Net güvenlik röportajında, AWS’de CISO olan Amy Herzog, Cloud-Ana Güvenliğin, ekiplerin bulutta nasıl inşa edildiği ile uyumlu ölçeklenebilir, esnek korumayı nasıl sağladığını tartışıyor. Paylaşılan sorumluluk modelini ve güvenliği ölçen araç ve süreçleri açıklar.
Herzog ayrıca AI’nın tehdit algılama ve güvenlik açığı yönetimini otomatikleştirmeye nasıl yardımcı olduğunu açıklıyor.
“Bulut-yerli güvenlik” ne anlama geliyor?
Bulut-yerli güvenlik, bulutun yaptığı gibi çalışan hem de inşaatçılarınızın yaptığı gibi işleyen hem güvenlik denetimini ifade eder. Bulut-yerli güvenlik gerektiğinde yukarı ve aşağı ölçeklendirilir, API güdümlüdür ve ortak sorumluluk modeli kapsamında sorumluluklarınızı karşılamanıza yardımcı olmaya odaklanmıştır. Bu, esnek olan ve inşaatçılarınızın hedeflerini güvenli bir şekilde karşılamasına yardımcı olan bir güvenliğe yaklaşımdır.
Orada ortak sorumluluk modelinden bahsettim ve anlaşılması önemli bir kavram. Bir bulut ortamında günlük güvenlik çalışmalarına kimin baktığını anlamak üst düzey bir çerçevedir. AWS’de bulutun güvenliğinden sorumluyuz. Müşterilere sunduğumuz hizmetlerin birinci sınıf güvenliğe sahip olduğundan ve müşterilerin çözümlerinde kullanmaya hazır olduğundan emin olmak bizim üzerimizde. Bu güvenli temel, bulutun güvenliği, müşterilerimizin yaptıklarını güvence altına almasını kolaylaştırıyor.
Bu yüzden sürekli olarak güvenliğe yatırım yapıyoruz. Veri merkezlerimizin güvenliğinden kimlik erişim yönetimi ve her yerde bulunan şifreleme gibi yeteneklere kadar. AWS bulutunu, uygulamaları ve iş yüklerini oluşturmak, taşıma ve yönetecek en güvenli küresel bulut altyapısı olarak inşa ettik.
Bunun kanıtını, Amazon Bedrock, Amazon Q Business ve daha fazlası dahil olmak üzere AI hizmetleri için ISO/IEC 42001: 2023 akreditasyonu elde eden ilk büyük bulut sağlayıcısı olmak da dahil olmak üzere, karşılaştığımız 143 uyumluluk standartları ile görebilirsiniz.
Paylaşılan sorumluluk modeli lensine geri dönen, siz, müşteri buluttaki güvenlikten sorumlusunuz. Bu, gereksinimlerinizi karşılamak için AWS hizmetlerinin yapılandırması, EC2 örneklerinizin işletim sistemlerini sertleştirme veya verilerinizdeki yetkilendirme politikalarını ince ayarlama gibi alanları kapsar, böylece ekipler Amazon Bedrock gibi AI hizmetlerini endişelenmeden kullanabilir.
Bulut-yerli güvenlik, güvenlik işleri yapmak için, ekiplerinizin bulutta nasıl çalıştığı ile eşleşecek şekilde tüm yakalama terimidir, böylece işi gereksiz yere yavaşlatmazsınız.
Bulutu güvence altına alma görevi söz konusu olduğunda güvenlik ekipleri nereden başlıyor?
Takımlar paylaşılan sorumluluk modelini anladıktan sonra, başlayacak ilk yer iş hedeflerinizin ne olduğunu anlamaktır. Kuruluşunuzun nereye gitmek istediğini bilmek, vermeniz gereken güvenlik kararlarını şekillendirmeye yardımcı olacaktır.
Bu bağlamda, takımların AWS, hesaplardaki her şeyin kökünde başlaması gerektiğini düşünüyorum. AWS kuruluşlarını kurmak, kuruluşunuzun hesaplarını oluşturmanın ve yönetmenin kolay bir yoludur. Bu, hesaplarınıza erişimi yönetmenize yardımcı olacaktır ve AWS kontrol kulesi gibi bir hizmet yardımıyla, kuruluşunuzdaki her hesabın kapıdan (çok faktörlü kimlik doğrulaması gerektiren gibi) güçlü güvenlik korkuluklarına sahip olduğundan emin olun.
Oradan güvenlik ekipleri görünürlüğe odaklanmalıdır. Güvenlik sorunlarını anlamaya ve önceliklendirmeye yardımcı olmak için çevrenizde neler olduğuna dair bilgiler için AWS CloudTrail ve CloudWatch gibi araçları kullanmak.
İnşaatçılarınızın bulutta ne yaptığını görünürlüğü ve anlayışı, güvenlik ekiplerinin stratejilerini şekillendirmelerine ve güvenlik hedeflerine ulaşmalarına en iyi şekilde yardımcı olabilecek kontrolleri seçmelerine yardımcı olacaktır. AWS’de Akıllı Tehdit Tespiti için Amazon Guardduty veya güvenlik açığı yönetimi için Amazon Müfettişi gibi harika çözümlerimiz var. Ayrıca, müşterinin ihtiyaçlarını karşılamak için her türlü güvenlik aracı sunan canlı bir ortak topluluğumuz var.
Bu ekipler bulut ortamlarında güvenliği nasıl etkili bir şekilde ölçeklendirebilir?
Buradaki cevap “bulut-yerli güvenlik” hakkındaki ilk soruya geri dönüyor. Bulut anadili güvenlik araçları, korunma talebini eşleştirerek gerektiği gibi ölçeklendirecektir. Güvenlik uygulamanızın, süreçlerinizin ve insanlarınızın geri kalanını ölçeklendirmeye yardımcı olmak için, tüm işletmenin bir güvenlik zihniyeti geliştirmesine yardımcı olmak çok önemlidir.
Birçok güvenlik ekibi ölçeklendirmek için mücadele ediyor çünkü tüm işleri kendileri ele geçiriyorlar. Güvenlik bir takım sporudur ve çevrenizdeki kişilerin bu çalışmanın neden önemli olduğunu anlamasına yardımcı olmak için güvenlik uzmanı olarak sizin sorumluluğunuzdadır.
AWS’de Security Guardians adlı bir programımız var. Bu, ellerini kaldıran ve “Güvenliğe ilgi duyuyorum” diyen inşaatçılara yardım etme yolumuz. Bu insanlara ekstra güvenlik eğitimi, işbirliği fırsatları sunuyoruz ve ekiplerinin ve bizimkilerimizin gelişmelerine yardımcı olmak için onlarla işbirlikçi bir ortaklık yaratıyoruz.
Bu yatırım işe yarıyor. Güvenlik koruyucuları dahil olduğunda bu incelemelerde daha hızlı güvenlik incelemeleri ve daha az önemli bulgular görüyoruz. Bu, güvenlik ekibimiz için daha az iş, ölçeklendirmelerine yardımcı oluyor. Daha da önemlisi, iş ekiplerimiz sonuç olarak hedeflerine daha hızlı ulaşıyor.
AI güvenlik ekiplerine ve geliştiricilerinin güçlü savunmalar oluşturmasına nasıl yardımcı olabilir?
Müşterilerle ve kendi ekiplerimizle konuşmak, ortaya çıkmaya devam eden bir zorluk, işlemeleri gereken güvenlik sinyallerinin ezici hacmidir. Bu, AI’nın yardımcı olabileceği bir alandır, güvenlik ekiplerinizin gürültüye değil sinyale odaklanmasına yardımcı olmak için bu güvenlik sinyallerinin analizini otomatikleştirir.
Bu tekniği ve diğerlerini, güvenlik hizmetlerimiz (güvenlik merkezi gibi) aracılığıyla yüksek kaliteli bulgular sunmaya ve AWS Network Güvenlik Duvarında bulunanlar gibi yönetilen güvenlik duvarı kurallarını şekillendirmek için kullanıyoruz.
Ayrıca otomatik akıl yürütmenin yanında AI kullanarak önemli bir başarı gördük. Otomatik Akıl Yürütme, bir program veya sistem hakkında güvence sağlamak için resmi yöntemler kullanır. Özellikle önemli güven bileşenlerinin daha geniş AI sistemleri ile otomatik muhakemesinin eşleştirilmesi, AI’nın faydalarından ve aynı zamanda sistem davranışının güçlü güvencesini elde etmemize yardımcı olur. Bunun harika bir örneği Amazon Müfettişinin Kod Tarama özelliğidir. Bu özellik, farklı güvenlik açıkları için kodunuzu inceler ve bu sorunlar algılandığında, incelemeniz için otomatik olarak düzeltmeyi oluşturur.
Müşterilerin inşa ettikleri şeyi yapmak istediklerini ve sadece ne yapmak istediklerini yapmalarını sağlamalarına yardımcı olan bu özelliklerdir. AI, tam bir güvenlik uygulaması oluşturmak için tartıştığımız diğer adımlarla birleştirildiğinde, hedeflerinize ulaşmak için kuruluşunuzun geri kalanıyla çalışmanıza yardımcı olduğunda en yararlıdır.