Geleneksel güvenlik duvarlarının günümüz güvenlik tehtitlerine karşı tek başına koruma sağlayamadığını artık bilmekteyiz. BT alt yapımız içinde bulunan uygulama, servis ve sunucu sayısının çok fazla olması ve her birinin de farklı protokol ve hizmetler de çalışması ve bunlara ek olarak da farklı eko sistem ve üreticiler tarafından üretilmesi bir çok güvenlik uzmanını zor durumda bırakmakta ve şirket bütçelerine de etki etmekte.
Farklı eko sistemlerde çalışan birden fazla sunucu ve uygulaması bulunan bir çok kuruluş, her bir uygulama ve servis için bu ek güvenlik çözümlerini sağlayamıyor ve hizmeteri için de risk satın alıyor. Günümüz de bütün veri merkezlerinde artık geleneksel güvenlik duvarı bulunmakta ve bu geleneksel güvenlik duvarı ile güvenliğimizi nasıl daha sıkı duruma getirebiliriz, Satın aldığımız bu riskten nasıl kurtulabiliriz bu konuları konuşuyoruz.
Geleneksel güvenlik duvarları da gelişmiş güvenlik duvarları gibi OTP çözümüne sahip durumda. Kapı ağzında bulunan, Veri merkezi ile dış dünya arasında köprü görevini gören bütün geleneksel güvenlik duvarları artık OTP doğrulamasını yapabilmekte. Her bir güvenlik duvarının artık kendi uygulamaları da bulunmakta ve bazıları da e-posta ve SMS ile ikinci doğrulamayı da yapabilmekte. Bir erişim talebi geldiği zaman gelen erişim talebi uygulama seviyesinde değilse OTP çözümünü devreye alabiliriz.
Aslında bu güvenlik sıkılaştırma önerisinde yapmak istediğimiz geleneksel güvenlik duvarlarını eski nesil bağlantı yöntemleriyle harmanlamak. Yeni ile eskinin, çok-çok eski erişim yöntemini bir arada sunarak güvenlik önlemlerini alabilir ve satın aldığımız riski de azaltabiliriz.
Ama unutmayalım, geleneksel güvenlik çözümlerinde yapacak olduğumuz OTP erişim güvenliği, gelişmiş güvenlik duvarlarında yapmış olduğumuz uygulama güvenliği ile aynı değildir.
Birinci güvenlik duvarı ile sadece erişim ihtiyacı için OTP korumasını devreye alıyorken ikinci güvenlik duvarı ile uygulama seviyesinde OTP korumasını yapabilmekteyiz, bu ayrımı unutmayalım. Özet ile Kötünün iyisi yada eldeki malzeme ile yapılan sınırlı yemek olarak da düşünebiliriz.
Örnek senaryomuzu Exchange Server özelinde yapalım ve bu çözümü de mevcut BT alt yapısı içinde ki diğer sunucu, uygulama ve servisler için de yapabileceğimizi hayal edelim.
Exchange Serverın dış dünyaya açık olan erişim portu 443 ve bu port üzerinden Outlook, OWA, Exchange Yönetim Paneli ve Active Sysnc gibi hizmetleri dış dünyaya açabiliriz.
Bu erişimi dış dünyaya kapatın.
Hatırlayalım, çok çok eski zamanlarda Exchange Server konsalidasyon süreci tamamlanmadan önce bu türde erişim yapmaktaydık. Çok değil bundan 10 sene önce Port bazlı değil, VPN erişimi ile yapmaktaydık ve Eskiye geri dönelim.
Exchange Server üzerinde ki erişim portunu kapattıktan sonra bütün kullanıcılarımıza geleneksel güvenlik duvarı üzerinden bir VPN kullanıcı hesabı açalım. Exchange Server a bağlantı yapmak isteyen bütün kullanıcılar ilk önce VPN erişimi yapacak, VPN erişimi için de güvenlik duvarının sahip olduğu OTP doğrulaması ile kullanıcılacak ve sonrasında e-posta sistemine bağlanacak, e-posta gönderecek ve alacak.
Düşük bütçe ile yapacak olduğumuz bir güvenlik çözümü.
Bu çözümün bir sonraki adımı da var, network kablolarını çekmek ve elektirik şalterini de indirmek.
Bu çözüm kullanılabilir mi tartışılır ama Exchange Serverin hizmet zenginliğini düşündüğümüz zaman kullanılacak bir çözüm değildir bunu da belirtmek isterim.
Fakat, bu çözümü Exchange Server üzerinde yapamasak bile exchange server haricinde kalan diğer uygulama ve servisler için bu çözümü düşünebiliriz.
Exchange Server özelinde önermeyecek olduğum çözümü neden anlattım, şimdi bunu konuşalım.
BT alt yapısı çok zengin ve çok çeşitli uygulama, hizmet ve sunucuları barındırmakta.
Exchange server için bu çözümü yapmasak bile uzak masa üstü hizmetleri için yapabilecek olduğunuz bir güvenlik çözümdür.
Bu çözümü anlatmamda ki neden her bir uygulama ve her bir hizmet için farklı güvenlik çözümleri yapabileceğimizi, bir çözüme karar vermeden önce elde ki mevcut varlıklar ile nasıl güvenliği daha sıkı duruma getirebileceğimizi ve önlemler alabileceğimizi vurgulamak için örnekledim.
Evet, bu çözümü exchange server özelinde yada dışarıya açık web server özelinde yapamıyor olsak bile uzak masa üstü hizmetleri için yapabilmekteyiz.
Yada dış dünyaya erişim sağlamayan, dış kullanıcı erişimine açık olmayan şirket içi portal sunucuları, şirket içi web sunucuları için bu çözümü sağlayabiliriz.
Yada uygulama ve hizmetin sunmuş olduğu dahili güvenlik çözümleri ile bunu yapabiliriz.
Örnek sunucu görevi olarak Uzak masa üstü hizmetlerini ele alalım.
Uzak masa üstü için güvenlik ihtiyacını karşılayan remote desktop gateway çözümü bulunmakta ve ücretsiz bir güvenlik çözümüdür.
Uzak masa üstü erişimi eğer dış dünyaya açıksa Azure Multi faktor authentication ile ikinci doğrulamayı da yapabilmektedir.
RD Gateway çözümü, RDS ortamları için uzak masa üstü özelinde merkezi güvenlik çözümü sunan, RDS ‘in dilinden anlayan ve uzak masa üstü bağlantılarını güvenli duruma getiren ücretsiz bir güvenlik çözümüdür.
Eskimiş güvenlik önerilerini dikkate almadan önce yeni güvenlik çözümlerini de araştırmanızı, her bir uygulama yada hizmetin sahip olduğu uygulama ve servis özelinde hazırlanan güvenlik çözümlerini incelemenizi yada bizlere sormanızı önermekteyim.
