NSA ve CISA, bulut kullanıcılarına verilerin taşınmasına yönelik kritik güvenlik uygulamaları konusunda tavsiyelerde bulunmak üzere ortaklaşa “En İyi 10 Bulut Güvenliği Azaltma Stratejisi”ni yayınladı.
Ulusal Güvenlik Ajansı, bulut güvenliği duruşunu iyileştirmek için her biri ayrı bir siber güvenlik bilgi sayfasında açıklanan on temel stratejiyi özetlemektedir.
İşbirliği, yanlış yapılandırmalar nedeniyle bulut ortamlarına yönelik artan siber saldırı riskine ve buluta özgü tehditleri azaltırken şirket içi sistemlerle güvenlik eşitliğini koruma ihtiyacına yanıt vermeyi amaçlıyor.
“NSA'nın Siber Güvenlik Direktörü Rob Joyce, BT verimliliğini ve güvenliğini artırmak için uygun bulut uygulamasının önemini vurguladı.
Bulut hizmetlerinde kritik verilerin yoğunlaşmasının onları rakipler için birincil hedef haline getirdiği konusunda uyarıyor ve müşterilere kurban olmaktan kaçınmak için temel güvenlik uygulamalarını takip etmelerini tavsiye ediyor.”
Güvenlik açıklarını önlemek için bulut müşterilerinin, hizmet türüne (SaaS, PaaS ve IaaS) göre güvenlik sahipliğini tanımlayan CSP'nin paylaşılan sorumluluk modelini (SRM) anlaması gerekir.
SRM ayrıntıları CSP'ye göre değişir; bu nedenle belgelere ve potansiyel olarak doğrudan iletişime çok dikkat edilmesi çok önemlidir.
Müşteriler CSP'yi kendi paylarından sorumlu tutar ancak aynı zamanda bulut kiracılığı kapsamında güvenlik sorumluluklarını da yerine getirmelidir.
Güçlü IAM, bulut kaynaklarını korurken çok faktörlü kimlik doğrulama (MFA) ve geçici kimlik bilgisi yönetimi, yetkisiz erişimi önler.
En az ayrıcalık ve görevler ayrılığı ilkeleri, bulut ihlallerini en aza indirmek için erişimi daha da kısıtlar.
Bulut sağlayıcıları (CSP'ler), her şeyi onların yönetmesine izin vermekten (sunucu tarafı şifreleme) müşterilere tam kontrol vermeye (istemci tarafı şifreleme) kadar çeşitli anahtar yönetimi seçenekleri sunar.
Şifreleme için CSP'lerden yararlanan kuruluşların güvenlik sonuçlarını ve anahtar yönetimindeki kendi sorumluluklarını anlamaları gerekir.
Kuruluşlar, bulut ortamlarında bilgisayar korsanlarının erişimini önlemek için tüm erişim isteklerinin doğrulanmasını, kaynakların işleve göre bölümlendirilmesini ve bekleyen ve aktarılan tüm verilerin şifrelenmesini içeren Sıfır Güven güvenliğini kullanmalıdır.
Mikro bölümleme, kaynaklara yönelik iletişim yollarını sınırlar ve bekleyen ve aktarılan verileri şifreleyerek bulut ortamındaki kötü niyetli aktörleri engeller.
Bulut verilerini güvence altına almak için kuruluşlar güvenli depolamayı seçmeli, genel IP erişimini kısıtlamalı, en az ayrıcalığı uygulamalı, sürüm oluşturmayı kullanmalı, kurtarma planlarıyla değişmez yedeklemeler oluşturmalı ve verileri şifrelemelidir.
Ayrıca, hassas veri depolamaya yönelik bulut sağlayıcı veri saklama politikalarını da anlamalı ve kazara veya kötü niyetli silme için “geçici silme” yöntemini kullanmalıdırlar.
Bulut ortamlarındaki DevSecOps için gerekli olan CI/CD işlem hatları, altyapı ve uygulamalara erişimleri nedeniyle saldırılara karşı savunmasızdır.
Bu riski azaltmak için kuruluşların CI/CD işlem hatlarını güçlü erişim kontrolü, güncel araçlar, günlük denetimi, güvenlik taramaları ve uygun gizli yönetim kullanarak güvence altına alması gerekir.
Kod olarak altyapı (IaC) otomatikleştirilmiş bulut kaynağı dağıtımı, yanlış yapılandırmaları azaltır ve güvenliği artırır. IaC, yetkisiz değişikliklerin hızla tespit edilmesini sağlar ve en iyi güvenlik uygulamalarıyla bütünleşir.
Güvenli IaC uygulaması için kuruluşların tehdit modellemesi, statik kod testi gerçekleştirmesi ve CI/CD işlem hatlarıyla entegrasyon yapması gerekir.
Hibrit/çoklu bulut kullanımı, silolanmış işlemler ve güvenlik açıkları gibi yönetim zorlukları yaratır.
Bulut operasyonlarının tedarikçiden bağımsız araçlarla standartlaştırılması, ortamlar arasında merkezi izleme ve kontrole olanak tanıyarak IAM'yi, veri akışını ve genel güvenlik duruşunu iyileştirir.
MSP'ler teknik fayda sağlar ancak saldırı yüzeyini artırır ve buna karşı savunma yapmak için güçlü güvenlik uygulamalarına sahip MSP'leri seçin, ayrıcalıklı erişimlerini denetleyin ve hizmetlerini güvenlik ve kurtarma süreçlerinize entegre edin.
Bulut ortamlarının karmaşık doğası, güvenlik profesyonellerinin SIEM, günlük analiz araçları ve anormallik tespitini kullanarak analiz yapabilmeleri için çeşitli kaynaklardan günlük toplamayı gerektirir.
Bu analiz, gerçek zamanlı tehdit yanıtı için olağandışı oturum açma bilgileri veya ağ trafiği gibi şüpheli etkinliklerin belirlenmesine yardımcı olur.
Bulut güvenlik günlükleri, güvenlik tehditlerini erkenden tespit etmek için kullanılabilecek ayrıntılı bir etkinlik kaydı sağlar. MITRE'nin D3FEND™ matrisi kapsamında, günlükler Tespit kategorisi altında geniş çapta uygulanabilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.