Bulut Güvenliği, Devlet, Sektöre Özel
Federal Kurumlar, 2025’ten İtibaren Yeni Bulut Güvenliği Politikalarını Benimsetmekle Görevlendirildi
Chris Riotta (@chrisriotta) •
17 Aralık 2024
ABD federal siber savunma kurumu, sivil kurumların hizmet olarak temel yazılım ürünleri için güvenli yapılandırma temellerini benimsemelerini ve son zamanlardaki düşman etkinliklerinin açığa çıkardığı güvenlik açıklarını gidermek için otomatik izleme araçlarını entegre etmelerini şart koşuyor.
Ayrıca bakınız: Check Point ve AWS ile Finansal Hizmetler için Bulutta Yerel Güvenlik
Siber Güvenlik ve Altyapı Güvenliği Ajansı, güvenlik ayarlarını geliştirirken ve federal kurumlara bulutta barındırılan varlıkları daha iyi korumak ve potansiyel riskleri azaltmak için gelişmiş değerlendirme araçları sağlarken, izleme yeteneklerini güçlendirmek için standartlaştırılmış bulut güvenlik yapılandırmalarıyla bağlayıcı bir operasyonel direktif yayınladı. Yönergenin yapılandırmaları, federal kurumların bulut ortamlarının güvenliğini sağlamayı ve bu sistemlerde depolanan ve işlenen hassas bilgileri korumayı amaçlayan CISA’nın Güvenli Bulut İş Uygulamaları projesi aracılığıyla geliştirildi.
Yetkililer gazetecilere, yeni direktifin belirli bir tehdit veya yakın zamanda gerçekleşen bir saldırı nedeniyle ortaya çıkmadığını söyledi. CISA’da siber güvenlikten sorumlu yönetici yardımcısı direktör yardımcısı Matt Hartman, eski güvenlik yapılandırmalarının “sistemleri, önerilen ve zorunlu güvenlik yapılandırmasıyla kolayca azaltılabilecek açıklardan yararlanmaya maruz bıraktığını” söyledi.
Hartman, “Güvenlik yapılandırmasının en iyi uygulamaları, yeni tehditler keşfedildikçe ve karşı önlemler geliştirildikçe zaman içinde gelişiyor” diye ekledi. “Bu evrim, güvenlik yapılandırma temellerinin periyodik olarak gözden geçirilmesini ve ayarlanmasını gerektiriyor.”
CISA yetkilileri, direktifin belirli bir bilgisayar korsanlığı olayı tarafından tetiklenmediğini vurgularken, Güvenli Bulut İş Uygulamaları projesi, federal ağları hedef alan ve bulutta barındırılan varlıklar için güvenlik yapılandırmalarını çevreleyen güvenlik açıklarını vurgulayan SolarWinds saldırısını takip etti. O dönemde CISA, 2020 siber casusluk kampanyasının arkasındaki Rus bilgisayar korsanlarının parola püskürtme ve bulut yazılımındaki güvenlik açıklarından yararlanarak geniş bir kurban grubunu hedef aldığını söylemişti (bkz: SolarWinds Hackerları Geniş Bir Ağ Oluşturuyor).
Yönerge uyarınca federal kurumların bulut sistemlerini 21 Şubat’a kadar CISA’ya bildirmeleri ve şu anda yalnızca Microsoft bulut tekliflerine yönelik yapılandırmaları içeren web sitesinde listelenen tüm yapılandırmaları uygulamaları gerekiyor. CISA, yorum talebine hemen yanıt vermedi.
Direktifin güvenlik politikaları 20 Haziran 2025’te yürürlüğe girecek ve kurumların güvenlik izleme sonuçlarını Nisan ayı sonlarında CISA ile paylaşmaya başlaması gerekecek.
CISA Direktörü Jen Easterly yaptığı açıklamada, “Kötü niyetli tehdit aktörleri bulut ortamlarını giderek daha fazla hedef alıyor ve ilk bulut erişimini elde etmek için taktiklerini geliştiriyor” dedi ve direktifte yer alan eylemleri “federal sivil girişime yönelik riski azaltmada önemli bir adım” olarak nitelendirdi. “