Aynı veya farklı üreticilerin iki veya daha fazla bilgisayarı arasında veri iletilebilmesi ve ortak süreçlerin yürütülebilmesi, karşılıklı çalışabilmenin sağlanabilmesi; birlikte çalışabilirlik (interoperability) olarak adlandırılmaktadır.
Karşılıklı çalışmanın sağlanabilmesi için alıcının, vericinin gönderdiği bilgiyi anlayabilmesi gerekmektedir. Karşılıklı çalışma; verici ve alıcı arasında kullanılacak işaretler, veri formatları ve temel aktarım birimlerinin değerlendirme yöntemleri üzerinde anlaşma ile mümkün olmaktadır.
Veri formatlarının ve bilgi alışverişinin zamanlamasını düzenleyen kurallar dizisine ise protokol denmektedir. Karşılıklı çalışma için bilgisayarların aynı protokolü uygulamaları gerekmektedir.
İletişim veya ağ cihazları üreticilerine şöyle bir bakıldığında, bir yarış görülür: Daha iyi ürün, daha ekonomik çözüm ve hep bir adım önde olma isteği. Karşılıklı çalışmanın baş koşulu belirli standartlara uymaktan geçer.
Bir sistem, bir cihaz veya bir yazılım seçilirken yalnızca onun fiyatına değil, o ürünün içermesi gereken standartları ne kadar desteklediğine ve bunların ne kadar uygulanabildiğine de bakılmalıdır.
Bilgi güvenliği uyuşumu kavramı, birbirleriyle güvenli ve güvenli olmayan yollardan haberleşebilen dağıtılmış bilgi sistemlerinin varlığı üzerine oluşmuştur.
Uyuşum, sistemlerin ya da birimlerin yükümlü oldukları hizmetleri sağlayabilmeleri, diğer sistem ya da birimlerden hizmet alabilmeleri ve buna paralel olarak uyumlu bir şekilde çalışabilmeleri gerekliliğidir.
Uluslar arası bilgi güvenliği mekanizmaları ve teknolojileri ile uyumlu olarak çalışabilecek bir bilgi sistemleri mimarisi belirlemek, tasarlamak ve uygulamak üzere uçtan uca sistem mühendisliği çalışmaları yapılmalıdır.
Kullanılan mimaride birbirleriyle bağlantısı bulunan sistemlerin sayısı arttıkça, karmaşıklık da artmaktadır. Buna paralel olarak tek bir çatı altında uyumlu olarak çalışabilecek bir sistem oluşturmak da zorlaşmaktadır.
Bilgi güvenliği uyumluluğu, gizlilik, bütünlük, doğrulama ve inkar edilemezlik gibi güvenlik fonksiyonları için gereklidir.
Uyuşum genel olarak iki şekilde sağlanabilir:
- Haberleşen sistemler ya da servisler içerisinde özdeş güvenlik servisleri kullanılabilir (Uçtan uca uyuşum).
- Özdeş güvenlik servislerini kullanmayan sistem ya da servisler arasında “Dönüştürücü Geçit”ler kullanılabilir.
Beraber çalışabilen güvenli sistemler tasarlarken aşağıdaki hususlara dikkat edilmelidir:
- Kriptolojik ve diğer algoritmalar
- Kripto anahtarlarının oluşturulması ve dağıtılması için uygun metotların kullanılması
- Kriptolojik senkronizasyonu sağlamak üzere uygun metotların kullanılması
- Güvenlik servislerinin haberleşme yığınındaki pozisyonları
- Bilgi alışverişi yapılırken kullanılan protokoller.
Farklı kripto algoritması kullanan iki sistem birbiriyle haberleşmek istediğinde, her iki tarafın da şifresini çözebilecek bir ağ geçidinden faydalanılır.
Güvenli haberleşme için DG kullanılacağı zaman, DG’nin kendisinin güvenliğinin sağlanması başka bir güvenlik problemi olarak karşımıza çıkmaktadır. Çünkü DG üzerinden haberleşen iki tarafın trafiği de DG üzerinde açık olarak ilerlemektedir. Bu sebepten dolayı güvenli bir şekilde uyumluluğun sağlanabilmesi için ideal bir yöntem değildir.
DG’nin iki tarafında da bulunan haberleşme sistemlerinde kullanılan güvenlik sistemleri, güvenlik fonksiyonları açısından aynı olmak zorunda değildir. Hatta ulusal kripto algoritmaları kullanarak ulusal bir güvenlik mekanizması kurabilmek için yüksek miktarda yatırımlar yapılmaktadır. Bu pahalı sistemler arasında uygun maliyetli bir çözüm olarak gerçeklenebilmesi, DG’ler için bir avantaj sayılabilir
DG, güvenli bir alanda Z1 ve Z2 kriptolarını kullanabilen bir ağ geçididir. A kullanıcısı/sistemi DG üzerinden Z1 algoritmasını kullanarak şifrelenmiş bilgiyi B kullanıcısı/sistemine göndermektedir. B kullanıcısı/sistemi de Z2 algoritmasıyla şifrelenmiş trafiği yorumlayabilmektedir. DG, Z1 ile şifrelenmiş trafiği çözer ve B kullanıcısı için Z2 ile tekrar şifreler.
DG’lerin kullanım alanı, kriptolu haberleşme yapan tüm sistemlere genişletilebilir. Sesli, görüntülü haberleşme sistemleri, bilgisayar sistemleri ve farklı kriptoların kullanılıp haberleşmesi istenen tüm sistemler arasında DG aracılığıyla uyuşum sağlanabilir. DG’nin kendisinin güvenliğini sağlamak ana güvenlik sorunu olarak göz önünde bulundurulmalıdır.
Şimdi de bu konu üzerine piyasada mevcut iki uygulamanın çalışma prensibini inceleyelim.
Air Gap teknolojisi, backend ağlarını dış dünyadan donanımsal olarak izole eden bir platformdur. Bu mimarinin avantajları olarak şunlar söylenebilir: DMZ bölgesinden iç ofise hiçbir port açık değildir ve tüm güvenlik fonksiyonları Internetten erişilemeyen bilgisayarlarda çalışmaktadır. Teknolojinin implementasyonda Air Gap anahtarlama cihazı, iki adet bilgisayar, yazılım bileşenleri ve üzerinde Air Gap yazılımı çalışan iki ayrı sunucuya bağlanmış stand-alone Air Gap anahtarlama cihazı bulunmaktadır.
Dış E-Gap sunucusu mimarinin “face”’i ya da “gateway”’i olarak kabul edilir. Bu bilgisayarın IP adresi ve DNS adı dünyaya yayınlanır. İç E-Gap sunucusu LAN’a bağlı bilgisayardır, anahtarlama cihazından ilgili bilgiyi çeker ve SSL trafiğini deşifre eder. Air Gap anahtarlama cihazı hafıza bankası ve yüksek hızlı analog anahtarlama cihazından oluşur ve belli bir anda sadece bir sunucuya bağlanabilir. Dış sunucu bilgiyi bu donanıma yükledikten sonra anahtarlama cihazı dış sunucuyla bağlantısını keser ve iç sunucuya bağlanır.
İnteraktif bağlantı veri diyodu (interactive link data diode, IL-DD) iki ağ arasında, donanımsal olarak ters yönde veri akışını engelleyerek, tek yönlü bir bağlantı sağlamaktadır.
Bu aygıt sayesinde güvenli bir ağın, genel amaçlı bir iç ağdan ters yönde veri akışı riski olmayacak şekilde veri çekebilmesi mümkündür. Böylece kullanıcıların güvenli olmayan kaynaklardan güvenli ağa veri transferine izin verilmektedir.
Kullanıcılar veriyi iç ağdan iç ağ veri diyodu sunucusuna gönderir. Daha sonra veri IL-DD’den geçerek güvenli ağ veri diyodu sunucusuna ulaşır.
[Kaynak: bilgiguvenligi]
Hiç yorum yok:
Yorum Gönder