Bulut güvenliği, bulutun ilk benimsendiği çılgın batı günlerinden bu yana kesinlikle uzun bir yol kat etmiş olsa da gerçek şu ki, bugün çoğu kuruluşun bulut güvenliği uygulamalarını gerçekten olgunlaştırması için kat edilmesi gereken uzun bir yol var. Bu da güvenlik olayları açısından kuruluşlara çok büyük maliyetlere neden oluyor.
Bir Vanson Bourne araştırması Bu yılın başlarında yapılan bir araştırma, geçen yıl kuruluşların maruz kaldığı ihlallerin neredeyse yarısının buluttan kaynaklandığını gösterdi. Aynı çalışma, ortalama bir kuruluşun geçen yıl bulut ihlalleri nedeniyle neredeyse 4,1 milyon dolar kaybettiğini ortaya çıkardı.
Dark Reading yakın zamanda bulut güvenliğinin bugünkü durumunu tartışmak için sıfır güven güvenliğinin vaftiz babası John Kindervag ile görüştü. Forrester Research’te analist olarak çalıştığı sırada Kindervag, sıfır güven güvenlik modelinin kavramsallaştırılmasına ve yaygınlaştırılmasına yardımcı oldu. Kendisi şu anda Illumio’da baş misyoner olarak görev yapıyor ve burada yaptığı yardımların arasında hala sıfır güvenin büyük bir savunucusu ve bunun bulut çağında güvenliği yeniden tasarlamanın önemli bir yolu olduğunu açıklıyor. Kindervag’a göre kuruluşların bu konuda başarıya ulaşabilmeleri için aşağıdaki acı gerçeklerle yüzleşmeleri gerekiyor.
1. Sadece Buluta Geçerek Daha Güvenli Olamazsınız
Kindervag, günümüzün bulutla ilgili en büyük efsanelerinden birinin, bulutun şirket içi ortamların çoğundan doğası gereği daha güvenli olduğu olduğunu söylüyor.
“Buluta dair temel bir yanlış anlama var; bir şekilde bulutun içine yerleşik olarak daha fazla güvenlik var, sadece buluta giderek buluta giderek daha güvende olursunuz” diyor.
Sorun şu ki, hiper ölçekli bulut sağlayıcıları altyapıyı koruma konusunda çok iyi olsalar da, müşterilerinin güvenlik duruşu üzerindeki kontrol ve sorumlulukları çok sınırlıdır.
“Birçok kişi güvenliği bulut sağlayıcıya devrettiklerini düşünüyor. Riski aktardıklarını düşünüyorlar” diyor. “Siber güvenlikte riski asla devredemezsiniz. Eğer bu verinin koruyucusu iseniz, onu sizin için kim tutuyor olursa olsun, verinin koruyucusu da daima siz olursunuz.”
Bu nedenle Kindervag sık sık tekrarlanan şu ifadenin büyük bir hayranı değil “ortak sorumluluk” diyor ve bu da sanki yüzde 50-50’lik bir iş ve emek bölümü varmış gibi geliyor. “Düzensiz el sıkışma“Forrester’daki eski meslektaşı James Staten tarafından icat edildi.
“Temel sorun şu ki, insanlar ortak bir sorumluluk modeli olduğunu düşünüyor ve bunun yerine dengesiz bir el sıkışma var” diyor.
2. Hibrit Bir Dünyada Yerel Güvenlik Kontrollerini Yönetmek Zordur
Bu arada, sağlayıcıların son on yılda oluşturduğu gelişmiş yerel bulut güvenlik kontrollerinden bahsedelim. Birçok sağlayıcı, müşterilere iş yükleri, kimlikleri ve görünürlükleri üzerinde daha fazla kontrol sunarak iyi bir iş çıkarmış olsa da, bu kalite tutarsızdır. Kindervag’ın dediği gibi, “Bazıları iyi, bazıları değil.” Hepsindeki asıl sorun, tek bir sağlayıcı ortamının izolasyonunun ötesinde, gerçek dünyada bunların yönetilmesinin zor olmasıdır.
“Bunu yapmak için çok fazla insan gerekiyor ve bunlar her bulutta farklı. Sanırım son beş yılda konuştuğum her şirketin çoklu bulut ve hibrit modeli var ve her ikisi de aynı anda gerçekleşiyor. ,” diyor. “Hibrit, ‘Şirket içi malzemelerimi ve bulutlarımı kullanıyorum ve birden fazla bulut kullanıyorum ve tek bir uygulama için farklı mikro hizmetlere erişim sağlamak amacıyla birden fazla bulut kullanıyor olabilirim.’ Bu sorunu çözmenin tek yolu birden fazla bulutta yönetilebilecek bir güvenlik kontrolüne sahip olmaktır.”
Sıfır güvenin buluta taşınması konusundaki tartışmaları yönlendiren en büyük faktörlerden birinin bu olduğunu söylüyor.
“Sıfır güven, verileri veya varlıkları nereye koyarsanız koyun işe yarar. Bulutta olabilir. Şirket içinde olabilir. Bir uç noktada olabilir” diyor.
3. Kimlik Bulutunuzu Kurtarmaz
Bugünlerde bulut kimlik yönetimine bu kadar çok vurgu yapılması ve sıfır güvende kimlik bileşenine orantısız bir ilgi gösterilmesi nedeniyle, kuruluşların kimliğin buluta sıfır güven için dengeli bir kahvaltının yalnızca bir parçası olduğunu anlaması önemlidir.
Kindervag, “Sıfır güven anlatısının büyük bir kısmı kimlik, kimlik ve kimlikle ilgilidir” diyor. “Kimlik önemlidir, ancak politikada kimliği sıfır güven içinde tüketiyoruz. Her şeyin sonu bu değil. Tüm sorunları çözmüyor.”
Kindervag’in anlamı, sıfır güven modelinde kimlik bilgilerinin kullanıcılara belirli bir bulut veya ağ içindeki hiçbir şeye otomatik olarak erişim hakkı vermemesidir. Politika, belirli varlıklara tam olarak neye ve ne zaman erişim verileceğini sınırlar. Kindervag, sıfır güven modelinin haritasını çıkarmaya başlamadan çok önce uzun süredir ağların, iş yüklerinin, varlıkların ve verilerin bölümlendirilmesinin savunucusuydu. Açıkladığı gibi, sıfır güven erişimini politikaya göre tanımlamanın özü, her koruma yüzeyine erişen farklı türdeki kullanıcıların risk düzeyi, herhangi bir kimlik bilgisine eklenecek politikaları tanımlayacağından, işleri “koruma yüzeylerine” bölmektir.
“Benim görevim bu, insanların korumaları gereken şeylere odaklanmasını sağlamak, bu önemli şeyleri çeşitli koruma yüzeylerine koymak, tıpkı PCI kredi kartı veritabanınızın kendi koruma yüzeyinde olması gerektiği gibi. İK veritabanınız kendi koruma yüzeyinde olmalıdır. IoT sisteminiz veya OT sisteminiz için HMI’nız kendi koruma yüzeyinde olmalıdır” diyor. “Problemi bu küçük parçalara ayırdığımızda, onları tek tek çözüyoruz ve bunları birbiri ardına yapıyoruz. Bu, onu çok daha ölçeklenebilir ve yapılabilir hale getiriyor.”
4. Pek Çok Firma Neyi Korumaya Çalıştığını Bilmiyor
Kuruluşlar, buluttaki koruma yüzeylerini nasıl bölümlere ayıracaklarına karar verirken, öncelikle neyi korumaya çalıştıklarını açıkça tanımlamaları gerekir. Bu çok önemlidir çünkü her varlık, sistem veya süreç kendine özgü bir risk taşıyacaktır ve bu, erişim politikalarını ve etrafındaki sertleşmeyi belirleyecektir. Şaka şu ki, birkaç yüz kuruş için 1 milyon dolarlık bir kasa inşa edemezsiniz. Buna eşdeğer bir bulut, hassas sistemlerden izole edilmiş ve hassas bilgileri barındırmayan bir bulut varlığının etrafına tonlarca koruma koymak olacaktır.
Kindervag, kuruluşların bulutta veya ötesinde neyi korudukları konusunda net bir fikre sahip olmamalarının inanılmaz derecede yaygın olduğunu söylüyor. Aslına bakılırsa, bugün çoğu kuruluşun, bırakın neyin korunması gerektiğini, bulutta neyin olduğu veya buluta neyin bağlandığına dair bile net bir fikri bile yok. Örneğin, Cloud Security Alliance araştırması kuruluşların yalnızca %23’ünün bulut ortamlarında tam görünürlüğe sahip olduğunu gösteriyor. Bu yılın başlarında yapılan Illumio araştırması, kuruluşların %46’sının, kuruluşlarının bulut hizmetlerinin bağlantısı konusunda tam görünürlüğe sahip olmadığını gösteriyor.
“İnsanlar aslında neyi başarmaya çalıştıklarını, neyi korumaya çalıştıklarını düşünmüyorlar” diyor. Kindervag, bunun, süreçte korumayı uygun şekilde ayarlamadan şirketlerin çok fazla güvenlik parasını boşa harcamasına neden olan temel bir sorun olduğunu açıklıyor. “Bana gelip ‘Sıfır güven işe yaramıyor’ diyecekler, ben de ‘Peki neyi korumaya çalışıyorsun?’ diye soracağım. ve ‘Bunu henüz düşünmedim’ diyecekler ve benim cevabım ‘O halde buna yakın bile değilsin’ sıfır güven sürecini başlatıyoruz.”
5. Bulutta Yerel Geliştirme Teşvikleri Kullanım Dışı
DevOps uygulamaları ve bulut tabanlı geliştirme, bulut platformları ve araçlarının sağladığı hız, ölçeklenebilirlik ve esneklik sayesinde büyük ölçüde geliştirildi. Güvenlik bu karışıma uygun şekilde eklendiğinde iyi şeyler olabilir. Ancak Kindervag, çoğu geliştirme kuruluşunun bunu gerçekleştirmek için gereken şekilde teşvik edilmediğini söylüyor; bu da bulut altyapısının ve ona dayanan tüm uygulamaların bu süreçte riske atıldığı anlamına geliyor.
“DevOps uygulaması çalışanlarının BT’nin Ricky Bobby’leri olduğunu söylemek hoşuma gidiyor. Onlar sadece hızlı ilerlemek istiyorlar. Sonunda ihlale uğrayan bir şirketin geliştirme sorumlusuyla konuştuğumu hatırlıyorum ve ona ne yaptığını soruyordum. Kindervag, “Hiçbir şey, güvenlik umurumda değil” dedi. “‘Güvenliği nasıl umursamazsın?’ diye sordum. ve şöyle diyor: ‘Çünkü bunun için bir KPI’m yok. KPI’m, takımımda günde beş itme yapmam gerektiğini söylüyor ve bunu yapmazsam bonus alamıyorum.'”
Kindervag, bunun yalnızca AppSec’te değil, bulut ve ötesinde sıfır güvene geçişteki en büyük sorunlardan birinin bir örneği olduğunu söylüyor. Çok fazla kuruluş bunu gerçekleştirmek için doğru teşvik yapılarına sahip değil ve aslında birçoğunun güvensiz uygulamaları teşvik eden ters teşvikleri var.
Bu nedenle, işletmelerde sadece teknoloji uzmanlarını değil aynı zamanda planlama, tasarım ve devam eden karar alma süreçlerinde iş liderliğini de içeren sıfır güven mükemmellik merkezleri oluşturmanın savunucusudur. Bu çapraz fonksiyonlu ekipler bir araya geldiğinde, güçlü bir şirket yöneticisi öne çıkıp organizasyonun bu yönde ilerleyeceğini söylediğinde “teşvik yapılarının gerçek zamanlı olarak değiştiğini” gördüğünü söylüyor.
Kindervag, “En başarılı sıfır güven girişimleri, iş dünyası liderlerinin dahil olduğu girişimlerdi” diyor. “Bir üretim şirketinde, şirketin en üst düzey liderlerinden biri olan genel başkan yardımcısının üretim ortamında sıfır güven dönüşümünün şampiyonu olduğu bir örnek vardı. Bu çok sorunsuz geçti çünkü hiçbir engelleyici yoktu.”