Cloudflare Sıfır Güven, Kimin İçeri Girdiğini Biliyor. Peki Zaten İçeride Neler Olduğunu Biliyor mu?
Cloudflare Sıfır Güven, birçok kuruluş için Sıfır Güven yolculuğunu dönüştürdü. Cloudflare Access, kullanıcılar kendi sunucularında barındırılan, SaaS ve web tabanlı olmayan uygulamalara eriştiğinde kimlik ve cihaz duruşuna dayalı erişim kontrolünü uygular. Cloudflare Tunnel ve özel ağ özellikleri, bu korumayı özel ve HTTP dışı kaynaklara genişletir. Cloudflare One, Katman 3 ve üzeri seviyelerde çalışarak kullanıcıları, uygulamaları ve internet trafiğini güvence altına alır.
Ancak üretim, OT, IoT, şube, hastane ve lojistik ortamlarında, bunların hiçbiri geçerli olmadan önce şu soru ortaya çıkıyor: Uygulama erişimi kontrol ediliyor. Peki ağa neyin bağlanacağını kim kontrol ediyor?
Bu, Katman 2 ile ilgili bir soru. Cloudflare bunu tasarım gereği ele almıyor. Genian NAC ise ele alıyor.
Cloudflare Sıfır Güven çözümü, erişim yolunu korur. Genian NAC ise ilk bağlantıyı korur.
Genians Hakkında
Genians, Katman 2 sensör tabanlı mimari üzerine kurulu bir Ağ Erişim Kontrolü çözümü olan Genian NAC’ı sunar. Bu çözüm, kuruluşlara ağlarındaki her IP özellikli cihaz üzerinde (OT, IoT ve yönetilmeyen uç noktalar dahil) gerçek zamanlı görünürlük ve erişim kontrolü sağlar. Genians, Genian NAC’ı Cihaz Platform Zekası ile daha da geliştirir: Bu hizmet katmanı, keşfedilen her cihaza platform sınıflandırması, EOL/EOS durumu, CVE maruziyeti ve üretici bağlamı ekler. Bunlar birlikte, Cloudflare One gibi kimlik ve uygulama katmanı kontrollerini tamamlayan bir ağ katmanı temeli oluşturur.
Cloudflare Sıfır Güven Neleri İyi Yapıyor?
Cloudflare One’ın cihaz duruş kontrolleri, Cloudflare One İstemcisi, üçüncü taraf uç nokta sağlayıcıları veya harici bir API’nin politika kararlarında kullanılan 0-100 puan döndürdüğü özel duruş entegrasyonları aracılığıyla doğrudan Erişim ve Ağ Geçidi politikalarına entegre edilir.
| Soru | Cloudflare Fit |
|---|---|
| Bu kullanıcı kim? | Yüksek |
| Bu kullanıcı hangi uygulamaya ulaşmaya çalışıyor? | Yüksek |
| Bu cihaz duruş gereksinimlerini karşılıyor mu? | Yüksek |
| Bu özel kaynağa erişime izin verilmeli mi? | Yüksek |
| Bu trafik Cloudflare ağı üzerinden korunuyor mu? | Yüksek |
On the operational network, the questions change.
Operasyonel Ağın Sorduğu Sorular
Üretim ve OT ortamlarında kullanıcı sayısından daha fazla cihaz bulunur. PLC’ler, HMI’lar, endüstriyel bilgisayarlar, kameralar, sensörler, yazıcılar, kart okuyucular, barkod okuyucular, IIoT ağ geçitleri, tedarikçi dizüstü bilgisayarlar ve eski Windows makineleri aynı ağda bir arada bulunur.
- Birçok cihaz SAML oturum açma işlemini gerçekleştirmez.
- Birçok cihaz uç nokta aracısını çalıştıramaz.
- Bazı cihazlar 802.1X’i hiç desteklemez.
| Operasyonel Ağ Sorusu | Kontrol Gerekli |
|---|---|
| Bu cihaz nedir? | Cihaz görünürlüğü |
| Nereye bağlandı? | Katman 2 / anahtar bağlantı noktası görünürlüğü |
| BT mi, OT mi, IoT mi, misafir mi yoksa yüklenici mi? | Cihaz sınıflandırması |
| Is it in an approved segment? | Ağ erişim politikası |
| Bu bilinmeyen bir cihaz mı? | Kısıtlama veya karantina |
| Eğer istisnai bir durumsa, bunun bir sahibi, onayı ve geçerlilik süresi var mı? | İstisna yönetimi |
Bu bir ZTNA sorunu değil. Bu bir NAC sorunu.
Sıfır Güven Katmanı Ulaşamaz
Cloudflare’ın IoT güvenliği hakkındaki yazıları bunu doğrudan belirtiyor. Cloudflare, kurumsal bir ofis gibi kontrollü ortamlar ile eski üretim ağları, çoklu tedarikçi ortamları ve makineler arası bağlantılarla yoğun ortamlar arasında ayrım yapıyor. Cloudflare, bu tür ortamlarda aynı Sıfır Güven garantilerini sağlamanın zorlaştığını kabul ediyor.
Cloudflare Topluluğu’nda somut bir örnek yer alıyor. Bir kullanıcı, EtherNet/IP tarafından kullanılan 44818 portunu referans alarak bir HMI uygulaması aracılığıyla bir PLC’ye Cloudflare Tunnel kullanarak ulaşmaya çalıştı. Tartışma başlığında Cloudflare Tunnel’ın bu durum için bir çözümü olmadığı sonucuna varıldı.
Bir tünel aracılığıyla bir PLC’ye ulaşmak, o PLC’nin ne olduğunu belirlemek, hangi segmente ait olduğunu tespit etmek ve hiç onaylanmamış bir cihazı izole etmek; bunlar farklı sorunlardır.
Tünel yolu oluşturuyor. NAC bağlantıyı değerlendiriyor.
Cihaz Duruşu ve Cihaz Platformu Zekası Birbirleriyle Rekabet Etmez
Cloudflare cihaz duruşu, erişim politikaları için sağlık sinyalleri sağlar: bir cihazın Cloudflare One Client çalıştırıp çalıştırmadığı, işletim sistemi veya sertifika koşullarını karşılayıp karşılamadığı veya bir uç nokta güvenlik sağlayıcısından sinyaller ilettiği gibi.
Genian NAC ve Cihaz Platformu Zekası farklı bir soruyu yanıtlıyor:
“Bu cihaz tam olarak nedir?”
Genian NAC, IP özellikli cihazları gerçek zamanlı olarak izlemek ve bunları politika hedefleriyle uyumlu mantıksal gruplara ayırmak için müdahale gerektirmeyen, Katman 2 tabanlı bir Ağ Sensörü kullanır. Cihaz Platform Zekası, keşfedilen her cihaza platform sınıflandırması, EOL/EOS durumu, CVE maruziyeti, satıcı iş durumu ve bilinen güvenlik açığı bağlamı ekler.
| Cloudflare Cihaz Postürü | Genian NAC / Device Platform Intelligence | |
|---|---|---|
| Birincil amaç | Erişim politikası kararlarını bilgilendirmek | Cihazları tanımlayın ve ağ bağlamını anlayın. |
| Temel soru | Bu cihaz erişim koşullarını karşılıyor mu? | Bu cihaz nedir ve nereye bağlıdır? |
| Güç | Erişim/Ağ Geçidi politika sinyali | Katman 2 görünürlüğü, cihaz sınıflandırması |
| Uygulama noktası | Kaynak erişim yolu | First network connection |
| Tamamlayıcı potansiyel | Genian sinyalleri duruş bağlamı olarak kullanılabilir. | Cloudflare politikasını daha hassas hale getiren cihaz bağlamı |
Cloudflare şu soruyu soruyor: Bu cihaz kaynağa erişmeli mi?
Genians soruyor: Bu cihaz nedir, nerede bulunuyor ve bu ağda yer alması gerekli mi?
Genian NAC Neden Tercih Edilmeli: Sensör Tabanlı Yaklaşım
NAC yeni bir kategori değil. Cisco ISE, Aruba ClearPass, Forescout ve FortiNAC gibi çözümler zaten mevcut. Genian NAC’ın farkı ise kurulumun nereden başladığıdır.
Çoğu NAC projesi 802.1X ile başlar. Bu, yönetilen BT uç noktaları için işe yarar. Ancak üretim, OT, IoT ve şube ortamlarında hızla tıkanır:
- OT cihazlarının bir istemcisi olmayabilir.
- IoT cihazları genellikle ajan kurulumuyla uyumlu değildir.
- Yazıcılar, kameralar, kart okuyucular ve tarayıcıların kullanıcı kimliği yoktur.
- Tedarikçi dizüstü bilgisayarlar geçici olarak gelir ve unutulur.
Önce inceleyin. Sonra sınıflandırın. Son olarak politikayı uygulayın.
| 802.1X – İlk Yaklaşım | Genian NAC Sensör Tabanlı Yaklaşım |
|---|---|
| 802.1X uyumluluğu başlangıç noktasıdır. | Katman 2 görünürlüğü başlangıç noktasıdır. |
| Temsilcinin/başvuranın müsaitliğine dair güçlü varsayım | Ajansız görünürlüğe uygun |
| Kimlik doğrulaması yapabilen cihazlarla başlar. | Önce bilinmeyen ve yönetilmeyen cihazları keşfeder. |
| Yüksek başlangıç dağıtım yükü | Görünürlük öncelikli giriş mümkündür. |
| OT/IoT istisnaları çoğalıyor | OT/IoT sınıflandırmasına ve aşamalı uygulamaya uygundur. |
| Politikanın uygulamaya geçirilmeden önceki etkisini değerlendirmek zor. | Sıralama: gözlemle → sınıflandır → kısıtla → izole et |
Üretim, şube ve OT ortamlarında yoğun bir NAC geçişinin operasyonel risk oluşturduğu durumlarda, Genian NAC farklı bir yaklaşım benimser: önce neyin bağlı olduğunu görün, önemli olan yerlerde uygulamayı güçlendirin.
Sıfır Güven Politikasını Her Cihaza Genişletmenin Dört Yolu
Senaryo 1: Üretim / İş Terapisi — Uzaktan Tedarikçi Erişimi
Cloudflare uzaktan bağlantı oturumunu güvence altına alır. Genian NAC ise yerel bağlantıyı güvence altına alır.
Harici bir tedarikçi atlama sunucusuna, mühendislik iş istasyonuna veya özel uygulamaya eriştiğinde Cloudflare oturumu kontrol eder ve kimlik doğrulama, çok faktörlü kimlik doğrulama (MFA), güvenlik duruşu ve en düşük ayrıcalıklı erişim ilkelerini uygular.
Genian NAC, aynı tedarikçinin sahaya varıp dizüstü bilgisayarını ağa bağladığı anı kontrol eder.
- Satıcı cihazı fabrika ağına bağlanır.
- Genian NAC cihazı tanımlar.
Onaylanmamış cihazlar misafir veya karantina bölümüne taşınır. - Onaylanmış cihazlar kısıtlı bir bölüme yerleştirilir.
Cloudflare Access, özel kaynak erişimi üzerinde ek kontrol uygular. - Satıcı istisnaları, sahip, onay ve sona erme tarihine göre yönetilir.
Güvenlik değeri — Uzaktan veya yerinde bağlantı kurulurken aynı tedarikçi tamamen güvence altındadır. Oturum ile fiziksel bağlantı arasında hiçbir boşluk yoktur.
Dağıtım gerçeği — Ağda yeniden tasarım gerekmiyor. Genian NAC, üretim sistemlerine dokunmadan mevcut Cloudflare altyapısının yanına kurulur.
Senaryo 2: Cihaz Konumu + Ağ Erişim Konumu
Cloudflare uç nokta sağlığını görüyor. Genian NAC ise ağ erişim bağlamını ekliyor.
Cloudflare cihaz duruşu, uç nokta durumuna bakar. Genian NAC, uç nokta duruşunun göremediği ağ bağlamını ekler:
- Bilinen / bilinmeyen cihaz durumu
- BT / OT / IoT / misafir / yüklenici sınıflandırması
- Bağlantı yeri ve anahtar bağlantı noktası
- IP / MAC adresi
VLAN veya segment ataması - Politika uyumluluk durumu
- Geçici istisna süresinin dolması
- Ağ erişim geçmişi
Cihaz platformu, EOL/EOS durumu, bilinen güvenlik açığı bağlamı
Genian, platformu genelinde açık bir API sunmaktadır. Cloudflare’ın özel duruş entegrasyonu, harici bir sistemin Cloudflare’ın politika kararlarında kullandığı bir sinyal döndürdüğü, harici API tabanlı duruş puanlamasını zaten desteklemektedir. Bu iki gerçek birlikte ele alındığında, Genian NAC’ın ağ duruş bağlamı (cihaz sınıflandırması, segment ataması, bağlantı geçmişi, istisna durumu) Cloudflare erişim politikası için yapılandırılmış bir sinyal olarak ortaya çıkarılabilir. Her iki tarafta da özel bir bağlayıcıya gerek yoktur.
Güvenlik değeri — Cloudflare erişim kararları ağ bağlamı kazanır: yalnızca bir cihazın sağlıklı olup olmadığı değil, ağda yer almasının gerekip gerekmediği de dikkate alınır.
Dağıtım gerçeği — Her iki tarafta da açık API. Ek bağlantı lisansı gerekmiyor — entegrasyon bir mimari karar, bir satın alma kararı değil.
Senaryo 3: Dallanma — Bilinmeyen Aygıt Temizleme
Cloudflare trafik yolunu korur. Genian NAC ise trafiği neyin oluşturduğunu yanıtlar.
Şube lokasyonlarında sürekli olarak beklenmedik cihazlar birikiyor: kişisel yönlendiriciler, geçici erişim noktaları, yazıcılar, güvenlik kameraları, POS terminalleri, ziyaretçi dizüstü bilgisayarları, yüklenici cihazları, test ekipmanları ve eski Windows makineleri.
Genian NAC şunları sağlar:
- Şube cihazı keşfi ve envanteri
- Bilinmeyen cihaz izolasyonu
- Yüklenici cihaz yönetimi
- Misafir / BYOD segmentasyonu
- Sahip ve son kullanma tarihi takibi ile istisna yönetimi
- Uyumluluk kanıtı raporlaması
Güvenlik değeri — Her şubede mevcut olan envanter kör noktasını kapatır: Cloudflare’in kimlik doğrulaması yapmadığı için sınıflandıramadığı cihazlar.
Gerçek devreye alma süreci — Genellikle birkaç gün içinde çalışır duruma gelir. Anahtar değişimi, VLAN yeniden tasarımı veya mevcut Cloudflare yapılandırmasında herhangi bir değişiklik olmaz.
Senaryo 4: OT / IoT — Segmentasyon Hazırlığı
Görünürlükle başlayın. Ortamın izin verdiği hızda uygulamaya geçin.
Üretim yapan müşteriler nadiren ilk günden itibaren yaptırım uygulanmasını isterler. Üretim aksaması riski, anında engellemeyi gerçekçi olmaktan çıkarır. Genian NAC, aşamalı bir yaklaşımı destekler:
- Sensör tabanlı keşif
- Cihaz sınıflandırması
- BT / OT / IoT / misafir segmentasyon haritalaması
- Politika etki değerlendirmesi
İstisna onay iş akışı - Aşamalı uygulama
- Denetim raporlaması
Cloudflare, erişim yolunu güvence altına almak için Erişim, Tünel, Ağ Geçidi, WARP ve duruş politikalarını birbirine bağlar ve uygulama sırasında güvenlik önlemlerini devreye sokar.
Güvenlik değeri — OT ekiplerine IEC 62443 ve NIS2 uyumluluğu için savunulabilir bir temel sağlar: önce varlık envanteri ve sınıflandırması, sonra uygulama.
Uygulama gerçekliği — Aşamalı devreye alma, üretim sürekliliğini korur. Tam uygulama başlatılmadan önce uyumluluk ilerlemesi gösterilebilir.
Sıfır Güven Politikasını Her Cihaza Genişletmenin Dört Yolu
Cloudflare Sıfır Güven, kimin sisteme girebileceğini ve nelere erişebileceğini belirler. Genian NAC ise bu soru sorulmadan önce ağda ne olduğunu açıklar. İkisi farklı katmanlarda çalışır ve farklı sorunları ele alır; bu da onları birbirini tamamlayıcı kılan şeydir.
Cloudflare müşterileri için
ZTNA’nızın altında ne olduğunu görün. Ücretsiz.
Genian NAC’ı 30 gün boyunca ücretsiz deneyin. Herhangi bir altyapı değişikliği gerekmez. İzleme modunda dağıtın ve Cloudflare’ın göremediği cihazlar da dahil olmak üzere ağınızdaki her cihazın tam Katman 2 görünürlüğünü elde edin.