Bu Help Net Security röportajında Upwind CEO’su Amiram Shachar, hibrit ve çoklu bulut ortamlarında bulut güvenliğinin karmaşıklıklarını tartışıyor. Çeviklik ve güvenlik arasında bir denge kurmak için yapılandırmalara ilişkin derinlemesine görünürlük ve gerçek zamanlı içgörülere olan ihtiyacın altını çiziyor.
Shachar ayrıca yanlış yapılandırmaları gidermeye ve uyumluluğu sağlamaya yönelik stratejiler paylaşıyor ve bulut dağıtımlarında risk yönetimine proaktif bir yaklaşım öneriyor.
Hibrit ve çoklu bulut kurulumlarının norm haline gelmesiyle bulut ortamları daha karmaşık hale geliyor. Kuruluşlar bu platformlarda güvenliği güçlü tutarken çeviklik ihtiyacını nasıl dengeleyebilir?
Etkili bir güvenlik programı kuruluşun çevikliğini sağlamalıdır. Hibrit ortamlar çalıştıran kuruluşlar, müşterilerinin emniyet ve güvenliğinden ödün vermeden hızlı hareket edebilme güvenine ihtiyaç duyar. Bunu başarmak için güvenlik ekiplerinin altyapılarının (bulut veya şirket içi), iş yüklerinin ve uygulamaların yapılandırmaları, davranışları ve bağlamı hakkında derinlemesine görünürlüğe ihtiyacı vardır.
Kuruluşlar tüm katmanlarda bu görünürlüğe sahip olduğunda, gerçek riski anlamak çok daha kolay hale gelir ve ekiplerin odaklanmış kalmasına olanak tanır. Gerçek risk bağlamı ile geliştiriciler, korunmak ve gerçek tehditleri her fırsatta engellemek yerine yakalamak için doğru korkulukların, kontrollerin ve görünürlüğün mevcut olduğunu bilerek çok daha özgürce hareket edebilir.
Bu bilgi derinliğine ulaşmanın en iyi yolu, gerçek zamanlı, çalışma zamanı öngörülerini ortamın statik, konfigürasyona dayalı analiziyle birleştirmektir. Güvenlik için çalışma zamanı içgörülerinden yararlanmak, onu geliştirme sürecinin kusursuz bir parçası haline getirerek güvenlik ve DevOps ekiplerinin birlikte daha sorunsuz çalışmasına olanak tanır. Güvenlik, yeniliği yavaşlatmak yerine iş akışının doğal bir parçası haline gelir ve korumadan ödün vermeden daha hızlı büyümeyi ve daha iyi işbirliğini mümkün kılar.
Yanlış yapılandırmalar ve görünürlük eksikliği, bulut güvenliğindeki en büyük zorluklardan bazılarıdır. Bu sorunları çözmek için hangi stratejileri önerirsiniz?
Öncelikle görünürlük sorununu çözmek, yanlış yapılandırma sorununu çözmeyi çok daha kolay hale getirir. Bulutun yükselişi, kuruluşlardaki geliştiriciler tarafından özgürce kullanılan binlerce benzersiz yapılandırmayı temsil eden yüzlerce yeni hizmeti tanıttı. Bu durum, güvenlik ekiplerinin, çoğu zaman iş açısından risk oluşturmayan alanlarda, yapılandırmaları kilitleme ve geliştiricileri eğitme konusunda kaybedilen bir mücadele vermesine neden oldu.
Öncelikle görünürlük sorununu ele almak, güvenlik ekiplerinin gerçek riski anlamasını ve kuruluş genelindeki yanlış yapılandırmaları çok daha hızlı düzeltmesini sağlar. Örnek olarak binlerce geliştiricinin sahip olduğu yüzlerce varlıkta aynı yanlış yapılandırmayla karşı karşıya kalan birçok ekiple karşılaşıyoruz. Varlıkların davranışlarına ilişkin doğru görünürlük olmadan kuruluşların her bir ekibi tek tek incelemesi, riski açıklaması, iş yüklerinin gerçekten yanlış yapılandırmadan yararlanıp yararlanmadığını kontrol etmesi ve ardından bunu buna göre yapılandırması gerekir; bu aslında imkansız bir görevdir.
Çalışma zamanı içgörüleri sayesinde güvenlik ekipleri, yanlış yapılandırmalardan hangi belirli varlıkların yararlandığını, bunlara hangi geliştiricilerin sahip olduğunu ve etraflarındaki tüm ilgili risk bağlamlarını anında anlar. Bu, tüm Ar-Ge organizasyonunu kapsayan, 6 ay sürebilecek bir projeyi, bir günde tamamlanan ve birkaç kişinin dahil olduğu basit bir göreve dönüştürüyor.
Bir kuruluşun güvenlik standartlarını karşıladıklarından emin olmak için üçüncü taraf bulut sağlayıcılarıyla çalışırken dikkate alınması gereken bazı önemli hususlar nelerdir ve kuruluşlar, paylaşılan sorumluluk modelleriyle ilişkili riskleri nasıl azaltabilir?
Bir Bulut Hizmet Sağlayıcısı (CSP) seçerken, kuruluşunuzun bulut güvenliğinin kendi tarafıyla ilişkili sorumluluğa hazır olmasını sağlamak için, onların özel paylaşılan sorumluluk modelini derinlemesine anlamak önemlidir. Sorumluluklar açıkça tanımlandıktan sonra müşteri, verilerini, uygulamalarını ve altyapısını güvence altına almak için bir plan oluşturabilir.
Her CSP’nin farklı bir sorumluluk modeli vardır; bu, CSP’nin kapsadığından emin olduğu ve müşterinin sorumlu olduğu farklı temel alanlar anlamına gelir. Ancak bu farklı modellere rağmen Gartner, 2025 yılına kadar bulut güvenliği arızalarının %99’unun müşterinin hatası olacağını tutarlı bir şekilde öngördü ve bu, CSP’ler için de geçerli.
Bunu akılda tutarak kuruluşlar, bulut güvenliği arızalarının büyük çoğunluğunun muhtemelen kendilerinden kaynaklandığının farkında olmalı ve ortamlarının güvenliğini sağlamak için güçlü bulut güvenlik araçlarını ve uygulamalarını kullanarak bu riski etkin bir şekilde azaltmalıdırlar. Müşteriler, bir araç seçerken, üretim ortamlarındaki tehditlere karşı aktif koruma sağlayan çalışma zamanı izlemeyi içeren çözümlere öncelik vermeli ve gerçek çevresel riske dayalı olarak risk bulgularına öncelik vermelidir. Bu, ekiplerin çabalarını en kritik risklerini düzeltmeye odaklamasına ve ortak sorumluluk modelinin kendi tarafıyla ilişkili riskleri proaktif bir şekilde azaltmalarına olanak tanır.
Bulutun benimsenmesi arttıkça mevzuat ve yasal uyumluluk da daha karmaşık hale geliyor. Kuruluşların bulutta karşılaştığı en önemli uyumluluk zorlukları nelerdir ve cezalardan veya ihlallerden kaçınmak için bu karmaşıklıkları en iyi şekilde nasıl yönetebilirler?
Kuruluşların karşılaştığı en büyük zorluklardan biri, özellikle bu ortamlar oldukça dinamik olduğunda ve alanda doğru uzmanlığa sahip olmayan birden fazla paydaş tarafından dağıtıldığında, çeşitli bulut ortamlarında tutarlı uyumluluğu sürdürmektir. Çözüm ikili bir yaklaşım benimsemekte yatıyor.
İlk olarak, ilgili paydaşları eğitmek ve tasarım gereği uyumlu iş yüklerini dağıtmak için çerçeveler ve en iyi uygulamaları sağlamak. Ardından, hassas veri keşfi, ağ akışları ve iş yükü yapılandırmalarında sürekli görünürlük ve çalışma zamanında uyumluluğu doğrulama becerisine sahip olmak. Son olarak, uyumlu olmayan iş yüklerini gerekli düzenleyici SLA’lar kapsamında hızlı bir şekilde düzelttiğinizden emin olun.
CIO’lar ve CISO’lar, özellikle hızlı hareket eden bulut dağıtımlarında iş inovasyonu ve hızını bulut güvenliği önlemlerini uygulama ihtiyacıyla nasıl dengeleyebilir?
İş inovasyonunu güçlü bulut güvenliği ihtiyacıyla dengelemek, CIO’lar ve CISO’lar için en önemli önceliklerden biridir. Hızın kritik olduğu hızlı hareket eden bulut dağıtımlarında güvenliğin risk konusunda derinlemesine bir anlayışa sahip olması gerekir. Geliştiricilerden sorunlu her paketi veya yanlış yapılandırmayı düzeltmelerini istemek, çoğu kuruluş için onları önemli ölçüde yavaşlatan nafile bir çabadır.
Bunu başarmanın en iyi yolu, çalışma zamanı bağlamını geliştirme kararlarına geri getirmek, bir sanal alandaki aynı güvenlik açığının, hassas verileri barındıran, internete açık, üretim iş yükünde çalışan güvenlik açığından daha az önemli olduğunu anlamaktır.
Kuruluşlar, güvenlik önlemlerini çalışma zamanından geliştiricilere kadar dahil ederek, iş süreçlerini kesintiye uğratmadan veya inovasyonu engellemeden bulut altyapılarını dinamik bir şekilde güvence altına aldıklarından emin olabilirler. Bu, güvenlik ekiplerinin tehditleri gerçek zamanlı olarak tespit etmesine ve bunlara yanıt vermesine olanak tanır ve onlara koruma ile hız ihtiyacını dengeleme yeteneği verir. Otomasyon da burada önemli bir rol oynuyor çünkü ortam ne kadar hızlı gelişirse gelişsin ekiplerin güvenliği geniş ölçekte sürdürmesine olanak tanıyor.