Modern saldırılarda hesabı ele geçirmek her zaman parolayı kırmak anlamına gelmez. Kullanıcı doğru kişi olabilir, MFA'yı da başarıyla geçebilir; fakat eriştiği cihaz güncel olmayan, güvenlik ajanı kapalı, disk şifrelemesi devre dışı, zararlı yazılım bulaşmış veya root edilmiş bir cihaz olabilir. Bu durumda kimlik doğrulama başarılı olsa bile erişim riski devam eder.
Uzaktan çalışma ve Kişisel Cihaz (BYOD) modeli bu problemi büyütür. Kurum cihazı, kişisel cihaz, yönetilen mobil cihaz, geçici tarayıcı oturumu ve bilinmeyen endpoint aynı uygulamalara erişmeye çalışabilir. Bu cihazların hepsine aynı erişim güvenini vermek zero-trust yaklaşımıyla çelişir.
Geleneksel yük dengeleyici veya WAAP katmanları cihaz postürünü genellikle görmez. Kullanıcı trafiği geldiğinde IP, header, TLS veya oturum bilgisini yorumlayabilir; fakat cihazın yönetilen olup olmadığını, disk şifreleme durumunu, güvenlik ajanı aktifliğini veya işletim sistemi uyumluluğunu erişim kararına doğal olarak bağlayamaz.
Doğru yaklaşım, cihaz güvenini erişim politikasının birinci sınıf sinyali haline getirmektir. Kullanıcı kimliği, cihaz postürü, lokasyon, risk seviyesi, oturum davranışı ve MFA durumu aynı conditional-access zincirinde değerlendirilmelidir.
TR7 Uç Nokta Güven Yöneticisi bu modeli sunar: cihaz postüründen gelen güven sinyallerini AAM erişim politikalarına bağlar ve erişim kararını kullanıcı + cihaz + bağlam üçlüsüyle verir.
TR7 ETM, cihaz postürü, agentless sinyaller, sürekli değerlendirme ve erişim politikası entegrasyonuyla çalışır.
Yönetilen cihazlarda işletim sistemi sürümü, disk şifreleme, güvenlik ajanı durumu, güvenlik duvarı, cihaz yönetimi ve uyumluluk bilgileri toplanabilir. Bu zengin sinyaller erişim kararında yüksek güvenli bağlam sağlar.
Agent kurulu olmayan cihazlarda tarayıcı bilgisi, TLS parmak izi, işletim sistemi ipuçları ve istemci bağlamı değerlendirilebilir. Bu model tam postür kadar zengin değildir, ancak bilinmeyen cihazları tamamen kör bırakmaz.
Cihaz yalnızca login anında değil, oturum süresince de değerlendirilebilir. Postür bozulursa erişim seviyesi düşürülebilir, MFA istenebilir veya oturum sonlandırılabilir.
Cihaz compliant, non-compliant veya at-risk gibi sınıflara ayrılabilir. Bu sınıflar allow, MFA, block veya kısıtlı erişim gibi AAM politikalarına doğrudan bağlanır.
Uç Nokta Güven Yöneticisi, cihaz güven sinyallerini AAM erişim politikalarının uygulanabilir karar girdisine dönüştürür.
TR7 ETM; masaüstü, dizüstü ve mobil cihazlardan gelen postür sinyallerini erişim kararına dahil edecek şekilde konumlanır. Kurum cihazı, kişisel cihaz ve yönetilen mobil cihaz aynı politika zincirinde değerlendirilebilir. Bu yaklaşım farklı endpoint türleri için ayrı güvenlik adaları oluşturmayı azaltır. Erişim kararı cihaz türüne ve güven seviyesine göre şekillenir.
Eski işletim sistemi sürümleri, yamalanmamış endpoint'ler ve desteği bitmiş platformlar erişim riskini artırır. TR7 ETM, işletim sistemi sürümü ve güncellik bilgisini trust signal olarak kullanabilir. Eski cihazlara doğrudan blok, ek MFA veya düşük yetkili erişim politikası uygulanabilir. Böylece uygulama erişimi güvenli platform gereksinimiyle ilişkilendirilir.
Disk şifrelemesi olmayan cihazlar, kayıp veya çalıntı endpoint senaryolarında yüksek risk taşır. TR7 ETM, disk şifreleme durumunu cihaz güveninin temel sinyallerinden biri olarak değerlendirebilir. Kritik uygulamalara yalnızca şifreli disk kullanan cihazlardan erişim verilebilir. Bu model özellikle finans, sağlık ve kamu verisi işleyen ortamlarda önemlidir.
Endpoint üzerinde güvenlik ajanının aktif olup olmadığı önemli bir postür göstergesidir. Güvenlik ajanı kapalı, devre dışı veya güncel değilse cihaz at-risk sınıfına alınabilir. Bu durumda AAM politikası ek MFA isteyebilir, erişimi kısıtlayabilir veya tamamen engelleyebilir. Erişim kararı endpoint savunma durumuyla uyumlu hale gelir.
Modern MDM/EMM entegrasyonlarından gelen yönetim durumu cihazın kurumsal kontrol altında olup olmadığını gösterebilir. Yönetilen cihazlara daha yüksek güven seviyesi, yönetilmeyen kişisel cihazlara ise daha sınırlı erişim verilebilir. Bu yaklaşım Kişisel Cihaz (BYOD) kullanımını tamamen yasaklamadan risk tabanlı yönetmeyi sağlar. Kullanıcı deneyimi ile güvenlik politikası arasında daha pratik denge kurulur.
Root edilmiş veya jailbreak yapılmış cihazlar uygulama izolasyonu, sertifika güvenliği ve veri koruma açısından yüksek risklidir. TR7 ETM bu cihazları non-compliant veya at-risk sınıfına alabilir. Mobil bankacılık, sağlık portalı veya kurumsal yönetim erişiminde bu sinyal doğrudan bloklama sebebi olabilir. Mobil endpoint güveni erişim politikasının parçası haline gelir.
Her cihazda agent kurulu olmayabilir. Bu durumda tarayıcı versiyonu, TLS fingerprint, işletim sistemi ipucu ve header bağlamı gibi agentless sinyaller kullanılabilir. Bu sinyaller tam cihaz postürü sağlamaz, fakat bilinmeyen cihaz ile güvenilir cihaz ayrımına yardımcı olur. AAM bu durumlarda ek MFA veya düşük güven seviyesi uygulayabilir.
Cihaz postürü tek başına yeterli değildir; lokasyon ve ağ bağlamı da önemlidir. Riskli ülke, alışılmadık lokasyon veya beklenmeyen ağdan gelen erişimler cihaz güven sinyaliyle birlikte değerlendirilebilir. Eski işletim sistemi ve yüksek riskli lokasyon birleştiğinde daha güçlü aksiyon alınabilir. Bu model erişim kararını çok boyutlu hale getirir.
Çok sayıda postür sinyali operasyon ekibi için karmaşık olabilir. TR7 ETM bu sinyalleri 0–100 arası trust score veya benzeri sınıflandırma davranışına dönüştürebilir. Policy yazan ekip tek tek tüm sinyalleri yorumlamak yerine low, medium, high trust seviyeleriyle karar alabilir. Bu, güven sinyallerini uygulanabilir erişim politikasına çevirir.
Cihaz güven seviyesi AAM conditional-access policy içinde doğrudan kullanılabilir. Compliant cihazlara allow, at-risk cihazlara MFA, non-compliant cihazlara block politikası uygulanabilir. Böylece cihaz postürü yalnızca raporlanan bir bilgi değil, canlı erişim kararının girdisi olur. Uygulama erişimi zero-trust mantığına daha yakın çalışır.
Cihaz login anında güvenli olabilir, fakat oturum sırasında güvenlik ajanı kapanabilir veya postür durumu değişebilir. TR7 ETM düzenli değerlendirme ile bu değişimi yakalayabilir. Postür düşerse oturum askıya alınabilir, yeniden MFA istenebilir veya erişim kapatılabilir. Bu yaklaşım "login oldu, artık güvenilir" varsayımını ortadan kaldırır.
Cihaz postürü, trust score değişimi, uyumsuzluk, MFA tetikleme ve bloklama olayları SIEM'e gönderilebilir. SOC ekipleri endpoint riskini uygulama erişim olaylarıyla birlikte korele edebilir. Bu görünürlük, hesap ele geçirme, cihaz uyumsuzluğu ve anormal erişim analizini güçlendirir. Endpoint trust sinyali güvenlik operasyonunun parçası olur.
Uç Nokta Güven Yöneticisi; postür verisi, trust signal protokolü, policy entegrasyonu, sürekli değerlendirme, audit ve SIEM akışıyla birlikte işletilir.
Cihaz postürü AAM oturum bağlamıyla ilişkilendirilebilir. Bu sayede erişim kararı yalnızca login sonucu değil, oturumun cihaz güven durumu üzerinden de verilir. Postür verisinin oturumla birlikte taşınması policy kararlarını daha tutarlı hale getirir.
Agent kullanılan senaryolarda cihazdan gelen postür sinyalleri güvenli kanal üzerinden TR7 ETM katmanına iletilebilir. Agentless modda ise tarayıcı ve TLS bağlamından elde edilen sinyaller kullanılır. İki model farklı güven seviyeleriyle policy'ye beslenir.
ETM sinyalleri conditional-access policy, MFA yöntemleri ve continuous-trust-evaluation motoruyla birlikte çalışır. Bu entegrasyon allow, challenge, block veya session suspend kararlarını mümkün kılar. Cihaz güveni tek başına rapor değil, erişim aksiyonudur.
Cihaz postürü belirli aralıklarla yeniden değerlendirilebilir. Varsayılan döngü kurum politikasına göre ayarlanabilir. Kritik uygulamalarda daha sık, düşük riskli uygulamalarda daha seyrek değerlendirme tercih edilebilir.
Her posture event'i, trust score değişimi ve erişim kararı audit log'a yazılabilir. Kim, hangi cihazdan, hangi postürle, hangi uygulamaya erişti sorusu cevaplanabilir hale gelir. Bu kayıtlar denetim ve olay inceleme süreçlerini destekler.
ETM olayları SIEM log streaming hattına aktarılabilir. Endpoint uyumsuzluğu, MFA tetiklenmesi, erişim reddi veya oturum askıya alma gibi olaylar merkezi güvenlik izleme sisteminde korele edilebilir. Bu sayede endpoint trust uygulama güvenliği görünürlüğüne bağlanır.
Bankacılık ekipleri root edilmiş veya jailbreak yapılmış mobil cihazları non-compliant olarak sınıflandırabilir. Bu cihazlardan gelen erişim bloklanır veya ek doğrulama gerektirebilir.
Kamu kurumları sınıflandırılmış uygulamalara yalnızca yönetilen, disk şifrelemesi açık ve güvenlik ajanı aktif cihazlardan erişim verebilir. Uyumlu olmayan cihazlar policy seviyesinde reddedilir.
Sağlık çalışanları kişisel cihazdan eriştiğinde cihaz trust score düşükse ek MFA veya kısıtlı erişim uygulanabilir. Güvenlik ajanı kapanırsa oturum askıya alınabilir.
Eski işletim sistemi kullanan ve yüksek riskli lokasyondan gelen kullanıcıya doğrudan erişim vermek yerine step-up MFA uygulanabilir. Risk seviyesi yükselirse erişim tamamen bloklanabilir.
Kullanıcı kimliği, cihaz postürü ve bağlam bir arada değerlendirilsin. Kendi ortamınızda canlı bir kurulum gezisi planlayalım.