Cihaz güveni nasıl çalışır
Cihaz güveni her uç noktaya kendi kimliğini verir; bu genellikle mobil cihaz yönetimi (MDM) aracıyla veya bir kayıt akışıyla kurulum sırasında yüklenen bir sertifika ya da kriptografik anahtardır. Cihaz erişim istediğinde bu kimlik bilgisine sahip olduğunu kanıtlar; bu da kimlik sağlayıcıya karşısındakinin internetteki rastgele bir tarayıcı değil, bilinen ve kayıtlı bir makine olduğunu söyler.
Tanımanın ötesinde, olgun uygulamalar cihaz durumunu da değerlendirir: işletim sistemi güncel mi, disk şifreleme açık mı, ekran kilidi ayarlı mı, uç nokta koruması çalışıyor mu ve cihaza yetkisiz müdahale yapılmış mı. Bu sinyaller oturum açma anında erişim politikasını besler; uyumlu bir dizüstü sorunsuz girerken yamasız veya bilinmeyen bir cihaz engellenir, karantinaya alınır ya da yalnızca sınırlı erişim alır.
Cihaz güveni neden önemli
Güçlü kullanıcı doğrulaması kimin oturum açtığını söyler ama nereden açtığı hakkında bir şey söylemez. Oltalanmış veya zararlı yazılım bulaşmış bir makine tamamen geçerli kimlik bilgileri sunabilir; saldırganın bilgisayarından tekrar oynatılan çalınmış oturum çerezleri de meşru kullanıcı gibi görünür. Güvenilir cihaz şartı bu boşluğu kapatır: istek kurumun tanıdığı bir donanımdan da gelmek zorunda olduğu için kimlik bilgileri tek başına yeterli olmaktan çıkar.
Cihaz güveni ayrıca her erişim kararının kullanıcı kimliğini, cihaz durumunu ve bağlamı birlikte tarttığı sıfır güven mimarisinin temel direklerinden biridir. Ofis ağının çevresini çoktan terk etmiş uzaktan ve hibrit çalışan ekipler için yönetilen ve sağlıklı cihaz, fiilen yeni güvenlik sınırı haline gelir.
Uygulamada cihaz güveni
Kurulumlar genellikle görünürlükle başlar: kurumsal cihazları kaydetmek, bugün nelerin bağlandığını çıkarmak ve henüz zorlamadan durum raporlamak. Zorlama ise kademeli gelir; önce en hassas uygulamalar ve yönetici erişimi, sonra daha geniş portföy. Bu sırada işletim sistemi güncel olmayan bir kullanıcının erişimi nasıl geri kazanacağını tam olarak bilmesini sağlayan açık bir öz servis düzeltme yolu sunulmalıdır.
En zor sorular pratik olanlardır: BYOD politikaları altındaki kişisel cihazlar, MDM'e kaydolamayan yükleniciler ve kayıt altyapısı çöktüğünde acil durum erişimi nasıl ele alınacak. Yaygın yanıtlar, BYOD için daha hafif bir kayıt süreci ve ek izlemeyle süresi sınırlı istisnalardır. Monosign, koşullu erişim politikalarında cihaz, IP ve konum sinyallerini değerlendirebilir; böylece yöneticiler hassas uygulamaları istekte bulunan cihazın güvenilirliğine göre kapılayabilir.