Bulut altyapıları giderek daha fazla API güdümlü hale geldikçe ve geniş saldırı yüzeylerine dinamik olarak yayıldıkça netlik elde etmek zorlaşıyor. Çevikliği ve ölçeklenebilirliği geliştirirken ek karmaşıklık katmanları ve potansiyel güvenlik kör noktaları ortaya çıkaran DevOps uygulamalarının, mikro hizmetlerin ve kapsayıcı teknolojilerinin entegrasyonu bu zorluğu birleştiriyor.
Bu Help Net Security röportajında Mitigant CTO’su Kennedy Torkura, bulut ortamlarında net görünürlük sağlamanın karmaşıklığını, bunun CISO’lar için neden bu kadar zor olduğunu ve potansiyel sorunları ele almak için nasıl hazırlanabileceklerini tartışıyor.
Bulut güvenliğini yönetmede görünürlüğün rolünü ve bunun günümüzde CISO’lar için neden bu kadar önemli bir zorluk olduğunu tartışabilir misiniz?
Güvenlik duruşunun görünürlüğü, bulut altyapısının doğası gereği bulut saldırganlarının bir adım önünde olmak için kritik öneme sahiptir. Bulut altyapısı büyük ölçüde API tabanlıdır ve çoğunlukla geniş bir saldırı yüzeyine yayılmış dinamik kaynaklardan oluşur. Bu faktörlerin ve diğer pek çok faktörün birleşimi, etkili bulut güvenliği için büyük zorluklar doğurur. Bu nedenle, bulut güvenliği üzerinde hakimiyet sahibi olmanın temel gereksinimlerinden biri, güvenilir görünürlük sağlamaktır. Günlüğe kaydetme ve izleme mekanizmalarının uygulanması, bulut kaynakları ve yapılandırmalarındaki tüm değişiklikleri izleyen değişiklik yönetimi stratejilerinin etkinleştirilmesi ve tehdit algılama ve olay müdahale stratejilerinin uygulanması dahil olmak üzere görünürlüğü artırmak için çeşitli mekanizmalardan yararlanılabilir.
DevOps’un dinamik ortamı, özellikle mikro hizmetlerin ve kapsayıcıların tanıtılmasıyla birlikte, bulut ortamlarında net görünürlük sağlamanın karmaşıklığına nasıl katkıda bulunur?
Avantajlarına rağmen, mikro hizmetler ve kapsayıcılar, bulut tabanlı sistemlerin karmaşıklığını artıran çeşitli soyutlama katmanları getirir. Kubernetes güvenlik ekibi, bu fenomeni açıklamak için “4C’ler bulut yerel güvenliği” kavramını kullanır. Mikro hizmetler ve kapsayıcılar, farklı türde iletişim protokolleri dahil olmak üzere çeşitli teknolojilerden oluşan çeşitli soyutlama katmanlarında çalışır. Güvenlik mekanizmaları genellikle belirli teknolojilerdeki güvenlik sorunlarını ele almak için tasarlanır.
Sonuç olarak, bu, bir soyutlama katmanına sahip güvenlik mekanizmalarının etkinliğini sınırlar. Sonuç olarak, bulut tabanlı bir altyapıda, görünürlüğü etkinleştirmek için birkaç güvenlik mekanizması gerekir. Ancak, bu güvenlik mekanizmaları genellikle silolar halinde çalışır ve bu nedenle birleşik görünürlük sağlamak için mücadele eder. Bu zorlukların üstesinden gelmek, çeşitli soyutlama katmanlarında farklı güvenlik mekanizmalarında iletişim kanallarının konuşlandırılmasını gerektirir. Ayrıca, mikro hizmet ve kapsayıcılar dinamik olacak şekilde tasarlanmıştır, bu nedenle izlenebilirliği izlemek ve sürdürmek zordur.
Kuruluşlara sızmak için yanlış yapılandırmalardan yararlanan tehdit aktörlerinin artan eğilimi göz önüne alındığında, CISO’lar bulut ortamlarında bu riskleri azaltmak için hangi stratejileri benimsemelidir?
Tehditlerin yaygınlık oranı ve karmaşıklığı hızla artıyor ve bu birçok kuruluş için büyük bir endişe kaynağı. Bu zorlukların üstesinden gelmek için herkese uyan tek bir yaklaşım yoktur; Yeterli güvenlik bütçesine sahip olgun kuruluşlar korunmamıştır, bu nedenle çözüm, yalnızca türünün en iyisi güvenlik çözümlerini elde etmek için yeterli bütçeye sahip olmakla ilgili değildir. Temel güvenlik hijyeni, ilgili riskleri azaltmanın temelini oluşturur. Kuruluşların bunu bir siber güvenlik kültürü geliştirerek sağlamaları gerekir. Ayrıca, %100 güvenlik sağlama garantisi olmadığı için “ihlal varsayma” kavramı zorunludur.
Kuruluşların, güvenlik mekanizmalarının etkinliğini sürekli olarak doğrulayan güvenlik mekanizmalarını uygulaması gerekir. Güvenlik kaos mühendisliği, rakip emülasyonu ve tehdit avı dahil olmak üzere güvenlik verimliliğini sürekli olarak doğrulamak için çeşitli güvenlik çözümlerinden yararlanılabilir. Değinmek istediğim son nokta, siber güvenlikten siber esnekliğe geçiş. Siber güvenlik, saldırıları tespit etmeyi ve önlemeyi hedeflerken, siber dayanıklılık, zorluklar karşısında iş sürekliliğini sağlarken saldırıları durdurmaya veya saldırılara uyum sağlamaya yöneltir.
Birden çok genel ve özel bulut ve şirket içi ortamın kullanılması yönetim karmaşıklığına ve işletim maliyetine nasıl katkıda bulunur?
Şirket içi ortamlarla birlikte birden çok genel ve özel bulut kullanmak, kuruluşlar için artan yönetim karmaşıklığına ve operasyonel maliyetlere katkıda bulunabilecek çeşitli zorluklar ortaya çıkarır. Çoklu bulut ve hibrit ortamlar esneklik, ölçeklenebilirlik ve dirençlilik gibi çeşitli avantajlar sunarken, aynı zamanda dikkatle yönetilmesi gereken doğal karmaşıklıkları da beraberinde getirir. Şirket içi ortamlar da dahil olmak üzere birden fazla genel ve özel bulutun kullanılması, farklı API’ler, teknolojiler vb. ile çeşitli altyapı anlamına gelir.
Bu çeşitli ortamda tutarlı bir güvenlik duruşu sürdürmek ciddi şekilde zordur. Güvenlik mekanizmaları bulut başına farklılık gösterecek ve mekanizmaları yönetmek için gereken beceriler de eşit derecede farklı olacaktır. Bu çeşitli ortamın etkisi insanları, süreçleri ve teknolojiyi aşar ve potansiyel olarak saldırganların yararlanabileceği kör noktalar oluşturur. Benzer şekilde, bu çeşitli altyapıda açığa çıkan saldırı yüzeyini yönetmek zordur.
Kuruluşların geçici olarak bulut hizmetleri eklediklerinde karşılaşabilecekleri sorunları açıklayabilir misiniz? Bu tür uygulamalar nasıl geliştirilebilir?
Bulut hizmetleri, kuruluşlar için çok fazla değer sağlar. Ancak, daha fazla bulut hizmeti ekleme kararının yalnızca işlevsellik açısından değil, aynı zamanda güvenlik açısından da yönetilmesi ve değerlendirilmesi gerekir. Özellikle bulut hizmetleri örtüşen işlevlere sahip olma eğiliminde olduğundan, varsayılan olarak güvenlik kavramına bağlı kalınmalıdır; bu nedenle, yeterli planlama yapılmadan daha fazla hizmet eklemek, fazlalığa, kaynakların israfına ve mevcut saldırı yüzeyinin gereksiz genişlemesine neden olabilir.
Bu hizmetlere duyulan ihtiyacı haklı çıkarmak için güvenlik mimarisi ve tasarım incelemeleri ve tehdit modelleme alıştırmaları dahil olmak üzere çeşitli güvenlik uygulamalarını benimseyerek bunlardan kaçınılabilir. Bu sorunu çözmeye yönelik diğer yaklaşımlar arasında bulut hizmetleri sağlayıcıları tarafından kuruluş çapında politikaların uygulanması için sağlanan hizmetlerin (ör. AWS Organizasyonu) kullanımı yer alır. Bu tür hizmetlerle, önceden planlanmayan bulut hizmetlerinin kasıtlı veya hatalı kullanımını önlemek için katı yönetişim uygulanabilir.
Birden çok genel bulutu, özel bulutu ve şirket içi ortamı kapsayan hibrit dağıtımları yönetmek için gerekli uzmanlığa sahip az sayıda BT ekibiyle, CISO’lar potansiyel sorunları ele almaya nasıl hazırlanabilirler? Hangi eğitim veya beceri geliştirme yapılabilir?
Bugün endüstrideki büyük bir zorluk, yeterli becerilerin olmamasıdır. Bu zorluğa karşı koymak için, personele iş rolleriyle ilgili bilgi ve beceriler kazanmaları için bir eğitim bütçesi ve eğitim fırsatları sağlamak da dahil olmak üzere çeşitli önlemler uygulanabilir. Çeşitli çevrimiçi eğitim programları, kuruluşlar için bulut eğitim programları sunar. Kuruluşlar, bu tür programlara abone olarak ve çalışanları bu programlara kaydolmaya ve bu programlardan geçmeye teşvik ederek bu fırsatlardan yararlanabilir.
Ayrıca kurum içinde, kurum dışından veya kurum içinden konu uzmanlarının bilgilerini paylaşmaya davet edildiği bulut eğitim programları da düzenlenebilir. Bu, teorik kavramların ve pratik oyun günü stilinin/hackathonların bir karışımı olabilir ve bulut bilgi işlem becerilerini uygulamaya olanak tanır.