Bu çözümler, hibrit bağlantı senaryolarında etkili bir şekilde kullanılan Proxy Connect ve Direct Connect yöntemleri ile kullanıcıların internet erişimini kontrol ederken farklı güvenlik ve performans özellikleri sunar. Bu yazıda, bu iki bağlantı yönteminin detaylı bir analizini yapacağız, nasıl çalıştıklarını ve hangi durumlarda tercih edilebileceklerini inceleyeceğiz.
Proxy Connect ve Direct Connect’in nasıl çalıştığını anlayabilmek için öncelikle endpoint ajanları hakkında bilgi sahibi olmamız gerekmektedir.
Forcepoint Web Security’nin kritik bileşenlerinden biri olan endpoint ajanları, kullanıcıların hibrit bağlantılar kurduğu sırada güvenlik politikalarının cihaz üzerinde uygulanmasına olanak tanır. Son Kullanıcıların cihazlarına yüklenen bu ajanlar, arka planda çalışırken minimum sistem kaynağı kullanacak şekilde optimize edilmiştir.
Bahsi geçen ajanlar, kullanıcı tarafından devre dışı bırakılmasını engelleyen müdahale kontrollerine sahiptir. Örneğin, bir kullanıcı bu yazılımı kaldırmaya ya da kapatmaya çalıştığında, yalnızca yönetici tarafından belirlenen şifre ile bu yazılım kaldırılabilir. Bunun dışında herhangi bir şekilde servisi durdurulamaz ya da yazılım kaldırılamaz. Son kullanıcıya kurulan ajanların güvenlik politikalarını sağlıklı bir şekilde atayabilmesi adına, kurulduğu bilgisayardaki kullanıcıyı tanımlaması gerekmektedir. Bu tanımlama işleminin nasıl gerçekleştiğini anlamak için ise iki temel kavramı açıklamamız gerekir: UPN ve NTLM.
User Principal Name (UPN), Active Directory mimarisinde her bir kullanıcıya atanmış olan kimlik doğrulama adıdır. Örneğin, bir kullanıcının UPN’si “tugberk.basaran@domain.com” şeklinde olabilir. Bu ad, kullanıcının işletim sistemine giriş yaparken (logon) kullandığı ana kimliktir ve kullanıcıların güvenli bir şekilde tanımlanmasını sağlar.
NTLM (NT LAN Manager), Microsoft tarafından geliştirilen bir kimlik doğrulama protokolüdür. Başlangıçta Windows NT işletim sistemi için tasarlanmış olan NTLM, Windows ağlarında kullanıcıların kimlik bilgilerini doğrulamak amacıyla kullanılır.
Endpoint ajanları, kullanıcıların kimlik bilgilerini otomatik olarak alır ve doğrulama sürecinde bu bilgileri kullanır. Ajan, arka planda çalışarak, kullanıcının cihazında UPN formatında kimlik bilgilerini otomatik olarak Active Directory ile eşleştirir. Bu doğrulama süreci, kullanıcının yetkilerini belirler ve güvenlik politikalarının etkin bir şekilde uygulanmasını sağlar.
UPN formatı kullanılamadığında kimlik doğrulaması NTLM (NT LAN Manager) protokolü üzerinden gerçekleştirilir. Ancak NTLM, UPN kadar esnek ve güvenilir değildir. Bu nedenle, Forcepoint Web Security ajanları, UPN’yi kullanarak kullanıcıların erişimlerini güvence altına alır ve güvenlik politikalarının etkin bir şekilde uygulanmasını sağlar. Böylece, kullanıcıların hibrit bağlantılarda bile güvenli bir şekilde ağa erişimi sağlanır.
Proxy Connect, kullanıcıların internete erişimleri sırasında tüm trafiği bulut tabanlı bir proxy sunucusuna yönlendiren bir bağlantı yöntemidir. Proxy Connect, veri güvenliği taramaları ve içerik filtreleme gibi çeşitli güvenlik özelliklerini destekler. Bu yöntem, Forcepoint Web Security çözümlerinin varsayılan bağlantı tipi olarak kabul edilir ve çoğu senaryoda tercih edilen bir seçenektir.
Direct Connect, Proxy Connect’ten farklı olarak kullanıcının her istekte bulut hizmetiyle iletişim kurarak bir web sitesinin engellenip engellenmeyeceğine karar verir. Bu yöntemde, kullanıcıların web trafiği herhangi bir proxy sunucusu kullanılmadan doğrudan internete yönlendirilir ve arka planda cloud ile iletişime geçilir. Ancak bu yapı, güvenlik ve içerik filtreleme açısından daha düşük bir koruma sağlar.
Yukarıdaki görseli de baz alarak her iki endpoint türünün de çalışma prensibine göz atalım.
Proxy Connect’in temel çalışma prensibi, kullanıcıların internet taleplerini bulut proxy’sine yönlendirerek bu istekleri bulut üzerinden güvenlik taramalarına tabi tutmaktır.
Aşama | Açıklama |
1. Kullanıcı İsteği | Kullanıcı, bir web sitesine erişmek için bir istek oluşturur. |
2. İstek Proxy Connect’e Ulaşır | İstek, Proxy Connect endpoint’ine yönlendirilir. |
3. İstek Buluta İletilir | Endpoint, isteği bulut proxy’sine iletir. |
4. Güvenli İçerik Analizi | Bulut proxy’si, trafiği analiz eder ve güvenlik önlemlerini uygular |
5. Sonuç Değerlendirme | Güvenlik politikalarına göre isteğin kabul edilip edilmeyeceğine karar verilir. |
Bu süreçte kullanıcının gerçek IP adresi yerine bulut proxy’sinin IP adresi görünür. Bu sayede kullanıcıların IP tabanlı saldırılara karşı korunması sağlanır.
IP Tabanlı Hizmetlerde Kısıtlamalar: Kullanıcıların gerçek IP’leri yerine bulut IP’si kullanıldığı için bazı IP tabanlı hizmetlere erişim sağlamak zor olabilir.
Direct Connect, Proxy Connect’e kıyasla daha hızlı bir bağlantı sağlarken, trafiğin doğrudan internete yönlendirilmesi sebebiyle güvenlik açısından ek önlemler gerektirir.
Aşama | Açıklama |
1. Kullanıcı İsteği | Kullanıcı, internete erişmek amacıyla bir web sitesi isteği oluşturur. |
2. İstek Endpoint’e Ulaşır | Bu istek, Direct Connect endpoint’ine yönlendirilir. |
3. Doğrudan İnternet Bağlantısı | İstek, herhangi bir aracı sunucu veya proxy olmadan doğrudan internete iletilir. |
4. Kimlik Doğrulaması ve Erişim Kontrolü | Cloud hizmeti ile kimlik doğrulaması ve güvenlik politikaları kontrol edilir. |
5. Erişim Sağlanır | Kullanıcının isteği gerçekleştirilir ve web sitesine erişim sağlanır. |
Direct Connect kullanıldığında, kullanıcıların gerçek IP adresi internete yansır. Bu, özellikle IP tabanlı hizmetler açısından avantaj sağlarken, güvenlik açıklarını da beraberinde getirir.
Düşük Güvenlik: Direct Connect, trafiği doğrudan internete yönlendirdiği için güvenlik ve içerik filtreleme açısından daha düşük koruma sağlar.
Her iki yöntemin avantajlarını ve sınırlamalarını karşılaştırarak aşağıdaki tabloyu oluşturabiliriz:
Özellik | Proxy Connect | Direct Connect |
Avantajlar |
|
|
Sınırlamalar |
|
|
Forcepoint Web Security çözümünde hem Proxy Connect hem de Direct Connect’in farklı avantaj ve dezavantajları bulunmaktadır. Proxy Connect, daha yüksek güvenlik ve IP gizliliği gerektiren durumlarda tercih edilirken, Direct Connect hız ve IP uyumluluğunun kritik olduğu senaryolarda tercih edilir. Her iki yaklaşımın avantajları ve sınırlamaları dikkate alınarak, organizasyonların ihtiyaçlarına en uygun çözümü seçmeleri önemlidir.
-