Kuruluşlar verileri bulutta depolayıp işledikçe, yöneticilerin, veri sahiplerinin ve CISO’ların yanlış yapılandırma olasılığı veya hassas verilerin özellikle amaçlanan coğrafi bölgenin dışında kalan genel bulut hizmetlerine sızdırılmasına yol açacak aksilikler konusunda artan endişeleri var. .
Gartner, 2019’da, 2025 yılına kadar genel bulut kullanımını kontrol edemeyen kuruluşların %90’ının hassas verileri uygunsuz bir şekilde paylaşacağını öngördü.
Peki bulut hizmetlerinin tüm özelliklerinden yararlanan sağlam çözümler oluşturmak, hassas verilerinizi nasıl daha iyi koruyabilir?
Temel bilgileri doğru öğrenin
Kuruluşlar, daha düşük maliyetlerden yararlanmak, daha fazla iş erişimine ulaşmak, verileri daha hızlı işlemek ve daha hızlı büyümek için bulutu benimsiyor. Açık hedeflere sahip pragmatik bir bulut dönüşüm stratejisi, bir kuruluşun güvenli ve çevik bir bulut benimseme yoluna yerleştirilmesinde kritik öneme sahiptir. Bu stratejinin önemli bir kısmı kuruluşların bulut ortamlarında çalışma şekillerini destekleyen yeni güvenlik kültürlerini benimsemeleridir.
Bu tür bir kültür değişikliği, veri varlıklarına, bunların bulut hizmetlerinde işaretlenmesine, işlenmesine ve işlenmesine odaklanmayı içermelidir. Güvenlik farkındalığı eğitimi, çalışanları, özellikle de BT personelini, bulut güvenliğinin en iyi uygulamaları, doğru yapılandırmaların önemi ve insan hatası hatalarının sonuçları konusunda eğitmek açısından önemlidir. Kuruluşların, kimlik avı saldırıları gibi veri ihlallerine karşı da saldırı simülasyonu gerçekleştirmesi, her türlü gerçek tehdide ve saldırıya yanıt vermeye hazır olması gerekir.
Ayrıca, bir kuruluşun veri ve güvenlik gereksinimlerini, mevzuat uyumluluğunu ve veri sahiplerini desteklemek için sağlam çerçevelerin (örneğin, SABSA, NIST CSF) mevcut olması gerekir. Temel hususlar şunları içermelidir: Peki ya herhangi bir veri egemenliği kanunu mevcutsa? Çerçevelerim bunları ele alıyor mu? Tehditler nelerdir?
Kuruluşların, iş verilerini yasal/düzenleyici gereklilikler doğrultusunda korumak için uygun yapı ve prosedürlerin mevcut olmasını sağlayan iyi yapılandırılmış yaşam döngüsü yönetimi ve hizmet mimarisini uygulaması iyi olacaktır. Tasarım gereği güvenlik gibi teknikler, güvenliğin yalnızca nihai olarak sabitlenmekle kalmayıp çözüm gereksinimlerine de dahil edilmesine yardımcı olur.
DevSecOps, güvenliğin kolaylaştırıcı olmasını sağlar; güvenlik yeteneğini yazılım geliştirmenin tam kalbinde oluşturur ve sorunları koddan çalışma zamanına kadar sürekli olarak kontrol eder. DevSecOps’a yönelik veri merkezli bir yaklaşım (bu sayede verilerin korunmasına ve verilere erişim yöntemlerine, nerede depolandığı veya kullanıldığına bakılmaksızın öncelik verilir) ayrıca geliştiricilerin, yöneticilerin ve operatörlerin kimlik verilerini, kullanımlarını ve nasıl oluşturulduğunu daha iyi anlamalarına olanak tanır. bunu işleyen servisler tarafından kullanılabilir. AWS Nitro Enclaves gibi işleme ortamlarının kullanılması, bulutta işlenen verileri korur ve gerektiğinde benimsenmelidir.
AI ve ML’den yararlanın
Yapay zeka (AI) ve makine öğrenimi (ML), öğrenmeyi kullanarak büyük ölçekte çalışabilir ve veri koruma ihtiyaçlarınıza uyum sağlayabilir. Otomasyonun arttırılmasıyla karar alma süreci hızlandırılabilir ve veriler buluta bağlanabilir veya halihazırda bulutta konuşlandırılabilir. Daha hızlı bir şekilde değerlendirilebilir ve uygun şekilde korunabilir. Google BigQuery ve AWS MACIE gibi bulut araçları, kuruluşların genel bulutlardaki verilerini daha iyi yönetmelerine ve hassas verilerin açığa çıkmasını azaltmalarına yardımcı olacak yetenekler sağlamak için makine öğrenimi ve yapay zekayı kullanır.
AWS Config, Azure Policy veya Google Cloud’un Güvenlik ve Komuta Merkezi de güvenlik politikalarının izlenmesinin ve uygulanmasının otomatikleştirilmesine yardımcı olur. Sürekli izleme çözümlerinin uygulanması, yanlış yapılandırmaları, şüpheli erişim isteklerini ve diğer güvenlik olaylarını gerçek zamanlı olarak tespit edecek ve uyarı verecektir.
Otomatik izleme ve yaptırıma ek olarak, iyi yönetilen ve düzenli olarak gözden geçirilen tehdit yönetiminin uygulanması, kuruluşların tehditlere yanıt vermede daha proaktif ve çevik olmasını sağlar.
Bulut sağlayıcılarının çok büyük miktarda veriyi ve tehdidi değerlendirme yeteneği sayesinde, genel bulut hizmetleri şu anda yapay zekadan yararlanma konusunda şirket içi daha basit güvenlik araçlarına göre daha üstündür.
Sıfır güven ve IAM mimarisini kullanın
Geleneksel sınırlar azaldıkça iş yüklerini, kullanıcıları, cihazları ve kuruluşları kapsayan kimlik ve erişim yönetimi (IAM) gerekli hale geliyor. En az ayrıcalıklı erişim kontrolüyle uygulanan net bir sıfır güven stratejisinin tanımlanması, operasyonlarda daha iyi hesap verebilirlik, veri merkezli erişim sağlar ve kazara veya kasıtlı veri sızdırılmasına yol açan insan hatasına karşı daha fazla önlem alır. Koşullu erişim kurallarından ve politikalarından yararlandıkça ayrıntılı izlemeyi ve tehdit algılamayı geliştirir.
Verilerin iyileştirilmesi ve güçlü IAM çözümlerinin uygulanması, düzenli uyumluluk denetimleri, güvenlik değerlendirmeleri, güvenlik açığı yönetimi, güvenlik ve işlevsel testler dahil olmak üzere düzenli güvenlik bakımıyla işbirliği içinde yapılmalı ve bulgular yönetilmeli ve bunlara göre harekete geçilmelidir.
Sıfır güven, güvenliğinizi önemli ölçüde artırabilecek stratejik bir yaklaşımdır ancak dikkatli planlama ve sürekli iyileştirme için yinelenen bir yaklaşım gerektirir. Zorlu olsa da bunu doğru bir şekilde gerçekleştirmek, hibrit bulut yolculuğunuzda önemli bir adım olacaktır çünkü hibrit bulut, veri korumasını önemli ölçüde artıran veri merkezli bir güvenlik yaklaşımını benimser.
CISO’ların ve güvenlik KOBİ’lerinin bir kuruluşun veri güvenliğini ve bulut hizmetlerindeki hassas verilerin yönetimini iyileştirme konusundaki zorluğu iş odaklı olmalı, başarılı olmak için kültürel değişim ve bulut verilerinin ve güvenlik yeteneklerinin benimsenmesini gerektirmelidir. Bulut, güvenliğe yaklaşımımızı yeniden incelememize olanak tanıyor ve bulut hizmetlerini kullanmada başarılı olmak istiyorsak, bulut sayesinde ortaya çıkan hızlı güvenlik yeniliklerinden yararlanmamız gerekiyor.
Scott Swalling, PA Consulting’de veri ve bulut güvenliği uzmanıdır. Bu ay yeni bir Think Tank katılımcısı, kendisi bir güvenlik mimarı Bu alanda 20 yılı aşkın deneyime sahip olup, hem Avustralya hem de İngiliz hükümetleri ile finansal hizmetler, madencilik, ilaç ve uzay endüstrilerinde çalışmıştır.