Gartner'ın 2024 yılı için genel bulut hizmetleri harcamalarında %20'lik bir artış ve genel BT harcamalarında da %7'lik bir artış daha öngörmesiyle birlikte, bulut uygulamaları ve DevOps için güvenlik gibi bütçe alt kategorilerini sınırda tutmak giderek daha acı verici görünüyor.
Yönetilen hizmetler sağlayıcısı (MSP) QuoStar'ın bulut hizmetleri direktörü Neil Clark, kuruluşların genellikle buna ayak uyduramadığını söyleyerek, örnek olarak geçen yılki NetScaler ihlallerini ve yama yapılmamış güvenlik açıklarını gösteriyor.
Çeşitli araçlar arasından seçim yapmak kolay değildir ve bazıları çok fazla, çoğu zaman birbiriyle uyumsuz teklifler satın alır. Diğerleri Gartner Magic Quadrant'tan bir çözüm seçiyor ve bunun kendi koşulları için yanlış bir şey olduğunu fark etmeden önce altı ay boyunca bu çözümde ince ayar yapmaya çalışıyorlar.
En kötü durumlarda kuruluşlar bir saldırıya maruz kalana kadar bu şekilde devam edebilir. Peki çözüm nedir?
Clark'a göre mesele, uygun çözümleri belirlemek, uygulamak ve optimize etmek için doğru planlama yapmaktır. Her şeyi (daha geniş perspektifi ve ardından hangi parçaların birbirine uyduğunu) anlayacak bir uzman gerekli olabilir. Hiçbir çözüm her şeyi durduramaz veya hepsine uyamaz ve üretkenliğin sürdürülmesi ve maliyetlerin kontrol edilmesi isteniyorsa bulut güvenliği bir “işaret kutusu” uygulaması olamaz.
“Riskleri agnostik bir şekilde tartmanız ve güvenlik ihtiyacını operasyonel ihtiyaçla uyumlu hale getirmeniz gerekiyor” diye belirtiyor. “Güvenliğin operasyonları ele geçirmesinin, para kazanmanın hiçbir anlamı yok; ancak operasyonlara çok fazla odaklanırsanız kendinizi ifşa edersiniz.”
Güvenliğin yayılması, bazen bulut ortamının değişmesi veya organizasyonun bir noktada şirket içi araç yerine şirket içinden uzaklaşması nedeniyle işi potansiyel olarak birinin yapabileceği üç ila beş aracın “tuhaf, karmaşık” uygulamalarından kaynaklanabilir. Bulut planlamasında daha derinlere inmek.
İhtiyaç duyulan şey, tüm bunları temizlemek, güvenliği en iyi uygulamalara göre yeniden çalışmak ve katmanlara ayırmak ve yedekleme gibi temel azaltımları eklemektir. Clark, veri ortamının şeffaflığını sağlamanın da çok önemli olabileceğini öne sürüyor.
“Müşteriler için bu tür şeyleri düzeltmek için oldukça fazla zaman harcadık. İşin komik yanı, ayda çok daha fazla harcama yapmıyorlar” diyor Clark. “Güvenlik sorunlarınızı yalnızca buluta taşımayın… her şey bulutta yerel olarak çalışmayacaktır. [Think about] uygulamalarınıza nelerin erişmesi gerekiyor, nelerin gerekmiyor.”
GigaOm'da ağ iletişimi ve güvenlik araştırma analisti Andrew Green, bulut güvenliğini maliyet açısından optimize etmenin anahtarı olarak uygun bir yığından bulutta yerel güvenlik hizmetlerinin seçilmesini öneriyor.
Kubernetes ve Calico ve Cilium gibi konteynerler için açık kaynaklı konteyner ağ arayüzleri (CNI'ler), erişim kontrolleri ve trafik filtreleme için “mükemmel” güvenlik yeteneklerine sahiptir ve bunların tümü, başka herhangi bir aracı veya bileşen olmadan ağ katmanında gerçekleştirilir.
Green, “Kubernetes'te ağ oluşturduğunuzda yerel yetenekler sunmuyorlar” diye belirtiyor.
CNI'ler, yapılandırma ve potansiyel olarak artırılmış beceri seti gerektiren oldukça teknik çözümler olabilse de, botlar veya kümeler içindeki ve kümeler arasındaki iletişimi yönetebilir ve politikaların tanımlanmasına, birbirlerinin erişim kontrolleriyle nelerin konuşulması gerektiğinin belirlenmesine ve kimliğe dayalı güvenlik yapılmasına yardımcı olabilirler.
Green, “'Bu IP kaynağına erişimi engellemek istiyorum' demek yerine iş yüküne bir etiket atayabilirsiniz” diyor. “Ve bunu Linux çekirdeğine çok yakın yapıyorsunuz. Hafiftir, çok fazla kontrole sahip olursunuz ve birçok şeyi yapabilirsiniz.”
CNI'leri komut satırı arayüzüyle veya bir entegrasyon aracılığıyla yapılandırmak çok zorsa, grafik kullanıcı arayüzü (GUI) aracılığıyla çalışmayı tercih edebilirsiniz. Calico ve arkadaşlarının yardımcı olmak için iyi teknik dokümantasyon, laboratuvarlar ve eğitim sunduğunu söylüyor.
Green, alternatif olarak, eğer şirket içinde mevcutsa, kapalı kaynak yeteneklerinin F5 gibi daha geniş bir çözümün parçası olabileceğini öne sürüyor.
Maruziyeti azaltın
Açıkta kalan ve korunmasız kaynakların farkında olun ve bunları sınırlandırın. Halka açık internete açık değilse, kuruluşun yalnızca “basit ve anlaşılır” giriş filtrelemesine ihtiyacı olabilir. Tüketicilere veya üçüncü taraflara yönelik web ve genel internete açık hizmetler, bir bedeli olan daha gelişmiş giriş filtreleme özellikleri gerektirir.
Yahoo'dan koruma! Green, filtre botlarının veya müşteri trafiği dağıtılmış hizmet reddinin (DDoS) “ağır bir yatırım” gerektirebileceğine dikkat çekiyor.
“Bu özellikle uyumluluk için değil, genel güvenlik duruşu için” diye ekliyor. “Eğer maruz kaldığınız her şey yalnızca bir iş ortağı API'siyse [application programming interface]istekleri doğrulayabilecek bir API korumasına ihtiyacınız olabilir.”
Ayrıca şirket içi düşünmeyi kaldırmayın ve kaydırmayın. Örneğin, bulut segmentleri oluşturmak için tam güvenlik duvarının veya yeni nesil güvenlik duvarı cihazlarının dağıtılması pahalı ve verimsizdir. Green, iş yüküyle birlikte taşınabilecek etiketler veya etiketler gibi bulutta yerel özellikleri kullanan teknolojileri aramanın daha iyi olduğunu söylüyor.
Kyndryl'de küresel güvenlik ve dayanıklılık lideri Kris Lovejoy, bulut güvenliğinin genellikle eskiye bağlı zorluklar nedeniyle geri planda kaldığını ve yıllar önce bulutun performansı ve ölçeklenebilirliğinin yanı sıra “muazzam güvenlik avantajları” hakkındaki konuşmaların da kısmen bu nedenle olduğunu belirtiyor. tahmin edildiği gibi oynamadı.
Uygulamaları bulutta yerel olacak şekilde yeniden düzenleme ihtiyacı sıklıkla göz ardı ediliyor.
“Yeniden düzenleme, kurullar ve üst düzey yönetimle çok zor bir tartışma olabilir” diyor. “Ancak eski uygulamalar, sabit kodlanmış kimlik bilgileri, güvenli olmayan yapılandırmalar, güncelliğini yitirmiş şifreleme yöntemleri ve çoğunlukla buluta geçtiğinizde kapsayıcıya alma içerir.”
Eski uygulamalar genellikle şirket içi ortamda olabilecek güvenlik açıklarının aynısını sunabilir; bunun üzerine konteynerleştirmenin kapsüllenmiş karmaşıklığı da eklenir. Lovejoy, konteynırlaştırmanın kendisinin konfigürasyonla ilgili potansiyel risklerin “muazzam miktarlarda” kaynağı olduğunu açıklıyor.
Kuruluşlar güvenlik sorunlarının farkında olsa da, uygulamaların (çoğunlukla düşük performans gösteren eski çözümler) ve ortamların nasıl oluşturulup dağıtıldığı, çoğu zaman büyük miktarlarda teknik borç bırakmaktadır.
Bazıları ne kadar geride? Bulut geliştirme süreçleri söz konusu olduğunda, Kurumsal Strateji Grubu anketi, katılımcıların üçte birinin güvenlik ekiplerinin yetersiz görünürlük ve kontrole sahip olduğunu, güvenlik kontrollerini ve sürüm testlerini kaçırdığını, tutarlı ekipler arası güvenlik süreçlerinden yoksun olduğunu, son teslim tarihlerini karşılamak için güvenliği atladığını veya dağıtıldığını ortaya çıkardı. yanlış yapılandırmalar, güvenlik açıkları ve “diğer güvenlik sorunları” ile.
Sesin temellerini sağlayın
Lovejoy, ihtiyaç duyulan taşınabilirliği ve birlikte çalışabilirliği sağlamak için birden fazla hibrit bulut ortamının entegrasyona ihtiyaç duyduğunu belirtiyor. Çoğu zaman, gelişmiş analitik hayalleri bile bunun sonucunda zarar görüyor.
“Bu karmaşıklık tamamen beklenmedik maliyetlere yol açtı. Ancak bulut için optimize edilmedi” diyor Lovejoy. “Büyük tüketim nedeniyle kaynak verimsizliği, zayıf kullanım ve daha yüksek bulut ve barındırma maliyetleri var.”
Bir nevi BT yoksulluk tuzağının içindeler diyebiliriz. Bu gibi durumlarda güvenliğe yapılan harcamalar istenmeyen bir ekstra gibi görünebilir.
Lovejoy'a göre en iyi çözüm, nihayetinde üzerine inşa edilecek daha güçlü bir temel oluşturmak adına, genellikle modernizasyon olarak adlandırılan şeye geri dönmek – geriye gitmek – olabilir. Bu, özel buluta veya şirket içi buluta geçiş anlamına gelse bile, büyük bulutun yeniden başlatılması daha da ileri gider.
“Bulut faydalar, güvenlik ve dayanıklılık sağlayabilir, ancak örneğin çok sayıda güvenlik kontrolünü bir araya getirmek yerine kuruluşun uygulamaların fiilen yeniden düzenlenmesine uygun yatırım yapması gerekebilir” diyor.
Bu, veri kullanımı ve şeffaflık da dahil olmak üzere yeni ortaya çıkan düzenlemelerin kapsamı ve genişlemesi dikkate alındığında “özellikle alakalıdır”.
Lovejoy, güvenliğe diğerlerinden ayrı olarak dar bir şekilde odaklanmak yerine, kuruluşların, verilerin ve sistemlerin işleyişini mümkün kılmak için “minimum uygulanabilir iş hizmetlerinin” ne olduğunu düşünmeleri gerektiğini öne sürüyor. Tüm bunların haritasını çıkarın, ardından bunun etrafında güvenlik esnekliğine öncelik verin.
Kuruluşların güvenlik de dahil olmak üzere bulut maliyetlerini nihai olarak optimize etmek için yatırım yapması gereken yerin burası olduğunu vurguluyor.
“Sıfır güven harika olsa da, gerçekten daha modern mimari bağlamında uygulanmalı. Temelleri göz önünde bulundurun; çok faktörlü kimlik doğrulama (MFA), eğitim ve iyi bir yama uygulamanız var mı? – ZTNA'ya gelmeden önce [zero-trust network access].”