Bilgi işlem dünyası sanallaştırma çözümleri ile biraz karışmış ve bilgi işlem varlıkları da iç-içe geçmişti.
Sanallaştırma çözümlerini yeni-yeni kavramaya başlamışken bulut çözümleri de çok hızlı bir şekilde hayatımıza girdi ve buluta yolculuk serüvenimiz bu hız da devam etti.
Gelenelsel BT alt yapısını Bulut ortamında IaaS çözümleri ile karşılarken, bulut sağlayıcıları SaaS, PaaS ve son olarak da serverless mimarilerini hayatımıza dahil etti ve rakipsiz bir ortamı da bizlere sundular.
Eskiden sanallaştırma fobisine sahip yöneticiler bulut çözümlerine karşı duramadı, iki sunucu bir storage çözümleri de artık konuşulmaz oldu.
Eskiden büyük bilgi işlem varlıkları ile küçük mimarileri kurarken şimdi küçük küçük çözümlerle devasa mimarileri tasarlıyoruz.
It-Pro lar kod yazmaya, kod yazanlar güvenlik tasarımı yapmaya başladı Şirketler de all-in-on personelleri ararken herkes de her şeyi öğrenmeye başladı.
Bilgi işlem dünyamız da küçük, görülmeyen ve nerede olduğu bilinmeyen bilgi işlem varlıkları yerleşti ve güvenlik tehtitleri de sayılamayacak kadar artış gösterdi.
Çok fazla ve çok dağınık çözümler, güvenliğimizi tehtit etti.
Çoban matına çözüm bulduk da boğmaca matına ne yapağız.
Bu gün konuşacak olduğumuz konu birinci güvenlik duvarı ve ikinci güvenlik duvarlarını karşılaştırıyoruz ve soruyoruz, birinci güvenlik duvarı ikinci güvenlik duvarının yerine mi oynuyor?
Birinci güvenlik duvarları, ikinci güvenlik duvarı gibi kullanılabilir mi ve sadece bulut güvenlik çözümleriyle ikinci güvenlik duvarına sahip olabilirmiyiz.
Karmaşık konuları konuşuyoruz ve Parolasız koruma çözümlerinden biraz uzaklaşmış gibi görünsek de aslında konunun tam da ortasındayız.
Nedeni basit.
Geleneksel güvenlik duvarları yani birinci güvenlik duvarları yenilendi ve biraz-biraz da ikinci güvenlik duvarı gibi çalışabilir oldu.
Birinci güvenlik duvarları eskiden de yenilenmişti ve değişime uğramıştı.
Eski değişim de IDS, IPS ve diğer üç harfli çözümlerle güvenlik tehtitlerini kapı ağzında engellemeye ve iç tehtitleri de çözmeye başlamıştı.
Bu günlerde biraz daha yenilendi ve kapı ağzında koruma sağlarken aynı zaman da ikinci korumayı da yapabilir oldu.
Her birisi, ilk koruma anında ikinci doğrulamayı da sormaya başladı, SMS, e-posta ve token ile OTP çözümlerini de yapmaya başladı.
Fakat unutulmamalı, birinci güvenlik duvarları kapı ağzı korumasıdır ve kapıdan içeriye girmeden önce ikinci bir doğrulamayı sormaktadır.
İkinci güvenlik duvarları uygulama seviyesinde yapılan ataklara koruma yapamazlar.
Azure güvenlik çözümlerinde konuşmuştuk.
Ddos, Waf, Siem çözümleri ni incelemiş ve bu çözümleri EMS çözümleri ve MFA çözümleri ile harmanlamıştık.
Bu çözümlerin her birisi ikinci güvenlik duvarının görevidir ve birinci güvenlik duvarları bu korumayı yaoamazlar.
Birinci güvenlik duvarları temel korumayı yapmakta, IDS, IPS, web filtreleme, port açma port kapatma gibi temel korumayı yaparken ikinci güvenlik duvarları uygulama seviyesinde ki saldırıları, uygulama özelinde ki açıkları, ihtiyaçları ve kullancı özelinde ki güvenlik sıkılaştırma çalışmalarını yapmaktadır.
Eski çalışmalar da söylemiştik.
Mevcut BT varlıkları da, onların üzerinde ki güvenlik çözümleri de, bulut bilgi işlem çözümlerinde ki Iaas katmanı da saas, paas ve serverless mimarisinde ki bileşenler de kendi özünde birinci güvenlik duvarına sahip çözümlerdir ve geleneksel korumayı da yapmaktadır.
Bu BT varlıkları dış dünyaya hizmet verdiği zaman kapı ağzına birinci güvenlik duvarını da ekleyerek güvenliği üst seviyeye çıkartmaktayız.
İkinci güvenlik duvarı da bu korumalara ek güvenlik çözümleri sunmakta, günümüz gelişmiş güvenlik tehtitlerini de engellemekte.
Zaten, ikinci güvenlik duvarlarına gelişmiş güvenlik duvarı denilmesi ve sahip oldukları ek özelliklerle birleşik güvenlik çözümleri sunması ve güvenliğin merkezinde de durması da bunun içindir.
Birinci güvenlik duvarı ile port açıp port kapatıp sadece port trafiğini ve port içinden geçen tehtitlere çözüm sağlarken gelişmiş güvenlik duvarları ile bu port içinden geçen trafiği, anormallikleri ve uygulama özelinde ki zaafiyetleri de kapatmaktayız.
Mevcut BT varlıklarından örnek verelim.
Uzak masa üstü hizmetleri 3389 Exchange Servisleri de 443 portunu kullanmakta ve bu portlar için de birinci güvenlik duvarında izin verdik.
Birinci güvenlik duvarının yapacak olduğu koruma temel korumadır ve talep nereden gelmiş ve nereye gidecek bu denetimi yapmakta.
IDS, IPS çözümü ile bu port içinden geçen, sizin yapmış olduğunuz telep haricinde sinsi bir saldırı da var mı bunu da kontrol eder.
Temel korumadır ve birinci korumadır.
Bu koruma için şu soruyu soralım.
Talebin gelmiş olduğu yer güvenli yer ama talebi yapan bir zombi client mi yada kullanıcı gerçek kullanıcı mı?
Parolasını çaldırdı mı ve hesabı başka ellerde mi?
Bir başka örnek.
Exchange Server konsalidasyon sürecini tamamladı ve tek bir rol üzerinden hizmet vermekte.
Mapi, Owa, Outlook, ECP, Autodiscover servisi ve çok daha fazla servis, tek bir port kullanmakta.
Birinci güvenlik duvarı üzerinde SSL portuna izin verdikten sonra bütün hizmetler artık erişilebilir durumda.
Bu portu dış dünyaya açmamak gibi bir şansımız da yok çünkü exchange servisleri dış dünyaya bağımlı çalışmaktadır ve bu portu açmamız gerekmekte.
SSL portunu açtığımız zaman, owa da dışarıya açılır, ECP de açılır, outlook bağlantısı da açılır.
Birinci güvenlik duvarı ile bunları sıkılaştıramayız.
OWA hizmeti bütün kullanıcılara açılsın ECP hizmeti sadece yöneticilere açılsın dersek birinci güvenlik duvarı bu talebe cevapsız kalacaktır
Bu güvenlik problemini ya Exchange Server üzerinde çözeceğiz, tırnak içinde bu çözüm bir çok probleme gebedir ve Microsoft da bu çözümü sevmemektedir yada ikinci güvenlik duvarını ortama ekleyeceğiz.
Bu gibi özel istekler birinci güvenlik duvarı ile çözülmez ve bu talepler için ikinci güvenlik duvarı yada gelişmiş güvenlik duvarına sahip olmalıyız.
Birinci güvenlik duvarlarının OTP çözümüne sahip olması, biraz-biraz ddos korumasını engellemesi, IDS-IPS çözümleriyle siem ‘e benzemesi çok kafa karıştırmakta.
Birinci güvenlik duvarları bu işi kapı ağzında yapmakta ve kapıdan içeriye giriş yaptıktan sonra olası tehtit için koruma yapmamakta.
Birinci güvenlik duvarı olmazsa-olmaz güvenlik çözümüdür ve ikinci güvenlik duvarı da mevcut varlıklarımızı koruyacak ve günümüz tehtitlerine cevap verecek ek güvenlik korumasıdır.
İkinci güvenlik duvarları bir çok şirket için zorunlu olsa bile sahip oldukları maliyet nedeniyle uzak durulan çözümlerdir.
Fakat ikinci güvenlik çözümleri de uygun çözümler olmaya başladı.
Sahip oldukları ek özelliklerle maliyet problemini ortadan kaldırmakta, süreklilik ve kararlılık çözümleriyle bütünleşik çözümleri de sunmakta.
Bir çok ikinci güvenlik duvarı OTP, WAF, Ddos, Siem gibi çözümleri sunduğu gibi yük dengeleme ve disaster recovery çözümleri içinde kullanılmakta.
İlerleyen bölümlerde ikinci güvenlik duvarlarını detaylı masaya yatırıyoruz ve güvenliğin ötesinde süreklilk ve kararlılık çözümlerini de incekliyoruz.
