On veya daha fazla yıl önce, çoğu veritabanı yalnızca şirket içindeydi. Çevrenin dışında ifşa olmadı ve ortalama bir şirkette erişimi olan tek kişi birkaç veritabanı yöneticisiydi. Ardından, işletmeler ve şirket içi geliştirme ekipleri bunları birkaç uygulamaya bağlamaya ve kimlik bilgilerini kolaylık sağlamak için yazılıma kodlamaya başladı. Ama o avuç büyümeye devam etti. Ve şimdi, kodsuz ve az kodlu, esasen veri tabanı erişimi olan uygulamalarla yüklü kamyonu yedekliyor – ve sürücünün niteliklerinden her zaman emin değiliz.
Düşük kodlu ve kodsuz (LCNC) çerçeveler, uygulama geliştirmeyi hızlandırıyor ve teknik bilgisi olmayan kullanıcıların bile iş ihtiyaçlarına uygun hızla yazılım oluşturmasına olanak tanıyor. LCNC platformları maliyetleri düşürme, pazara sunma süresini kısaltma ve sektörleri alt üst etme potansiyeline sahiptir; ancak, farkında olmadan gelecekteki veri felaketleri için zemin hazırlıyor olabilirler.
LCNC platformları söz konusu olduğunda ilk endişe, görünürlük eksikliğidir. Genellikle kod kalitesi, güvenlik açıkları veya ne kadar iyi test edildiği hakkında bilgi yoktur. Bu uygulamaları geliştiren BT dışı profesyoneller, bunları sürdürmek için eğitilmemiştir, genellikle yanlış yapılandırmalar oluşturur ve veri hırsızlığı gibi güvenlik açıklarını açmalarını nasıl önleyeceklerine dair en iyi uygulamaları bilmezler.
Sıfır Güven Tek Başına Neden Yeterli Değildir?
Kuruluşlar, güvenlik riskini azaltmak için giderek artan bir şekilde sıfır güven modeline yöneliyor. Bu model ile amaç, kullanıcılara ve uygulamalara en az ayrıcalığı zorlamaktır. Bu, verilere erişim verilmeden önce tüm kullanıcıların ve uygulamaların kimliğinin doğrulanmasını, yetkilendirilmesini ve sürekli olarak doğrulanmasını gerektirir.
Birçok kuruluş, BT altyapısının çoğunda sıfır güven elde etmeye yardımcı olmak için önemli olan ayrıcalıklı erişim yönetimi araçlarına güvenir. Ancak bu araçlar, veritabanının bağlamını görmez. Verilere kimin veya neyin eriştiğine, neye ve ne amaçla eriştiğine bağlı olarak ayrıcalıklar verecek donanıma sahip değiller. Bu denetimler yalnızca ya hep ya hiç erişimi sağladığından, kodsuz ve az kodlu uygulamalar hassas verileri açığa çıkarabilir.
LCNC ile ilgili en az tartışılan güvenlik sorunu, BT’nin onayladığı uygulamaların bile genellikle bir veri kökeni kaydı tutmaması olabilir. Bu uygulamaların veritabanlarına ne zaman eriştiği, ne kadar veriye erişildiği ve bu verilere ne olduğu hakkında genellikle hiçbir bilgi yoktur. Ancak bir uygulama verilere her eriştiğinde, geçici olsa bile verileri bir yere okuması ve yazması gerekir. Ve genellikle öyle değildir ve bir uygulamanın kullanımı için bir veritabanından çekilen veriler de başka bir yerde yaşamaya başlar.
Riski Azaltmak İçin Görünürlüğü Geri Kazanma
Bu günlerde veriler şirket içinde değil, bir veritabanında, veri ambarında veya veri boru hattında bulunabilir. Ancak kontrolleri uygulamak için bir çerçeve olmadan, geçmiş veya kayıt yoktur; veriler esasen kurumsal vahşi durumdadır.
Veri kökeni kayıtlarındaki bu eksiklik, kuruluşların bir veri ihlalinden sonra etkilenen tarafları bilgilendirmesinin neden bu kadar uzun sürdüğünü kısmen açıklıyor. Veri hırsızlığının etkisini değerlendirmek haftalar, hatta aylar alabilir çünkü günümüzde çoğu kuruluş size tam olarak hangi çalışanlarının ve uygulamalarının veritabanlarına erişimi olduğunu söyleyemez. Daha da azı, bu uygulamaların veritabanlarındaki hangi verilere erişebileceğini gösterebilir. Dünya çapındaki kuruluşlar yeni bir veri güvenliği yönetişimi düzeyi getirmedikçe, LCNC paradigmasının yalnızca veri hırsızlığı eğilimini hızlandıracağı açık hale geliyor.
Ancak güvenlik ekipleri, birkaç tasarım ilkesini izleyerek hem LCNC hem de veritabanı güvenliğine sahip olabilir:
- Veritabanları, veri gölleri ve veri hizmetlerinde çalışan bir yönetişim modeli oluşturun
- En az ayrıcalığı uygula
- Hangi uygulamaların hangi verilere hangi nedenle eriştiğine dair gerçek zamanlı görünürlük sağlayın
Kuruluşlar, ayrıntılı erişim sağlanmadan önce her uygulamanın kimliğinin doğrulandığından ve yetkilendirildiğinden emin olarak ve gelecekteki denetimler için veri kökeninin kaydını tutarak LCNC çerçevelerinin riskini azaltabilir.
Sonuç olarak, günümüz kuruluşlarının kodsuz ve düşük kodlu teknolojiler kullanmaktan çekinmeleri gerekmiyor, ancak veri güvenliği yönetişim kontrollerini uygulamaya koymaları gerekiyor. Her yeni uygulama potansiyel olarak yeni güvenlik açıklarına yol açtığından, yalnızca çevreyi veya vektörü koruyan güvenlik araçlarına yatırım yapmak yerine, ister yeni başlayan ister küresel bir kuruluş olsun, her şirket ticari operasyonlar için temel değer kaynağını korumaya yatırım yapmalıdır. : veri katmanı.