1. Kurumsal ağ kaynaklarınızı iç ve dış tehditlere karşı korumak
Günümüzde kurumlar için yerel ağ
kavramı artık, iç ağ/dış ağ ayrımı yapılmaksızın, kurumdaki herhangi bir
kişiye, herhangi bir yerden erişebilmek anlamında genişlemiştir. Ama bu
gelişime paralel olarak, güvenlik uzmanları da ağlarına karşı olan
tehditlerle başa çıkabilmek için daha komplike güvenlik politikaları
uygulamak zorunda kalmaktadır. Bu tehditleden en başta geleni, önemli ağ
kaynaklarını Internet’ten veya yerel ağdan gelebilecek muhtemel
saldırılara karşı korumaktır.
Ağ üzerinden erişim kontrolü, mevcut ağ kaynaklarını korumak için temel
yoldur. Ölçeklenebilir kapsamlı erişim denetimi kuralları sayesinde, ağ
güvenliği yöneticileri ağ bağlantıları için kaynak sistem, hedef sistem,
ağ trafik türü ve uygulama zamanını belirlemek suretiyle esnek ağ
erişim hakları belirleyebilirler.
Ağ güvenliğini korumak tabi ki sadece spesifik kaynaklara erişim
denetimi sağlamaktan ibaret değildir. Bundan başka, komple bir ağ
güvenliği çözümü aşağıdakileri sağlamalıdır:
· Ağ kullanıcıların kimliklerinin belirlenmesi
· Aktarım esnasında veriyi şifreleme
· Kayıtlı IP’leri optimize şekilde kullanma
· Ağ trafiğinin tümünün içeriğine güvenlik politikasını uygulama
· Saldırıları gerçek zamanlı olarak belirleme ve önlem alma
· Denetim bilgilerinin tümünün kayıtlarını tutma
Ayrıca güvenlik politkası, kurum
içerisinde kullanılan mevcut ve ileride kullanılması muhtemel bütün
uygulamalara tatbik edilebilmeli ve bağlantı sorunlarına, ağ performans
düşüklüklerine yol açmamalıdır.
2. Mobil ve uzak kullanıcılar için ağ bağlantısı sağlamak
Birçok şirket uzak kullanıcılarının
bağlantıları için, büyük modem bağlantıları gerektiren geleneksel
uzaktan erişim çözümleri ve pahallı dial-up telefon bağlantıları ile
karşılaştırıldıklarında çok ekonomik çözümler sunan Internet üzerinde
geliştirilen ağ uygulamalarının farkına vardılar. Uzak ve mobil
kullanıcılarını kurumsal ağlarına Internet bazlı özel sanal ağlar
(VPNler) aracılığı ile bağlamak isteyen firmaların sayısı arttıkça, bu
kritik bağlantıların güvenliğinin sağlanması da büyük önem kazanmıştır.
Bilgilerinizin Internet gibi herkese açık ağlar üzerinden iletimi
sırasında güvenliğinden emin olabilmek için iki temel unsurun yerinde
uygulanması gerekir. Birincisi, hem uzak istemci, hem de kurumsal
Internet ağgeçidi seviyesinde mümkün olan en güçlü tanılama
sağlanmalıdır. İkincisi ise, bütün kullanıcı kimlikleri belirlendikten
sonra, bütün veri trafiği gizlilik açısından şifreli olarak
iletilmelidir.
Hem tanılama hem de şifreleme uygulamaları, ağ güvenlik çözümü
çerçevisinde kesintisiz ve uyumlu olarak çalışmalıdır. Erişim denetimi
gibi ağ güvenlik kriterleri sanal özel ağ iletişimlerinde de çok önemli
role sahiptir. Uzak bir kullanıcının VPN ile kurumsal ofisine bağlantı
kurması demek, buradaki tüm ağ kaynaklarına erişim hakkı kazanması
anlamına gelmemelidir.
Bir firma için uzak ağ bağlantı ihtiyacı arttıkça, ağ güvenlik
yöneticileri yönetilebilir ve kullanımı kolay VPN çözümlerine ihtiyaç
duyarlar. Ve seçilecek çözüm, kurulumu kolay, ileride eklenebilecek
yüksek sayıda uzak kullanıcı sayısını destekleyebilecek esneklikte, son
kullanıcı için ise kesintisiz ve transparan olmalıdır.
3. Internet’i kullanarak kurumsal veri iletişim masraflarını düşürmek
Güvenli ağ erişimi sağlamak amacıyla
istemciler ve ağlar arasında kurulan VPN bağlantıları pahalı çözümler
oldukları için, firmalar uzak ofis bağlantılarını sağlamak için Internet
aracılığı ile ağlar arası veya bölgeler arası VPN bağlantılarını tercih
ederek tasaruufa giderler. Ayrıca herkese açık hatlar üzerinden güçlü
tanılama ve veri şifreleme özellikleri kullanarak, bilgi güvenliğinden
ödün vermeksizin ticari iletişimleri de sağlamak mümkün olur. Bu sayede,
frame-relay ve kiralık hatlara yüksek miktar yatırımlar yapmaya gerek
de kalmaz.
Gözden kaçırılmaması gereken bir konu ise, uzaktan erişim çözümü olarak
güçlü tanılama ve şifreleme teknolojileri seçildiği vakit, bu seçimin
beraberinde yeni güvenlik yönetimi zorlukları getirebilmesidir. Bu tip
muhtemel zorlukları yaşamamak veya minumum seviyeye indirgemek için, tüm
VPN bağlantı noktalarını merkezi bir konsol aracılığı ile yönetebilecek
güvenlik çözümleri tercih edilmelidir.
Internet üzerindeki VPN uygulamalarının sağladığı maliyet düşüklüğünün
yanı sıra, ağ iletişimlerini özel dedike hatlardan Internet üzerine
taşınması, beklenmedik performans düşüklüklerine ve erişim sorunlarına
yol açabilir. Bu yüzden, sanal özel bir ağ bünyesinde öncelikli
bağlantılar için entegre bantgenişliği yönetimi ve yüksek
erişilebilirlik desteklenmelidir.
4. Güvenli bir extranet üzerinden iş ortaklarına ağ erişimi sağlamak
Kendinize ait ağ kaynaklarınızı (uzak
ve mobil kullanıcılar, branch ofisler) güvenli şekilde birbirine
bağladıktan sonra, sıra kurumsal ağınızı extranet uygulamaları aracılığı
ile değerli iş ortaklarınıza ve müşterilerinize kontrollü bir biçimde
açmaya gelir. Endüstri standartlarında protokollere ve algoritmalara
bağlı kalarak gerekli extranet bağlantıları güvenli şekilde
sağlanabilir. Ama bu tür bağlantılar için kesinlikle tescilli
teknolojiler tercih edilmelidir.
Internet bazlı VPN uygulamaları için kabul edilen standarda IPSec
(Internet Protocol Security) adı verilir. IPSec, şifrelenmiş ve
tanılanmış bir IP paketinin formatını ifade eder ve gelecek nesil IP
iletişimi için gereklidir. Şifrelenmiş anahtarların yönetimini
otomatikleştirmek için genellikle IPSec ile IKE (Internet Key Exchange)
ile kullanılır.
Standart bazlı bağlantı kurulduğu zaman, dışardan erişecek
kullanıcıların (iş ortakları, özel müşteriler) ihtiyaçlarına göre özel
haklar sadece ilgili ağ kaynakları için tanınmalıdır. Kurumsal ağ
kaynaklarının dışarıya açılma oranı arttıkça, bununla ilgili uygulanması
gereken kapsamlı güvenlik politikası da periyodik olarak revize
edilmelidir.
5. Kurumsal ağınızın yeterli performansa, güvenilirliğe ve yüksek erişilebilirliğe sahip olması
Kurumsal ağ bağlantılarında artan
Internet kullanımının doğal sonuçlarından biri olan ağ tıkanıklıkları
sonucu kritik uygulamalarda performans sorunları yaşanabilir. Ortaya
çıkabilecek bağlantı hataları, ağgeçidi çökmeleri, ağ bağlantı
gecikmeleri ve diğer performans düşüklükleri neticisinde firmalar büyük
ekonomik kayıplar yaşayabilirler.
Internet ve Intranet hatlarının gereğinden fazla istemci ve sunucu
tarafından kullanılması sonucu, trafik miktarına göre bağlantı
kopuklukları, zayıf ‘response’ zamanları ve yavaş Internet kullanımı
sorunları ile karşı karşıya gelmek normaldir. Bu gibi durumlarda,
sınırlı bantgenişliği üzerinde mevcut hattı aktif olarak paylaştırmaya
yönelik bir yönetime gidilmelidir.
Eğer yerel ağınız bünyesinde yoğun trafik yaşanıyorsa, birçok kaynağınız
(halka açık popüler bir Web sunucusu gibi ) negatif yönde
etkilenebilir. Bir uygulama için bir sunucuya güvenmek, zayıf ‘response’
zamanlarına hatta bağlantı kopukluklarına yol açabilir. Sunucu yük
dengelemesi bir uygulama sunucusunun işlevini birçok sunucu üzerine
dağıtarak ölçeklenebilir bir çözüm sağlar. Bu yolla ayrıca, sunucular
üzerindeki performanslar da arttırılmış olur.
Performansın yettiği durumlarda dahi, ağgeçidi seviyesinde meydana
gelebilecek bir hatayı tolere edebilecek güvenli bir ağ altyapı sistemi
oluşturulmalıdır. Günümüzde artık çoğu kurum, ağgecidinde yaşayacakları
anlık erişim sorunları yüzünden dahi büyük mali kayıplar
yaşaycaklarından emin olarak yüksek erişilebilirliği destekleyen ağ
güvenlik ürünlerini tercih etmektedir.
Yüksek erişilebilirliği destekleyen ürünler hem yazılım, hem donanım
bazında yedeklemeli sistemler ile yüzde yüze yakın seviyelerde
erişilebilirliği garanti ederler. Bir sorun meydan geldiği zaman, yüksek
erişilebilirliği sağlayan bileşenler ağınızın güvenli olmasını
sağlamalı ve son kullanıcıya tamamen transparan şekilde devam
ettirilmelidir. Gerçek etkili çözümler sunacak ağ yöneticileri, iç ve
dış kullanıcılarına daimi güvenilir servisler sağlamalıdır.
6. Kullanıcı bazında güvenlik politikalarını ağ seviyesinde uygulamak
Kurumsal ağ konseptinin genişlemesi,
birçok ağ için kullanıcı, uygulamalar ve IP adres kullanımı sayılarında
aşırı artışlara yol açmıştır. Bu tür dinamik ağ ortamlarında emniyetli
ağ politikalarının uygulanması, kullanıcı bazında güvenlik
politikalarının oluşturulmasıyla sağlanır. Bu politikalar çerçevesinde,
ağ kullanıcıları için kişisel erişim denetimleri, tanılama prosedürleri
ve şifreleme parametreleri belirlenir. Yüksek miktarda kullanıcı bilgisi
içeren bu uygulamalarla uğraşmak ağ ve güvenlik yöneticileri için bazen
kolay olmayabilir.
Kullanıcı seviyesinde güvenlik bilgilerini ölçeklenebilir şekilde
merkezi bir yerde depolamak için LDAP protokolü kullanmak en uygun
çözümdür. LDAP sayesinde, bütün kullanıcı bilgileriniz tek bir
veritabanında tutulup diğer ağ uygulamaları tarafından paylaşılır.
Bununla birlikte ağ ve güvenlik yönetimleri paralel çalışarak güvenlik
ile ilgili zaman harcatıcı rutin prosedürlerin aşılması sağlanır.
Güvenlik denetimlerini en üst düzeyde tutmak için kullanıcı seviyesinde
uygulanan güvenlik politikaların kayıtlarının tutulması ve bunların
denetlenmesi gerekir. Kişisel güvenlik politikalarının uygulandığı
ortamlarda DHCP protokolünün kullanılması etkili bir yol değildir. Bunun
sebebi IP adres atamalarının dinamik olarak yapılmasıdır.
7. Ağınıza karşı yapılan atakları ve şüpheli aktiviteleri anında algılamak ve bunlara cevap vermek
Kurumsal ağ güvenliğinizi ancak
ağınızı ve kullanıcılarınızı korumak için uyguladığınız güvenlik
politikaları belirler. Ağ korumanızı devamlı olarak ayakta tutmanın yolu
yetkisiz aktiviteleri gerçek zamanlı olarak tespit etmektir.
Etkili bir saldırı tespit sistemi, atak ve şüpheli ağ aktivitelerini
yetkin bir şekilde tespit ederek kurumsal ağ güvenliğinizin bir bacağını
oluşturur. Ama bu istenmeyen trafiğin sadece saptanması yeterli
değildir. Kullandığınız saldırı tespit uygulaması öte yandan
belirlenecek bu tür istenmeyen bağlantılara anında yanıt verebilmeli ve
ağ kaynaklarına yetkisiz erişimi engellemelidir.
İyi dizayn edilmiş bir saldırı tespit uygulaması, gerçek zamanlı
karşılıklara ek olarak kapsamlı kayıt tutabilme, komple denetim ve
gerektiğinde ilgili kişileri ikaz edebilecek gelişmiş uyarı
mekanizmalarına sahip olmalıdır.
8. Ağınızın IP adres altyapısını güvenli ve etkili bir biçimde yönetmek
Ağlar üzerindeki kullaınıcı ve
uygulama sayısı arttıkça, ağ cihazları ve kullanıcıları için gereken IP
adres adres sayısı gittikçe daha çok artmaktadır. Buna paralel olarak da
hızlı gelişen ağlarda IP adres ve isim alanı yönetimi zorlaşmaktadır.
Eskisi gibi her bilgisayar ve ağ cihazının IP adres konfigürasyonunu
manuel olarak kontrol etmek artık uygulanmamaktadır. Bunun sebebi, bu
tip bir yönetimin günümüz ağları üzerinde hataya açık, zahmetli ve
entegrasyon eksikli bir yapı oluşturacak olmasıdır. Böyle bir yapı da
doğal olarak çok pahalı olmasının yanında, merkezi kontrol,
ölçeklenebilme ve güvenilirlikten uzak olacaktır.
Kurumsal bazlı IP ağ altyapınız için merkezi idare ve esnek yönetim
sağlayan IP adres yönetim çözümleri ancak genel ağ altyapısı ile tamamen
entegre olduklarında güvenlik politikaları için optimum kullanılmış
olurlar. Daha spesifik olmak gerekirse, dinamik paylaşımlı dahi olsalar,
mevcut IP adreslerini kullanıcılara birebir olarak eşlemek kullanıcı
bazlı daha güçlü çözümler yaratmayı sağlayacaktır.
9. Entegrasyona yönelik açık platform güvenlik çözümleri kullanmak
Ağ güvenlik yöneticileri, korudukları
ağ üzerinde kullanacakları yazılım uygulamaları ve ağ altyapısında
kullancakları donanımları baş döndürücü bir devinim içinde gelişen
bilişim teknolojileri pazarından seçmektedirler. Bu noktada dikkat
edilmesi gereken husus, bütün ürünlerin birbirleri ile teknik olarak
entegrasyon sorunu olamaksızın yüksek performans ile çalışması
gerekliliğidir.
Alternatif olarak, seçeceğiniz çözümleri geniş yelpazede çalışan üretici
tek bir firmadan temin edebilirsiniz. Bu sayede ürünlerin sistemleriniz
üzerinde entegrasyon sorunu olmadan çalışacağından emin olabilirsiniz
ama bu aşamada da tercih edebileceğiniz uygulama sayısında daralma
yaşarsınız. Bütün güvenlik ihtiyaçlarınızı temin edebilecek spektrumda
hizmet veren tek bir üretici firma bulmanız pek muhtemel değildir.
Ağ güvenliği için tercih edeceğiniz çözümler neler olurlarsa olsun,
hepsinin seçiminde açık mimari platformu destekleyecek çözümler
olmalarına dikkat edilmelidir. İyi tanımlanmış arayüzlere sahip açık bir
mimari, genel güvenlik politikası çerçevesinde kullanılacak bütün
ürünlerin birbirleri ile sorunsuz çalışmasını sağlayacaktır. Buna ek
olarak size özel ağ güvenlik ihtiyaçları yaratmanız için uygulama
programlama arayüzleri (API’ler) kullanılabilirsiniz.
10. Güvenli bir ağa sahip olmanın maliyet ve zahmetlerini azaltmak
Kurumsal ağınızın güvenliğini sağlamak için, seçtiğiniz çözümleri
yönetecek ve denetleyecek kişilere önemli miktarda ücret ödemek
durumundasınızdır. Bu yüzden bu kişilerin işlerini, entegre konsollar
üzerinden merkezi olarak idare edebilecekleri çözümler tercih
edilmelidir. Böylelikle büyük bir kurumsal ağ için dahi, tek bir kişi ağ
güvenlik yöneticisi olarak ağ güvenliği denetimi yapabilir. Bundan
başka güvenlik politikasında meydana gelecek çözümleri bütün uygulama
noktalarına hemen aktarmak gerekir.
tarafından 
Konu: Ağ Güvenliği İçin 10 Kural 
