Firewall'lar tarih mi oluyor?
Önce iyi haberi verelim..
Elinizdeki Firewall'lar bir kaç yıl daha işinize yaramaya devam edecek.
Kötü haberi de duymak ister misiniz?
Önümüzdeki bir kaç yıl içinde yalnızca firewallar'ınız değil, client ile server arasına giren pek çok gateway güvenlik cihazının (URL filtreleme, Gateway DLP, IPS, Anti-Malware Gateway vs.) her geçen gün gözünüzün önünde eriyip gittiğine şahit olacaksınız.
Bilindik bir söz vardır.
Ölçemezsen yönetemezsin.
Bunu şöyle de geliştirmek mümkün.
Göremezsen ölçemezsin,
ölçemezsen yönetemezsin.
HTTP v0.9 protokolünün ilk dokümante edilmiş versiyonu 1991 yılına dayanır.
O tarihten günümüze Internet temelli client/server uygulamaları giderek artan hızda transmisyon protokolü olarak HTTP üzerinde konsolide olmaya devam etmektedir.
HTTP protokolü zaman içerisinde geliştirilmiş olmakla birlikte ne güvenlik ne de performans olarak uzun yıllar istenen seviyede olamadi.
Bu eksik noktalarını gidermek üzere yıllar içerisinde çeşitli yamalar ve yük getiren ilave katmanlarla bugünlere kadar idare etmeyi başardık.
HTTP protokolünün bu yapısından en muzdarip olan neredeyse bütün servisleri web üzerinde çalışan Google'dı.
Google web üzerinde çalışan servislerinin daha performanslı ve daha güvenli olması için HTTP protokolünü baştan ele alıp yeniden yaratmaya karar verdi.
2012 yılında web temelli içeriklerin taşınması için SPDY adını verdiği ve HTTP ile tamamen uyumlu bir protokol geliştirdi.
Oldukça başarılı olan bu protokolün daha da geliştirilerek uluslararası bir standarda dönüştürülmesi konusunda bir çok kurumun da dahil olduğu Hypertext Transfer Protocol çalışma grubu oluşturuldu.
Bu çalışma grubu tarafından HTTP/2 (RFC 7540) adı ile geliştirilen protokol Mayıs 2015 tarihinde önerilen yeni HTTP standardı olarak yayımlandı.
Ciddi anlamda performans artışı sağlıyor olması HTTP/2'ye geçişin hızlı olmasına yardımcı olacak.
HTTP/2 standard olarak şifreleme kullanılmasını zorunlu tutmuyor olmasına rağmen çoğu client uygulamaları (Firefox, Chrome, Safari, Opera, IE, Edge) için HTTP/2 over TLS de-facto kullanılmaya başladı.
Bugün üzerinden yalnızca bir yıl geçmiş olmasına rağmen Internet'de en çok kullanılan 10 milyon web sitesinin %7.1'i HTTP/2 desteklemektedir ve her geçen gün bunun arttığına şahit olacağız.
En çok kullandığınız web siteleri Google, Facebook, Wikipedia, LinkedIn, Youtube, Twitter trafikleri artık encrypted.
Şifreli trafiğin web siteleri için eskisi kadar büyük bir performans maliyeti olmamaya başladı.
Bu yeni durumun yarattığı en belirgin sonuç, yıllardır kullanmış olduğumuz gateway güvenlik cihazlarının, üzerlerinden geçen trafiğin içeriğini görememesi sebebi ile etkinliklerinin giderek azaldığına şahit olmamız olacak.
Buraya kadar bahsetmiş olduklarımdan yanlış bir sonuca ulaşılmasını istemem.
Bu durum gateway güvenlik teknolojilerin anlamsız hale gelmesi değil, daha çok konumlandırılmasının değişecek olması.
Bugün için gatewaylerde kullandığımız teknolojilerin giderek endpoint'lere kayması gerekecek ki bu durumu Endpoint security'in yeniden yükselişi olarak düşünmek de mümkün.
Öte yandan Server uygulamalarının Cloud servislerine client uygulamalarının da mobil cihazlara kayması yukarıdaki trend ile çok uyuşmaktadır.
Bundan 6-7 yıl önce Cisco Sytems'in kullanmış olduğu Borderless Security kavramına doğru son sürat yolculuğumuz devam ediyor.
Son bir kaç yılda şu güvenlik firmalarının satılması dikkatinizi çekmiş miydi?
- Intel'in Stonesoft firewall serisini elinden çıkarması
- HP'nin büyük paralarla aldığı Tipping Point' IPS ürünlerini satması
- Websense'in bir savunma sanayi firmasına satılması
Önümüzdeki dönemde de devam edecek benzer gateway security firmalarının satılma haberlerini de bu gözle değerlendirmenizi öneririm.
Bu arada SSL trafiğinin arasına girip tekrar visibility sağlamaya dönük bir takım -bence nafile- çözümler de var ama uzun vadede bu teknolojilere yatırım yapmayı çok anlamlı görmüyorum.
Bu noktada artık yapılabilecek en mantıklı şey tehdidi client uzerinde engellemektir ki bu konuda da Sandbox ve EDR (Endpoint Detection and Response) teknolojileri giderek önem kazanmaya devam edecek gibi görünüyor.
Güncelleme : Yazının yazıldığı tarihten (Mayıs 2016) bugüne (Ocak 2017) HTTP/2 kullanımı %7.1'den %11.6'ya çıkmıştır. (link).
Guncelleme : Yapılan değerli yorumları değerlendirdiğimde yazıya şu sekilde bir ekleme yapmanın faydalı olacağını düşündüm.
Şifreli trafikler ve şifrelemeyi temel alan yeni nesil taşıyıcı protokoller sebebi ile gateway cihazlarının data’nin payload’una erişimi zorlaşmakta ve visibility kabiliyetleri aşınmaktadır. Fakat kötüleşen bu durum geçmişden beri yapmış oldukları Network ve Transport katmanına ilişkin fonksiyonlarına devam etmelerine engel teşkil etmiyor.
Hatta bugünün router’larını tamamen replace etmeleri de mümkün. Firewallar şu fonksiyonları gelecekte de yapmaya devam edebilirler fakat bunların neredeyse tamamı network’e iliskin fonksiyonlar..
- Internal routing
- BGP gateway
- SSL VPN sonlandırma
- Site-to-site VPN yapabilme
- NAC Server
- DHCP server
- Wireless Controller
- NAT
- IPv4/IPV6 gateway
Sizce de content’i göremeyen firewall, bugünün ihtiyaçlarına göre stratejik bir güvenlik cihazi olmakdan uzaklaşıp, çoklu fonksiyonları olan bir network cihazına evrilmiş olmuyor mu?
Ilginizi Çekebilecek Diğer Yazılarım :
- Batman vs Headhunter : Sektöründe Lider Firma
- 2050 Yılında Lama Sütüne Aşermek : Gelecekten Masallar
- Google I/O 2016 Konferansı : Geleceğe Dönük İpuçları
- Justice-as-a-Service (JaaS) : Adaletin Bu Mu Sanal Dünya?
- Bir Güvenlikçinin Galaksi Rehberi : Işınla Beni Scotty!
- Bilişim Güvenliğinin Gelişimi : Back to the Future
- Örümcek Adam'ın Sosyal Ağına Düşmek : Sosyal Medya Tuzakları
- Firewall'lar Tarih mi oluyor?
- Yusuf Enerjisi : Siyah Beyaz Bir Aşk Hikayesi
- Türkiye Ulusal Siber Güvenlik Stratejisi - Anonim Olmak
- Türkiye'den Google Nasıl Çıkar? Episode V: Makinelerin Yükselişi
- Türkiye'den Google Nasıl Çıkar? Episode IV: Güç Uyanıyor
- Mutfak Robotundan Nasıl CEO olabilir ? : IBM Watson
- Hanginiz daha Kara Murat ? : Page Rank Algoritması
- Ataşehirde Uzaylıya Peşinatsız Hemen Teslim : Anomaly Detection
- Avokado Sayısı
- Çankırı'dan Brexit'e Kelebek Etkisi
- AES Şifreleme ne kadar güvenli?
- Şifre Kelimesinin Nereden Geldiğini biliyor musunuz?
IT emekçisi
7yDünyayı nasıl yönlendiriyorlar işte görürüz. Standartlarla.
Software Architect & Instructor | Uzman & Eğitmen
7yBir de Meksikalılara soralım ;)
Sales Director - Turkey & CIS at Arista Networks
7yKalemine sağlık.
Genel Müdür - KaplanSoft
7yFirewall'lar görevlerini yerine getirmeye devam edecek. Tedavülden kalkacak sistemler içerik bazlı denetim ve engelleme sistemleri olacak. Anomaly Detection Sistemleri, SIEM ile yükselecek. Bu sistemler trafiği hacmindeki değişiklikleri, ağ ve sunucu sistemlerinden toplanan günlük verileri ile birlikte Big Data Analiz teknikleri ile işleyip alarm üretecekler.
Angel Investor, Entrepreneur
7yBulent hocam, ben de katilamadim kestirimine. Ucsistem guvenliginin onemi artiyor, daha da artacak dediginde tamamiz; %100 katiliyorum. Ancak sinir guvenligi, ag guvenligi zaten ise yaramiyor ve yaramayacak diyorsan (ben buna donuk anladim) ufukta boyle bir seyin gorundugunu dusunmuyorum. Ag guvenligi servis saglayicilara tasinabilir, erisim hizmetlerinin standartca bir parcasi olabilir belki ama ortadan kalkmalarini beklemiyorum. Sinirda ne var ne yoksa hepsini birlestiren (utm'ler ile baslayan, simdiki moda adi ng- olan) teknolojilerin de buyuyerek gelismeye devam edecegini dusunuyorum. Size firewall'larin tarih olacagini dusunduren gozleminiz nedir?