KVKK'YA GÖRE İYİ YAPILANDIRILMIŞ BİR GÜVENLİK DUVARI (FIREWALL)

KVKK yani Kişisel Verilerin Korunması Kanununda güvenlik duvarı (firewall) konusuna yer verilmektedir.

Konu hakkında bilinmesi gereken önemli noktaları;

– Güvenlik duvarı hakkında bilinmesi gerekenler neler?
– Güvenlik duvarı (firewall) denetimi nasıl yapılır?

  • Bilgi toplama,
  • Değişiklik yönetiminin gözden geçirilmesi,
  • Güvenlik duvarının fiziksel ve işletim sistemi güvenliğinin denetlenmesi,
  • Kuralların denetlenmesi ve iyileştirilmesi,
  • Risk değerlendirmesinin yapılması

başlıkları altında inceledik.

Bu yazıda ele alınan başlıklar PCI DSS (Payment Card Industry Data Security Standard), NIST (National Institute of Standards and Technologies) ve SANS gibi uluslararası ve kabul görmüş uygulamalar da göz önünde bulundurularak hazırlanmıştır.

Genel Bakış

6698 sayılı Kişisel Verilerin Korunması Kanunu’na bağlı olarak Kişisel Verileri Koruma Kurulu tarafından yayımlanan Kişisel Veri Güvenliği Rehberi konunun teknik boyutuna değinmektedir. Bu çerçevede kuruluşların kişisel verileri korumak için almaları gereken idari ve teknik tedbirlere de yer verilmiştir.

Ne yazık ki kanunun birçok şirket tarafından bir satış aracı olarak kullanılması teknik tedbirleri uzun ürün listeleri haline getirdi ve gerçekte ne yapılması gerektiği konusunda ortada elle tutulur pek az kaynak kaldı.

Rehberin kendisi bu konuda oldukça ketum olduğu için “ne alınması” değil “ne yapılması” gerektiği konusuna değinmekte fayda gördüm.

Türkiye’de kuruluşların önemli bir kısmı için güvenlik duvarı (firewall) hala güvenlik mimarisinin bel kemiğini oluşturmaktadır. Reaktif siber güvenlik yaklaşımı ile kurgulanan bu mimariler saldırıları tespit etmek veya bu saldırılara müdahale etmekten çok önlemeyi amaçlar. Dünya genelinde proaktif olarak adlandırılan siber güvenlik mimarisine geçişin hızlandığı bir dönemde bütçe veya personel kaynağı engellerine takılan işletmeler çağın gerisinde kalmaktadır.

Siber güvenlik olgunluk seviyeniz ne olursa olsun güvenlik duvarları ağların bir parçası olmaya devam edeceği için ve tabii KVKK rehberinde özellikle yazıldığı için konunun ele alınması gerekiyor.

Güvenlik duvarlarının düzenli denetimleri sadece KVKK veya PCI DSS gibi uyum gereksinimleri için değil, güvenliğin sağlanması için de önemli. Kişisel Veri Güvenliği Rehberinin 16. Sayfasında yer alan “İyi yapılandırılmış bir güvenlik duvarı” ifadesinin günümüzde ve sahadaki karşılığına birlikte bakalım.

Başlamadan önce; konu A veya B marka güvenlik duvarının teknik özelliklerinden ziyade, markası ne olursa olsun doğru yapılandırılması ile ilgilidir. Lütfen herhangi bir firmanın “KVKK uyumu için bizim ürünümüz lazım” demeçlerine itibar etmeyiniz.

Bu yazıda ele alınan başlıklar PCI DSS (Payment Card Industry Data Security Standard), NIST (National Institute of Standards and Technologies) ve SANS gibi uluslararası ve kabul görmüş uygulamalar da göz önünde bulundurularak hazırlanmıştır.

Güvenlik duvarını tanıyın

Kuruluşunuzun bünyesinde bulunan güvenlik duvarının nasıl çalıştığını ve neler yapabildiğini bilmek öncelikli önem taşıyor.

Genel olarak güvenlik duvarları birkaç başlık altında gruplanabilir. Muhtemelen sahip olduğunuz güvenlik duvarı aşağıdakilerden birisine yakın özelliklere sahip olacaktır:

Paket filtreleme:

Trafiği paket bazında takip ederek önceden belirlenmiş kurallara göre bağlantıya izin veren veya engelleyen güvenlik duvarı.

Durum takibi (Stateful firewall):

Sadece paketleri değil, bu paketlerin daha önce başlatılmış bir bağlantının devamı olup olmadığını da takip eden güvenlik duvarları.

Yeni nesil güvenlik duvarı (Next generation firewall):

Temel güvenlik duvarı özelliklerine ek olarak IDS/IPS (sızma tespit ve engelleme sistemi) olarak adlandırılan sistemlerin de özelliklerini taşıyan daha gelişmiş güvenlik duvarları.

Yukarıdaki temel tanımlara ek olarak üreticilerin kendi içlerinde kullandığı UTM (Unified Threat Management) ve benzeri onlarca farklı terim de mevcuttur. Üreticilerin pazarlama birimlerinin icat ettiği isimden bağımsız olarak bu kategorilerden en az bir tanesinin temel özelliklerine sahip olacaktır.

Güvenlik duvarı (firewall) denetimi nasıl yapılır?

Güvenlik duvarlarının denetimi genel olarak aşağıdaki 5 adımdan oluşan bir süreç olarak işletilir;

  1. Bilgi toplama,
  2. Değişiklik yönetiminin gözden geçirilmesi,
  3. Güvenlik duvarının fiziksel ve işletim sistemi güvenliğinin denetlenmesi,
  4. Kuralların denetlenmesi ve iyileştirilmesi,
  5. Risk değerlendirmesinin yapılması.
1. Bilgi toplama

Güvenlik duvarı hakkında aşağıdaki bilgileri toplamak bundan sonraki çalışmaların doğru yürütülmesini sağlayacaktır:

  • Güvenlik duvarıyla ilgili güvenlik politikaları (varsa).
  • Son 1 ay, 3 ay, 6 ay ve 1 yıl gibi sürelerde devreye girmiş kuralların görülebileceği kayıt (log) dosyaları. (Bu sayede hangi kuralların gerçekten gerekli olduğu, hangilerinin de hiç kullanılmadığı anlaşılabilir.)
  • Güncel topoloji ve güvenlik duvarının bağlantıları.
  • İnternet bağlantısı, VPN ve VLAN gibi güvenlik duvarının hizmet verdiği farklı ağların bir listesi.
  • Güvenlik duvarının işletim sistemi sürümü ve yama durumu hakkında bilgi. (Kullanılan sürümle ilgili bilinen güvenlik zafiyetleri ve yayımlanan güvenlik güncellemeleri üreticilerin internet sitelerinde bulunabilir.)
  • Güvenlik duvarının koruması gereken ağ veya ağlarda bulunan kritik varlıkların bir listesi. (Kural denetimi sırasında bunlara giden trafiğin hangi kurallardan geçtiği kontrol edilmelidir.)
2. Değişiklik yönetiminin gözden geçirilmesi

Güvenlik duvarına kural eklemekten güvenlik yamalarının geçilmesine kadar pek çok süreç kuruluşun güvenlik duruşunu olumsuz etkileyebilir. Bu nedenle güvenlik duvarı üzerinde yapılan bütün değişikliklerin belli bir süreç işletilerek yapılması çok önemlidir.

Değişiklik denetimi süreçleri aşağıdaki gibi denetlenebilir:

  • Kural değişikliklerine ilişkin kontrol noktaları:
    1. Yeni bir kural ekleneceği, mevcut bir kural değiştirileceği veya bir kural silineceği zaman gerekli onay süreçlerinden geçirilmesi. Buradaki onay süreci üst/ast ilişkisine bağlı olmak zorunda değil. Önemli olan değişikliğin ona karar veren ve/veya yapacak olan kişinin dışında bir veya birkaç kişi tarafından onaylanmasıdır.
    2. Kural değişikliğinin belirlenmiş ve bu konuda gerekli yetkinliğe sahip birisi tarafından yapılması.
    3. Değişikliklerin test edilmesi. Değişikliğin başka kuralları geçersiz hale getirmediğinden, yazılış tarzı nedeniyle anlamsız olmadığından veya güvenlik duvarının performansını olumsuz etkilemeyeceğinden emin olmak için gerekli testlerin yapılması.
    4. Değişikliklerin kayıt altına alınması. Geçmişe dönük kayıtların tutulması gerektiğinde hangi kuralın hangi amaca hizmet ettiğinin, ne zaman ve kimin tarafından yapıldığının tespit edilmesini sağlayacaktır. Sızma testlerinde kimi zaman anlamsız veya güvenlik açısından sakıncalı kurallara rastlıyoruz. Bunların bazılarının kaynağının ise geçmişte yapılan bir demo (örn. video konferans veya bulut üzerinden alınması planlanan ve sonradan vazgeçilmiş bir hizmet) olduğunu gördüğümüz için bu kayıtların önemli olduğunu rahatlıkla söyleyebiliriz.
    5. Kuralın veya değişikliğin geçerlilik tarihinin belirlenmesi.

  • Mevcutta değişikliklerle ilgili oluşturulmuş bir süreç yoksa, en az aşağıdaki başlıkları içeren bir süreç oluşturulmalıdır;
    1. Değişikliğin nedeni (yazılım güncellemesi, yeni hizmet, yeni şube, vb.).
    2. Yeni kuralın/değişikliğin geçerlilik tarihi. Özellikle deneme amaçlı yazılan kurallar için bir “son kullanma tarihi” belirlemekte fayda vardır.
    3. Değişikliğin oluşturabileceği riskleri ve bunun güvenlik seviyesine etkisinin değerlendirilmesi.
    4. Değişikliğin onayı.
    5. Değişikliğin kimin tarafından ve ne zaman yapılacağının/yapıldığının kaydı.
    6. Değişikliğin test sonuçları.

  • Mevcut durumda yapılmış bütün değişikliklerin onaylı olup olmadığı. Onaylı olmayan veya kayıtlı olmayan bütün değişikliklerin ayrınca incelenmesi gerekmektedir.

  • Güvenlik duvarı üzerinde yapılacak değişiklikler için bildirim/alarm üreten bir sistemin olması.

  • Güvenlik duvarı üzerinde değişiklik yapmaya yetkili kullanıcıların listesinin düzenli olarak gözden geçirilmesi.
3. Kuralların denetlenmesi ve iyileştirilmesi

Kuralların düzenli olarak gözden geçirilmesi güvenlik kadar sistem performansını da olumlu etkiler. Bu nedenle aşağıdaki çalışmalar periyodik olarak yapılmalıdır:

  • Aynı olan kuralların silinmesi,
  • Süresi geçmiş veya artık işle yaramayan kuralların silinmesi,
  • Etkinleştirilmemiş veya son 1 yıl içerisinde devreye girmemiş kuralların “silinmeye aday” olarak belirlenmesi, geçersiz olduklarının teyit edilmesinin ardından silinmesi,
  • Kuralların sırasının performans açısından değerlendirilerek düzenlenmesi,
  • Artık kullanılmayan bağlantı noktalarının silinmesi,
  • Benzer amaçla yazılmış kuralların birleştirilerek tek bir kural haline getirilmesi,
  • Geçmişte devreye girme sayıları ve kapsamlarına bakılarak fazla geniş yazılmış olabilecek kuralların daraltılması,
  • VPN bağlantılarının ve kullanıcıların denetlenmesi,
  • Kurallarda belirli bir standart kullanıldığının teyit edilmesi,
  • Süreç dokümanlarının gerçek işleyişe göre gözden geçirilmesi,
  • Bir sonraki denetim adımlarının etkinleştirilmesi için gerekli çalışmaların yapılması.
4. Risk değerlendirmesinin yapılması

Yazılım güncellemelerinin ötesinde, kuruluş siber güvenliği için risk oluşturabilecek noktaların belirlenmesi gerekmektedir. Riskli olarak adlandırılabilecek noktaların kuruluşa ve kuruluşun faaliyet alanı gibi pek çok etkene bağlı olarak farklılık gösterebileceği unutulmamalıdır. Aşağıdaki noktalar genel olarak kabul görmüş bazı iyi uygulamaları (best practice) ele almaktadır.

  • Kuruluş güvenlik politikasına aykırı kuralların silinmesi,
  • İçerisinde “any” ve “all” gibi sınırlandırma içermeyen kuralların silinmesi (kaynak IP adresi, hedef IP adresi, port, protokol, kullanıcı profili veya herhangi bir alanda olabilir),
  • Dışarıya, DMZ ağına veya yerel ağa ulaşılmasına izin verilmesinin riskli olabileceği protokol veya bağlantıların engellenmesi (örn: RDP, SSH, SMB, vb.),
  • İnternet üzerinden iç IP adreslerinden (private) geliyormuş gibi görünen paketlerin engellenmesi,
  • SMTP sunucusuna gelen VRFY taleplerinin engellenmesi,
  • Güvenlik duvarının kendi IP adresine gelen paketlerin engellenmesi,
  • IPv6 adresleri ve bağlantıları için gerekli kuralların yazılması
Yukarıdaki liste mevcut güvenlik duvarınızı biraz daha iyi yapılandırılmış hale getirmeye yardımcı olacak temel ipuçlarını içermektedir.

Bu listedeki maddeler genişletilmeli, kuruluşunuza göre özelleştirilmeli ve bu işlemler düzenli olarak tekrarlanarak siber güvenlik seviyesinin sürekli iyileştirilmesi sağlanmalıdır.

Bu konu ve genel olarak KVKK kapsamında yapılması gereken çalışmalar hakkında bir uzman desteğine ihtiyaç duyuyorsanız bize bu linkte yer alan iletişim bilgilerimizden veya sparta@sparta.com.tr mail adresimizden her zaman ulaşabilirsiniz.

Başa dön