Genel bulut hizmetlerinin güvenli ve emniyetli bir şekilde kullanılması nasıl sağlanır?


Genel bulut, uygulamalar, veri depolama ve sanal makineler gibi kaynaklara uzaktan ve isteğe bağlı olarak erişilmesini sağlayan bir bulut bilişim modelidir. Büyük ölçüde bir avantaj olsa da, özellikle kullanıcıların farklı cihazlar kullanarak çeşitli konumlardan isteğe bağlı hizmetlere erişmesine izin verdiklerinde, kuruluşları genel bulut güvenliği risklerine açık hale getirir.

Bulut güvenliği, bir kuruluşun siber güvenliğine yönelik tehditleri önlemek ve azaltmak için tasarlanmış teknoloji ve tekniklerden oluşur. Şirketler, hem dijital dönüşümleri hem de varlıkları korumak için bulut tabanlı araçların kullanımını desteklemek için bulut bilişim güvenliğini uygulamalıdır. Bulut güvenliği, tümü şirket dışı veriler ve uygulamalar için siber savunmaları sıkılaştırmak üzere tasarlanmış çeşitli teknolojileri birleştirerek çalışır.

Bulut güvenliğinin işe yaramasını sağlayan temel unsurlardan bazıları şunlardır:

  • Veri güvenliği: Bulut bağlamında veri güvenliği, bir kuruluşun bulut tabanlı verilerinin bütünlüğünün korunmasından ve sürdürülmesinden oluşur. Bu veriler genellikle aşağıdakileri içerir:
  • Tescilli, hassas bilgiler de dahil olmak üzere şirket verileri
  • Fikri mülkiyet
  • Çalışan verileri
  • Müşteri bilgisi
  • Web uygulamaları tarafından kullanılan veriler
  • Kimlik ve Erişim Yönetimi (IAM): Bu, çalışanlarınızın görevlerini yerine getirmek için ihtiyaç duydukları dijital çözümlere erişebilmelerini sağlamayı içerir. IAM’i kullanarak, mevcut kullanıcıların ihtiyaç duydukları ayrıcalıklara sahip olmasını ve eski çalışanların erişiminin sonlandırılmasını sağlamak için kullanıcıların erişim sahibi olduğu uygulamaları yönetebilirsiniz; bu, saldırı yüzeyinizi kontrol etmenize yardımcı olur.
  • Yönetim: Bu, verileri sistemleri koruyacak ve etkinleştirecek ve hassas bilgileri koruyacak şekilde yönetmek için dahili politikaların uygulanmasını içerir.
  • İş Sürekliliği (BC) ve Veri Saklama (DR): Bu, bir felaket, ihlal veya sistemin silinmesi durumunda kritik sistemleri geri yüklemek için verilerin yedeklenmesine odaklanır.
  • Yasal uyum: Yasal uyumluluk, bir kuruluşun verilerinin, şirketinizin bulunduğu ülkenin ve iş yapabileceği ülkelerin yasalarında belirtilen standartlara uygun olmasını sağlamaya odaklanır.

Genel bulutla ilişkili güvenlik risklerinden birkaçı şunlardır:

  • Veri ihlalleri: Genel bulutta depolanan veri miktarı giderek artıyor ve bu da onu bilgisayar korsanları için daha çekici ve kazançlı bir hedef haline getiriyor. Verilerin uygun şekilde korunmaması, yüksek maliyetli veri ihlallerine yol açabilir ve bu da para cezaları, yasal işlemler ve hatta bir kuruluşa karşı cezai yaptırımlarla sonuçlanabilir. Veri ihlalleri aynı zamanda pahalı itibar hasarlarına neden olur ve işletmelerin giderek katılaşan veri gizliliği düzenlemelerine uymamasına yol açabilir.
  • Zayıf Kimlik Doğrulama: Genel bulut verilerinin korunması, çok faktörlü kimlik doğrulama (MFA) gibi güçlü kimlik doğrulama yöntemlerinin ve süreçlerinin dağıtımına bağlıdır.
  • Şifreleme Eksikliği: Verilerin şifrelenmesi, verilere erişme yetkisi olmayan kişiler tarafından okunamaz hale gelir. Bu nedenle, saldırganlar bir sisteme erişebilseler bile şifrelenmiş verileri okuyamayacaklar ve bu durum onlar için işe yaramaz hale gelecektir. Şifreleme, verilerin gizli kalmasını sağlar ve bulut tabanlı verilerin bütünlüğünü güçlendirir.
  • İçeriden Gelen Tehditler: Bu saldırılara, bir kuruluşta çalışan kişiler (yani mevcut veya eski çalışanlar) veya şirketin ağlarına ve sistemlerine erişimi olan kişiler neden olur. İçeriden gelen bir saldırının arkasındaki motivasyon genellikle finansaldır. Bunlar aynı zamanda bir çalışanın bir kuruluştan intikam almak istemesi veya fikri mülkiyeti (IP) çalmasının bir sonucu da olabilir. Ek olarak, içeriden gelen tehditler insan hatasından ve genel bulut güvenliğindeki boşluklardan kaynaklanabilir; örneğin bir BT uzmanının, bir çalışan bir kuruluştan ayrıldığında veya iş rolü değiştiğinde kullanıcı erişimini iptal edememesi.
  • Kullanıcı Kimlik Hırsızlığı: Yeterli güvenlik olmadığında, saldırganlar verileri nispeten kolaylıkla dinleyebilir, gözetleyebilir, değiştirebilir ve çalabilir. Siber suçlular, kimlik hırsızlığı yapmak için giderek daha fazla hassas verileri kullanıyor. Buna, kişisel verileri çalmak için kredi kartı hırsızlığı, veri ihlalleri, kötü amaçlı yazılım ve Dağıtılmış Hizmet Reddi (DDoS) saldırıları gibi çeşitli saldırı vektörlerinin kullanımı da dahildir.

İşletmelerin genel bulut hizmetlerini güvenli ve emniyetli bir şekilde kullanmasını sağlamanın yollarından bazıları şunlardır:

  • Şifreleme: Hassas verileri yetkisiz kullanıma karşı korumak için veri şifrelemeyi kullanın.
  • Yedek plan: Bulutta güvende kalmak için bir veri yedekleme planı uygulayın.
  • Kullanıcı erişim kontrolleri: Kullanıcı erişim kontrollerini yönetin.
  • Çok faktörlü kimlik doğrulama (MFA): MFA’yı uygulayın.
  • Çalışanları eğitin: İşgücüne, ortamlarını daha iyi anlamalarına yardımcı olmak için yeterli miktarda kullanıcı (hem son kullanıcı hem de yönetici düzeyinde) eğitimi sağlanmalıdır.
  • Güvenlik duvarları: İşletmenizi siber saldırılara karşı korumaya ve güvenlik standartlarına uymaya yardımcı olmak için güvenlik duvarlarını kullanın.
  • Güvenlik açığı yönetimi: Bulut platformunun, onu kullanan uygulamaların ve bunlar tarafından depolanan ve sunulan verilerin güvenliğini artırmak için bulut güvenlik açığı yönetimini kullanın.
  • Sertifika yönetimi: Sıkı uyumluluk sertifikaları konusunda ısrar edin.
  • Bulut güvenlik açığı ve sızma testi: Bulut tabanlı sistemlerdeki güvenlik açıklarını belirlemek için bulut penetrasyon testini kullanın.

Beji Jacob üyesidir. ISACA Yükselen Trendler Çalışma Grubu.

Bulut güvenliği hakkında daha fazlasını okuyun



Source link