Gartner’ın bulut harcamalarının 2023’te %20,7 artarak 600 milyar dolara (482,2 milyar sterlin) yaklaşacağını tahmin etmesiyle, son yıllarda bulut tabanlı teknolojileri benimseyen şirketlerin sayısında artış görüldü. Bulutun bu şekilde benimsenmesi, en yüksek büyüme oranına sahip olan Hizmet Olarak Altyapı (IaaS) ile sunulan esneklik, çeviklik ve ölçeklenebilir yapıdan kaynaklanırken, Hizmet Olarak Yazılım (SaaS) en yüksek harcama yapılan kategori olmaya devam ediyor .
Bulutu benimseyen kuruluşların BT ayak izleri, BT kaynakları son derece dinamik ve dağıtılmış hale gelirken BT ağ çevresi ile kesinlikle genişleyecek ve çevresiz bir ağ ortamına kayacaktır. Bulut ortamlarında, BT kaynakları sürekli olarak tedarik edildiğinden, yetkilendirme kaldırıldığından ve kaplar, bölgeler ve hatta bulut hizmeti sağlayıcıları arasında taşındığından, birkaç yeni güvenlik sorunu ortaya çıkar. Cloud Security Alliance (CSA) ve AlgoSec tarafından 2021 yılında yapılan bir anket, ağ güvenliğinin bulut projeleri için önde gelen güvenlik endişelerinden biri olduğunu ortaya koydu.
Bunun yanı sıra, bulut bilişimdeki diğer bir temel sorun, birden çok kuruluşta bulut Kimlik ve Erişim Yönetiminin (IAM) yönetilmesindeki karmaşıklıktır. CSA’nın Bulut Bilişime Yönelik En Büyük Tehditleri – Pandemic Eleven raporu, kimlik yönetimini günümüzün bir numaralı bulut tehdidi olarak listeledi çünkü “…bulut kaynaklarına erişim, ağ segmentasyonuna göre değil, öncelikle kimliğe göre belirlenir.” Başka bir deyişle, kullanıcının kimliği yeni çevredir.
Bu birkaç önemli fark ve zorluk göz önüne alındığında, çevre tabanlı güvenlik ve savunma gibi kurumsal ağları ve sistemleri siber tehditlere karşı korumak için yaygın olarak kullanılan tipik güvenlik paradigmaları[JS1] derinlemesine modeller, bulut ortamları için pek uygun olmayabilir. Örneğin, derinlemesine savunma modelinde, bir kullanıcının kurumsal BT ağında kimliği doğrulandıktan sonra güven oldukça gevşektir. Bununla birlikte, bu kimlik uzun bir süre boyunca doğrulanmış olabilir veya karanlık ağda veya Uber’in 2016 veri ihlali durumunda olduğu gibi diğer üçüncü taraf bulut hizmeti sağlayıcılarından birinin veri ihlali yoluyla ele geçirilmiş olabilir.[RM2] [GSY3] bir Uber çalışanının çalınan kimlik bilgilerinin kullanıldığı.
Önümüzdeki yıl daha da öne çıkacağına inandığım üç ana trend:
Sıfır güven çerçevelerinin benimsenmesi – “Asla Güvenme, Her Zaman Doğrula”
Bulut teknolojilerini içeren artan sayıda veri ihlaliyle birlikte, 2023’te bulut IAM’deki en önemli trendlerden biri, kuruluşların veri ihlali risklerini azaltmak için sıfır güven güvenlik modellerini benimseme oranlarındaki artış olacaktır. Sıfır güven, her kullanıcının, cihazın ve ağın güvenilir olmadığını ve herhangi bir kaynağa erişmeden önce sürekli olarak doğrulanması ve yetkilendirilmesi gerektiğini varsayan bir güvenlik konseptidir. Bu, sistemlere ve verilere erişimin kullanıcı kimliği, cihaz güvenliği ve konum gibi faktörlere göre kısıtlandığı anlamına gelir. Bu konseptin savunucuları arasında Google’dan Sundar Pichai, Microsoft’tan Satya Nadella ve hatta Apple’ın CEO’su Tim Cook yer alıyor. ABD Savunma Bakanlığı (DoD), bu yaklaşımın yalnızca yetkili kullanıcıların hassas bilgilere erişmesini sağlayarak veri ihlalleri ve siber saldırı riskini azalttığına inanıyor. Google tarafından geliştirilen sıfır güven çözümü BeyondCorp buna bir örnektir. Erişim kontrollerini uygulamak ve bulut kaynaklarına güvenli erişim sağlamak için cihaz ve kullanıcı bağlamını kullanır.
Sıfır güven uygulamasında sürekli kimlik doğrulama ve yetkilendirmeye ihtiyaç olduğundan, kuruluşların kendi ihtiyaçlarına göre stratejilerini, politikalarını ve teknolojilerini özetleyen kapsamlı bir sıfır güven mimarisi planı geliştirmeleri çok önemlidir. Bunun yanı sıra, ISACA’nın Siber Güvenliğin Durumu 2022 anketinde bulut bilgi işlem becerileri açığı ikinci en büyük beceri açığı olarak bulunduğundan, sıfır güven planının uygulanması, çalışanlara farkındalık yaratılmasını ve gerekli eğitimin verilmesini gerektirecektir. davranışlarından ne beklenmesi gerektiği gibi. Davranış değişiklikleri, çok faktörlü kimlik doğrulama gibi daha güçlü kullanıcı kimlik doğrulama yöntemlerine geçişi içerecektir.
Otomasyona yönelik artan ihtiyaç – kurtarmaya AI/ML
BT kaynaklarının bulut ortamlarının benimsenmesindeki dinamizmleri nedeniyle, kuruluşların güvenlik operasyonları yönetimini düzene sokmak ve sıfır güven benimsemelerinden kaynaklanabilecek istek yorgunluğu nedeniyle insan hatası riskini azaltmak için otomasyona güvenmeleri gerekecektir. Bu tür bulut IAM otomasyon ihtiyaçları, bulut IAM’de Yapay Zeka (AI) ve Makine Öğrenimi (ML) teknolojilerinin entegrasyonu olan başka bir trende yol açacaktır. Örneğin yapay zeka, kullanıcı davranışını analiz etmek ve gürültüyü filtreleyerek bir güvenlik ihlaline işaret edebilecek anormallikleri tespit etmek için kullanılabilir. Makine öğrenimi, bu anormalliklerden ders çıkarmak ve sistemin genel güvenliğini iyileştirmek için kullanılabilir.
Yapay zeka ve makine öğrenimini teknolojilerine dahil eden Bulut IAM çözümleri, ayrıntılı erişim ilkelerinin yönetimini ve uygulanmasını sağlayan CloudKnox gibi Bulut Altyapısı Yetkilendirme Yönetimi (CIEM) çözümlerini içerir. Yapay zeka ve makine öğrenimi teknolojileri, verimlilik ve doğruluk için veri beslemelerine dayandığından, görünürlük ve izleme, kuruluşların uç noktalar, ağ trafiği ve uygulamalar ve kullanıcı davranışları genelinde entegre izlemenin dikkatli bir şekilde planlanması yoluyla elde etmesi gereken temel bileşenlerden bazılarıdır. -Potansiyel güvenlik tehditleri hakkında zamanlı tehdit istihbaratı.
Hizmet Olarak IAM – Yükselen yerel bulut kimliği
Görmeyi bekleyebileceğimiz üçüncü önemli trend, daha fazla şirketin Hizmet olarak bulut IAM’yi (IAMaaS) benimsemesidir. IAMaaS, abonelik temelinde IAM işlevselliği sağlayan bulut tabanlı bir çözümdür ve artan sayıda IAMaaS sağlayıcısı, sıfır güven, SIEM ve CIEM çözümlerine entegrasyon sunmaktadır. Bu yaklaşım, öncelikle şirketlerin IAM altyapılarını yönetme ve sürdürme ihtiyacını ortadan kaldırarak maliyetleri ve karmaşıklığı azaltırken, kuruluşların sistemlerine ve verilerine kullanıcı erişimini yönetmesine, kullanıcıların kimliğini doğrulamasına ve birden çok bulut platformunda ve uygulamasında erişim ilkelerini uygulamasına olanak tanır.
Ancak, Okta’nın yaşadığı gibi son veri ihlalleri, IAMaaS ile ilişkili risklerin altını çizdi. İhlal, üçüncü taraf yüklenicisi Sykes’tan kaynaklanan bir ihlal nedeniyle meydana geldi. Bu tür veri ihlalleri, IAMaaS kullanırken güçlü güvenlik önlemleri uygulamanın önemini vurgulamaktadır. Kuruluş liderleri, kanıtlanmış bir güvenlik geçmişine sahip saygın bir IAMaaS sağlayıcısı seçtiklerinden ve IAM sistemlerini güvence altına almak için yazılımları düzenli olarak güncellemek ve çok faktörlü kimlik doğrulamayı kullanmanın yanı sıra uygun bağımsız tasdiklere sahip olmak gibi en iyi uygulamaları sürekli olarak uyguladıklarından emin olmalıdır. BT ortamlarının. Yönetmelikleri ve uyumluluğu gözden geçirmeye yönelik artan bir ihtiyaç var
Bulutu benimsemedeki güçlü büyüme devam ettikçe, bulut IAM, modern iş operasyonlarının giderek artan kritik bir bileşeni haline gelecektir. Bulut IAM’nin geleceğini şekillendirecek birkaç önemli trend arasında sıfır güven güvenlik modellerinin benimsenmesi, otomasyonu desteklemek için yapay zeka ve makine öğrenimi teknolojilerinin entegrasyonu ve IAMaaS’nin benimsenmesi yer alıyor.
Bu eğilimlerin ve potansiyel fırsatların yanı sıra altta yatan risklerin ve zorlukların farkında olan kuruluşlar, sistemlerine ve verilerine kullanıcı erişimini yönetmek, veri ihlali risklerini azaltmak ve genel güvenlik duruşlarını iyileştirmek için daha donanımlı olacaktır. Bununla birlikte, her teknolojiye göre, kuruluşların bulut IAM’deki bu en iyi uygulamaları ve eğilimleri desteklemek için doğru becerilere sahip yeteneklerle desteklenen güçlü bir güvenlik temeline sahip olduklarından emin olmaları gerekir.
Ser Yoong Goh, ISACA Gelişen Trendler Çalışma Grubunun bir üyesidir.