COVID-19 pandemisinin belki de en büyük etkisi çalışma hayatımıza oldu. Pandemi; değişim zamanını bekleyen çalışma koşullarına bir katalizör etkisi yaparak, uzaktan çalışmayı hayatımıza bir anda normalleştirmiş şekilde sundu. Aslında ilk olarak 2010 yılında John Kindervag tarafından koneptualize edilen ZTNA’nın yaygınlaşmasını sağladı. Peki SSL VPN ile ZTNA arasında ki farklar nelerdir?
SSL VPN Nedir?
SSL VPN yani Secure Sockets Layer Virtual Private Network, kullanıcıların şifreli (TLS) bir şekilde uzakta ki bir ağa bağlanmasını sağlar. SSL VPN, IPSec VPN’e alternatif olarak çıkmıştır. En büyük farkı da SSL veya TLS şifrelemeyi kullanmasıdır.
SSL VPN, ilk çıktığı zamanlarda SSL bağlantı üzerinden bağlantıyı gerçekleştirirken daha sonrasında TLS protokolüne geçiş yaptı. SSL VPN’nin çalışma mantığına değinelim.
- Kimlik Doğrulama: Kullanıcı, bir SSL VPN ajanı veya tarayıcı üzerinden bağlantı isteği gönderir. Kimlik doğrulama kısmı genellikle sadece kullanıcı adı ve şifre ile sağlanır. Ek olarak MFA de katman olarak konumlandırılır.
- Tünel Kurulumu: Kimlik doğrulama aşamasını geçen kullanıcı ile sunucu arasında bir TLS handshake gerçekleşir. Bu adım iki kısımdan oluşur:
- Sunucu Sertifikası: Sunucu, istemciye kimliğinin doğrulanması üzerine bir SSL Sertifika iletir.
- Anahtar Değişimi: İçeriyi kabul aldığını anlayan istemci ile sunucu arasında, tünelin şifrelenmesi için asimetrik anahtar paylaşımı gerçekleşir. Bu anahtarlar genellikle AES-256 algoritmasını kullanır.
- Veri Trafiği ve Erişim Kontrolü: Şifreli tünel kurulduktan sonra artık, dışarıda ki cihaz sanki LAN’da bulunan bir cihaz gibi davranmaya başlar.
ZTNA Nedir?
ZTNA, açılımından anlayacağımız üzere (Zero Trust Network Access) yıllardır alışa gelinen ağ erişim yöntemlerinden farklı olarak, kullanıcının sadece kimliğinin doğrulanarak ağa erişiminin dışında sürekli doğrulamayı sağlayan bir konsepttir. Yani ZTNA yöntemi, “asla güvenme, sürekli doğrula” ilkesini benimsemektedir.
Temel ZTNA Prensipleri
- Asla Güvenme: Kullanıcı veya cihaz, ister şirket içerisinde olsun, ister dışarıda bulunsun. Gerçekleştirdiği bağlantıya asla güvenme ve her istekte doğrulamayı tekrar yap.
- En Az Yetki: Kullanıcının sadece gerçekten erişmesi gereken kaynaklara veya verilere erişimine izin ver. Yani kullanıcı sadece muhasebe ağının içerisinde ki belirli bir sunucuya erişmesi gerekiyorsa, tüm muhasebe ağına erişmesine gerek yok.
- Dinamik ve Bağlam Temelli Erişim: ZTNA yaklaşımına göre, erişim kimliğinin bağlantıyı yapmak isteyen kullanıcının cihazına, lokasyonuna ve bağlantı türü gibi durumlarına göre dinamik olarak belirlenmesini ister.
- Sıfır İnanç: Sistem, kimlik doğrulamasında sorun olan kullanıcılara veya güvenilir olmayan hiçbir isteğe olumlu yanıt dönmez.
Teknik Olarak ZTNA Çalışma Prensibi
Yukarıda ki temel prensiplere göre ZTNA’in teknik olarak çalışma şekli aşağıdaki gibidir;
- İstemciden Bağlantı İsteğinin Gelmesi: İlk adım, istemci tarafından bir isteğin gelmesidir. Bu adım iki aşamadan oluşur:
- ZTNA Agent veya Tarayıcı: Kullanıcı, bağlantı isteğini cihazı üzerinden ya bir ajan üzerinden yada bir tarayıcı üzerinden gerçekleştirir. İstemci, bu durumda karşı tarafa kullanıcı kimlik bilgilerinin yanı sıra cihazı ile ilgili olarak istenen temel bilgileri de iletir.
- Kimlik Doğrulama Sunucusu (Identity Provider / IdP): Kullanıcı bir MFA veya SSO sayesinde kimlik doğrulamasını gerçekleştirir. Bu bilgilere göre IdP, kullanıcı ve cihazı doğrular.
- Bağlantı Analizi: ZTNA, kendisine gelen isteği birden fazla metot ile doğrulamaya çalışır. Bunlar;
- Kullanıcı Kimliği ve Rolü: Sistem, daha öncesinden tanımlanan kimlik doğrulama yöntemleri ile kendisine gelen istek içerisinde ki kullanıcı bilgilerini Active Directory, LDAP veya SAML gibi sistemler üzerinden doğrular.
- Cihaz Durumu: Bağlantı isteği sırasında iletilen cihaz durum bilgileri, izin verilen çerçeve içerisinde mi diye kontrol edilir. Örnek vermek gerekirse anti-virüs durumu, işletim sistemi versiyonu veya yamalarının durumunun kontrol edilmesini söyleyebiliriz.
- Ağ ve Lokasyon Bilgisi: Bağlanmak isteyen istemcinin IP bilgisi, coğrafi lokasyon durumu, VPN üzerinden mi yoksa doğrudan mı bağlanmak istediğine dair denetlemeler yapılır.
- Bağlantı Güvenliği: Bağlantının TLS üzerinden mi yoksa şifresiz bir bağlantı üzerinden mi geldiği kontrol edilir. Şifresiz istekler red edilir.
Politikalar ve Erişim Kararı
İstemci, tüm parametrelerin cevaplarına ve önceden belirlenen kurallara göre erişime ya izin verir, ya kısıtlı erişim verir ya da red eder.
Erişim Sağlama
Kullanıcı, doğrudan bir ağa veya uygulamaya doğrudan bağlanmaz. Tüm bağlantılar bir ZTNA proxy veya gateway üzerinden gerçekleşir. Böylece, kullanıcı erişmek istediği kaynağa direk erişemediği için IP bilgilerinin gizli kalmasını sağlar ve doğrudan erişimi engeller.
Ayrıca ZTNA, kullanıcının erişmek istediği her kaynak için mikro tünel açar. Yani sunucu-istemci arasında tek bir tünel ile bağlantı olmayacağı için yalnızca yetkilendirilmiş kaynaklara erişim gerçekleşir.
Sürekli İzleme ve Dinamik Erişim Kontrolü
ZTNA, açılan her mikro tüneli sürekli olarak izler. Böylece istemcide oluşabilecek anlık güvenlik zafiyetlerinde erişim anında kesilir. Ayrıca tüm işlemlerin kaydı tutulur.
Uygulama Düzeyinde Güvenlik
Kullanıcılar, sadece yetkilendirildikler uygulamalara veya API kaynaklarına erişebilecekleri için tüm ağa erişimleri kısıtlanmış olur. Ayrıca tüm bağlantının uçtan uca şifrelenmesi sayesinde de saldırganların, kurulan bağlantının arasına girilmesi engellenmiş olmaktadır.
SSL VPN vs ZTNA
SSL VPN ile ZTNA arasında özellikle güvenlik anlayışı açısından farklılıklar bulunur. ZTNA, SSL VPN’nin aksine kullanıcıya hiçbir zaman güvenmez ve her işlemini doğrular. Ayrıca ZTNA, kullanıcıyı tüm ağa erişim sağlamak yerine mikro tüneller sayesinde sadece erişmesi gereken kaynaklara erişmesini sağlar.
Kurumda eğer bir VLAN yapısı yoksa, SSL VPN ile bağlanan kullanıcı tüm kaynaklara erişebilirken, VLAN olmamasına rağmen ZTNA sadece erişimin olması gereken kaynaklara erişim sağlar.
ÖZELLİK | ZTNA | VPN |
Güvenlik Yaklaşımı | Sıfır Güven | Ağa Erişim Tabanlı |
Erişim Seviyesi | Uygulama Düzeyinde | Tüm Ağa Erişim |
Performans | Hızlı ve Verimli | Tıkanıklık Yaşanabilir |
Saldırı Yüzeyi | Küçük | Daha Büyük |
Konfigürasyon | Merkezi ve Kolay | Karmaşık |