Bildiğiniz üzere yakın zamanda başlayarak Dünyayı ve ülkemizi tehdit etmeye başlayan ve bazı vakaların ölümle sonuçlandığı bir ortamdayız. Bu kez IT süreçleri ekonominin durmaması ve çalışanların evden güvenli erişim çözümleri ile ofise bağlanması konusunda çalışmalar sağlıyor.
Coronavirüs’ün (COVID-19) etkisi yoğunlaştıkça, Dünya Sağlık Örgütü ve yerel yetkililer enfeksiyon riskini azaltmak için evden çalışmayı ve toplu taşıma ve ofis ortamlarından kaçınmayı öneriyorlar.
Bu yazımızda Pulse Secure firmasının Secure Acsess ve Zero Trust yapısını sizlere aktaracağım.
Pulse Secure SSL çözümü son derece kullanıcı dostu ve bir o kadar da IT dostu bir çözüm olmasıyla öne çıkan markalar arasında yer alıyor.
Erişim Metotları ve Network Topolojisi
SSL erişiminde Web Portal yapısı ve Client erişim olmak üzere iki method ile SSL Bağlantısı sağlanabilmektedir.
- Web Portal Üzerinden Erişim: Herhangi bir yazılım yüklemesine gerek olmaksızın Web Portal üzerinden erişim sağlanarak bookmarklar üzerinden sisteme erişilmesini sağlar.
Web Portal Yapısı Nedir?: Güvenlik ve basitlik anlamında değerlendirildiğinde Web Portal kullanılarak SSL VPN erişimi sağlanması en idealidir. Bu şekilde yapılan erişimlerde bir web tarayıcısı içerisinden izin verilen kaynaklara erişim sağlandığı için, kurum ağına ip seviyesinde bir erişim yapılmamaktadır. SSL VPN ile bağlanılan kullanıcılara ayrıca bir Client kurulmadan portal üzerinden sağlanan kaynaklar kullanılmaktadır. Ör: RDP, File Server gibi.
2. SSL VPN Client Üzerinden Erişim : Pulse Secure Client uygulaması kullanarak tünel modda IP erişimi sağlanmaktadır. Tunell Mod olarak kullanıcıların trafiklerini merkeze yönlendirme mümkündür.
Tunnel Mod Nedir?: Son kullanıcı bilgisayarına bir SSL VPN Client yazılımı yüklenerek sağlanan erişimler esnek ve hızlı çalışarak IP seviyesinde erişim sağlamaktadır. Bu modun kullanılması uzman seviyede yapılandırma ve özelleştirme ile güvenli olarak kullanılabilir. Tunel Modu da kendi içerisinde iki farklı yapılandırmaya sahiptir, “Full Tunnel Mode”, “Split Tunnel Mode” Full Tünel Modun en büyük özelliği eğer isterseniz SSL VPN’e bağlanan kullanıcının internet erişimini kendi güvenlik duvarınız üzerinden ve sizin belirlediğiniz politikalar ile sağlayabilirsiniz.
SSL Erişiminde Zero Trust mimarisi nedir?
Bu Mimaride temel olarak dışarıdan kuruma bağlanan kullanıcıların cihazlarından başlayarak adım adım güvenlik seviyesi arttırılmakta ve kullanıcıların kuruma bağlandığında bu bağlantının yeni nesil bir güvenlik bakışıyla ele alınmasını hedefler.
Bu aşamalar nelerdir:
- Cihaz Kontrolü (Host Check)
- Kullanıcı Doğrulama ve 2FA
- Erişim Kontrolü (Acsess Rule)
- Bant genişliği atama (BWM)
1. Cihaz Kontrolü (Host Check)
SSL bağlantı diagramı başlarken Host checker ile öncelikle kullanıcının bağlandığı cihazın üzerinde çeşitli kontroller sağlayarak kuruma bağlanacak cihaza çeşitli koşullar uygulayabiliyoruz. SSL bağlantısı sağlayacak kullanıcı cihazında IT politikalarına göre son derece esnek veya bir o kadar katı politika sağlamak mümkün. Kullanıcı Windows update yapmamış veya kritik seviye update almamış, işletim sistemi XP ise bağlantı sağlanmamasından, cihaz üzerinde firewall disable ise bağlantı gerçekleşmesine kadar bir çok kontrol sağlanabilmektedir. (Mobil device kontrol, Tablet, Notebook gibi farklı cihazlardan erişim sağlanabilmektedir)
Özellikle kuruma ait olmayan cihazlardan gelecek erişimlerde cihazların kontrol edilerek ağa alınmasında son derece fayda bulunmaktadır.
Host Checker aşamasını geçen kullanıcılar bir sonraki aşamaya geçmiş olurlar. Host checker kontrolleri başarısız olan bir kullanıcıya kullanıcı adı ve şifre ekranı gelmemektedir.
2. Kullanıcı 2FA ile çok katmanlı Kimlik doğrulama
Kullanıcıları sadece Active directory veya local kullanıcı adı ve şifreleri ile sisteme bağlamak güvenli bir yöntem değildir. Bu yönteme ek olarak kullanıcıların 2FA kodu girerek sisteme bağlanmaları son derece kritik bir konudur. Pulse Secure diğer bir çok çözüme göre bu aşamada öne çıkan markalar arasında.
SSL tarafında bağlantı sağlayacak kullanıcılar belirlendikten sonra kullanıcı 2FA tanımlamasını kendisi tanımlayabilmektedir yani self sign olarak bu işlemi kullanıcılara bırakmak IT süreçlerinin özellikle Corona virüsü gibi bir vakada çok hızlı aksiyon alması adına son derece faydalı bir seçenek olarak karşımıza çıkıyor.
Aşağıdaki ekranda görüleceği üzere kullanıcı SSL bağlantı kullanıcı doğrulamada kullanıcı adı ve şifresini doğru girdikten sonra kendisi örneğin Google authenticator ile mobil telefonunu tanımlayarak bir sonraki aşamaya geçebiliyor.
Aynı şekilde kullanıcıya Enterprise Onboarding senaryoları aldırılarak agent yazılımının bu aşamadan sonra otomatik olarak kurulmasını veya MDM üzerine yönlendirmeleri sağlayabilmekteyiz.
3. Erişim kontrolü
Kullanıcı ve cihaz doğrulamasını başarı ile geçen kullanıcı veya gruplara network tarafında erişim politikaları uygulanarak SSL bağlantısı ile kuruma bağlanan kullanıcının özellik ve yapısına göre networkte erişim sağlanacak hedefler belirlenerek networkte kullanıcının erişmesi gereken yerlere tanımlamaları sağlanır yetkisiz kaynaklara ağ üzerinden erişememesi cihaz üzerinden düzenlenmektedir.
4. Bandwidth Atanması
Tüm aşamaları geçerek ağa bağlanan kullanıcıların ağ kaynaklarına veya internete erişiminde internet hattının sature olmaması ve verimli kullanılabilmesi için kullanıcı bazlı bandwidth uygunalarak düzenli ve stabil bir SSL erişim olanağı kurgulanmış olur.
Bütün bu aşamaları ile uzaktan güvenli erişim sağlamak isteyen ve stabil kullanıcı dostu bir arabirimle evden çalışma olanağı arayan firmalar için Pulse Secure çözümlerini incelemenizi tavsiye ediyoruz.
Detaylar için PulseSecureTurkiye.com ziyaret edilebilir.