Bu makalede, bulut güvenliği stratejinizi oluşturmak için atabileceğiniz bazı ilk adımları tanımlayacağız. Bunu, CIS Kritik Güvenlik Kontrolleri (CIS Kontrolleri) ve CIS Karşılaştırmaları kapsamında yer alan bireysel, somut eylemlerin bulut güvenliği üzerindeki etkisini tartışarak yapacağız.
Veri koruma ve uygulama güvenliği: Bulut güvenliği stratejisinin temeli
Controls v8 ve CIS Controls Cloud Companion Guide ile çalışırken, benzersiz bulut güvenliği çalışmalarınızı üzerine inşa edebileceğiniz bir temel oluşturmanız gerekir. Bu amaçla, Kontrolleri belirli bir Bilgi Teknolojisi/Operasyonel Teknoloji (IT/OT) haritası bağlamında uyarlayabilirsiniz.
Bulut güvenliği yolculuğunuzun başlangıcında bir etki yaratmanıza yardımcı olmak için özellikle iki Kontrole odaklanmanızı öneririz: CIS Kontrolü 3 – Veri Koruma ve CIS Kontrolü 16 – Uygulama Güvenliği.
CIS Kontrolü 3 ile Bulut Veri Güvenliği
CIS Control 3’ün amacı, buluttaki verilerinizi korumaya yönelik süreçler oluşturmanıza yardımcı olmaktır. Tüketiciler bulut veri güvenliğinden kendilerinin sorumlu olduğunu her zaman bilmezler; bu da yeterli kontrollere sahip olamayabilecekleri anlamına gelir. Örneğin, uygun görünürlük olmadan bulut tüketicileri, verilerinin haftalar, aylar ve hatta yıllar boyunca sızdırıldığının farkında olmayabilir.
CIS Control 3, aşağıdaki ekran görüntüsünde gösterildiği gibi bulut tabanlı verilerinizi tanımlayarak, sınıflandırarak, güvenli bir şekilde işleyerek, saklayarak ve imha ederek bu açığı nasıl kapatacağınız konusunda size yol gösterir.
CIS Control 3: Data Protection’ın ekran görüntüsü
CIS Kontrollü Bulut Uygulama Güvenliği 16
Bulut tabanlı verilerinizi korumanın yanı sıra, bulut uygulama güvenliğinizi CIS Control 16’ya uygun olarak yönetmeniz gerekir. Bu alandaki sorumluluğunuz, şirket içi ekipleriniz tarafından geliştirilen ve harici ürün satıcılarından satın alınan uygulamalar için geçerlidir.
Bulut tabanlı uygulamalarınızdaki güvenlik açıklarını önlemek, tespit etmek ve düzeltmek için insanları, süreçleri ve teknolojiyi bir araya getiren kapsamlı bir programa ihtiyacınız var. Sürekli Güvenlik Açığı Yönetimi, CIS Kontrolü 7’de tartışıldığı gibi, bu programın merkezinde yer almaktadır. Daha sonra, dışarıdan edinilen yazılımlar için tedarik zinciri risk yönetimini ve kurum içinde üretilen uygulamalar için güvenli yazılım geliştirme yaşam döngüsünü (SDLC) kullanarak güvenlik çabalarınızı genişletebilirsiniz.
Bulut tabanlı varlıklarınızı MFA ile güçlendirme, genel erişim eksikliği
Temeliniz olarak CIS Kontrolleri 3 ve 16’yı alarak, buluttaki hesaplarınızı ve iş yüklerinizi Kontrollerle eşlenen CIS Karşılaştırmalarının güvenlik önerileriyle sağlamlaştırarak ilerlemenizi geliştirebilirsiniz.
CIS Karşılaştırmaları hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdaki videomuza göz atın.
Örnek olarak CIS Amazon Web Services Foundations Benchmark v3.0.0’ı kullanırsak, buluttaki verilerinizi korumak için uygulayabileceğiniz iki öneriyi burada bulabilirsiniz.
‘Kök’ kullanıcı hesabı için MFA’yı ayarlayın
‘Kök’ kullanıcı hesabı, AWS hesabınızdaki en ayrıcalıklı kullanıcıdır. Bir güvenlik ihlali durumunda, bir siber tehdit aktörü (CTA), AWS ortamınızda depolanan hassas verilere erişmek için ‘kök’ kullanıcı hesabınızı kullanabilir.
Bu tehdidi ortadan kaldırmak için ‘kök’ kullanıcı hesabınızı korumanız gerekir. Bunu, şirketiniz tarafından yönetilen özel bir cihaz kullanarak çok faktörlü kimlik doğrulamayı (MFA) ayarlamanızı öneren Öneri 1.5’i uygulayarak yapabilirsiniz. ‘Kök’ kullanıcı hesabınızı MFA ile korumak için kişisel bir cihaz kullanmayın; çünkü bu, cihaz sahibinin şirketten ayrılması, numarasını değiştirmesi veya cihazını kaybetmesi durumunda hesabın kilitlenmesi riskini artırabilir.
S3 klasörlerinizde genel erişimi engelleyin
Amazon Simple Storage Service (S3), bir web arayüzü kullanarak nesneleri AWS ortamınızda depolamanıza olanak tanır. Sorun herkesin S3 klasörlerini güvenli bir şekilde yapılandırmamasıdır. Varsayılan olarak, S3 klasörleri oluşturulduklarında genel erişime izin vermez. Ancak yeterli izinlere sahip bir Kimlik ve Erişim Yönetimi (IAM) sorumlusu, S3 klasörlerinize genel erişim sağlayabilir. Bunu yaparken, yanlışlıkla kovalarınızı ve ilgili nesnelerini açığa çıkarabilirler.
Tavsiye 2.1.4’ü uygulayarak bu riski azaltabilirsiniz. Bu kılavuz, hem bireysel klasör ayarlarınızda hem de AWS hesap ayarlarınızda S3 klasörlerini “Genel erişimi engelleyecek” şekilde yapılandırdığınızdan emin olmayı içerir. Bu şekilde, herkesin S3 klasörlerinizden herhangi birine ve AWS hesabınıza bağlı içerdiği nesnelere erişmesini engellemiş olursunuz.
Bulut güvenliğine ilişkin en iyi uygulamaları kullanımınızı kolaylaştırma
Yukarıda tartışılan Kontroller ve Karşılaştırmalar önerileri, bulut güvenliği stratejinizi uygulamada ilk adımları atmanıza yardımcı olacaktır. Buradan, Karşılaştırmaların güvenlik önerilerine göre önceden güçlendirilmiş sanal makine görüntüleri (VMI’ler) olan CIS Güçlendirilmiş Görüntüleri kullanarak teknolojilerinizi güvenli bir şekilde yapılandırırken zamandan tasarruf edebilirsiniz.
Bulut güvenliği yolculuğunuzun bir sonraki aşamasına başlamaya hazır mısınız?
Katkıda bulunan yazar: Charity Otwell, CIS Kontrolleri Direktörü, CIS