Güvenlik Duvarı Dizileri Ne İşe Yarıyor

[megabros]

Dünya bir süredir “de-perimeterisation” kavramıyla, güvenlik duvarları konusunda bir paradigma değişikliğini tartışıyor ve mevcut haliyle güvenlik duvarlarının mantığını ve varlığını sorguluyor. Kısa vadede güvenlik duvarlarını ortadan kaldırmak mümkün olmasa da, bu sorgulama, orta vadede ağ güvenliği kavramlarında önemli bir değişikliğe sebep olabilir ve güvenlik duvarı ürününün yeteneklerinin evrilmesinde etkili olabilir.

Dünyada durum bu haldeyken, ülkemizde bazı kuruluşların farklı markalarda birden fazla güvenlik duvarının arka arkaya yerleştirerek kullanmayı mimari bir alternatif olarak tercih edebildiği biliniyor. Kullanılan güvenlik duvarının taşıyabileceği bir güvenlik açığının bir sonraki güvenlik duvarında olmayacağı savından hareket eden bu mimari tercih, yukarıda bahsettiğim eğilimlerin tam tersi bir anlam taşımanın yanı sıra bir takım riskleri de beraberinde getiriyor.

Bilgi güvenliğinde her risk taşıdığı etki potansiyeli ve gerçekleşme olasılığı üzerinden değerlendirilir. Dolayısıyla, bu mimari ile çözülen riski değerlendirirken ne gibi bir olasılıktan bahsedildiği ve bu mimari ile ne gibi başka risklerin doğduğu dikkate alınmalıdır. Özellikle belirli bir olgunluğa ulaşmış, ve üzerinde taşıdığı yazılım hatası ve güvenlik açığı miktarı azalmış güvenlik duvarlarında bulunabilecek bir açığın, üstelik uzaktan kötüye kullanılabilecek yüksek öncelikli bir güvenlik açığı olmasın olasılığı oldukça düşüktür.

Ayrıca, hayli nadiren ortaya çıkabilecek bu açıkların tespit edilmesinden, yamanmasına kadar geçebilecek sürede, bu içerikte bir saldırı alınması olasılığı, açık ve açığı kullanma yöntemi henüz yaygınlaşmamış olacağından rahatlıkla düşük seviyeden ihmal edilebilir seviyeye düşecektir. Son yıllarda açıklanan güvenlik açıkları ve gelişmiş güvenlik duvarlarıyla ilgili deneyimler, bu yorumu destekler niteliktedir.

Internet kaynaklı ağ temelli güvenlik saldırıları neredeyse her zaman, güvenlik duvarının kural tanımı içerisinde tanımlanan TCP/IP portlarında meydana gelmektedir. Bu portlar da, zaten bir güvenlik duvarında açıldığı zaman, her güvenlik duvarında açılmak zorundadır. Dolayısıyla dizi dizi güvenlik duvarlarını arka arkaya dizmek bu açıdan bir fayda yaratmıyor.

Tersine, farklı markalardaki güvenlik duvarlarının bir arada kullanılması karmaşıklığı çok artırdığından, yönetim, bakım ve destekleme güçleşecek ve buralardan kaynaklanan güvenlik zaaflarının yaşanma olasılığı artacaktır. Örneğin, Internet arayüzünde yeni bir port açmaya kalktığınızda, yaşanacak bir problemin kaynağını anlamak çok zor olabilir ve giderek istenmeyen konfigürasyonların ortaya çıkmasına neden olabilir.

Bunun üzerine, bir de kaynak yetersizliği yaşayan kurumların iki, üç güvenlik duvarını aynı yetkinlikte yönetecek teknik elemanları yetiştirmek veya yetiştirdiği personeli elinde tutmak güçlüklerini de eklediğimizde, bu mimari tercihi sağladığı risk kontrolüne karşılık, misliyle yönetim ve işletim riskini doğuracaktır.Bu mimari tercihin, ülkemizde fazlaca ürün odaklı yürüyen güvenlik sektörünün bir ağ noktası için birden fazla güvenlik duvarı satabilmesi dışında bir işe yaradığı ve toplam riski azalttığı kabulü tartışılmalıdır.

Bu mimari tercihini yapabilen kurumların, Internet üzerinden gelebilecek risklere karşı hassas olduğu düşünülürse, riski azaltıyorum derken, aslında toplam riskin bu tercihle artırılıyor olması, bilgi güvenliği yönetimini risk yönetimi yaklaşımına oturtan bir yaklaşım içinde, önceden farkedilmelidir. Yoksa hayat bu riskleri daha sonra ödetecektir.

 

Saygılar.