Geliştiriciler neden bulut güvenliğinin anahtarını elinde tutuyor?

   Eylül 30, 2022  Posted in CyberSecurity-Insiders


[ This article was originally published here ]

BOSTON–()–Yeni bir yorumda, geliştirici güvenliğinde lider olan şirketinde başkan yardımcısı ve baş mimar, bulut güvenliği sorumluluğunun neden BT güvenliğine değil geliştiricilere ve DevOps ekiplerine ait olduğunu açıklıyor.

Şirket içi veri merkezi ve bulutun erken benimsendiği günlerde, uygulama geliştiricilerin, altyapı operasyonlarının ve güvenliğin rolleri büyük ölçüde silo edildi. Bulutta, bu iş bölümü yenilik için pazara sunma süresini artırır, üretkenliği azaltır ve gereksiz risklere davetiye çıkarır.

Bir veri merkezi ortamında, geliştiriciler yazılım uygulamaları oluşturur, BT ekipleri bu uygulamaları çalıştırmak için gereken altyapıyı oluşturur ve güvenlik ekipleri, uygulamaların ve altyapının güvenli olmasını sağlamaktan sorumludur. Geliştiriciler, temel alınan altyapı ve işletim sistemlerinin kısıtlamaları dahilinde yazılım oluşturmalıdır ve güvenlik süreçleri herkesin ne kadar hızlı gidebileceğini belirler. Güvenlik, üretimde bir güvenlik açığı keşfettiğinde, iyileştirme süreci tipik olarak tüm paydaşları ve önemli ölçüde yeniden çalışmayı içerir.

Bulut, ekipleri veri merkezinin fiziksel kısıtlamalarından kurtararak, BT endüstrisinde on yılların en büyük değişimini sağlıyor. Ancak kuruluşların, bulutu üçüncü taraf uygulamaları veya veri merkezinden taşınan uygulamaları barındırmak için bir platform olarak kullanmak yerine, uygulamalar oluşturmak ve çalıştırmak için bir platform olarak gerçek potansiyelini ortaya çıkarmaya başlaması yıllar aldı. Bulut basitçe “uzak veri merkezi” olarak kullanıldığında, klasik işbölümü devam eder ve bulutun potansiyelinin çoğu gerçekleşmez.

Ancak uygulamaları oluşturmak ve çalıştırmak için bir platform olarak bulutu kullanmaya geçiş, güvenliği büyük ölçüde bozuyor. Bulut müşterisi açısından Amazon Web Services (AWS), Microsoft Azure ve Google Cloud gibi platformlar %100 yazılımdır ve geliştiriciler artık bulut altyapılarının oluşturulmasını ve yönetimini uygulamalarının ayrılmaz bir parçası olarak programlamaktadır. Bu, geliştiricilerin bulut mimarilerini tasarladıkları ve güvenlik açısından kritik yapılandırmalar belirledikleri ve ardından bunları sürekli olarak değiştirdikleri anlamına gelir.

Bu değişim, son derece rekabetçi sektörlerde faaliyet gösteren kuruluşlar için büyük bir fırsatı temsil ediyor, çünkü uygulama ve bulut ekipleri bir veri merkezinde yapabileceklerinden çok daha hızlı yenilik yapabiliyor. Ancak giderek karmaşıklaşan ve son derece dinamik bulut ortamlarının güvenliğini sağlaması gereken ekipler için ciddi bir zorluk teşkil ediyor.

Bugün bulut güvenliğine yaklaşmanın tek etkili yolu, bulutta inşa eden ve çalışan geliştiricileri, güvenli bir şekilde ilerlemelerine yardımcı olan araçlarla güçlendirmektir. Bunu yapmamak, güvenliği ekiplerin bulutta ne kadar hızlı ilerleyebileceği ve dijital dönüşümün ne kadar başarılı olabileceği konusunda hız sınırlayıcı faktör haline getirir.

Geliştiricileri bulut güvenliği konusunda güçlendirmenin ne anlama geldiğini anlamak için geliştirici ile ne demek istediğimizi tanımlamamız gerekiyor. Aşağıdakiler de dahil olmak üzere birkaç farklı rolü kapsayan geniş bir şemsiyedir:

  • Bulutta derlenen ve uygulamanın bütünleyici bileşenleri olarak yerel bulut hizmetlerinden yararlanan uygulama geliştiricileri. Bu modelde, uygulama ve altyapı arasındaki sınır, tamamen ortadan kalkmasa bile keyfi ve bulanıktır.

  • Bulut altyapısı ortamlarının yapılandırmasını, dağıtımını ve yönetimini programlamak ve bu altyapıyı uygulama geliştiricilerine teslim etmek için (IaC) kullanan bulut mühendisleri (yani DevOps).

  • Güvenlik ve uyumluluk ilkelerini diğer uygulamaların güvenliği otomatik olarak doğrulamak için kullanabileceği bir dilde ifade etmek için kullanan ve bu PaC kitaplıklarını kuruluş genelindeki ekiplere satan bulut güvenliği mühendisleri.

İş tanımları ne olursa olsun, geliştiriciler bulut tamamen yazılım tanımlı olduğu için bulut bilişim altyapısının kendisini kontrol eder. Bulutta uygulamalar oluşturduklarında, IaC kullanmak yerine uygulamalar için altyapı da oluşturuyorlar ve geliştiriciler bu sürece sahipler.

Bu, güvenlik ekibinin rolünün, geliştiricilere güvenli bir ortamda çalıştıklarından emin olmak için bilgi ve kurallar veren etki alanı uzmanı olacak şekilde geliştiği anlamına gelir. Bunları başkalarının anlaması ve yorumlaması için bir insan dilinde ifade etmek yerine, istenmeyen koşullar için diğer kodları ve çalışan ortamları kontrol eden PaC’yi kullanırlar. PaC, tüm bulut paydaşlarının, kurallar ve bunların yazılım geliştirme yaşam döngüsünün (SDLC) her iki ucunda nasıl uygulanacağı konusunda belirsizlik veya anlaşmazlık olmadan güvenli bir şekilde çalışmasını sağlar.

Bulut güvenliğini doğru bir şekilde elde eden kuruluşlar, DevSecOps modelinin benimsenmesini destekler ve geliştiricilerin dağıtım sonrası uygulamaların güvenliğini sağlamalarına olanak tanır. Giderek artan sayıda geliştirici (2025 yılına kadar sayısı 43 milyonu aşacak), kod çalıştıktan sonra kodlarının devam eden performansından ve güvenliğinden kendilerini tamamen sorumlu bulacaktır.

Oldukça uzun bir süredir uygulamalar, oluşturma, test etme, devreye alma ve izleme aşamalarını içeren bir yazılım geliştirme yaşam döngüsü içeriyor. Uygulama güvenliğinde “sola kaydırma” hareketi, SDLC’de sorunları daha önce çözmek daha kolay, daha hızlı ve daha güvenli olduğundan hız, üretkenlik ve güvenlik açısından önemli bir yatırım getirisi sağladı. IaC’nin benimsenmesiyle, bulut altyapısının artık kendi SDLC’si var, bu da bulut güvenliğinin dağıtım öncesi aşamalarda ele alınabileceği ve ele alınması gerektiği anlamına geliyor.

Bulut güvenliğiyle ilgili birincil endişe yanlış yapılandırmadır, ancak yanlış yapılandırmanın bulut ortamınızda bir bilgisayar korsanını durdurmada etkisiz olduğunu kanıtlayan herhangi bir şey olduğunu bilmek önemlidir. Tehlikeli bir bağlantı noktasını açık bırakmak veya bir nesne depolama hizmetine genel erişim sağlamak gibi bulut ihlalleriyle ilgili haberlerde sıklıkla vurgulanan tek kaynaklı yanlış yapılandırmalara en çok aşinayız. Ancak bunlar aynı zamanda tüm ortamın yanlış yapılandırılmasını da içerir – saldırganlara keşif, hareket ve veri çıkarma gücü veren mimari güvenlik açıkları.

Her büyük bulut ihlali, bulut ortamlarındaki bu tasarım kusurlarından yararlanmayı veya kontrol düzlemi uzlaşmasını içerir. Kontrol düzlemi, bulutu yapılandıran ve çalıştıran API yüzeyidir. Örneğin, bir kapsayıcı oluşturmak, bir ağ yolunu değiştirmek ve veritabanlarındaki veya veritabanlarının anlık görüntülerindeki verilere erişim elde etmek için kontrol düzlemini kullanabilirsiniz (ki bunlar bilgisayar korsanları arasında canlı üretim veritabanlarına girmekten daha popülerdir). Başka bir deyişle, API kontrol düzlemi, bulutu yapılandırmak ve çalıştırmak için kullanılan API’ler topluluğudur.

API’ler bulut bilişimi yönlendirir. Merkezi bir veri merkezinde sabit bir BT mimarisi gereksinimini ortadan kaldırırlar. Bu aynı zamanda saldırganların, şirketlerin şirket içi veri merkezlerindeki sistemler ve veri depoları etrafında diktiği keyfi sınırlara uymak zorunda olmadığı anlamına gelir. Yanlış yapılandırmaları belirlemek ve düzeltmek bir öncelik olsa da, yanlış yapılandırmaların saldırganlar için nihai sonuca giden yollardan yalnızca biri olduğunu anlamak önemlidir: bugüne kadar her önemli bulut ihlalinde merkezi bir rol oynayan kontrol düzlemi güvenliği.

Geliştiricilere, IaC’yi geliştirirken bulut yanlış yapılandırmalarını bulma ve düzeltme konusunda yetki vermek kritik öneme sahiptir, ancak onlara günümüzün kontrol düzlemi uzlaşma saldırılarına karşı doğası gereği güvenli olan bulut mimarisi tasarlamak için ihtiyaç duydukları araçları vermek de aynı derecede önemlidir.

Geliştiricilerin bulutta güvenli bir şekilde çalışmasını sağlamak için herhangi bir kuruluşun atabileceği beş adım vardır:

  1. Bulut ortamınızı ve SDLC’yi anlayın. Güvenlik ekipleri, çalışan her şeyi, nasıl yapılandırıldığını, nasıl geliştirildiğini ve dağıtıldığını ve meydana geldiğinde değişiklikleri anlamak için mühendisleri uygulama ve DevOps ekipleriyle birleştirmelidir. Hangi uygulamaların bulut kaynaklarıyla ilişkili olduğunu, herhangi bir veriyle birlikte ve bunların nasıl kullanıldığını bilmelisiniz. Kontrol düzlemi risklerini belirlemek için bir bilgisayar korsanı gibi düşünün.
  2. Güvenli tasarıma öncelik verin ve yanlış yapılandırmayı önleyin. Bir kontrol uçağı taviz saldırısı başladığında, genellikle onu durdurmak için çok geçtir. Etkili bulut güvenliği, bu saldırıları mümkün kılan koşulların önlenmesini gerektirir. Dağıtılmadan önce yanlış yapılandırmaları yakalamak için güvenliği tüm bulut SDLC’sine yerleştirin ve doğal olarak güvenli ortam mimarileri tasarlamaya odaklanın.
  3. Geliştiricilere güvenlik konusunda rehberlik eden araçlarla güç verin. Geliştiriciler hızlı hareket ediyor ve hızı etkilemeden benimsemeyi bekliyorsak, herhangi bir güvenlik aracının çalıştığı şekilde çalışması gerekiyor. Bulut güvenliği araçları, geliştiricilere güvenlik sorunları ve bu sorunları hızla nasıl düzeltebilecekleri konusunda yararlı, eyleme geçirilebilir geri bildirim sağlamalı ve böylece işlerine devam edebilmeleri için.
  4. Politikayı bulut güvenliği için kod olarak benimseyin. PaC, tüm bulut paydaşlarının, kuralların ne olduğu ve nasıl uygulanması gerektiği konusunda herhangi bir belirsizlik veya anlaşmazlık olmadan güvenli bir şekilde çalışmasını sağlayarak, güvenlik ekiplerinin çabalarını sahip oldukları kaynaklarla ölçeklendirmesine yardımcı olur. Politika için tüm ekiplerin tek bir doğru kaynağı altında hizalanmasına hizmet eder, politikanın yorumlanması ve uygulanmasında insan hatasını ortadan kaldırır ve SDLC’nin her aşamasında güvenlik otomasyonu (değerlendirme, uygulama vb.) sağlar.
  5. Ölçüm ve süreç iyileştirmeye odaklanın. Bulut güvenliği, izinsiz giriş tespiti ve zararlı faaliyetler için ağları izlemekten daha çok, açıklardan yararlanmaları önlemek için bulut güvenliği süreçlerini iyileştirmekle ilgilidir. Başarılı bulut ekipleri, manuel, hataya açık görevler otomatikleştirildikçe iyileştirilmesi gereken geliştiricilerin ve güvenlik ekiplerinin üretkenliğinin yanı sıra ortamlarının riskini sürekli olarak puanlar.

Geliştiriciler, dağıtımdan önce kodlarını güvence altına almak, çalışırken güvenli bütünlüğünü korumak ve kodda düzeltmeler sağlamak için belirli yerleri daha iyi anlamak için en iyi (ve genellikle yalnızca) konumdadır. Ama aynı zamanda, sürekli deney ve başarısızlık dünyasında faaliyet gösteren hatalara eğilimli insanlardır. PaC üzerine kurulu otomasyon, hataların konuşlandırılmadan önce sürekli olarak aranması ve yakalanması sürecini otomatikleştirerek insan hatası riskini ortadan kaldırır.

Bulut güvenliğine geliştirici öncelikli yaklaşımı benimseyen kuruluşlar, rakiplerinden daha hızlı ve daha güvenli bir şekilde yenilik yapacaktır.

Josh Stella hakkında

Josh Stella, Snyk’te başkan yardımcısı ve baş mimar ve bulut güvenliği konusunda teknik bir otoritedir. Josh, 25 yıllık BT ve güvenlik uzmanlığını Fugue’de kurucu CEO, Amazon Web Services’de baş çözüm mimarı ve ABD istihbarat topluluğu danışmanı olarak getiriyor. Josh’un kişisel görevi, kuruluşların bulut yapılandırmasının nasıl yeni saldırı yüzeyi olduğunu ve şirketlerin bulut altyapılarını güvenceye almak için savunmacı bir duruştan önleyici bir duruşa nasıl geçmeleri gerektiğini anlamalarına yardımcı olmaktır. “Immutable Infrastructure” (O’Reilly tarafından yayınlanan) üzerine ilk kitabı yazdı, çok sayıda bulut güvenliği teknolojisi patentine sahip ve eğitici bir Bulut Güvenliği Masterclass serisine ev sahipliği yapıyor. Josh ile bağlantı kurun.

Snyk Hakkında

Snyk, geliştirici güvenliğinde liderdir. Dünyanın geliştiricilerine güvenli uygulamalar oluşturma ve güvenlik ekiplerini dijital dünyanın taleplerini karşılayacak şekilde donatma gücü veriyoruz. Geliştirici öncelikli yaklaşımımız, kuruluşların koddan buluta uygulamalarının tüm kritik bileşenlerini güvence altına alabilmelerini sağlayarak geliştirici üretkenliğinin artmasına, gelir artışına, müşteri memnuniyetine, maliyet tasarrufuna ve genel olarak iyileştirilmiş bir güvenlik duruşuna yol açar. Snyk’in Geliştirici Güvenlik Platformu, bir geliştiricinin iş akışıyla otomatik olarak bütünleşir ve güvenlik ekiplerinin geliştirme ekipleriyle işbirliği yapması için özel olarak oluşturulmuştur. Snyk, Asurion, Google, Intuit, MongoDB, New Relic, Revolut ve Salesforce gibi sektör liderleri de dahil olmak üzere bugün dünya çapında 2.000’den fazla müşteri tarafından kullanılmaktadır. Snyk’i adresinde ziyaret edin.

Tüm marka adları ve ürün adları, ilgili şirketlerin ticari markaları veya tescilli ticari markalarıdır.

Etiketler: Snyk, bulut güvenliği, SaaS, uyumluluk, Josh Stella, kod olarak politika, kod olarak altyapı, siber güvenlik, bulut, bulut kontrol düzlemi, bulut mimarisi, bulut yapılandırması, bulut yanlış yapılandırması, veri ihlali, bilgisayar korsanları, uygulama programlama arayüzü, API, Fugue, DevOps, geliştiriciler, uyumluluk

reklam





Source link