Bu yardımda net güvenlik röportajında, Cloudera’daki Ciso Natalia Belaya, bulut güvenliği, koruma ve iş çevikliği arasındaki denge ve CISOS’un öncelik vermesi gereken gözden kaçan riskleri tartışıyor.
Belaya ayrıca bulut yerli güvenlik çözümlerini entegre etmek ve yanlış yapılandırmaları ölçmek için pratik stratejiler sunmaktadır.
Özellikle hibrit ve çoklu bulut ortamları için işletmeler buluta geçerken hangi temel güvenlik ilkeleri izlemelidir?
Bulut geçişleriyle ilgili en büyük yanılgılardan biri, güvenliğin varsayılan olarak yerleşik olduğunu varsaymaktır. Birçok kuruluş, AWS, Google Cloud veya Azure gibi hiper ölçeklere geçer ve bu platformlar sertifikalı olduğu için tam veya yakın güvenlik korumasını devraldıklarına inanır. Gerçekte, bulut güvenliği geçişi açıkça anlaşılan ortak bir sorumluluk modelini izlemelidir. Bulut sağlayıcılarının güvenliğinin nerede bittiğini ve sorumluluklarının nerede başladığını tam olarak bilmeleri gerekir.
İşletmeler, bulut altyapısı tarafından sağlanan güvenliğin ötesinde kendi verilerinin ve uygulamalarının nasıl korunacağını anlamalıdır. Bu, sıfır güven, güçlü kimlik ve erişim yönetimi, izleme ve tehdit algılama, ağ segmentasyonu ve korumayı geliştirmek için bulut yerli güvenlik araçlarının entegre edilmesi gibi önlemler uygulanarak yapılabilir.
Hibrit ve çoklu bulut ortamlarında iş yüklerini yönetmek, karmaşıklık ekleyebilir, bu da hassas verileri koruyan ve uyumluluk gereksinimlerini karşılayan kapsamlı bir bulut agnostik güvenlik yaklaşımı uygulamayı çok önemli hale getirebilir.
Güvenliği, özellikle CISOS dijital dönüşümü hızlandırmak için baskı ile karşı karşıya kaldığında, bulut benimsemesinde iş çevikliği ile nasıl dengelenirsiniz?
Güvenlik, bir engelleyici olmaktan ziyade iş büyümesini sağlayan bir hizmet olarak görülmelidir. CISOS, güvenliği iş hedefleriyle hizalamalıdır, bu da engeller oluşturmak yerine inovasyonu desteklemesini sağlar. Bu, iş önceliklerini anlamayı, çabaların nereye odaklanacağını bilmeyi ve güvenliği sorunsuz bir şekilde operasyonlara entegre etmeyi gerektirir.
Örneğin, bir şirketin bir bulut sağlayıcı ortamında bir ürünü dağıtması gerekiyorsa, güvenlik ekibinin onu güvenli bir şekilde buluta entegre etme stratejisi olmalı ve gerekli ek kontrollerin uygulanmasını desteklemelidir. Güvenlik, güvenlik gereksinimlerini ve standartlarını önceden sağlayarak bu süreci verimli bir şekilde kolaylaştırmalı ve bulutun tepesinde ek sertifika seviyeleri elde etmek için neyin gerekli olduğunu özetlemelidir.
Güvenliği DevOps’a gömmek, işletmelerin korumayı korurken hızlı bir şekilde yenilik yapmalarını sağlar. Güvenlik süreçlerini ve kontrollerini yazılım geliştirme yaşam döngüsü boyunca otomatikleştirerek ve gerçek zamanlı izleme sağlayarak-ekipler daha sonra güvenlik açıklarını düzeltmek yerine en başından beri güvenli bir şekilde oluşturulabilir.
CISOS’un öncelik vermesi gereken en çok gözden kaçan bulut güvenlik riskleri nelerdir, ancak çoğu zaman yapmaz?
Bulut güvenliğinde en az tahmin edilen risklerden biri saldırı yüzey yönetimidir. Birçok kuruluş bulut varlıklarında görünürlükten yoksun – bazıları kaç bulut ortamına sahip olduklarını bile bilmiyor. Var olduğunu bilmediğiniz şeyi korumak imkansızdır, bu yüzden iyi varlık yönetimi anahtardır.
Gölge Bu başka bir önemli konudur. Pazarlama veya ürün geliştirme gibi farklı ekipler, bulut kaynaklarını ve güvenlik ekiplerini bilgilendirmeden döndürebilir. Unutulmuş, yanlış yapılandırılmış bir bulut ortamı hassas verileri ortaya çıkarabilir veya saldırganlar için bir giriş noktası olabilir.
Ayrıca, güvenlik olgunluğu kuruluşlar içinde değişir. Üretim ortamları iyi korunmuş olsa da, geliştirme ve test ortamları genellikle uygun kontrollerden yoksundur. Bu, bilgisayar korsanlarının kripto para madenciliği için kaynakları kaçırdığı, veri çalmak yerine bulut kaynaklarını boşalttığı bulut kriptajı gibi tehditlere yol açabilir.
Bu riskleri azaltmak için kuruluşlar, ekipleri güvenli bulut kullanımı konusunda eğitirken, tüm bulut ortamlarında sürekli görünürlük, standart güvenlik politikaları ve uygun yönetişim sağlamalıdır.
Kurumsal bulut ortamlarındaki ortak güvenlik yanlış yapılandırmaları nelerdir ve ölçekte nasıl önlenebilirler?
İnanmak zordur, ancak birçok ortak güvenlik yanlış yapılandırması hala temellere dayanmaktadır.
En sık görülen bulut güvenlik hatalarından biri erişimi düzgün bir şekilde güvence altına almaktır – bunun yaygın örnekleri kamuya açık depolama, API’ler ve zayıf kimlik doğrulama içerir. Satılmamış ve modası geçmiş yazılımlar da hala çok yaygındır, bu da sistemleri tehdit aktörleri tarafından sömürüye karşı savunmasız bırakır. İşletmeler genellikle varsayılan ayarların güvenli olduğunu varsaymaktan suçludur ve esasen güvenlik üzerindeki rahatlık önceliklidir. İyi bir güvenli yapılandırma ve duruş yönetimi uygulamak, bu riskleri azaltmaya yardımcı olabilir.
Kuruluşların güvenlik tabanlarının iyi belgelenmiş, otomatik, denetlenmiş ve düzenli olarak denetlenmesini sağlamalıdır. Bu yaklaşımı benimseyerek, işletmeler saldırı yüzeyini azaltabilir ve tüm ortamlarında güçlü güvenlik duruşunu koruyabilir.
Bulut doğal güvenlik çözümlerini bir işletmenin daha geniş güvenlik yığınına entegre etmeyi nasıl tavsiye edersiniz?
Stratejik ve birleşik güvenlik gereksinimleri yaklaşımına sahip olmanızı öneririm. Bulut altyapınızdaki güvenlik boşluklarını ve güvenlik açıklarını belirleyerek başlayın. Bu, ihtiyaç duyulan belirli bulut yerli güvenlik çözümlerinin ve mevcut sisteminize nasıl uyduklarını belirlemeye yardımcı olacaktır. Bu boşlukları ele alarak, hem bulut hem de şirket içi ortamlarda kesintisiz birleşik görünürlük, kontrol ve uyum sağlayan bir güvenlik çerçevesi uygulayabilirsiniz.
Bunun da ötesinde, bulut ve kurumsal agnostik olan güvenlik çözümlerinden yararlanmak, sizi değişen tehditlere uyum sağlamak için daha iyi bir konuma getirecek ve hibrid ve çoklu kavurucu ortamları yönetirken organizasyonel esnekliği sağlayacaktır.