Haber başlıkları, güvenli olmayan bulutta yerleşik uygulamaların ve uygulama programlama arayüzlerinin (API’ler) sonucu olan ihlaller ve veri açığa çıkmalarıyla doludur; örneğin, üçüncü taraf veri kayıt uygulaması TeslaMate, Tesla API’si aracılığıyla Tesla arabaları hakkındaki bilgileri nasıl alır? ve kullanıcılar yanlış yapılandırılmış TeslaMate örneklerinin açığa çıkan bilgileri, gerçek zamanlı konum ve sürücünün araçta bulunup bulunmadığı gibi. Veya nasıl Sumo Logic’in Amazon Web Hizmetleri hesabına yetkisiz erişim açığa çıkan API erişim anahtarları, Sumo Logic’te saklanan üçüncü taraf kimlik bilgileri ve Sumo Logic hesapları için müşteri şifreleri.
Bu olaylar ve diğerleri, kuruluşların varsayılan olarak bulut tabanlı uygulamaları güvence altına almak, merkezi olmayan ve farklı güvenlik araç setlerini yönetmek ve yanlış yapılandırmaları ve kimlik bilgilerinin kötüye kullanımını ele almak gibi siber güvenlik temellerine neden yeniden odaklanması gerektiğini gösteriyor.
Dark Reading’in bulutta yerel ortamların güvenliğine ilişkin yeni raporu ve geliştirme hatları, bu ortamları hedef alan yeni saldırıları ve saldırganların tespit edilmekten nasıl kurtulduğunu vurguluyor. Rakipler, yanal hareketi geliştirmek ve yükseltilmiş ayrıcalıklar elde etmek için bulutta yerel kaynakları ve uygulamaları manipüle ediyor. Bulutta yerel yetenekler genellikle kullanıcılar için yüksek derecede self servis anlamına gelir; bu da yanlış dağıtım, yanlış yapılandırma ve yayınlama hatalarının bir sonucu olarak yeni güvenlik açıkları ve riskler ortaya çıkarır.
Yönetişim sağlayıcısı AuditBoard’un bilgi güvenliğinden sorumlu başkan yardımcısı Rich Marcus, “Bu riskler güvenlik liderleri için daha büyük bir odak noktası haline geliyor” diyor.
Bulut Yerel Kuruluşunun Durumu
Güvenlik zorluklarına rağmen, bulut tabanlı ortamların faydaları işletmelerin buluta doğru ilerlemesini sağlayacaktır. Bulutta yerel mimariler, kuruluşların bulut bilişimin kullanılabilirlik, esneklik ve ölçeklenebilirlik gibi tüm vaatlerinden yararlanmasını sağlar. Google Cloud tehdit araştırması ve analizi başkanı Matt Shelton, bulut sağlayıcılarının şirket içi ortamlarda mevcut olan zorlukların çoğunu çözmesi nedeniyle risk denkleminin de değiştiğini söylüyor.
Shelton, “Buluta geçtiğinizde artık DDoS saldırısı gibi ağ konusunda endişelenmenize gerek yok” diyor. “İşletim sistemi düzeyinde güvenlik açığı yönetimi konusunda endişelenmenize gerek yok. Konteynerler sayesinde artık işletim sistemi hakkında endişelenmenize gerek yok. Bulut, riski burada bulut sağlayıcıya kaydırdı.”
Yanlış yapılandırmalar ve kimlik bilgilerinin kötüye kullanılması, bulutta yerel ortamlar için en önemli zorluklar olmaya devam ediyor; bu nedenle kuruluşların, sistemlerinin güvenliğini sağlamak için kalıcı yanlış yapılandırmalara, kimlik bilgisi yönetimine ve bulutta yerel ortamların merkezi olmayan doğasına odaklanması gerekiyor. Güvenlik ekiplerinin, sistemlerini güvence altına almak için bulutta yerel ortamlarda doğru güvenlik kontrollerini ve süreçlerini uygulaması gerekir. Bu, güvenlik ekibinin tüm üyeleri için düzenli güvenlik eğitiminin yanı sıra, bulutta yerel geliştirmenin zorluklarını çözmek için otomatik politika uygulamasının uygulanmasını da içerir.
Okumak Daha fazlasını “Bulutta Yerel Ortamları Başarılı Bir Şekilde Korumanın Anahtarları” raporunda bulabilirsiniz.