Sıfır Güven ve OT ağlarınızı
Sıfır Güven, aşağıdaki güvenlik ilkeleri kümesini tasarlamaya ve uygulamaya yönelik bir güvenlik stratejisidir:
| Açıkça doğrula | En az ayrıcalık erişimi kullan | İhlal varsay |
|---|---|---|
| Tüm kullanılabilir veri noktalarına göre her zaman kimlik doğrulaması ve yetkilendirme. | Tam Zamanında ve Yeterli Erişim (JIT/JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın. | Patlama yarıçapı ve segment erişimini en aza indirin. Uçtan uca şifrelemeyi doğrulayın ve görünürlük elde etmek, tehdit algılamayı yönlendirmek ve savunmayı geliştirmek için analiz kullanın. |
Operasyonel teknoloji (OT) ağlarınızda Sıfır Güven ilkeleri uygulayarak aşağıdaki gibi zorluklarla başa çıkabilirsiniz:
OT sistemlerinize uzak bağlantıları denetleme, ağ atlama direklerinizin güvenliğini sağlama ve ağınız genelinde yanal hareketi önleme
Bağımlı sistemler arasındaki bağlantıları gözden geçirme ve azaltma, ağınızda oturum açma gibi kimlik işlemlerini basitleştirme
Ağınızda tek hata noktalarını bulma, belirli ağ kesimlerindeki sorunları belirleme ve gecikmeleri ve bant genişliği performans sorunlarını azaltma
OT ağları için benzersiz riskler ve zorluklar
OT ağ mimarileri genellikle geleneksel BT altyapısından farklıdır. OT sistemleri, özel protokollerle benzersiz bir teknoloji kullanır ve eskiyen platformlara ve sınırlı bağlantı ve güce sahip olabilir. OT ağları, ağınızda oturum açmış dış yükleniciler gibi belirli güvenlik gereksinimlerine ve fiziksel veya yerel saldırılara karşı benzersiz maruz kalmalara da sahip olabilir.
OT sistemleri genellikle kritik ağ altyapılarını desteklediğinden, genellikle güvenli erişim ve izleme yerine fiziksel güvenliği veya kullanılabilirliği önceliklendirmek için tasarlanmıştır. Örneğin OT ağlarınız, düzenli bakım için kapalı kalma süresini önlemek veya belirli güvenlik sorunlarını azaltmak için diğer kurumsal ağ trafiğinden ayrı çalışabilir.
Daha fazla OT ağı bulut tabanlı ortamlara geçirildikçe, Sıfır Güven ilkeleri uygulamak belirli zorluklara neden olabilir. Örneğin:
- OT sistemleri birden çok kullanıcı ve rol tabanlı erişim ilkeleri için tasarlanmayabilir ve yalnızca basit kimlik doğrulama işlemlerine sahip olabilir.
- OT sistemleri, güvenli erişim ilkelerini tam olarak uygulamak için kullanılabilir işlem gücüne sahip olmayabilir ve bunun yerine güvenli olarak alınan tüm trafiğe güvenebilir.
- Eskime teknolojisi, görünürlük elde etmek ve tehdit algılamayı yönlendirmek için kurumsal bilgileri koruma, güncelleştirmeleri uygulama ve standart güvenlik analizi araçlarını kullanma konusunda güçlükler sunar.
Ancak, görev açısından kritik sistemlerinizde güvenlik güvenliğinin tehlikeye atması, geleneksel BT olaylarının ötesinde gerçek dünya sonuçlarına yol açabilir ve uyumsuzluk kuruluşunuzun kamu ve sektör düzenlemelerine uyma becerisini etkileyebilir.
OT ağlarına Sıfır Güven ilkeleri uygulama
Ot ağlarınızda geleneksel BT ağlarında olduğu gibi ancak gerektiğinde bazı lojistik değişikliklerle aynı Sıfır Güven ilkelerini uygulamaya devam edin. Örneğin:
Ağlar ve cihazlar arasındaki tüm bağlantıların tanımlandığından ve yönetildiğinden emin olun; bu da sistemler arasındaki bilinmeyen bağımlılıkları önler ve bakım yordamları sırasında beklenmeyen kapalı kalma süreleri içerir.
Bazı OT sistemleri ihtiyacınız olan tüm güvenlik uygulamalarını desteklemeyebileceği için, ağlar ve cihazlar arasındaki bağlantıları sınırlı sayıda atlama konağını sınırlamanızı öneririz. Atlama konakları daha sonra diğer cihazlarla uzak oturumları başlatmak için kullanılabilir.
Atlama konaklarınızın çok faktörlü kimlik doğrulaması ve ayrıcalıklı erişim yönetimi sistemleri gibi daha güçlü güvenlik önlemlerine ve kimlik doğrulama uygulamalarına sahip olduğundan emin olun.
Veri erişimini sınırlandırmak için ağınızı segmentlere ayırarak cihazlar ve segmentler arasındaki tüm iletişimin şifrelendiğinden ve güvenliğinin sağlandığından emin olun ve sistemler arasındaki yanal hareketi önleyin. Örneğin, ağa erişen tüm cihazların kuruluşunuzun ilkelerine göre önceden yetkilendirildiğinden ve güvenliğinin sağlandığından emin olun.
Tüm endüstriyel kontrol ve güvenlik bilgi sistemlerinizde (ICS ve SIS) iletişime güvenmeniz gerekebilir. Bununla birlikte, ağınızı daha küçük alanlara bölerek güvenlik ve bakım için izlemeyi kolaylaştırabilirsiniz.
Cihaz konumu, sistem durumu ve davranış gibi sinyalleri değerlendirerek erişim veya düzeltme için bayrak eklemek için sistem durumu verilerini kullanın. Cihazların erişim için güncel olması ve otomatik yanıtlarla görünürlük ve ölçek savunması elde etmek için analiz kullanması gerekir.
Güvenlik çevrenizin bütünlüğünü koruduğundan ve kuruluşunuzdaki değişikliklerin zaman içinde gerçekleştiğinden emin olmak için yetkili cihazlar ve ağ trafiği temeliniz gibi güvenlik ölçümlerini izlemeye devam edin. Örneğin, kişiler, cihazlar ve sistemler değiştikçe segmentlerinizi ve erişim ilkelerinizi değiştirmeniz gerekebilir.
IoT için Defender ile Sıfır Güven
Cihazları algılamak ve OT ağlarınızdaki trafiği izlemek için IoT için Microsoft Defender ağ algılayıcılarını dağıtın. IoT için Defender, cihazlarınızı güvenlik açıklarına karşı değerlendirir ve risk tabanlı risk azaltma adımları sağlar ve anormal veya yetkisiz davranışlar için cihazlarınızı sürekli izler.
OT ağ algılayıcılarını dağıtırken ağınızı segmentlere ayırmak için siteleri ve bölgeleri kullanın.
- Siteler , ofis gibi belirli bir coğrafi konuma göre gruplandırılmış birçok cihazı yansıtır.
- Bölgeler , belirli bir üretim hattı gibi işlevsel bir alan tanımlamak için bir site içindeki mantıksal kesimi yansıtır.
Her OT algılayıcısının ağın belirli bir alanını kapsadığından emin olmak için her OT sensörünü belirli bir siteye ve bölgeye atayın. Algılayıcınızı siteler ve bölgeler arasında segmentlere ayırmak, segmentler arasında geçen trafiği izlemenize ve her bölge için güvenlik ilkelerini zorunlu kılmanıza yardımcı olur.
IoT verileri ve etkinlikleri için Defender'a en az ayrıcalıklı erişim sağlayabilmeniz için site tabanlı erişim ilkeleri atadığınızdan emin olun.
Örneğin, büyüyen şirketinizin Paris, Lagos, Dubai ve Tianjin'de fabrikaları ve ofisleri varsa ağınızı aşağıdaki gibi segmentlere bölebilirsiniz:
| Site | Bölgeler |
|---|---|
| Paris ofisi | - Zemin kat (Konuklar) - Kat 1 (Satış) - Kat 2 (Yönetici) |
| Lagos ofis | - Zemin kat (Ofisler) - Katlar 1-2 (Fabrika) |
| Dubai ofisi | - Zemin kat (Kongre merkezi) - Kat 1 (Satış) - Kat 2 (Ofisler) |
| Tianjin ofisi | - Zemin kat (Ofisler) - Katlar 1-2 (Fabrika) |
Sonraki adımlar
Azure portalında OT algılayıcılarını eklerken siteler ve bölgeler oluşturun ve Azure kullanıcılarınıza site tabanlı erişim ilkeleri atayın.
Şirket içi yönetim konsoluyla havayla eşlenen bir ortamda çalışıyorsanız, doğrudan şirket içi yönetim konsolunda OT sitesi ve bölgeleri oluşturun.
IoT için Yerleşik Defender çalışma kitaplarını kullanın ve zaman içinde güvenlik çevrenizi izlemek için kendi özel çalışma kitaplarınızı oluşturun.
Daha fazla bilgi için bkz.
- OT algılayıcısı ekleme sırasında siteler ve bölgeler oluşturma
- Site tabanlı erişim denetimini yönetme
- ot ağınızı Sıfır Güven ilkeleriyle izleme
Daha fazla bilgi için bkz.