Ağ Güvenliği Nedir?

Ağ güvenliği; bir kuruluşun verilerini, iş yüklerini ve bulut altyapısını yetkisiz erişim ve kötüye kullanımdan korumak için kullanılan teknoloji, politikalar ve süreçlerdir. Bir kuruluşun ağı, kritik dahili verileri ve kaynakları genel internete bağlar. Ağ güvenliği; çeşitli ağ katmanlarındaki kaynakları güvenlik risklerinden koruyarak veri gizliliği, erişilebilirlik, bütünlük ve kullanılabilirlik sağlar.

Müşteriler, çalışanlar ve yazılım kullanıcıları kaynaklara erişirken gizliliklerini ve güvenliklerini korumak için kuruluşlara güvenir. Sağlam bir ağ güvenliği, kuruluşların veri risklerini azaltma, hizmet erişilebilirliğini iyileştirme ve esnek bir iş gücünü sürdürme çabalarını geliştirir.

Hassas verileri koruyun

Kuruluşlar, operasyonlarını desteklemek için hassas verileri toplar, depolar ve işler. Güçlü ağ güvenliği, kuruluşların depolanan verilere yetkisiz erişimi önlemesine ve veri gizliliği yasalarına uymasına yardımcı olabilir.

Uygulama erişilebilirliğini ve güvenilirliğini sağlayın

Kurumsal uygulamaların çalışması, güvenli bir ağa dayanır. Ağ tehlikeye girerse kullanıcı deneyimi ve kurumsal operasyonlar kesintiye uğrar. Etkili ağ güvenliği stratejileri, bir uygulamayı etkileme tehdidini azaltmaya veya tehlikeye atılırsa kurtarma süresini hızlandırmaya yardımcı olabilir.

Esnek çalışma fırsatları yaratın

Daha fazla şirket hibrit bir çalışma ortamı benimsemeyi tercih ediyor. Çalışanların uzaktan çalışma için kullandıkları bilgisayarları ve cihazları, ağ güvenlik önlemleri ve koruma araçlarıyla güvende tutarlar. Böyle bir yaklaşım şirketlerin, çalışanların yüklediği uygulamaları izlemesine, güvenlik güncellemelerini uygulamasına ve şüpheli etkinlikleri güvenlik ekibine bildirmesine olanak tanır.

Ağ güvenliği, güvenli veri akışlarını ve sistem bütünlüğünü sağlarken kaynakları korumaya yardımcı olan bir dizi politika ve kontroldür.

Ağ güvenliği denetimlerinin dört ayrı alanı, bir kuruluşun tehditlere karşı korunmasına yardımcı olmak için birlikte çalışır.

Önleyici kontroller

Ağ tabanlı önleyici politikalar ve kontroller; verilerinizi, iş yüklerinizi ve bulut altyapınızı korumaya yardımcı olur. Bu aşamada, katmanlı bir savunma yaklaşımı kullanabilirsiniz. Örneğin, bir kuruluşun iç ağına yetkisiz erişim girişimlerini engelleyebilir, kritik uygulamalara erişimi önleyebilir ve harici taraflara büyük veri aktarımlarını durdurabilirsiniz.

İstenmeyen veri erişimi ve fidye yazılımı olayları gibi siber güvenlik riskleri; yetkili ağ erişiminden kaynaklanır. Ağ yöneticileri; güvenlik duvarları, kimlik ve erişim yönetimi (IAM) denetimleri ve ağ segmentasyonu gibi önleyici kontroller dağıtır. Örneğin, şüpheli IP adreslerinin dâhilî sunuculara bağlanmasını engellemek için bir web uygulaması güvenlik duvarı yapılandırabilirsiniz.

Proaktif kontroller

Proaktif kontroller, ağ genelinde uyumsuz kaynakların oluşturulmasını önlemek için tasarlanmıştır. Bu kontroller, ağ güvenlik açıklarının ortama girmesini engeller. Proaktif ağ kontrolleri; kaynak oluşturmayı kısıtlayan IAM rolleri ve uyumluluk tabanlı altyapı oluşturma gibi kuralları içerir. Örneğin, tüm depolama alanlarını varsayılan olarak kesinlikle kimseye açık olmayacak şekilde yapılandırabilirsiniz.

Algılayıcı kontroller

Algılama, önleyici savunma parametrelerinden geçen tehditleri veya yetkisiz trafiği belirleyen bir siber güvenlik etkinliğidir. Burada güvenlik ekipleri; bir kuruluşun ağındaki olağan dışı kalıpları belirlemek için davranışsal analiz, tehdit zekası çözümleri ve izinsiz giriş önleme sistemleri gibi algılama araçlarını kullanır. İyi bir algılama sistemi, tehditleri tanımlar ve hasarın dijital varlıklara yayılmasını önlemek için güvenlik personelini uyarır. Örneğin, izinsiz giriş algılama sistemi (IDS), yetkisiz cihazlardan gelen oturum açma girişimlerini algılar ve soruşturma için olayı güvenlik ekibine iletir.

Duyarlı kontroller

Duyarlı kontroller, bir kuruluşun, ağ güvenliği olayının etkisini sınırlamasına ve operasyonlarını kurtarmasına yardımcı olur. Bir olay sırasında otomatik düzeltme hizmetleri başlar ve güvenlik ekipleri, ağ tehditlerini kontrol altına almak için atacakları azaltıcı adımlar hakkında paydaşları bilgilendirerek müdahale planları uygular. Otomatik sistemler ve güvenlik ekipleri; etkilenen ağları izole etmek, yedeklerdeki verileri kurtarmak ve tehditleri ağdan kaldırmak amacıyla adli analiz yapmak için birlikte çalışır. Durumu kontrol altına aldıktan sonra ekipler; bulgularını kullanarak ağ güvenliğini güçlendirmek, müdahale planını iyileştirmek, veri kaybını önleme stratejilerini geliştirmek ve gelecekte benzer saldırıların yaşanmasını önlemek için adımlar atar.

Güvenlik ekipleri, ağ tehditlerini önlemek, tespit etmek ve yanıtlamak için çeşitli ağ güvenliği araçları ve stratejileri kullanır. Yaygın örnekleri aşağıda verilmiştir.

Ağ erişim denetimi

Ağ erişim denetimi (NAC), yetkisiz kullanıcıların ve uyumlu olmayan cihazların, bir kuruluşun ağına ve tescilli varlıklarına erişmesini önler. NAC genellikle kimlik ve erişim yönetimi (IAM) ve rol tabanlı erişim denetimi (RBAC) çözümleriyle birlikte çalışır. Bu çözümler birlikte kullanıldığında rollerine, erişim zamanlarına, konumlarına ve diğer parametrelerine göre kullanıcılara erişim izni vermeleri için güvenlik ekiplerine olanak tanır. NAC'ı uyguladığınızda ağ, sunucuya bağlanmaya çalışan her kullanıcının ve cihazın kimliğini doğrular. Sistem, kimliği doğrulandıktan sonra kullanıcının izin düzeyini değerlendirir ve sonuca bağlı olarak erişimi onaylar veya reddeder.

Güvenlik Duvarları

Güvenlik duvarları, ağ trafiğini önceden tanımlanmış kurallara göre izleyen ve filtreleyen özel yazılım veya donanımlardır. Zararlı trafiği engellemek için genellikle ağın ucuna yerleştirilirler. Temel bir güvenlik duvarı, şüpheli IP adresleri listesinden gelen trafiği engelleyebilir. Yıllar içinde güvenlik duvarları; web uygulamaları ve bulut ortamları için daha uygun olan gelişmiş ağ izleme yeteneklerini içerecek şekilde değişmiştir.

WAF

Web uygulaması güvenlik duvarı (WAF), web güvenliğini artıran bir güvenlik duvarı türüdür. WAF, web sitelerinin sunucu ve tarayıcı arasında iletişim kurmak için kullandığı bir protokol türü olan HTTP trafiğini izler. Devreye alındığında WAF; SQL eklemesi ve siteler arası betik çalıştırma (XSS) saldırıları gibi belirli siber tehditlere karşı web uygulamasını korur. SQL eklemesi, kayıtları çalmak veya değiştirmek için tehdit aktörleri bir veri tabanına kod eklediğinde gerçekleşir. XSS ise hassas bilgileri çalmak için kötü amaçlı komut dosyalarının meşru bir web sitesine yerleştirildiği bir saldırıdır.

NGFW

Yeni nesil güvenlik duvarı (NGFW), geleneksel güvenlik duvarının yeteneklerini genişletir. Bir güvenlik duvarında olduğu gibi NGFW, gelen ve giden trafiği önceden belirlenmiş kurallara göre izler. Bununla birlikte, normal güvenlik duvarlarının kaçırabileceği gizli tehditleri ve veri modellerini ortaya çıkarmak için derin paket denetimi gerçekleştirme gibi gelişmiş ek izleme özelliklerine sahiptir.

DDoS koruması

Dağıtılmış Hizmet Reddi (DDoS); web sitesi veya uygulama gibi hedeflenen bir sistemin erişilebilirliğini etkilemek için tasarlanmış bir siber olaydır. Bu özellik, yasal son kullanıcıların bu hizmetlere erişmesini ve bunları kullanmasını engeller. Genelde saldırganlar, hedef aldıkları sistemi aşırı yük altında bırakmak için büyük hacimli paketler veya talepler oluşturur. Bir DDoS saldırısı, saldırıyı oluşturmak için güvenliği ihlal edilmiş veya kontrol altındaki birden fazla kaynağı kullanır

Uç nokta güvenliği

Uç nokta güvenliği; ağdaki cihazların ve uzaktan erişim talep eden cihazların dijital güvenliğini güçlendiren araçları, politikaları ve yöntemleri ifade eder. Uç nokta güvenlik çözümleri; yama izleme, trafik analizi, şifreleme doğrulaması ve hizmet kontrolü dâhil olmak üzere uygulama sınırlama gibi birden fazla işleve sahip olabilir. Mobil Cihaz Yönetimi (MDM), kurumsal ortama bağlı mobil cihazlar için belirli bir uç nokta güvenliği biçimidir.

Uzaktan erişim VPN'i

Sanal özel ağ (VPN), gelen ve giden trafiği güvenli sunucular aracılığıyla yönlendirir. VPN, kullanıcıların gönderdiği ve aldığı verileri, şifreleme teknolojileriyle karıştırır. Ayrıca kullanıcının IP adresini gizleyerek internette anonim kalmalarını sağlar. Bu, çalışanların güvenli olmayan Wi-Fi'ye sahip halka açık yerlerde çalışırken bile bir kuruluşun ağına güvenli bir şekilde bağlanmasını sağlar.

Kuruluşlar, çeşitli cihaz türlerini, kullanıcıları ve ağ mimarilerini kapsayan hedefli stratejiler uygulayarak sağlam bir ağ güvenliği yönetim çerçevesi oluşturabilir.

Sıfır güven ağı erişimi

Sıfır güven ağ erişimi (ZTNA), ağ kaynaklarına yalnızca güvenilir kullanıcıların ve cihazların erişebilmesini sağlar. Güvenlik ekiplerinin bilgisayar ağını hem iç hem de dış tehditlerden korumasına yardımcı olur. En az ayrıcalık ilkesine dayanan ZTNA, kullanıcılara yalnızca işlerini tamamlamaları için gereken verilere erişme izni verir.

Örneğin, şirketin finansal veri tabanına erişmeye çalışan bir departman yöneticisini düşünün. Kurumsal VPN'e bağlı bir şirket dizüstü bilgisayarını kullanan kıdemli bir çalışan olsalar da ZTNA sistemi birden fazla doğrulama adımı kullanacaktır. Çok faktörlü kimlik doğrulama yoluyla kullanıcının kimliğini denetler, cihazının güvenlik durumunu (güncel yamalar, virüsten koruma yazılımı) kontrol eder, konumlarını ve erişim zamanını doğrular ve kullanıcının belirli veri tabanı için doğru izinlere sahip olduğunu onaylar.

ZTNA, tüm ağa değil yalnızca ilgili uygulamaya erişim izni tanır ve daha sonra oturumu şüpheli etkinlikler için sürekli olarak izler. Herhangi bir güvenlik koşulu değişirse (cihazlarında kötü amaçlı yazılım tespit etmek gibi) erişim derhal iptal edilir. Bu "asla güvenme, her zaman doğrula" yaklaşımı, kullanıcının rolü veya konumundan bağımsız olarak her zaman her erişim talebi için geçerlidir.

Ağ segmentasyonu

Ağ segmentasyonu, bir ağı daha küçük bölümlere ayırarak yönetimi ve güvenliğini kolaylaştırır. İlk olarak güvenlik ekipleri; kullanıcıları ve kaynakları çalışma gruplarına ve ara bağlantılarına göre sınıflandırır. Ardından benzer kullanıcıları ve kaynakları; güvenlik duvarları ve diğer ağ güvenlik cihazları sınırda olacak şekilde aynı ağ segmentinde gruplandırırlar. Bu, güvenlik ekiplerinin belirli ağ erişim politikalarını uygulamasına ve yetkisiz kullanıcıların ağ kaynaklarına erişmesini önlemesine olanak tanır.

Ek olarak ağ segmentasyonu, bir bilgisayara bulaşan yetkisiz yazılımların kuruluş genelinde yayılmasını önlemeye yardımcı olur. Örneğin, kurumsal ağlarınızı iş departmanlarına göre bölümlere ayırdığınızda pazarlama birimlerini etkileyen veri olaylarının insan kaynaklarını etkilemesi olası değildir.

Kullanıcı ve varlık davranış analizi

Kullanıcıların, cihazların ve ağ altyapısının davranışlarını analiz etmek, potansiyel veri risklerini önlemeye yardımcı olur. Güvenlik ekipleri; makine öğrenimi ve veri analizi ile anormal davranışları tespit edebilir. Örneğin, bir çalışan aniden mobil uygulamasında oturum açarsa ve büyük miktarda hassas veri indirirse ağ güvenlik sistemi, güvenlik personelini derhal uyarır.

AWS ağ güvenliği hizmetleri size ana sunucu, ağ ve uygulama düzeyi sınırlarda ayrıntılı korumalar sunar. Örnek:

• Amazon VPC güvenlik grupları, AWS iş yüklerinizdeki kaynaklar için ana sunucu düzeyinde koruma sağlar.
• AWS Ağ Güvenlik Duvarı, ağ düzeyinde VPC'lerinize gelen, VPC'lerinizden giden ve VPC'leriniz arasındaki trafiği sıkı bir şekilde kontrol etmenizi sağlar. Durum bilgili denetim, izinsiz giriş önleme ve web filtreleme gibi yetenekler içerir.
• AWS Web Uygulaması Güvenlik Duvarı; SQL eklemesi ve siteler arası betik çalıştırma dahil olmak üzere yaygın saldırı modellerini engellemek için IP adresleri, HTTP üst bilgileri, HTTP gövdesi veya URI dizeleri gibi web talebinin herhangi bir bölümünü filtrelemenize olanak tanır.
• AWS Shield; ağlarınızı ve uygulamalarınızı en büyük DDoS saldırılarına karşı bile korur, hedefli saldırıları savuşturmak için yönetilen algılama ve yanıtlama özellikleri sunar.
• AWS Güvenlik Duvarı Yöneticisi, ortak bir güvenlik kuralları setini uygulayarak yeni uygulamaların ve kaynakların uyumlu hâle getirilmesini kolaylaştırır.

Hemen ücretsiz bir hesap oluşturarak AWS'de ağ güvenliği çalışmalarına başlayın.