Kurumsal ağ kaynaklarınızı iç ve dış tehditlere karşı korumak için;


Günümüzde kurumlar için yerel ağ kavramı artık, iç ağ/dış ağ ayrımı yapılmaksızın, kurumdaki herhangi bir kişiye, herhangi bir yerden erişebilmek anlamında genişlemiştir. Ama bu gelişime paralel olarak, güvenlik uzmanları da ağlarına karşı olan tehditlerle başa çıkabilmek için daha komplike güvenlik politikaları uygulamak zorunda kalmaktadır. Bu tehditlerden en başta geleni, önemli ağ kaynaklarını Internet’ten veya yerel ağdan gelebilecek muhtemel saldırılara karşı korumaktır.
Ağ üzerinden erişim kontrolü, mevcut ağ kaynaklarını korumak için temel yoldur. Ölçeklenebilir kapsamlı erişim denetimi kuralları sayesinde, ağ güvenliği yöneticileri ağ bağlantıları için kaynak sistem, hedef sistem, ağ trafik türü ve uygulama zamanını belirlemek suretiyle esnek ağ erişim hakları belirleyebilirler.


Ağ güvenliğini korumak tabi ki sadece spesifik kaynaklara erişim denetimi sağlamaktan ibaret değildir. Bundan başka, komple bir ağ güvenliği çözümü aşağıdakileri sağlamalıdır:
· Ağ kullanıcıların kimliklerinin belirlenmesi
· Aktarım esnasında veriyi şifreleme
· Kayıtlı IP’leri optimize şekilde kullanma
· Ağ trafiğinin tümünün içeriğine güvenlik politikasını uygulama
· Saldırıları gerçek zamanlı olarak belirleme ve önlem alma
· Denetim bilgilerinin tümünün kayıtlarını tutma
Ayrıca güvenlik politikası, kurum içerisinde kullanılan mevcut verileride kullanılması muhtemel bütün uygulamalara tatbik edilebilmeli ve bağlantı sorunlarına, ağ performans düşüklüklerine yol açmamalıdır.


2. Mobil ve uzak kullanıcılar için ağ bağlantısı sağlamak
Bir çok şirket uzak kullanıcılarının bağlantıları için, büyük modem bağlantıları gerektiren geleneksel uzaktan erişim çözümleri ve pahallıdial-up telefon bağlantıları ile karşılaştırıldıklarında çok ekonomik çözümler sunan Internet üzerinde geliştirilen ağ uygulamalarının farkına vardılar. Uzak ve mobil kullanıcılarını kurumsal ağlarına Internet bazlı özel sanal ağlar (VPNler) aracılığı ile bağlamak isteyen firmaların sayısı arttıkça, bu kritik bağlantıların güvenliğinin sağlanması da büyük önem kazanmıştır.
Bilgilerinizin Internet gibi herkese açık ağlar üzerinden iletimi sırasında güvenliğinden emin olabilmek için iki temel unsurun yerinde uygulanması gerekir. Birincisi, hem uzak istemci, hem de kurumsal Internet ağ geçidi seviyesinde mümkün olan en güçlü tanılama sağlanmalıdır. İkincisi ise, bütün kullanıcı kimlikleri belirlendikten sonra, bütün veri trafiği gizlilik açısından şifreli olarak iletilmelidir.
Hem tanılama hem de şifreleme uygulamaları, ağ güvenlik çözümü çerçevisinde kesintisiz ve uyumlu olarak çalışmalıdır. Erişim denetimi gibi ağ güvenlik kriterleri sanal özel ağ iletişimlerinde de çok önemli role sahiptir. Uzak bir kullanıcının VPN ile kurumsal ofisine bağlantı kurması demek, buradaki tüm ağ kaynaklarına erişim hakkı kazanması anlamına gelmemelidir.
Bir firma için uzak ağ bağlantı ihtiyacı arttıkça, ağ güvenlik yöneticileri yönetilebilir ve kullanımı kolay VPN çözümlerine ihtiyaç duyarlar. Ve seçilecek çözüm, kurulumu kolay, ileride eklenebilecek yüksek sayıda uzak kullanıcı sayısını destekleyebilecek esneklikte, son kullanıcı için ise kesintisiz ve transparan olmalıdır.


3. Internet’i kullanarak kurumsal veri iletişim masraflarını düşürmek
Güvenli ağ erişimi sağlamak amacıyla istemciler ve ağlar arasında kurulan VPN bağlantıları pahalı çözümler oldukları için, firmalar uzak ofis bağlantılarını sağlamak için Internet aracılığı ile ağlar arası veya bölgeler arası VPN bağlantılarını tercih ederek tasarrufa giderler. Ayrıca herkese açık hatlar üzerinden güçlü tanılama ve veri şifreleme özellikleri kullanarak, bilgi güvenliğinden ödün vermeksizin ticari iletişimleri de sağlamak mümkün olur. Bu sayede, frame-relay ve kiralık hatlara yüksek miktar yatırımlar yapmaya gerek de kalmaz.
Gözden kaçırılmaması gereken bir konu ise, uzaktan erişim çözümü olarak güçlü tanılama ve şifreleme teknolojileri seçildiği vakit, bu seçimin beraberinde yeni güvenlik yönetimi zorlukları getirebilmesidir. Bu tip muhtemel zorlukları yaşamamak veya minumum seviyeye indirgemek için, tüm VPN bağlantı noktalarını merkezi bir konsol aracılığı ile yönetebilecek güvenlik çözümleri tercih edilmelidir.
Internet üzerindeki VPN uygulamalarının sağladığı maliyet düşüklüğünün yanı sıra, ağ iletişimlerini özel dedike hatlardan Internet üzerine taşınması, beklenmedik performans düşüklüklerine ve erişim sorunlarına yol açabilir. Bu yüzden, sanal özel bir ağ bünyesinde öncelikli bağlantılar için entegre bant genişliği yönetimi ve yüksek erişilebilirlik desteklenmelidir.


4. Güvenli bir extranet üzerinden iş ortaklarına ağ erişimi sağlamak
Kendinize ait ağ kaynaklarınızı (uzak ve mobil kullanıcılar, branchofisler) güvenli şekilde birbirine bağladıktan sonra, sıra kurumsal ağınızı extranet uygulamaları aracılığı ile değerli iş ortaklarınıza ve müşterilerinize kontrollü bir biçimde açmaya gelir. Endüstri standartlarında protokollere ve algoritmalara bağlı kalarak gerekli extranet bağlantıları güvenli şekilde sağlanabilir. Ama bu tür bağlantılar için kesinlikle tescilli teknolojiler tercih edilmelidir.
Internet bazlı VPN uygulamaları için kabul edilen standarda IPSec(Internet Protocol Security) adı verilir. IPSec, şifrelenmiş ve tanılanmış bir IP paketinin formatını ifade eder ve gelecek nesil IP iletişimi için gereklidir. Şifrelenmiş anahtarların yönetimini otomatikleştirmek için genellikle IPSec ile IKE (Internet Key Exchange) ile kullanılır.
Standart bazlı bağlantı kurulduğu zaman, dışarıdan erişecek kullanıcıların (iş ortakları, özel müşteriler) ihtiyaçlarına göre özel haklar sadece ilgili ağ kaynakları için tanınmalıdır. Kurumsal ağ kaynaklarının dışarıya açılma oranı arttıkça, bununla ilgili uygulanması gereken kapsamlı güvenlik politikası da periyodik olarak revize edilmelidir.


5. Kurumsal ağınızın yeterli performansa, güvenilirliğe ve yüksek erişilebilirliğe sahip olması
Kurumsal ağ bağlantılarında artan Internet kullanımının doğal sonuçlarından biri olan ağ tıkanıklıkları sonucu kritik uygulamalarda performans sorunları yaşanabilir. Ortaya çıkabilecek bağlantı hataları, ağ geçidi çökmeleri, ağ bağlantı gecikmeleri ve diğer performans düşüklükleri neticesinde firmalar büyük ekonomik kayıplar yaşayabilirler.
Internet ve Intranet hatlarının gereğinden fazla istemci ve sunucu tarafından kullanılması sonucu, trafik miktarına göre bağlantı kopuklukları, zayıf ‘response’ zamanları ve yavaş Internet kullanımı sorunları ile karşı karşıya gelmek normaldir. Bu gibi durumlarda,sınırlı bant genişliği üzerinde mevcut hattı aktif olarak paylaştırmaya yönelik bir yönetime gidilmelidir.
Eğer yerel ağınız bünyesinde yoğun trafik yaşanıyorsa, birçok kaynağınız (halka açık popüler bir Web sunucusu gibi ) negatif yönde etkilenebilir. Bir uygulama için bir sunucuya güvenmek, zayıf ‘response’ zamanlarına hatta bağlantı kopukluklarına yol açabilir. Sunucu yük dengelemesi bir uygulama sunucusunun işlevini birçok sunucu üzerine dağıtarak ölçeklenebilir bir çözüm sağlar. Bu yolla ayrıca, sunucular üzerindeki performanslar da arttırılmış olur.
Performansın yettiği durumlarda dahi, ağ geçidi seviyesinde meydana gelebilecek bir hatayı tolere edebilecek güvenli bir ağ altyapı sistemi oluşturulmalıdır. Günümüzde artık çoğu kurum, ağ geçidinde yaşayacakları anlık erişim sorunları yüzünden dahi büyük mali kayıplar yaşayacaklarından emin olarak yüksek erişilebilirliği destekleyen ağ güvenlik ürünlerini tercih etmektedir.
Yüksek erişilebilirliği destekleyen ürünler hem yazılım, hem donanım bazında yedeklemeli sistemler ile yüzde yüze yakın seviyelerde erişilebilirliği garanti ederler. Bir sorun meydan geldiği zaman,yüksek erişilebilirliği sağlayan bileşenler ağınızın güvenli olmasını sağlamalı ve son kullanıcıya tamamen transparan şekilde devam ettirilmelidir. Gerçek etkili çözümler sunacak ağ yöneticileri, iç ve dış kullanıcılarına daimi güvenilir servisler sağlamalıdır.