ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal sivil kurumların (Microsoft) bulut ortamlarının güvenliğini sağlamasını gerektiren bağlayıcı bir operasyonel direktif (BOD 25-01) yayınladı.
CISA BOD 25-01 direktifi hakkında
Bulut Hizmetleri için Güvenli Uygulamaların Uygulanması Direktif, ajanslar için üç son tarih belirlemektedir:
- 21 Şubat 2025’e kadar, Direktif kapsamındaki tüm bulut kiracılarını tespit etmeleri ve CISA’ya raporlamaları gerekiyor.
- 25 Nisan 2025’e kadar, kapsam içi bulut kiracılarına yönelik yapılandırmaların durumunun değerlendirilmesini otomatikleştirmek için CISA tarafından sağlanan tüm mevcut araçları dağıtmaları gerekir. Araçlar, kiracı yapılandırmalarını CISA’nın Güvenli Yapılandırma Temel Çizgileriyle karşılaştırır ve uyumsuzluk örneklerini gösteren raporlar sağlar. Sonuçlar, araç sonuç beslemelerini CISA’nın sürekli izleme çözümüyle entegre ederek veya manuel olarak (her üç ayda bir) CISA’ya rapor edilmelidir.
- 20 Haziran 2025’e kadar,burada ana hatlarıyla belirtildiği gibi güvenli bulut temellerini uygulamalı ve “İşletme Yetkisi (ATO) verilmeden önce yeni bulut kiracıları için sürekli izlemeye başlamalı”
Ajans, “Gelecekte CISA, diğer bulut ürünleri için ek SCuBA Güvenli Yapılandırma Temel Hatlarını yayınlayabilir” dedi. “Aralık 2024 itibarıyla CISA, Microsoft 365 için kesinleşmiş SCB’leri (düzenlenme sırasındaki BOD kapsamındadır) ve Google Workspace için taslak SCB’leri (2025 Mali Yılı 2. çeyreğinde kapsama girmesi beklenmektedir) yayınladı.”
Microsoft 365 bulut hizmetlerine yönelik güvenli yapılandırma temelleri arasında Azure AD/Entra ID, Microsoft Defender, Exchange Online, Power Platform, SharePoint Online ve OneDrive ve Microsoft Teams ile ilgili olanlar yer alır.
Zorunlu SCUBA politikalarına ilişkin yeni güncellemeler yayınlandıkça kurumların bunları CISA tarafından belirlenen son tarihlere kadar uygulaması gerekiyor.
Ayrıntılı BOD 25-01 direktifi uygulama yönergeleri kurum tarafından sağlanmıştır.
Sunulan rehberlik diğer kuruluşlara da yardımcı olabilir
“Kötü niyetli tehdit aktörleri giderek daha fazla bulut ortamlarını hedef alıyor ve ilk bulut erişimini elde etmek için taktiklerini geliştiriyor. CISA Direktörü Jen Easterly, bu Yönerge kapsamında kurumlar tarafından gerekli görülen eylemlerin, federal sivil girişimlere yönelik risklerin azaltılmasında önemli bir adım olduğunu belirtti.
“Bu Yönerge yalnızca federal sivil kurumlar için geçerli olsa da, bulut ortamlarına yönelik tehdit her sektörü kapsamaktadır. Tüm kuruluşları bu kılavuzu benimsemeye çağırıyoruz. Siber riski azaltmak ve dayanıklılığı sağlamak söz konusu olduğunda hepimizin oynayacağı bir rol var.”
Sectigo Kıdemli Üyesi Jason Soroko, güvenli yapılandırma temellerini uygulamanın saldırı yüzeyini azalttığını, bunun da kritik bir savunma adımı olduğunu söylüyor.
“Tipik bir orta ölçekli işletme için benzer kontrollerin uygulanması maliyetlidir. Araçlar, danışmanlar ve eğitim bütçeleri zorluyor. MFA’nın değerini anlamakta yeterince zorlanıyorlar. Genellikle ince dişli bir tarakla yapılandırmalar yapmak yerine ışıkları açık tutmaya motive olan BT genel uzmanlarına sahipler,” diye yorumladı Help Net Security için.
“Hükümet rehberliği genellikle özel sektörü etkiliyor ancak benimsenme gecikiyor. Birçok firma maliyet ve karmaşıklık nedeniyle direniyor. Yine de net hükümet standartları endüstri normlarını yavaş yavaş değiştirebilir, ancak normalde bu yalnızca satış yapan satıcıları devlet sözleşmelerine girmeye zorladığında işe yarar.”