Firewall & UTM

Kurumsal ağın dış dünyayla temas ettiği nokta, artık basit bir port açıp kapatma meselesi olmaktan çıktı. Bugün bir saldırganın hedefi çoğu zaman 443 üzerinden, meşru görünen şifreli trafiğin içinde geliyor; dolayısıyla sınır güvenliğini yalnızca kaynak-hedef-port mantığıyla kuran bir yapı, ilk ciddi hamlede aşılıyor. Yeni nesil güvenlik duvarı (NGFW) tam da bu boşluğu kapatmak için tasarlandı: trafiği yalnızca paket başlığından değil, hangi uygulamaya ait olduğundan, hangi kullanıcının ürettiğinden ve içeriğinde ne taşıdığından hareketle değerlendiriyor. MSK Global'in kurduğu sınır mimarilerinde temel aldığımız ilke de bu — kuralları IP bloklarına değil, uygulama ve kimlik bağlamına oturtmak.

UTM (Unified Threat Management) yaklaşımı, ayrı ayrı kutular halinde yönetilmesi zahmetli olan saldırı önleme (IPS), ağ geçidi antivirüsü, web ve içerik filtreleme, uygulama kontrolü ve şifreli trafik incelemesi gibi işlevleri tek bir platformda topluyor. Bu konsolidasyonun cazibesi açık; ancak sahada asıl belirleyici olan, doğru boyutlandırma. SSL/TLS inceleme açıldığında cihazın gerçek throughput'u kâğıt üzerindeki değerin çok altına düşebilir, eşzamanlı oturum sayısı tükendiğinde ise sorun "yavaşlık" değil, kullanıcının hiç bağlanamaması olarak yaşanır. Biz bir UTM projesine girerken önce mevcut trafiğin profilini çıkarır, IPS ve inceleme yükü altındaki gerçek kapasiteyi hesaba katarak cihaz seçeriz — etiket değerine göre değil.

Doğru ürünü seçmek işin yalnızca yarısı. Bir güvenlik duvarının ömrünü ve etkinliğini belirleyen şey, arkasındaki kural setinin disiplini. Yıllar içinde "geçici" diye açılıp unutulan, kaynağı belirsiz "any-any" kuralları, en pahalı NGFW'yi bile delik deşik eder. MSK Global'in 20 yılı aşkın saha tecrübesinde defalarca gördüğümüz tablo budur; bu yüzden devreye alma sürecinde yalnızca cihazı kurmakla kalmaz, en az ayrıcalık ilkesine dayalı, belgelenmiş ve periyodik olarak gözden geçirilen bir politika mimarisi tasarlarız. Ağı kritik segmentlere böler, sunucu tarafı ile kullanıcı tarafı arasındaki yatay hareketi (lateral movement) sınırlandırır, asimetrik yönlendirme gibi inceleme mekanizmasını sessizce devre dışı bırakan tuzakları baştan eleriz.

Kesintisizlik, kurumsal ölçekte tartışma konusu bile değil. Sınır cihazının tek nokta arızasına dönüşmemesi için yüksek erişilebilirlik (HA) yapılarını aktif-pasif ya da iş yüküne göre aktif-aktif olarak tasarlar, donanım arızası anında oturumların kopmadan devredilmesini sağlarız. IPSec ve SSL-VPN ile uzak ofis ve mobil kullanıcı erişimini aynı politika çatısı altında toplar, gerekli yerde SD-WAN entegrasyonuyla şube bağlantılarını hem maliyet hem güvenlik açısından tek elden yönetilebilir hale getiririz.

Bir güvenlik duvarı, ürettiği kaydı kimse okumuyorsa yarı kör çalışır. Bu nedenle kurduğumuz her yapıda merkezi yönetim, anlamlı loglama ve SIEM entegrasyonunu standart kabul ederiz; olayları tekil alarmlar olarak değil, korelasyon içinde değerlendiren bir görünürlük katmanı oluştururuz. Tehdit istihbaratı akışlarının güncel tutulması, imza ve sanal yama (virtual patching) güncellemelerinin aksamadan uygulanması, KVKK ve ISO 27001 gibi uyum çerçevelerinin gerektirdiği kayıt ve raporlama yükümlülüklerinin karşılanması — bunların hepsi devreye alma anında değil, çözümün yaşam döngüsü boyunca takip edilmesi gereken işler. MSK Global'in fark yarattığı yer de tam olarak burası: projeyi teslim edip çekilmek yerine, 7/24 izleme ve SLA temelli destekle yapıyı ayakta tutmak.

Sonuçta firewall ve UTM, raftan alınıp takılan bir ürün değil; kurumun risk iştahına, trafik karakterine ve büyüme planına göre tasarlanması gereken bir mimari. Belirli bir markaya bağlı kalmadan, önde gelen NGFW platformları arasından ihtiyaca en doğru oturanı seçer; kurumsal ve kamu projelerinde edindiğimiz tecrübeyle tasarımdan devreye almaya, optimizasyondan sürekli yönetime kadar uçtan uca sorumluluk üstleniriz.

Çözüm Ortağı Markalar

MSK Global, güvenlik duvarı projelerinde tek bir markaya bağlı kalmaz; kurumun ölçeğine, yasal yükümlülüklerine ve performans ihtiyacına göre doğru platformu konumlandırır.

• Berqnet — Tamamı yerli geliştirilen, KOBİ ve kurumsal kullanım için optimize NGFW/UTM ailesi. 5651 sayılı yasa ve KVKK uyumlu loglama, IPS, şubeler arası VPN, web/uygulama filtreleme ve hotspot doğrulamasını tek cihazda, sürpriz lisans bedeli olmadan sunar. MSK Global yetkili çözüm ortağıdır.
• Palo Alto Networks — App-ID tabanlı uygulama görünürlüğü, WildFire bulut sandbox'ı ve PAN-OS ile sektörün referans yeni nesil güvenlik duvarı; en kritik kurumsal ve kamu omurgaları için.
• Fortinet — FortiGate NGFW ve FortiOS, özel SPU/ASIC hızlandırması sayesinde yüksek throughput'ta tam tehdit denetimi sağlar; Security Fabric ile uçtan uca entegre savunma ve dahili SD-WAN.
• Zyxel — USG FLEX H serisi, Nebula bulut yönetimi ve Smart Sync ile şirket içi ve bulut güvenliğini birleştirir; 2.5G/10G port seçenekleri ve standart yüksek erişilebilirlik (HA) ile orta ölçek için güçlü bir alternatiftir.