MariaDB Corporation BT Direktörü ve Bilgi Güvenliği Başkanı Bryan Alsdorf tarafından
Örümcek Adam tarafından popüler hale getirilen bir mantrayı açıklamak gerekirse: Büyük güç büyük sorumluluk getirir. Kulağa bayat gelebilir. Ancak, hayatımızın pek çok yönünü doğrudan ve dolaylı olarak bilgilendiren devasa verilerin yükselişiyle, bu iyi bilinen bilgelik, özellikle bu üstel veri büyümesini yönetebilecek veritabanları oluşturmaya gelince doğrudur.
Statista araştırmasına göre, küresel veri oluşturmanın 2025 yılına kadar 180 zettabayttan fazlasına ulaşacağının tahmin edildiğini düşünün. PC Magazine, bir zettabaytın “30 milyar 4K film, 60 milyar video oyunu veya 7,5 trilyon MP3 şarkı için yeterli depolama alanı” olduğunu belirtiyor. Bu dev dalganın ortasında, özellikle bulut veritabanları, işletmelerin değer yaratmak için sürekli genişleyen verilerini düzenlemelerine, anlamalarına ve kullanmalarına yardımcı olan ölçeklenebilir güç merkezleridir. Büyük sorumluluk, tüm verilerin korunmasında gelir.
SaaS Zafiyetleri Daha Fazla Veri İhlali Demektir
Bulut veritabanlarının önemli ölçüde iyileştirilmiş ölçeklenebilirliği ve yedekliliği, teknoloji tarihinde gelişim açısından bir ölçüttür ve bu özellikler, işletmelerin verilerle nasıl etkileşime girebileceğini dönüştürüyor. Ancak tetiklenmesi çok kolay olan yanlış bir yapılandırma, verileri internete, botlara ve kötü niyetli kişilere ifşa edebilir. Farklı altyapı ve uygulama güvenlik açıklarından kaynaklanan veri ihlalleri yaygındır. Haberlerde bildirilenler, siber saldırı ortamında buzdağının görünen kısmı. Zayıf doğu-batı güvenliğini (yani, bir ağ içinde) istismar eden içeriden tehditler ve saldırılar acımasızdır.
Bu yılın başlarında Block (eski adıyla Square), Cash App’in eski bir çalışan tarafından ihlal edildiğini, kişisel olarak tanımlanabilir bilgileri sızdırdığını ve muhtemelen sekiz milyon kadar müşteriyi etkilediğini kabul etti. Mailchimp’in yüzlerce hesabı ihlal etmesi, bir müşteri desteği ve hesap yönetim aracına yetkisiz erişimden kaynaklandı. Lapsus$ Group’un Mart ayında değeri B2B SAML kimlik doğrulama ürününde bulunan bir şirket olan Okta’yı ihlal etmesi de üçüncü taraf bir müşteri destek aracı aracılığıyla gerçekleşti. Lapsus$, Mart ayında Azure DevOps yazılımını da vurdu, ancak Microsoft, veriler sızdırılmadan önce ihlali kontrol altına almayı başardı. Bununla birlikte, geliştirici ve bulut güvenliği uzmanları, özellikle erişimi eşi benzeri olmayan Log4j güvenlik açıklarının yaygınlığı konusunda yüksek alarmda.
Lapsus$ gibi siber suçlular genellikle kâr amacı güderler, bu nedenle fidye yazılımı, DDoS ve diğer tür saldırılara girişirler ve para kazanmak için haraç kullanırlar. Bu vurguncu istismarlar zaten her yerde mevcut olsa da, süper güçler ve onların dünya çapındaki yandaş devletleri arasındaki mevcut jeopolitik mücadele, kârın dışında, başlı başına bir hedef olarak kasten kaos ve terör eken saldırıların da büyük olasılıkla ön plana çıkacağı anlamına geliyor. . ABD hükümetinin işletmelerin hazır olması için yaptığı uyarılar netti.
KOBİ’ler için Hazırlık Daha Zor
Önümüzdeki birkaç yıl içinde, birçok bulut güvenlik sağlayıcısı, kendilerine yapılacak tüm yatırımlardan finansal olarak son derece iyi durumda olacak. Sağlayıcıların hizmetleri ne kadar iyi denetlenirse, bu sağlayıcıların büyüyüp önemli miktarda nakit akışı yaratması o kadar olasıdır. Şirketler, artık daha fazla ödeme yapmaktan kaçınmak için birden fazla güvenlik katmanını güçlendirmeyi umarak meşhur çek defterlerini geri çekiyor.
Şirketlerin, mükemmel, çok yönlü veri koruması sunan bir güvenlik sağlayıcısı ile çözümleri tam olarak hazır olmayan bir güvenlik sağlayıcısını nasıl ayırt edebilecekleri iyi bir sorudur ve bir tür Catch-22 sunar. Şirketler, araçları değerlendirmek için iyi güvenliği neyin oluşturduğu konusunda zaten bilgi sahibi olan en az birkaç yüksek düzeyde yetkin profesyonel istihdam etmelidir. Bu, birçok kuruluş için, ancak özellikle daha küçük olanlar için zor olabilir. Küçük ve orta ölçekli işletmeler (KOBİ’ler), sistemlerini güvence altına almak, doğru güvenlik sağlayıcılarını seçmek, saldırıları azaltmak ve kurtarmayı uygulamak için kurum içi uzmanlar bulundurmakta zorluk çekebilir. KOBİ’lerin de ne yapacağını bilen, ancak bunu yapacak kaynaklara sahip olmayan bir uzmanı olabilir. Bazı KOBİ’ler, fidye ödemek için derin cepleri olmadan, sadece küçük marjlarla faaliyet gösteriyor. Jeopolitik nedenlerle hedeflenen tedarik zincirinin bir sektöründe veya segmentinde bulunuyorlarsa, şu anda daha da fazla belirsizlikle karşı karşıyalar. Yeni normal olarak dağıtılmış, uzak iş gücüne sahip olmak, zorlukları daha da artırıyor.
Dolayısıyla, geleceğe yönelik bulut araçları ve hizmetleri oluşturanların devreye girip KOBİ’lerin yanı sıra büyük işletmelere de yardımcı olabileceği an tam da bu andır. Bulut veritabanlarını güvende tutmak, saldırganların yapabileceği hasarı en aza indirmenin ve sınırlı kaynaklar üzerindeki baskıyı azaltmanın merkezinde yer alır.
Sıfır Güven Dünyasında Bulut Veritabanı Güvenliği Nasıl Görünüyor?
VPN’ler ve çevre güvenliği, dağıtılmış çalışanlar ve sistemler ile geleneksel ağ kalkanını nasıl aşacağını çoktandır çözen siber saldırganların dünyasında hızla anakronizm haline geliyor. Güvenliğe sıfır güven yaklaşımları gerçekten de ileriye giden yoldur; hiçbir varlığa güvenilmez ve yalnızca bir kişinin, uygulamanın veya mikro hizmetin görevini tamamlaması için gereken ayrıcalıklar verilir. Bir ofis metaforunu kullanmak için, bir çalışanın binaya girmek için bir rozeti kaydırması gerekir, ancak yine de sürgülü kapılar ve erişilebilir odalarda, masalar ve kendi kilitleri olan dosya dolapları vardır. Birinin ofiste bulunmaya yetkili olması, tüm dosyalara bakma yetkisi olduğu anlamına gelmez.
Bulut veritabanları, sıfır güven güvenliği söz konusu olduğunda özel bir hayvandır. Karmaşık özelliklere sahiptirler, ancak şu anda, erişim ilkelerinin ötesinde, veritabanının kendisi yerine uygulama düzeyinde ve verilerin ileri geri hareketinde sıfır güven uygulanmaktadır. Satır düzeyinde ve alan düzeyinde şifreleme bir bulut veritabanına gömülebilir, ancak bu şu anda genel olarak kullanılan bir özellik değil.
Bununla birlikte, güvenlik için olmazsa olmazlar şunlardır:
- Varsayılan olarak güvenli olan, varsayılan olarak açık olmayan yapılandırmalara sahip bir bulut veritabanı seçin. Yanlış yapılandırma, veri ihlalleriyle sonuçlanan en büyük sorunlardan biridir. Bu, kadranların kesinlikle en kilitli ayarlara ayarlandığı anlamına gelmez, ancak iyi yapılandırılmış bir temel güvenlik olmazsa olmazdır. Seçilen veritabanının esasını yakından tanıyan uzmanlardan yapılandırma ve diğer sorularla ilgili 7/24 yardım sunan bir satıcı da kötü bir fikir değildir.
- Sanal özel bulut veya bağlantı (VPC) veya özel bağlantı ile ağ izolasyonunu kullanın. Bir bulut veritabanını genel internetten tamamen izole tutmak en iyi uygulamadır. Veritabanınıza harici bir bağlantının ulaşma olasılığının olmadığından emin olun.
- VPC kullanmıyorsanız, erişimi yalnızca güvenlik duvarında değil, veritabanı ve veritabanı proxy düzeyinde IP adresiyle kısıtlayın. Güvenlik duvarları genellikle onaylı bir kullanıcı ile saldırganı ayırt edemez. Binlerce güvenlik duvarı kuralına sahip olmak karmaşıklığı artırır. Veritabanını varsayılan olarak tamamen güvenlik duvarı ile kapatın. Açıkça ekledikleriniz dışında hiçbir harici bağlantıya izin verilmemesi için, erişim vermek için bir izin verilenler listesine açıkça IP adresleri ekleyin.
- Güçlü parolalarla benzersiz hesapları zorunlu kılın. Farklı uygulama sunucularına ve farklı kullanıcılara kendi hesaplarını verin; onlara tüm güçlü şifreleri verin ve bu şifreleri döndürün. Hesapları ve parolaları yeniden kullanmak, maruz kalma riskini artırır.
- Veri arayan varlıkların sürekli olarak doğrulanmasını isteyen çok faktörlü kimlik doğrulama ve gelişmiş, ayrıntılı erişim denetimi kullanın. Hesapları, erişmeleri gereken verilerle sınırlayın. Diğer bir deyişle, hassas verilere en düşük ayrıcalıklı erişimi zorunlu kılın ve şüpheli etkinlikler ve politika ihlalleri hakkında uyarılar uygulayın. İnsanlar olarak bazen ekiplere karşı esnek olmak isteriz, ancak zımni güvene rağmen insanlar dürüst hatalar yapar. En az ayrıcalıklı erişim kurallarıyla gevşek olma dürtüsüne karşı koyun. Roller ve işlevler arasında iyi bir ayrım yapın. Ayrıca veritabanı etkinliği akışına DBA erişimini kontrol edin.
- Veritabanı etkinliğini titizlikle izleyin. Olağandışı veya uyumlu olmayan davranışlar için veritabanı etkinliğinin gerçek zamanlı veri akışını izlemek, içeriden risklere karşı korunmaya yardımcı olur. İlke tabanlı izleme ve uygulama kullanın. Güvenlik açıklarını ortaya çıkaran veritabanı yanlış yapılandırmasının algılanmasını sağlayın.
- Aktarılan verilerin şifrelenmesi ve bekleyen yedeklemeler dahil olmak üzere önemli veri koruma önlemlerini uygulayın ve güvenlik açıklarının yamalanmasını otomatikleştirin.
- Tesis dışı günlüklerin ve yedeklemelerin değişmez olduğundan emin olun. Günlükler ve yedeklemeler, yönetici hesabınız da dahil olmak üzere herkesten korunmalıdır. Saldırganlar DBA kimlik bilgilerini tehlikeye atarsa, içeri girip yedekleri silemezler. Yedekler taşa yerleştirilmelidir.
- Bulut mikro hizmet mimarisinden yararlanan bir sistemde, bir ağ içindeki “doğu-batı” iletişimi için, kötü niyetli yanal hareketi etkisiz hale getirmek için iş yüklerini izole eden mikro segmentasyon kullanın. Bu yaklaşımla, belirli türdeki hizmet ağı proxy filtreleri, bir veritabanına yazmaları durdurmak için meta veriler üretebilir, böylece bir paket hiçbir zaman veritabanına ulaşamaz ve böylece veri ihlallerini içerir.
- Bulut kesintileri, fidye yazılımı saldırıları ve veri ihlalleri gibi büyük olaylarla başa çıkmak için net ve ayrıntılı bir planınız olsun. Bunun hakkında bulut satıcınızla konuşun ve planları koordine edin. Büyük bulut sağlayıcılarının tümü düzenli olarak çöküyor. Sadece farklı veri merkezleriyle sınırlıdır ve çoğu zaman fark edilmez. Bir plan, ekibin bir felakete nasıl müdahale etmesi gerektiğini ve kimin ne yapacağını tam olarak açıklamalıdır. Bir veri ihlali soruşturmasına yardımcı olmak için bulut satıcınızda kiminle iletişime geçileceğini belirtmelidir. Satıcının, veri ihlalleri yaşayan müşterilerle çalışmak için bir planı olmalıdır. Saldırganların dokunamayacağı yedeklemeler, geri yüklenen bir yedeğin nasıl kullanıma sunulacağını belirten planla birlikte hazır olmalıdır.
Farklı sektörlerdeki ve tüm kaynak düzeylerindeki işletmeler, işlemek ve yeni değer sağlamak için verilere giderek daha fazla güveniyor. Bulut veritabanlarına yönelik bu güvenlik önlemleri, verilerin korunmasında son savunma hattıdır. Küçük ve büyük şirketlerdeki güvenlik karar vericileri, satıcılarla doğrudan konuşmalı ve ilk odaklarının, performansla rekabet etmek yerine performansı tamamlamak için oluşturulmuş güvenlik olduğundan emin olmalıdır. Güvenilir sitelerdeki incelemeleri ve makaleleri inceleyin. Web seminerlerine gidin, güvenilir meslektaşlarınızla konuşun ve saygın kuruluşlardaki sektördeki meslektaşlarınıza ulaşın. Ve bana ulaşmaktan çekinmeyin! Elleriniz bağlı gibi göründüğü için veri ihlali riskini almak, artık katlanarak artan veri büyümesi, gelişen teknoloji ve derin belirsizlik dünyasında işletmeler için bir seçenek değil.
yazar hakkında
BT Direktörü ve Bilgi Güvenliği Başkanı Bryan Alsdorf, MariaDB’deki tüm BT ve güvenlik operasyonlarını denetler. Bryan, 14 yılı MariaDB ve 5 yılı MySQL’de olmak üzere 25 yıldan fazla BT sektörü deneyimine sahiptir. Bryan’a çevrimiçi olarak https://www.linkedin.com/in/bryanalsdorf/ adresinden ve şirketimizin web sitesinde https://mariadb.com/ adresinden ulaşılabilir.
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.