Bulut kimliklerinin güvenliğini sağlamak kolay değildir. Kuruluşların, uygun yapılandırmayı onaylamak, kimliklerin net bir şekilde görülebilmesini sağlamak, kimin hangi eylemleri gerçekleştirebileceğini belirlemek ve anlamak ve hepsinden önemlisi, eylemlerin kötü niyetli veya uygunsuz olmadığından emin olmak için bir eylem listesi tamamlaması gerekir.
Ancak bulutun temel faydalarından biri, hızlı hareket etme ve hızla yenilik yapma yeteneğidir; bu, ekiplerin, bireysel erişim taleplerinin büyük akınıyla uğraşmak yerine, havluyu atıp tüm bulut kimliklerine yönetici ayrıcalıkları verebileceği anlamına gelir. Yalnızca AWS, Azure ve Google Cloud’dan 35.000’den fazla olası iznin bulunmasının temel nedeni budur.
Bulutta, geliştiriciler bilgi işlem, depolama ve veritabanı hizmetlerini kendi başlarına döndürebilme yeteneğine sahiptir, bu da ortamda gerçekte neyin çalıştığını bilmeyi zorlaştırır. Bulut karmaşıklığının arkasında, neredeyse her zaman kullanıcılara ve varlıklara aşırı izin verildiğini ve bunun da şirketi riske attığını göreceksiniz.
Bulut kimlik yönetimi gerçekten zorlu bir iştir, ancak kuruluşlar, özellikle de dört yaygın tuzaktan kaçınırlarsa, kimlik riskine maruz kalmayı ve kimlik tehditlerini önleme kapasitesine sahiptir.
Tuzak #1: Yanlış yapılandırmalar
Bulut kimliklerine bağlı yanlış yapılandırmalar, kuruluşları kötü niyetli aktörlere karşı savunmasız ve ihlallere daha yatkın hale getirir.
Yanlış yapılandırmaları önlemek için kuruluşların öncelikle bulut kaynaklarını ve hizmetlerini otomatik olarak keşfeden bir sistemi uygulaması gerekir. Buradan, zayıf ve varsayılan şifreler, sabit kodlanmış sırlar/anahtarlar ve joker karakter izinleri gibi kimlikle ilgili risklere yönelik yapılandırmaları değerlendirmek mümkündür.
Yanlış yapılandırmaları önlemek için görünürlüğün arttırılması da söz konusudur. İnternet Güvenliği Merkezi (CIS), PCI Güvenlik Standartları Konseyi ve Uluslararası Standardizasyon Örgütü (ISO), kuruluşların ortamlarında görünürlüğü nasıl artıracaklarını öğrenmelerine yardımcı olabilecek çerçeveler ve en iyi uygulamaları sağlar. Son olarak kuruluşlar her zaman kendilerine özgü ihtiyaçlarını karşılayacak özel politikalar yazmalıdır.
Güvenlik duruşunuz daha olgunsa, en riskli varlıkları tespit edebilen ve bir saldırganın yanlış yapılandırmadan tam olarak nasıl yararlanabileceği konusunda görünürlük sağlayabilen saldırı yolu analizi gibi yeniliklerle uyarı gürültüsünü azaltmayı düşünün.
Tuzak #2: Güvenliği hesaba katmadan IaC’den yararlanmak
DevOps ve Güvenlik ekipleri sıklıkla birbirleriyle anlaşmazlığa düşer. DevOps, uygulamaları ve yazılımları mümkün olduğu kadar hızlı ve verimli bir şekilde göndermek isterken Güvenliğin amacı süreci yavaşlatmak ve kötü aktörlerin içeri girmemesini sağlamaktır. Günün sonunda her iki taraf da haklı; hızlı geliştirme işe yaramaz yanlış yapılandırmalar veya güvenlik açıkları yaratıyorsa ve sürecin sonuna doğru itilirse güvenlik etkisiz oluyorsa.
Geçmişte BT altyapısının dağıtılması ve yönetilmesi manuel bir süreçti. Bu kurulumun yapılandırılması saatler veya günler sürebilir ve birden fazla ekip arasında koordinasyon gerektirebilir. (Ve vakit nakittir!) Kod olarak altyapı (IaC) tüm bunları değiştirir ve geliştiricilerin gerekli altyapıyı dağıtmak için yalnızca kod yazmalarına olanak tanır. Bu, DevOps’un kulaklarına hoş geliyor ancak güvenlik ekipleri için ek zorluklar yaratıyor.
IaC, altyapıyı geliştiricilerin eline bırakıyor; bu hız açısından harika ancak bazı potansiyel riskleri de beraberinde getiriyor. Bunu düzeltmek için kuruluşların, testi ve politika yönetimini otomatikleştirmek amacıyla IaC’deki yanlış yapılandırmaları bulup düzeltebilmesi gerekir. Potansiyel bulut yanlış yapılandırmalarını IaC ile ilişkilendirmek ve bunlar gerçekleşmeden önce kaynakta düzeltmeyi etkinleştirmek önemlidir. Ancak o zaman kuruluşlar IaC’den gerçek anlamda yararlanabilir ve güvenlik ve güvenilirlikten ödün vermeden hızla hareket edebilir.
Tuzak #3: Ayrıcalığınızı kontrol edin
Erişim izni verme konusunda en az ayrıcalıklı yaklaşım, tehlikeli kimliklerin bulut ortamına girmesini engellemenin gerçekten en iyi yoludur. Ama bu artık gerçekçi değil. Çoğu kullanıcıya hız ve yenilik uğruna erişim izni veriliyor ve bu yalnızca ileride sorunlara yol açıyor.
Herkesin yönetici erişimine ihtiyacı yoktur. Microsoft’un 2023 Bulut İzinleri Risklerinin Durumu raporu, bulut kimliklerinin %50’sine “süper yönetici” olarak erişim verilmesine rağmen izinlerin yalnızca %1’inin kullanıldığını ortaya koyuyor.
Bunu nasıl düzeltebiliriz? Görünürlükle başlayalım. Kuruluşların, bulut kullanıcılarının, kaynaklarının, gruplarının ve rollerinin dürüst ve güncel bir envanterini alabilmesi için öncelikle bulut kimliklerini ve ilgili yetkileri keşfetmesi gerekir. Hangi varlıkların ve izinlerin hangi oranda kullanıldığını anlamak için her bulut kimliğinin de analiz edilmesi ve ilişkilendirilmesi gerekir. Kullanım modelleri, hangi bulut kimliklerinin dikkat edilmesi gerektiğini belirlemenize yardımcı olabilir. Buradan, erişimi yalnızca kullanıcıların gerçekten kullanacağı kaynak tabanlı izinlerle nasıl sınırlayacağınızı belirleyebilirsiniz.
Tuzak #4: Daima savunmada
Ne yazık ki, en az ayrıcalıklı program, kimlik bilgilerinin ve hesapların ele geçirilmesini her zaman engelleyemeyecektir. Bu nedenle risk önleme ve tehdit algılama, bulut kimlik yönetimi açısından kritik öneme sahiptir.
Kuruluşların olağandışı davranışları takip etmek için çevrelerindeki insan ve insan dışı faaliyetlere aktif olarak göz kulak olmaları gerekir. Birleşik bir otomatik araç seti, büyük miktarda veriyi sürekli olarak toplayarak, izleyerek ve analiz ederek bu konuda yardımcı olabilir; bu da olağandışı davranışların veya kötü amaçlı tehditlerin hızlı bir şekilde tespit edilmesini kolaylaştırır.
Çözüm
Bu tuzaklardan kaçınmanın ilk adımı bulut kimlik ortamınızı daha iyi anlamaktır. Tüm bulut kimlikleri ve izinlerinin görünürlüğü sayesinde kuruluşunuz, devam eden tüm potansiyel tehditleri belirleyebilecek ve hangisinin gerçek risk oluşturduğunu daha kolay belirleyebilecektir.
Hangi kullanıcıların erişime neden olduğuna çok dikkat edin ve hem geliştirme hem de çalışma sırasında yanlış yapılandırmaları tespit edin. Bulut ortamınıza ve onun gerektirdiği güvenliğe dikkat etmeniz yalnızca daha hızlı ve çok daha düşük riskle yenilik yapmanıza yardımcı olacaktır.