Yazan: Craig Burland, CISO, Inversion6
Bulut’un gümbürdeyen sesi, baş döndürücü ışık gösterisi ve duman odayı dolduruyor. “Daha hızlı! Daha çevik! Daha ucuz! İş uyumlu! Stratejik! Tüm teknolojik sorunlarınıza cevap bende. Hiç kimse altyapıya zaman ayırmasaydı başarılabilecek her şeyi hayal edin!”
Bulut sohbetinin başından beri perdenin arkasında saklanan bir şey olduğu açık olmalıydı. Büyük ve Kudretli Oz gibi, Bulut’un da bir sırrı vardır: Gerçekten sihir değildir.
Hayal kırıklığı ama şaşırtıcı değil.
Bileşenlerin oranı ne olursa olsun [Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) and Infrastructure-as-a-Service (IaaS)] bulut kokteylinizde – örneğin, ½ SaaS, ¼ IaaS, ¼ PaaS – kendinizi altyapıdan mahrum bırakmak her derde deva değildir. Eski uygulamaları ortadan kaldırmaz, kötü hijyen uygulamalarını anında düzeltmez veya sizi güvenlik veya uyumluluk yönetiminden muaf tutmaz. Aniden kullanıcıları siber akıllı yapmaz. Ayrıca, kullanımı tam olarak anlamadan ve dikkatli bir şekilde odaklanmadan daha ucuz değil. Bulut, kelimenin tam anlamıyla başka birinin veri merkezidir.
Akıllı kuruluşlar bu gerçeği fark eder ve buluta geçişin bir nimet değil, bir ticaret olduğunu anlayarak gözleri tamamen açık olarak sohbete girer. Akıllı siber güvenlik liderleri, bulutu yeşil bir alan olarak kullanma fırsatına atlamalıdır. Yerine geçtiklerinden daha ölçeklenebilir, esnek, güvenli ve uygun maliyetli çözümler oluşturmak için “başlangıçtan itibaren güvenli” ve “proaktif, veriye dayalı yönetişim” gibi ilkelerde ısrar etmelidirler.
Özellikle bir bulut altyapısı dönüşümünün zorluklarına odaklanan bariz konu, bir siber güvenlik alt taslağının işlendiği bir yönetişim eksikliğidir. İlginç bir şekilde, bu zorluklar yeni değil – şirket içi mimarilerde eşit derecede mevcutlar. Sadece buluta bir dönüş planlarken kendilerini farklı şekilde sunarlar. Bu zorlukları birer birer ele alalım.
Uygulama eskimesi, yaşam döngüsü yönetiminin bir başarısızlığıdır. Şirket içi, eskimiş uygulamalar, yükseltilemeyen bir teknolojiler zinciri, standartları geliştiremeyen destek ekipleri ve ciddi bir risk artışı yaratır. Bulut bu sorunları çözmez, ancak yaşam döngüsü konuşmasını öne doğru zorlar. Eski uygulamalar buluta taşınamaz. İşletme, gelişmiş performans ve çeviklik istiyorsa, yükseltmeleri gerekir. İşletme, BT stratejisinin yanlış tarafında yer almaktan kaçınmak istiyorsa, yükseltme yapması gerekir. Siber liderler, aynı hatayı tekrar yapmaktan kaçınmak için desteklenen çözüm bileşenlerinde kalma konusunda bir ilke oluşturmak üzere tek seferlik değişiklikleri ikiye katlamalıdır.
Yetersiz teknoloji hijyeni, güvenlik açıkları ve yanlış yönlendirilmiş önceliklendirme tarafından sunulan riskin göz ardı edilmesine neden olur. Yetersiz hijyen bir “şirket içi sorun” değil, bir insan ve süreç sorunudur. Bulutta barındırma altyapısı, güvenlik açığı ve yama yönetimini otomatik olarak ele almaz. Hijyen, bulut iş yüklerinde şirket içinde olduğu kadar kolay bir şekilde göz ardı edilebilir. Bulut, şirket içi ortamlarda eksik olabilecek otomasyon ve görünürlük sunar, ancak diğer unsurların yürütülmesi gerekir. Bakım pencerelerini planlamak, yamaları takip eden uygulamaları doğrulamak ve müşterilerle iletişim kurmak gibi süreçlere hâlâ kaynak ayrılması gerekiyor. Bulut dönüşümü çabası, siber liderlerin daha az eski engel ile etkili bir güvenlik açığı ve yama yönetimi süreci oluşturabileceği bir pencere açar.
Güvenlik ve uyumluluk, bulutun en yanlış anlaşılan yönü olmaya devam ediyor. Bulut hizmeti sağlayıcıları (CSP’ler), “paylaşılan sorumluluk modeli” adı verilen model altında çalışır. Basit bir ifadeyle, masaya getirdiklerini – veri merkezi, donanım, çekirdek ağ – korurlar. Organizasyon diğer her şeyi korumalıdır. Veriler, erişim, sanal sunucular, uygulamalar, kimlikler, hepsi. Bunlar müşterinin sorumluluğundadır. CSP’ler güvenliğe yardımcı olacak araçları sağlar, ancak bunları etkinleştirmez, yapılandırmaz veya bakımını yapmaz. Daha da kötüsü, kurum içinde uygulanan güvenlik platformlarının çoğu genellikle buluta genişletilemez. Güvenlik ekipleri, bulutu korumak için yeni araçlar öğrenmeli ve yeni süreçler geliştirmelidir. Bilgisayar korsanları kötü yönetilen SaaS platformlarını hedeflediğinden veya korumasız depolama gruplarından yararlandığından, neredeyse her gün bulut ihlallerine ilişkin raporlar geliyor. Bu olaylarda kaybolan verilere gelince, uyum ihlallerini ele almak da kuruluşa düşüyor.
Bulut yönetişiminin son alanı maliyettir. Tipik olarak siber güvenliğin bir parçası olmasa da işletme maliyetlerini kontrol etmek her liderin rolünün bir parçasıdır. Yerinde, sınırlı miktarda lisans, donanım ve raf alanı, genişletme hızını ve kontrol maliyetini sınırlar. Bulut, bu düzenleyiciyi kaldırarak işletmenin tam gaz çalışmasına izin verir. Güçlü finansal kontroller ve kesin maliyet tahsis modelleri olmadan, yeni iş yükleri karahindiba gibi filizlenecektir. Gözetimsiz bırakılan bu varlıklar ciddi bir bütçe kesintisine neden olacaktır. 2021’e kadar giden makaleler, disiplinli bir süreç oluşturmak için önceden planlama yapılmadığı takdirde kuruluşların bulut bütçelerini aşma olasılığını tartışıyor. Son araştırmalar bu öngörünün gerçekleştiğini doğruluyor. Yaşam döngüsü, hijyen ve güvenlik hakkındaki tartışmalar ikna edici değilse, tasarruf sağlamak için daha büyük planlar ve yönetişim için tartışmak yine de günü kazanabilir.
Hizmet Olarak Yazılım (SaaS), Hizmet Olarak Platform (PaaS) ve Hizmet Olarak Altyapı (IaaS) büyük ölçüde aynı vaadi getirir, ancak aynı endişeleri gizler. Eskime ve hijyen, SaaS için sorun değil, ancak güvenlik ve uyumluluk kesinlikle sorun. İşletmeyi hızla etkinleştirmekle görevli SaaS yöneticileri, internete dönük bir uygulamanın sorumluluğunu almadan önce siber güvenliği nadiren anlar veya yeterli güvenlik eğitimi alırlar. PaaS platformları, bir uygulamanın alt katmanlarını bir hizmete sararak eskime ve hijyen risklerini kısmen azaltır, ancak özel kodun sağlığını yönetmek için hiçbir şey yapmaz. Aşırı tedarik edilmiş iş yükleri üzerinde çalışan, yama uygulanmamış, izlenmeyen bir Ruby on Rails kurulumu kolayca tüm gücünüzü üzerinize çekebilir.
Dorothy, Lion, Scarecrow ve Teneke Adam’ın (zor yoldan) öğrendiği gibi, daha iyi bir dünyaya giden yolu dileyemezsiniz. Yolda başarılı bir şekilde yürümek, yol boyunca dersler çıkarmak için güçlü bir irade, alışılmadık bir cesaret, pragmatik zeka gerekir. Buluta geçiş, hız, çeviklik, stratejik etkinleştirme gibi muazzam bir umut vaat ediyor, ancak yalnızca ödünleşimleri anlamak için zaman ayırırsanız ve fırsattan tam olarak yararlanırsanız.
yazar hakkında
Craig Burland, Inversion6’nın CISO’sudur. Craig, bir Fortune 200 Şirketi için bilgi güvenliği operasyonlarına liderlik eden en son rolü de dahil olmak üzere, Inversion6’ya onlarca yıllık ilgili endüstri deneyimini getiriyor. Aynı zamanda Northeast Ohio Cyber Consortium’un eski Teknik Eş Başkanı ve Solutionary MSSP, NTT Globhttp://www.inversion6.comal Security ve Oracle Web Center’ın eski Müşteri Danışma Kurulu Üyesidir. Craig’e çevrimiçi olarak LinkedIn’den ve şirketimizin web sitesi http://www.inversion6.com adresinden ulaşılabilir.