendirmeyi amaçlar.Bu sistemlere örnekler; firewalls, border routers, proxy vb.
  • Access Control Services: Bu hizmetler, söz konusu varlıkların (insan veya makine) kuruluşun varlıklarına erişmek için dağıtılırken ve kullanılırken tanımlanması, kimlik doğrulaması ve yetkilendirilmesiyle ilgilidir. Genel olarak, bu hizmetler azaltılmış oturum açma (RSO- reduced-sign-on) veya tek oturum açma (SSO-single-sign-on)’yı teşvik eder ve aynı zamanda RSO veya SSO hizmetlerini ortak hizmetler olarak da içermektedir.
  • Integrity Services: Bu hizmetler, bozulmayı tespit etmek ve düzeltmek için otomatik kontrol yoluyla yüksek bütünlüğe gereksinim duyan sistemlerin ve verilerin bakımıyla ilgilidir. Bu hizmetlere örnekler; antivirüs, içerik filtreleme, dosya bütünlüğü hizmetleri, beyaz listeye alma ve izinsiz girişi önleme sistemleri (IPS- intrusion prevention systems) vb.
  • Cryptographic Services: Kriptografi, birçok sistem tarafından kullanılan yaygın bir güvenlik aracı olsa da, kriptografik hizmetler, çeşitli sistemler tarafından dağıtılabilen ve yeniden kullanılabilen ortak hizmetlere odaklanır. Public key infrastructure (PKI) yanı sıra harici sağlayıcılar aracılığıyla da PKI işlevlerinin sürekli kullanımı sağlanabilir
  • Audit and Monitoring Services: Bu hizmetler, merkezi log kaydı yoluyla denetlenen olayların güvenli bir şekilde toplanmasına, depolanmasına ve analizine ve ayrıca saldırı tespit sistemleri (IDS- intrusion detection systems) ve benzer hizmetler aracılığıyla olayların kendisiyle ilgilidir. Hizmetler, güvenlik olayı bilgi yönetimi (Security Information and Event Management-SIEM) çözümlerinin uygulanması yoluyla log toplama, birleştirme ve analiz hizmetlerini içerir.

 

B.2) Güvenlik Kontrol Bölgeleri

Ağlara kolay erişim, özellikle İnternet veya dış kaynaklı ortamlar gibi halka açık ağlar söz konusu olduğunda güvenliği sağlamak zorlaşmaktadır.

 

Güvenlik mimarları, eylemlerinin güvenlik ve kullanıcı erişilebilirliği arasında bir seçime açabileceğinin ve bütünlüğü korurken bu etkiyi en aza indirmek için ellerinden geleni yapmaları gerektiğinin farkında olmalıdırlar.

Bazı bilgiler son derece hassas veya değerlidir. Buradaki zorluk, bilgiye erişimi büyük ölçüde etkilemeden uygun miktarda güvenlik kontrolü uygulamaktır.

Aşağıdaki sorular bu zorluğu anlamaya yardımcı olacaktır:

  • Bilgi varlıkları içinde bulundukları çevreye göre nasıl korunur?
  • Bilgi varlığına erişmek için gereken uygun kimlik doğrulama düzeyi nedir?
  • Varlığa güvenilmeyen bir ağ üzerinden erişirken alınan güvenlik önlemleri nelerdir?
  • Varlıkların gizlilik, bütünlük ve erişilebilirlik bileşenleri nasıl sağlanacak?

 

Güvenlik bölgesi, belirli bir güvenlik düzeyine ulaşmak için tanımlanmış bir dizi güvenlik politikası ve önlemin uygulandığı bir alan veya gruplamadır.

Bölgeler, benzer güvenlik gereksinimleri ve risk seviyelerine sahip varlıkları bir arada gruplandırmak ve her bölgenin başka bir bölgeden yeterince ayrılmasını sağlamak için kullanılır.

Bölgeler arasındaki erişim, güvenlik duvarları, kimlik doğrulama hizmetleri ve proxy hizmetleri gibi kontrol mekanizmalarıyla sıkı bir şekilde kontrol edilir.

ABD Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) aşağıdaki diyagramı, bu kavramı bir alt sistem koruması kullanarak göstermektedir.

 

C) Ortak Mimari Çerçeveler

Herhangi bir tasarım, diğer güvenlik mimarlarının (aynı zamanda işin sahibinin, denetçilerin ve diğer paydaşların) üretilen tasarımları anlamasına yardımcı olmak için standartlaştırılmış metodolojiler kullanılarak oluşturulmalıdır.

Bir mimari çerçeve, çok çeşitli farklı mimariler geliştirmek için kullanılabilen bir yapıdır. Aşağıda, kurumsal mimaride kullanılan bazı yaygın mimari çerçeveler bulunmaktadır.

 

C.1) Zachman Framework

Zachman Çerçevesi, mimarinin geliştirilmesinde tüm kuruluşların iletişimine ve işbirliğine izin verir. Güvenlik mimarisine özgü olmamakla birlikte, plan, tasarım ve inşa özellikleri gibi çeşitli perspektifleri entegre etmek için mantıksal bir yapı sağlar.

 

C.2) Sherwood Applied Business Security Architecture (SABSA) Framework

Zachman tarafından sağlanan aynı temel taslağı takip etmeyi amaçlayan SABSA, iş gereksinimlerini değerlendirmekle başlayan ve ardından strateji, konsept, tasarım, uygulama ve ölçüm aşamaları aracılığıyla bir “izlenebilirlik zinciri” (“chain of traceability“) oluşturan güvenlik mimarisi geliştirmek için bütünsel bir yaşam döngüsüdür.

Hedef sistemin tasarımı, inşası ve kullanımı için her biri farklı bir perspektifi temsil eden altı katman kullanan herhangi bir mimariyi temsil eder.

 

C.3) The Open Group Architecture Framework (TOGAF)

Kurumsal mimari tasarlamak ve inşa etmek isteyen kuruluşlar için açık bir çerçevedir. Kurumsal bilgi mimarisi’nin dizayn, planlama, uygulama ve yönetişimine kapsamlı yaklaşım sağlayan bir frameworktür. İş verimliliğini maksimum düzeylere getirebilmeyi amaç edinmiştir.

 

C.4) IT Infrastructure Library (ITIL)

ITIL, BT yönetişimi için en iyi uygulamaların bir koleksiyonu olarak İngiliz hükümetinin himayesinde Merkezi Bilgisayar ve Telekomünikasyon Ajansı (CCTA) tarafından geliştirilmiştir. ITIL, bilgi güvenliği operasyonları dahil olmak üzere BT operasyonlarını ve altyapısını yönlendiren operasyonel prosedürler ve uygulamaların yanı sıra bir BT organizasyonunun organizasyon yapısını ve beceri gereksinimlerini tanımlar.
ITIL v4 beş ana görevden oluşur. Bu 5 görev ve bu görevlerin birbirleriyle ilişkilisi aşağıdaki gibi listelenebilir.

 

  • Service Strategy: Hizmet stratejisi, hizmet tasarımı, hizmet geçişi ve hizmet operasyonları dahil olmak üzere ITIL kapsamındaki çoğu diğer faaliyet için gereksinimleri sağlar. Hizmet stratejisindeki değişiklikler, iş gereksinimlerindeki değişikliklerden veya Sürekli Hizmet İyileştirme yoluyla kaynaklanabilir.
  • Service Design: Bireysel hizmetlerin tasarımını ve bunları yönetmek için kullanılacak ölçütleri ve hizmet seviyelerini tanımlayan hizmet tasarım paketlerine ek olarak, ITIL içindeki bu bileşen, tasarımın yanı sıra tasarım süreçlerini de yönlendiren veya sınırlayan yönetim sistemlerin ve mimarilerle ilgili bileşendir.
  • Service Transition: Hizmet Geçişi, tasarımların standart bir proje yönetimi yapısı aracılığıyla operasyonel hizmetlere çevrilmesiyle ilgilidir.Ayrıca mevcut hizmetlerdeki değişikliği yönetmekten de sorumludur.
  • Bu metrikler, Sürekli Hizmet İyileştirme için önemli bir girdidir.
  • Raporlama ve ölçüm yoluyla, her hizmet kendi temel performans göstergelerine ve hizmet seviyelerine göre doğrulanır. İyileştirme sağlama ihtiyacına bağlı olarak, bu ITIL bileşeni, hizmet yönetiminin diğer tüm yönlerine geri bildirim sağlar. Hizmet stratejisindeki değişiklikler için önerilerde bulunabilir. Hizmet tasarımının herhangi bir yönünde değişiklik önerebilir.

 

Kaynaklar:

https://www.amazon.com/Official-ISC-Guide-CISSP-Press/dp/1482262754

Bilgi Güvenliği Bakış Açısı İle BT Risk Yönetimi


https://pubs.opengroup.org/onlinepubs/9199929899/toc.pdf
https://pdfs.semanticscholar.org/87c0/6b0af4ecb9af3864b0d2a37a7818e83c3df2.pdf

 

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.