Bulut bilişim sayesinde, her şekil ve boyuttaki kuruluşlar, kendi altyapılarını koruma maliyeti ve zorlukları olmadan BT kapasitesinin esnekliğinden faydalanmıştır. Çok çeşitli iş süreçlerine yardımcı olacak hiper ölçekli kamu bulut sağlayıcıları ve SaaS araçları, küçük ve hızlı büyüyen kuruluşlar için özel bir nimet olmuştur ve sadece birkaç on yıl önce kendilerini inşa etmek ve sürdürmek için aylar ve önemli finansal maliyet alacak BT kaynaklarını döndürmelerine yardımcı olmuştur.
‘Ayarla ve Unut’u unutun
Bununla birlikte, bulut bilişim etkili ve güvenli bir şekilde kullanmak bakım gerektirir. Bulut hizmetlerinin büyük çekimlerinden biri, kaynakları gerektiği gibi yukarı ve aşağı ölçeklendirme yeteneğidir. Belki birkaç ay boyunca bazı veri işleme ve analiz gerektirecek bir proje vardır veya ek kaynak gerektiren hizmetler için mevsimsel talepler vardır. Bulut, işletmelerin bu yedek kapasiteyi korumak için ödeme yapmak zorunda kalmadan bu ihtiyaçları karşılamalarına izin veriyor. Ancak sadece ihtiyaç duyulan şey için ödeme yapmanın faydaları, ancak işletme verilerinin depolandığı yerde ve hangi katmanda – ayar ve unutma tuzağına düşmek yerine mümkündür.
Aynı şey bu verileri güvence altına almak için de geçerlidir. Çoğu genel bulut sağlayıcı sözleşmesi altında, saklanan verilerin güvenliği ve kullanılabilirliği için bulut sağlayıcısı ile müşteri arasında ortak bir sorumluluk vardır. Bu, temin edilen hizmet türüne bağlı olarak büyük ölçüde değişebilir, bu nedenle tüm kuruluşların hangi verilerin en iyi nerede ve hangi güvenlik düzeyinde depolandığını dikkatlice düşünmesi önemlidir.
Uygulamada bu söylenenden daha kolay. Her kuruluş, kuruluşun çalışmasını sağlamak için ne kadar kritik olursa olsun, bulut hizmetlerini yapılandırmanın ve yönetmenin üstesinden gelmek için teknik bilgiye sahip değildir. Diğerleri, milyonlarca kamu bulut müşterisinden sadece biri olan müstehcenlik yoluyla güvenliğe sahip olduklarını düşünebilirler – ya da henüz bir saldırı yaşamadıkları için, olabildiğince naif.
Kuruluşlar, imzaladıkları sözleşmelerin ayrıntıları konusunda da belirsiz olabilirler – depolandıkları her yerde kendi verilerinin güvenliğinden hala yasal olarak sorumludurlar. Bir ihlal keşfedilirse, halka açık bulut sağlayıcıları, etkilenen şifreleme anahtarlarına karantina yapabilirler, ancak genel bulut kimlik bilgileri tehlikeye atılırsa ve fidye için veri tutulursa, yasal olarak çok az sağlayıcılar sorumludur.
Kötü yönetilen şifreleme anahtarlarının riskleri
Bulut depolama örneklerine yapılan son saldırılar, bunu doğru yapmanın öneminin altını çiziyor. Örneğin, ‘Codefinger’ olarak adlandırılan bir siber suç grubu, AWS müşteri hesabı kimlik bilgilerini çalarak ve verilerini kilitlemek için yerleşik şifrelemeyi kullanarak en az iki kurbana saldırdı. Bu, birçok şirketin, sahip oldukları şifreleme anahtarlarını düzenli olarak izlememesi ve denetlememesi, artık gerekli olmayanlar için izinleri iptal etmesiyle mümkün olmuştur.
2024 Thales veri tehdidi raporuna göre, kuruluşların yarısından fazlası (%53) hala beş veya daha fazla anahtar yönetim sistemi bulunmaktadır. Şifreleme Anahtar Yönetimi, bir kuruluşun bulunduğu diğer tüm siber güvenlik önlemleri kadar ciddiye alınmalıdır.
Görevlerin ayrılması
Neyse ki, şifreleme anahtarlarının üretimi, depolanması ve kullanımı etrafında etkili uygulamalar bir süredir açıkça tanımlanmıştır. Örneğin, seçilen anahtarların gücünün verilerin duyarlılığına uyması gerekir. Bazı uygulamalar, RSA anahtar çiftlerinin kullanımından yararlanabilir, böylece üçüncü taraflar genel anahtarla kimlik doğrulaması yapabilirken, veriler özel bir anahtarla şifrelenir.
Görevlerin ayrılmasını sağlamak da tavsiye edilir, böylece anahtarları oluşturan ve yönetenlerin korunan verilere de erişimi olmaz. Sorumlulukların bu şekilde bölünmesi, sosyal mühendislik veya kimlik bilgisi uzlaşması yoluyla başarılı bir saldırı riskini azaltır, bu da tehdit aktörlerine tam idari erişim sağlayabilir.
Şifreleme anahtarlarının kullanımını izlemek ve koordine etmek, belirli izinlerle güvenli bir kasada saklanırsa veya ana anahtarları saklamak için bir donanım güvenlik modülü (HSM) kullanılırsa daha kolaydır. Tek bir anahtarla şifrelenebilen veri miktarını sınırlamak ve her anahtar için bir kripto süresini zorunlu kılmak iyi bir fikirdir – böylece yeni şifreli verilere yalnızca yeni anahtar sürümüyle erişilebilir.
Merkezi bir sistem
Bir kuruluşun birden fazla ortamda yönetilmesi ve yapılandırılmış ve yapılandırılmamış veriler için yönetilmesi gereken milyonlarca anahtar ve operasyona sahip olabileceğini düşündüğünüzde, merkezi bir sisteme sahip olmak, bu uygulamaları tutarlı ve titiz bir şekilde uygulamanın en iyi yoludur. Dünyada şifreleme anahtarları üzerinde sıkı kontrolü zorlayan artan sayıda düzenleme ve standart var – bu nedenle bu uygulamalar artık sadece ‘sahip olmak güzel’ değil, aslında iş yapmak için masa bahisleri.
BT kaynaklarının bulut aracılığıyla her yerde mevcut olmasının değeri modern iş için ölçülemez, ancak bu hizmetlerden yararlanma yarışında, işletmeler verilerinin güvenliği için yasal sorumluluğun onlarla birlikte kaldığını unutmamalıdır.
Rob Elliss, EMEA Başkan Yardımcısı, Veri ve Uygulama Güvenliği Thales.