Tehdit aktörleri, ağ çevre savunmalarını aşma yeteneklerini göstermişlerdir ve ağ üzerinde yana doğru hareket etme özgürlüğüne sahiptirler.
Yazar: Richard Jaenicke
ABD’nin siber güvenliğini iyileştirmeye yönelik 140281 sayılı Yönetmelik, her askeri birlik dahil her federal ajansın “Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından belirlenen standartlar ve yönergelerde belirtilen göç adımlarını, uygun olduğu şekilde içeren sıfır güven mimarisi uygulanması planı geliştirmesi” gerektiğini belirtiyor.
Yüzeyde, bu federal kurumların ağlarına yönelik gibi gözükse de, aynı ilkeler güvenli gömülü bilgi işlem sistemlerine uygulanabilir.
Sıfır güven mimarisi uygulamak için motivasyon, kamusal ve özel sektör şirketlerindeki ağ ihlallerindeki artıştan kaynaklanmaktadır. Geleneksel siber güvenlik mimarileri, gevşek bağlantılı güvenlik teknolojilerinin bir dizi katmanını kullanarak güvenilir bir bilgi işlem ortamı etrafında bir ağ çevresi oluşturmayı ve savunmayı amaçlar.
Siber suçlulardan devlet destekli hackerlara kadar uzanan çağdaş tehdit aktörleri, ağ çevresi savunmalarını aşma yeteneklerini göstermişlerdir ve ağ üzerinde yana doğru hareket ederek diğer sistemlere erişim sağlayarak sistemlere ve içinde bulunan veri ve algoritmalarına neredeyse engelsiz bir şekilde erişim sağlama imkanına sahiptirler. Sıfır güven yaklaşımı, ağın çevresinden ağdaki belirli uygulama ve hizmetlere odaklanarak, bu belirli kaynaklara özgü erişim kontrolleri oluşturarak ağırlık noktasını kaydırır. Bu erişim kontrolleri, kullanıcı ve cihaz kimliğini bu kullanıcılar ve cihazlarla ilişkili yetkilendirmelerle eşleştirerek erişimin uygun ve güvenli bir şekilde sağlandığından emin olur.
Sıfır güven mimarisi, gömülü bilgi işlem sistemlerine uygulanabilir, ancak bu sistemler genellikle kurumsal sistemlerden farklı bir yazılım ortamına sahiptir. En güvenli gömülü sistemler, uygulamaları bölümlere ayırmak için bir ayırma çekirdeği kullanır. Bu bölümler, diğer bölümlerdeki veri veya kodlara erişemez ve yalnızca önceden onaylanmış bilgi akışı bölümleri arasında gerçekleşebilir. Gömülü sistemlerin yapılandırması ve kullanıcı sayısı ve ayrıcalıkları açısından farklı bir güvenlik ortamı da vardır.
Gömülü sistemlerdeki güvenlik ortamı
Çoğu modern gömülü sistem, veri analizi veya yazılım güncellemeleri için bir bulut gibi bir ağa bağlanır, bu da onları saldırıya açık hale getirir. Ağ tabanlı saldırılara ek olarak, bakım sırasında ve içeriden yapılan saldırılar da vardır. Ancak birçok gömülü sistemin sıkı güvenlik önlemleri yoktur, çünkü sıkı güvenliği uygulamanın maliyeti yüksek olduğu düşünülür. Güvenlik uygulandığında, genellikle gömülü sistemin kenarındaki çevre güvenliği kullanılır. Bu, geniş yönetici düzeyi ayrıcalıkları sağlayabilen bir kullanıcı kimliği/parola kombinasyonu kadar basit veya biraz daha sofistike bir güvenlik duvarı gibi olabilir. Gömülü sistemler, sıfır güven mimarisinden faydalanabilir, ancak kurumsal ortamlardan çok farklı iki önemli farklılığı vardır ve bunlar güvenlik çözümünü etkiler.
İlk büyük fark, gömülü sistemlerin sabit bir uygulama, gömülü işlemci ve iletişim yolu kümesine sahip olmasıdır. Yeni uygulamalar veya cihazlar eklemek nadirdir ve hatta uygulamaları yükseltmek veya başarısız cihazları değiştirmek seyrek olarak gerçekleşir.
Sistem bütünleştiricisi, sistem yapılandırmasını, sadece işletim sistemini değil, ara yazılımları ve uygulamaları da kilitleyebilir. Güvenilir uygulama yürütme planlaması ve onaylanmış iletişim yolları, başlangıç zamanında kullanılan yapılandırma dosyasında statik olarak tanımlanabilir.
Herhangi bir yazılım bileşeninin değiştirilip değiştirilmediğini tespit etmek için bütünlük testi önerilir. Not edilmesi gereken bir diğer nokta, gömülü sistemlerin birden fazla statik yapılandırmaya sahip olmasından faydalanılabilmesidir. Çalışma zamanında, sistemler bu önceden onaylanmış yapılandırmalar arasından seçim yapabilir ve bir bileşen arızası veya işletme modundaki bir değişikliğe uyum sağlamak için bu yapılandırmalar arasından seçim yapabilir. Herhangi bir çalışma zamanı yapılandırma değişikliği çağrıldığında, güvenlik işlevleri, yapılandırma değişikliğinden önce, sırasında ve sonra sürekli olarak güvenli bir durumunu koruma gerekliliğine sahiptir.
Gömülü ve kurumsal sistemler arasındaki ikinci önemli fark, birçok gömülü sistemin özerk olarak veya minimal sayıda kullanıcı ve rolle çalışmasıdır. Bu, güvenli işletim için iki geniş sonuç doğurur. İlk olarak, sistemleri desteklemek için minimal yönetimsel işlevsellik ve faaliyet gereklidir. İkinci olarak, sistem için gereken minimal yönetimsel faaliyetler nedeniyle, güvenlik yönetimi işlevlerinin son derece sağlam otomatik yürütümünü sağlamak için ek güvence önlemleri gereklidir.
Bu çevre ve kullanım durumlarındaki farklılıklar, gömülü sistemlerin kurumsal bir ortamda olduğundan daha kolay bir şekilde güvenlik çözümünü özelleştirmelerine olanak tanır.
Sıfır güven prensipleri
Sıfır güven, yetkisiz erişim şansını azaltmak ve ağ içinde kötü amaçlı yan hareketleri önlemek için tasarlanmıştır ve kullanıcıları ve varlıkları, çevre savunmalarının dışında olsalar bile korur. Sıfır güven mimarisi, “güven ama doğrula” varsayımsal politikasından “hiçbir zaman güvenme, her zaman doğrula” politikasına geçer.
Her kullanıcı, cihaz, uygulama ve veri akışı, geleneksel ağ sınırının içinde veya dışında olsalar bile doğrulanır. Sıfır güvenin diğer temel kavramı, her erişim kararı için uygulanacak en az ayrıcalıklı prensiptir. Birçok güvenlik yaklaşımına ortak olan en az ayrıcalıklı prensibi, bir konunun, belirli bir görevi yerine getirmek için gereken minimum erişim seviyesi verilmesi gerektiğini belirtir.
Ulusal Güvenlik Ajansı (NSA), sıfır güven için üç rehber ilke belirlerken, DoD sıfır güven Referans Mimarisi, izleme ve analiz için başka bir ilke ekler:
Asla güvenme – her zaman doğrula
Her kullanıcı, cihaz, uygulama ve veri akışını, geleneksel ağ sınırının içinde veya dışında olsalar bile güvenilmeyen ve potansiyel olarak tehlikeli olarak kabul edin. Her biri sadece görevi tamamlamak için gereken en az ayrıcalıkla doğrulayın ve yetkilendirin. İhlal varmış gibi davranın
Düşmanın zaten çevreyi ihlal edip ağda bulunduğu varsayımıyla kaynakları bilinçli bir şekilde işletin ve savunun. Varsayılan olarak reddedin ve her isteği ve isteyeni dikkatlice inceleyin.
Her eylemi açıkça doğrulayın
Kaynaklara ilişkin bağlamsal erişim kararları için güven düzeylerini türetmek için birden fazla öznitelik (dinamik ve statik) kullanın.
Birleşik analitikleri uygulayın
Veriler, Uygulamalar, Varlıklar ve Hizmetler (DAAS) için birleşik analitikleri kullanın ve davranışlar dahil olmak üzere her işlemi kaydedin.
Gömülü güvenlik için ayrılma çekirdekleri
Gömülü güvenliğin iyi kabul görmüş bir temeli, uygulamaları ayrı izole bölümlerde çalıştırmak için bölütleme kullanmaktır. Mikrodenetleyiciler ve dijital sinyal işlemcileri dışında, gömülü sistemlerde kullanılan çoğu CPU yonga seti, farklı uygulamalar için belleği donanımsal olarak ayrılmış bölmeler şeklinde kullanmak için kullanılabilen bir bellek yönetim birimi (MMU) içerir.
Bu MMU, genel amaçlı bir işletim sistemi (OS) veya endüstriyel gerçek zamanlı bir işletim sistemi (RTOS) tarafından kontrol edilebilir, ancak en güvenli sistemler ayrılma çekirdeği kullanır. Ayrılma çekirdeği, yalnızca en kritik güvenlik işlevlerinin çalıştığı ayrıcalıklı çekirdek modunda çalışan belirli bir mikroçekirdektir.
Bazı gömülü sistemler, ayrılma çekirdek prensiplerini kullanarak bir hipervizör kullanarak ara bir güvenlik çözümü uygular ve bazı hipervizörler, kullanıcı uzayında sanallaştırmayı uygulayarak TCB’yi en aza indiren ayrılma çekirdeği prensipleri kullanılarak oluşturulur.
Bir ayrılma çekirdeği, veri izolasyonu, hata izolasyonu, bilgi akışının kontrolü ve kaynak sanitasyonu olmak üzere dört temel güvenlik politikasını uygulamak üzere tasarlanmış minimal bir işletim sistemi çekirdeğidir. Ayrılma çekirdeği, ayrıcalıklı çekirdek alanında çalışan tek yazılım bileşenidir ve tüm diğer yazılım bileşenleri, çekirdek modu kodunun kod boyutunu ve saldırı yüzeyini en aza indirmek için kullanıcı alanına taşınır.
Bir ayrılma çekirdeği mimarisinde uygulamalar bölümlerde çalışır ve her bölüm, uygulamayı desteklemek için gereken tüm OS hizmetleri ve ara yazılımları içerir. Network yığını, dosya sistemi vb. paylaşılan OS hizmetleri, sunucu kendi bölümünde çalışırken, istemci tarafı bir veya daha fazla uygulama bölümünde çalışır şeklinde bir istemci-sunucu mimarisi olabilir. Ayrılma çekirdeği, donanım tabanlı bir MMU kullanarak belleği bölümlere ayırır ve çekirdek dışı bölümler arasında sadece dikkatle kontrollü iletişime izin verir.
Ayrılma çekirdeği tarafından uygulanan temel güvenlik politikaları, sıfır güven prensiplerine iyi uyum sağlar. İhlal varsayımı, bölgeden içeri ve dışarı veri erişimini varsayılan olarak reddeder ve ayrılma çekirdeği her uygulamayı bir bölgede izole eder. Asla Güvenme – Her zaman Doğrula, her erişimde en az ayrıcalığa zorlamayı gerektirir ve ayrılma çekirdeği, bu prensibi uygulamak için “her zaman çağrılır” güvenlik özelliğine sahiptir.
Bir uygulama ve hatta ayrılma çekirdeği için kimlik doğrulaması yüklemesi kullanılabilir. Green Hills Software’den INTEGRITY-178 tuMP RTOS, güvenli bir ayrılma çekirdeği üzerinde çalışan OS hizmetleri ve sanallaştırma katmanına sahip güvenli bir RTOS örneğidir.
Her bir eylemi açıkça doğrulamak, kaynaklara bağlamsal erişim kararları için güven seviyeleri türetmek için çeşitli öznitelikleri kullanır. Bir ayrılma çekirdeği, dinamik erişim isteklerine izin vermez, ancak güvenlik politikasını statik bir yapılandırma dosyası aracılığıyla uygular. Bu şekilde, ayrıcalık düzeyine bakılmaksızın yalnızca önceden onaylanmış bilgi akışına izin verir.
Birleştirilmiş Analitik Uygulama, tüm erişim isteklerini kaydetmeyi ve şüpheli davranışları aramak için analitik kullanmayı gerektirir. Ayrılma çekirdekleri, analitik için gerekli verileri toplayan denetim kaydı içerebilir. Analitik motoru kendisi bir ayrılma çekirdeği veya hatta OS hizmetleri kapsamının ötesindedir.
Bu sıfır güven prensiplerinin ayrılma çekirdeği güvenlik politikalarına eşleştirilmesi göz önüne alındığında, INTEGRITY-178 tuMP RTOS, gömülü bir sistem için sıfır güven mimarisinin temelini oluşturabilir. Sıfır güvenden daha fazlasını gerektiren programlar için, INTEGRITY-178 tuMP RTOS, NSA’nın “Barı Yükselt” çapraz alan gereksinimleri setini karşılayan bir taktiksel çapraz alan sistemine temel oluşturmak için kullanılmıştır.
Richard Jaenicke, Kaliforniya, Santa Barbara’daki Green Hills Software’un pazarlama direktörüdür. Richj@ghs.com adresinden kendisi ile iletişime geçebilirsiniz.
