Buluta geçiş şu anda sektörün en sıcak konularından biri. Birçok kuruluş hızla buluta geçiş yapıyor ve sektör profesyonelleri bulut becerilerini geliştirmek için hızla çalışıyor. Tüm bulut tartışmalarında güvenliğin temel önemi her zaman mevcuttur. Bilgi güvenliği uzmanları da bu öğrenme fırsatından yararlanıyor ve bulut ortamında çalışanlar güvenlik becerilerini geliştiriyor.
Bulut güvenliği becerileri, herhangi bir şirket içi veri merkezinin güvenlik becerilerine çok benzer görülebilir, ancak birçok durumda kuruluşlar, tanıdık uygulamalarının buluta kolayca “forkliftle” taşınamayacağını öğreniyor. Birçok eski uygulama bulut altyapısına yerleştirildiğinde yalnızca bozulmakla kalmıyor, aynı zamanda güvenlik modelinin tamamı da etkileniyor. Eğitimli bir bulut güvenliği uzmanına duyulan ihtiyaç hiç bu kadar belirgin olmamıştı. ISC2 tarafından sunulan Sertifikalı Bulut Güvenliği Uzmanı (CCSP) unvanı aracılığıyla edinilen bilgi, bulut güvenliğinin zorluklarını hafifletmek için mükemmel bir hazırlıktır.
Bulut bilişim bir süredir ortalıkta olmasına rağmen güvenlik hususlarının çoğu hâlâ yanlış anlaşılıyor. Sektörde çalışan ve CCSP belgesine sahip olanlar bu yanlış anlamalara ilişkin bazı bilgiler sağladı. Kıdemli Bulut Güvenliği Mühendisi olarak çalışan Tara Hunter bunu şu sözlerle ifade ediyor: “İnsanların, bulut sağlayıcıların platformunda olduklarından dolayı bir şeylerin kendi sorunları olmadığını söylediklerini sıklıkla duyuyorum. Bu kesinlikle doğru değil ve daha sonra verilerinden nihai olarak kendilerinin sorumlu olduğunu öğrendiklerinde kuruluş yanıyor.” Bu durum akademik camiada da yankı buluyor. Dekan Yardımcısı ve BT Bölümü Öğretim Görevlisi Bryan R Lewis, “buluta geçmenin güvenlik gereksinimlerinizi dış kaynaktan sağlamadığı” bilincini paylaşıyor. Tüm yasal ve uyumluluk gereklilikleri ve bunlara ilişkin riskler her zaman veri sahibine aittir.”
Bulut bilgisine sahip bir güvenlik uzmanının yardımcı olabileceği alanlardan biri, bulut geçişinin ilk aşamalarıdır. İlk adım mevcut altyapınızı ve hazır olup olmadığınızı değerlendirmektir. Bu çok açık görünse de birçok şirket şu anda neye sahip olduklarını gerçekten bilmiyor. Başarılı bir bulut geçişi için eksiksiz bir varlık envanterinin yanı sıra tüm sistemlerin birbirine nasıl bağlandığına dair derinlemesine bir anlayış hayati öneme sahiptir. Güvenlik Korelasyon Mühendisi Carlos Lopez bunu şöyle özetliyor: “Kısayol yoktur: Her zaman uygulama gereksinimlerinin, bağımlılıkların ve temel altyapıyla ilişkilerin derinlemesine analiziyle başlayın.”
Envanterinizin önemli bir kısmı verilerin kendisini içerir. Verilerinizin ne olduğunu ve nerede bulunduğunu bilmek, buluta geçişin önemli bir yönüdür. Grup Bilgi Güvenliği Müdürü Au Yeung Shan Shan bunu şu şekilde açıklıyor: “Verilerinizi sınıflandırın ve anlayın. Yaşam döngüsünü takip edin ve uygun güvenlik kontrolleriyle koruyun. Veriler “evinizin” dışına çıktığında veya kontrol altına alındığında çok farklı bir risk profiline sahip olur. Bunu hafife almayın.
Başarılı bir bulut güvenlik programı aynı zamanda yeni ortamın korunmasına yönelik hazırlık ve sürekli bakımı da içermelidir. Ancak politika tek başına uyumluluk gerekliliklerini karşılamak için yeterli değildir. eKeşif gereklilikleri de dahil olmak üzere denetim ve yasal kontrollerin tamamının değerlendirilmesi gerekir. Uygulanabilir politikaya, uygun denetim kontrollerine ve yasal değerlendirmelere ulaşmak yalnızca işbirliği yoluyla gerçekleşebilir. Adele Farhadian gibi bir işletme sahibinin şu sözlerini düşünün: “Yüksek düzeyde uyumlu bir ortamdaysanız, buluta geçmeye karar vermeden önce denetçilerinizden çok spesifik bulut gereksinimleri isteyin. Bulutun uyumluluk ihlaline neden olabileceği senaryoları sormayı unutmayın.”
Aynı fikirle ilgili başka bir bakış açısı da Keith McMillan tarafından öne sürülüyor. “Buluta geçerken gelişmiş esnekliğin, saldırılara daha fazla maruz kalma ve aynı zamanda farklı kontrollere ihtiyaç duymayı beraberinde getirdiğini anlayın. Mevcut sistemleri buluta taşımayı düşündüğünüzde, yeni risklerle birlikte yeni kontrollerin, yeni ortamda kullanabileceğiniz kontroller tarafından yeterince ele alınıp alınamayacağını değerlendirmeniz gerekir.”
Bulut bilişimin birden fazla sektörü etkilediği ve bu sektörlerde çalışan güvenlik profesyonellerinin farklı geçmişlerden ve farklı yaklaşımlardan geldiği açıktır. Çeşitli mesleki unvanlar, bulut ortamında çalışma fırsatlarının genişliğini gösterse de kesin olan bir şey var ki, hepsi aynı sonuca ulaşmayı hedefliyor; bulutta faaliyet gösteren bir kuruluşun güvenliğini sağlamak. Öne çıkan unsurlardan biri, tüm bu profesyonellerin başarılı olmak için güvenlik malzemeleri üzerinde çalışmış olmasıdır. Hiç kimse bulut güvenliği bilgisine sahip olarak doğmaz. KM Cybersecurity LLC’nin Yönetici Ortağı olan Keatron Evans, bu noktayı şu tavsiyeyle açıklığa kavuşturuyor: “Personelinize teknolojiyi öğrenmeleri için uygun miktarda eğitim ve zaman verdiğinizden emin olun. Gördüğüm en feci bulut geçişlerinden bazıları, geçişe doğru personelin dahil edilmemesinin bir sonucuydu.”
Yukarıda alıntılanan tüm profesyonellerin sunduğu bilgelik, bulutun güvenliğinin sağlanmasına ilişkin sorumlulukların yalnızca bir başlangıcıdır. Planlama aşamaları, bağımlılıkları anlama ve bulutun benzersizliği gibi diğer konuların hepsi ayrı çalışma konularıdır. Bunların ve diğer bulut güvenliği profesyonellerinin görüşleri, buluta geçişin bazı zorluklarına ilişkin bilgiler sunan yeni bir e-Kitapta toplanıyor. Sektörde çalışan insanların söylediği sözler başarının formülleridir.
Güvenli buluta geçiş hakkında daha fazla tavsiye ve bilgi edinmek için ISC2 e-Kitabını indirin, Güvenli Buluta Geçiş için 20 İpucu.
Reklam