CISA, bu yılın ilk bağlayıcı operasyonel direktifini (BOD 25-01) yayınladı ve federal sivil kurumlara, gerekli güvenli yapılandırma temellerinin (SCB’ler) bir listesini uygulayarak bulut ortamlarını güvence altına almalarını emretti.
CISA yalnızca Microsoft 365 için SCB’leri tamamlamış olsa da Google Workspace’ten başlayarak (2025 Mali Yılı’nın 2. çeyreğinde kapsama girmesi bekleniyor) diğer bulut platformları için ek temeller yayınlamayı planlıyor.
Hükümet çapındaki bu direktif, Federal Sivil Yürütme Şubesi (FCEB) sistemlerini ve varlıklarını korumak amacıyla bulut hizmetlerine yönelik zorunlu güvenli uygulamalar gerektirerek federal ağların saldırı yüzeyini azaltmayı amaçlamaktadır.
BOD 25-01, FCEB kurumlarının CISA tarafından geliştirilen otomatik yapılandırma değerlendirme araçlarını (Microsoft 365 denetimleri için ScubaGear) kullanmasını, siber güvenlik kurumunun sürekli izleme altyapısıyla entegre olmasını ve önceden tanımlanmış zaman dilimleri içerisinde güvenli yapılandırma temellerinden herhangi bir sapmayı düzeltmesini gerektirir.
CISA bugün yaptığı açıklamada, “Son siber güvenlik olayları, saldırganların yetkisiz erişim elde etmek, verileri sızdırmak veya hizmetleri aksatmak için kullanabileceği yanlış yapılandırmaların ve zayıf güvenlik kontrollerinin oluşturduğu önemli riskleri vurgulamaktadır.” dedi.
“Bu Yönerge, federal sivil kurumların belirli bulut kiracılarını belirlemesini, değerlendirme araçlarını uygulamasını ve bulut ortamlarını CISA’nın Güvenli Bulut İş Uygulamaları (SCuBA) güvenli yapılandırma temellerine göre hizalamasını gerektirir.”
FCEB kurumlarının, kapsam dahilindeki tüm bulut kiracıları için aşağıdaki önlemleri alması gerekir:
- Bu Yönerge kapsamındaki tüm bulut kiracılarını en geç şu tarihe kadar tanımlayın: 21 Şubat 2025 Cuma.
- Kapsam dahilindeki bulut kiracıları için tüm SCUBA değerlendirme araçlarını en geç şu tarihe kadar dağıtın: 25 Nisan 2025 Cuma, ve bu Direktifin gereklilikleri hakkında sürekli raporlamaya başlayın.
- Bu Direktifin yayınlandığı tarihten itibaren geçerli olan tüm zorunlu SCUBA politikalarını en geç şu tarihe kadar uygulayın: 20 Haziran 2025 Cuma.
- Zorunlu SCUBA politikalarına gelecekteki tüm güncellemeleri uygulayın.
- Tüm zorunlu SCUBA Güvenli Yapılandırma Temel Hatlarını uygulayın ve Çalıştırma Yetkisi (ATO) vermeden önce yeni bulut kiracıları için sürekli izlemeye başlayın.
Zorunlu politikaların güncel listesi Gerekli Yapılandırmalar web sitesinde mevcuttur. Şu anda yalnızca Azure Active Directory/Entra ID, Microsoft Defender, Exchange Online, Power Platform, SharePoint Online ve OneDrive ve Microsoft Teams dahil olmak üzere Microsoft 365 ürünleri için güvenli yapılandırma temellerini içermektedir.
BOD 25-01 yalnızca federal sivil kurumlar için geçerli olsa da CISA, tüm kuruluşlara bu yönergeyi benimsemelerini ve saldırı yüzeylerini ve ihlal risklerini önemli ölçüde azaltmak için bulut ortamlarının güvenliğini sağlamaya öncelik vermelerini şiddetle tavsiye ediyor.
Geçen yıl CISA, federal kurumlara İnternet’e açık veya yanlış yapılandırılmış ağ donanımlarını keşiften sonraki 14 gün içinde güvenceye almalarını emreden başka bir bağlayıcı operasyonel direktif (BOD 23-02) yayınladı.
İki yıl önce, siber güvenlik kurumunun BOD 22-01’i, FCEB kurumlarına, bilinen istismar edilen güvenlik açıklarının ardındaki artan riski agresif bir zaman çizelgesi içinde azaltarak azaltmalarını zorunlu kılmıştı.