Tehdit aktörleri, bulut altyapımızın güvenlik açığının farkındadır. Bugün sahip olduğumuz internet, geleceğin veri ihtiyaçlarını karşılayacak donanıma sahip değil. Veriler bulutta depolandığında, dünyanın herhangi bir yerindeki birkaç sunucuda bulunabilir. Bu bilgisayarlardan birinin güvenliği ihlal edilirse verileriniz çalınabilir veya kötüye kullanılabilir.
Bu nedenle, şirket içinde veya bulutta bir bilgi sistemi oluşturduğunuzda, yapmanız gereken ilk şeylerden biri, hassas bilgilerinizin nerede depolandığını belirlemektir. Verilerinizi bulutta sakladığınızda, bilgilerinizin güvenliğini sağlamak siz ve bulut sağlayıcınız arasında paylaşılan bir sorumluluktur.
Bulut güvenliği, müşteriler ve bulut sağlayıcısı arasında ortak bir sorumluluk gerektirdiğinden, BT ekipleri ve karar vericiler, siber saldırılara karşı daha savunmasız olan bulut hizmeti türleri hakkında net bir anlayışa sahip olmalıdır. İşletmeler bilgi sistemlerini buluta taşırken ortaya çıkan bir diğer güvenlik hususu, risklerin ödüllerden ağır bastığı durumları belirlemektir.
Bulut güvenlik zayıflıkları
Bulut, büyük miktarlarda altyapıyı hızlı ve kolay bir şekilde oluşturma fırsatı verir ve bu da onu standart altı güvenlik yapılandırmalarının uygulanma olasılığına maruz bırakır. Bulut servislerinin kullanım kolaylığı nedeniyle firmalar güvenlik konusunda ihmalkar davranabilmektedir.
Bir bulut altyapısının nasıl yapılandırıldığı, siber güvenlik riskini etkiler. Bulut dağıtımınızın bu aşaması, bulut güvenliği duruş yönetiminin (CSPM) gerekli olduğu yerdir: bu araç, yaygın hataları tespit etmek için bulut mülkünüzün yapılandırmalarına bakar. Bulut platformunuzun dahili güvenlik özelliklerine bakabilmeniz için CWPP – bulut iş yükü koruma platformu – gibi bir ürün de önerilir.
Bu araçlar birlikte genellikle CNAPP – bulutta yerel uygulama koruma platformu olarak anılır.
Güvenlik ekiplerinin uzak masaüstü protokollerini internete açık bırakması gibi yaygın güvenlik açıkları da güvenlik sorunlarına neden olabilir. Örneğin, Microsoft Windows’u etkileyen solucan BlueKeep güvenlik açığı (CVE-2019-0708), herhangi bir kullanıcı hiçbir şey yapmadan uzak masaüstü hizmetlerinde rastgele kodun uzaktan yürütülmesine yol açtı ve bu da kötü amaçlı yazılımların savunmasız sistemler arasında yayılma riskini artırdı.
Genel olarak, bulut altyapıları daha çok internete bağlı olduğundan, şirket içi güvenlik gereksinimlerinizden farklı olabilecek bir korumaya ihtiyaç duyarlar.
İşletmeler için riskin ödüllerden daha ağır bastığı durumlar
İngiltere Ulusal Siber Güvenlik Merkezi, farklı boyutlardaki işletmelerin bulut hizmetlerini güvenli bir şekilde yapılandırma ihtiyaçlarını dengelemelerine yardımcı olmak için 14 bulut güvenlik ilkesi belirledi.
Satıcıya kilitlenme, işletmeler için yaygın bir sorun olabilir. Bulut satıcıları, hayatınızı kolaylaştıracak tüm araçları size verecektir, ancak altyapılarına çok fazla güvenirseniz, onlarla çalışmayı bırakmaya karar verirseniz sistemlerinden çıkmak gerçekten zor olacaktır.
Teknolojik risklerin ötesinde, karar verici başka bir faktör de bulut sağlayıcılarına ve büyük kurumsal ağlara genel ve hibrit bulut hizmetleri sağlayabilen AWS veya Google gibi “hiper ölçekleyicilere” duyulan genel güvendir.
Kurulumunuzu özel ihtiyaçlarınıza göre yapılandırma esnekliği ve yeteneği bulutta kaybolabilir. Şirket içinde çalıştırıyorsanız, şeyleri yeniden yapılandırmak için daha fazla esnekliğe sahipsiniz. Bulut sağlayıcınızla olan ticari ilişkiniz, bulut altyapınızla ne kadar esnek olabileceğinizi belirleyecek ve bu da güvenli olmayan sorunları ortaya çıktıkça çözmenizi engelleyebilecektir. Veri depolama alanınızda ne kadar kontrol ve esneklik istediğiniz, bulut kurulumunuzu etkilemelidir.
İşletmelerin bulut güvenlik stratejilerinde genellikle gözden kaçırdıkları şeyler
Bulut hizmetlerinin bir avantajı, dağıtılmalarının çok kolay olmasıdır, ancak bu, güvenlik uzmanları için çok sayıda sorun yaratabilir. Bulut altyapısında çok sayıda düğüm açıktır ve bu da tehdit yüzeyini artırabilir. Şifreleme, güvenlik kimlik doğrulaması ve erişim kontrol politikası gibi birkaç strateji bu riski azaltabilir.
Diğer bir konu da müşteri verilerinin bir bulut ortamında güvende olduğundan emin olmaktır. Bulut bilişimde depolama güvenliği, veri izolasyonu ve kurtarmayı içerir. Müşteri verilerinizi bulutta depolamak sizi tüm sorumluluklardan kurtarmaz: bulut sağlayıcısı altyapılarının güvenliğinden sorumluyken, işletmelerin verilerin izlenmesinden ve denetlenmesinden sorumlu olması gerekir.
Kimin neyi kontrol ettiği ve neyin sorumlu olduğu genellikle bir çekişme noktasıdır. Bunu çözmek için kuruluşların açık sorumluluklara ve hesap verebilirlik yapılarına sahip olması gerekir.
Dikkatli bir planlama olmadan, bulut altyapınız söz konusu olduğunda çabaları çoğaltmak kolay olabilir. Örneğin, her bir bulut sağlayıcısı için ayrı ayrı web uygulaması güvenlik duvarları ve yeni nesil güvenlik duvarı politikaları oluşturan birçok işletmeyle karşılaştım. Farklı platformlar eşit düzeyde koruma sağlamayabileceğinden, bu yaklaşım güvenlik politikasında boşluklar bırakma riski taşır.
Bir bulut altyapısının devreye alınma kolaylığı hem bir hediye hem de bir yüktür
Bulut bilgi işlem, genellikle kuruluşların büyük hacimli verileri depolamasına, toplamasına ve almasına olanak tanıyan, maliyet düşürücü ve kullanışlı bir çözüm olarak müjdelendi. Ancak, bulut bilgi işlemin sağladığı kolaylık, kuruluşunuzun kabul etmeye istekli olduğu riske bağlıdır.
Bu risklerin başında, iş verilerini depolamak için üçüncü taraf bir sağlayıcıya güvenmek gelir ve bu da gizlilik ve güvenlik endişelerini artırır.
Bulut altyapınızı ve verilerinizin nerede depolandığını anlamak, riskleri dengelerken bulut bilişimin sayısız avantajından yararlanmanın ilk adımıdır.
Bir çoklu bulut altyapısı uygularken, tüm bulut hizmetlerinizin güvenlik ve denetim unsurunu elde tutmak, maruz kaldığınız riskleri azaltmanın anahtarı olacaktır.
Bulut ortamının daha az kısıtlayıcı çevresi vardır ve bunun kuruluşlar için pek çok faydası vardır, ancak aynı zamanda altyapınızın kapsadığı konuları anlama karmaşıklığını da artırır. Kuruluşunuzun hangi bölümlerinin internete maruz kaldığına dair iyi bir değerlendirme oluşturmak, verilerinizin güvenliğini sağlama çabalarınızda çok önemlidir.
Diğer bulut güvenlik stratejileri arasında veri güvenliği, yönetim ve kontrol, ağ güvenliği, sıfır güven ilkeleri ve uyumluluk yer alır ve bunların tümü bulut ortamlarını daha güvenli ve sağlam hale getirmelidir.
Bulut altyapınızı dikkatli bir şekilde planlayarak ve kuruluşunuzun genel güvenlik duruşunun bir parçası olarak değerlendirerek, uygun politikalar ve denetimler uygulayarak ve güvenliğe standart olarak öncelik veren bulut sağlayıcılarla çalışarak, işletmeniz bulut bilişimin avantajlarından güvenle yararlanabilir.
Müşterinin bakış açısına göre, kullandığınız bulut modeli ne olursa olsun, verilerinizin güvenliğini sağlama sorumluluğunuz asla yoktur. Değişen güvenlik açığı düzeylerinin farkında olmak, bulutun rahatlığını siber güvenlik savunmalarınızla dengelemek için çok önemlidir.