Genel bulutta güvenlikten kim sorumludur? Bu, giderek daha fazla iş yükü dağıtan ve bulut tabanlı BT altyapısını, platform hizmetlerini ve uygulamalarını kullanan işletmelerin dikkate alması gereken bir sorudur.
Gartner’ın Entegre IaaS ve PaaS’ı kendi veri merkezinizden daha güvenli hale nasıl getirirsiniz? Raporda analistler, BT güvenliğine yönelik bulutta yerel bir yaklaşım benimsemenin faydalarını tartışıyor.
Gartner, bulut yerel zihniyetini, buluttaki BT altyapısını ve uygulamalarını modüler ve mikro hizmetlere dayalı olarak ele almanın bir yolu olarak tanımlar. Rapor yazarları, böyle bir mimarinin tipik olarak kapsayıcı tabanlı, düzenlenmiş olduğunu ve uygulama programlama arayüzlerinin (API’ler) yoğun kullanımını içerdiğini belirtir. Ayrıca Gartner, bu tür BT altyapısının değişmez bir altyapı yaklaşımı kullanılarak güncellendiğini söyler.
Ancak analistler, böyle bir yaklaşımın şirket içi BT için pek işe yaramayacağı konusunda uyarıyor. Raporda, “Şirket içi mimari kalıplar ve bunlarla ilgili araçlar, genel bulut için pek uygun değil ve dinamik ve geçici doğası nedeniyle genel bulutu benimseyen geliştiricilerin ve iş birimlerinin ihtiyaçlarını muhtemelen boşa çıkaracak” ifadesine yer veriliyor.
Gartner, bulut güvenliğinden sorumlu BT güvenlik liderlerinin yeni yaklaşımları, kalıpları, ürünleri ve en iyi uygulamaları benimsemeye açık olmalarını ve genel bulutu benimserken alternatif BT güvenlik teknolojisi sağlayıcılarını değerlendirmelerini öneriyor.
Neden bulut güvenliğine odaklanmalıyız?
Genel bulut büyük ölçüde bir avantaj olmakla birlikte, özellikle kullanıcıların farklı cihazlar kullanarak çeşitli konumlardan isteğe bağlı hizmetlere erişmesine izin verdiğinde, kuruluşları genel bulut güvenlik risklerine açık hale getirir. ISACA’nın gelişen trendler çalışma grubunda yer alan Beji Jacob, bulut güvenliğini bir kuruluşun siber güvenliğine yönelik tehditleri önlemek ve azaltmak için tasarlanmış teknoloji ve teknikler olarak tanımlıyor.
“Şirketler, hem dijital dönüşümleri hem de varlıkları korumak için bulut tabanlı araçların kullanımını desteklemek için bulut bilişim güvenliğini uygulamalıdır” diyor ve bulut güvenliğinin, tümü şirket dışı veriler için siber savunmaları sıkılaştırmak üzere tasarlanmış çeşitli teknolojileri birleştirerek çalıştığını ve uygulamalar.
Genel bulut güvenliğinde tehdit istihbaratının rolü
SecAlliance CEO’su Rob Dartnall, İngiltere Merkez Bankası’nın CBEST hedefli değerlendirmesi ve İngiltere hükümetinin istihbarat odaklı simüle edilmiş saldırı çerçevesi GBEST gibi düzenleyici çerçevelerin bir parçası olan tehdit odaklı penetrasyon testlerini (TLPT) düzenli olarak İngiltere’de yürütüyor.
“Bu testlerin tehdit istihbaratı öğesinin temel bir bileşeni ‘hedefleme istihbaratı’ olarak adlandırılır,” diyor. “Esasında, birçok şeyi içeren bir varlığın düşmanca keşfidir, ancak daha da önemlisi, bir dayanak noktası elde etmek için kullanılabilecek zayıflıkları aramak için bir varlığın çevresinin ve bulut hizmetlerinin keşfidir.”
Dartnall’ın deneyimine göre, kırmızı takım üyesi tarafından bir çevre hizmetinin teknik olarak istismar edilmesi bankalar gibi olgun kuruluşlara karşı nadir olsa da, gölge hizmetlerin, fikri mülkiyet aralıklarının ve kuruluşun farkında olmadığı etki alanlarının keşfi kesinlikle nadir değildir.
İhlalden etkilenen varlıklar ile harici saldırı yüzeyi yönetimini (EASM) kullanan varlıklar arasında doğrudan bir ilişki olduğunu söylüyor. Bu, dahili bir ekibin veya harici bir güvenlik hizmeti sağlayıcısının yalnızca neyin çalıştığına, sürümlere, hizmetlere ve bağlantı noktalarına, güvenlik kontrollerine ve yanlış yapılandırmalara değil aynı zamanda yeni gölge hizmetlere de bakarak sürekli olarak çevreye ve ötesine baktığı bir çevre güvenliği yaklaşımıdır. genellikle hileli geliştiriciler, mühendisler veya mimarlar tarafından yanlışlıkla kurulur. Bu gölge BT hizmetlerinin sürekli olarak güvenlik olaylarına ve veri ihlallerine yol açtığını söylüyor.
Yapay zeka genel bulut güvenliğini desteklemeye nasıl yardımcı olabilir?
Büyük ölçekte çalışabilen, öğrenmeyi kullanan ve bir kuruluşun veri koruma ihtiyaçlarına uyum sağlayabilen yapay zekanın (AI) ve makine öğreniminin (ML) bir rolü vardır. PA Consulting’de veri ve bulut güvenliği uzmanı Scott Swalling’e göre, otomasyonun artmasıyla karar verme süreci hızlandırılabilir ve buluta bağlanan veya halihazırda bulutta dağıtılan veriler “daha hızlı bir şekilde değerlendirilebilir ve uygun şekilde korunabilir” .
Swalling, Google BigQuery ve Amazon Macie gibi bulut araçlarının, kuruluşların genel bulutlardaki verilerini daha iyi yönetmelerine ve hassas verilerin açığa çıkmasını azaltmalarına yardımcı olan yetenekler sağlamak için AI ve ML’yi kullandığını söylüyor.
AWS Config, Azure Policy veya Google Cloud’un Güvenlik ve Komuta Merkezi de güvenlik politikalarının izlenmesini ve uygulanmasını otomatikleştirmeye yardımcı olur. Sürekli izleme çözümlerinin uygulanması, yanlış yapılandırmaları, şüpheli erişim isteklerini ve diğer güvenlik olaylarını gerçek zamanlı olarak algılayacak ve uyaracaktır.
Otomatik izleme ve yaptırıma ek olarak Swalling, iyi yönetilen ve düzenli olarak gözden geçirilen tehdit yönetiminin uygulanmasının, kuruluşların tehditlere yanıt vermede daha proaktif ve çevik olmalarına olanak sağladığına dikkat çekiyor.
Geleneksel kimlik ve erişim yönetimi neden yetersiz kalıyor?
Kimlik ve erişim yönetimi, proaktif BT güvenlik yönetiminin temel bir bileşenidir. Ancak Gartner’ın kıdemli baş analisti Carlos De Sola Caraballo, kimlik yönetimine yönelik geleneksel varlık merkezli yaklaşımların bulut ortamlarında gerekli görünürlüğü sağlayamayacağı konusunda uyarıyor.
BT güvenlik liderlerinin kullanıcı kimliklerine ve bunlarla ilişkili izinlere odaklanmalarını, normal davranış için temel değerler oluşturmalarını ve anormallikleri tespit etmek için uyarılar yapılandırmalarını öneriyor.
“Bu yaklaşım, bulut altyapısı genelindeki olayları izleme ve yönetme yeteneğini artırarak daha kapsamlı ve zamanında bir yanıt sağlıyor” diyor.
Paylaşılan sorumluluğun rolü
Bir kuruluşun önemli hizmetleri buluta geçirme yolculuğuna başlaması veya bulutta yerel, kalıcı bir proje başlatması fark etmeksizin, bulut güvenlik modelini derinlemesine anlayan güvenlik uzmanlarının sürece dahil edilmesi önemli bir faktördür.
Advanced Cyber Defence Systems’in baş teknoloji sorumlusu (CTO) Elliott Wilkes, bulut sağlayıcılarının hizmetlerin her birinin belirli öğelerinden sorumlu olduğu bulut paylaşılan sorumluluk modeline değiniyor. Veri merkezlerindeki fiziksel altyapı ve erişim kontrolleri, dayanıklı güç yedeklemeleri ve benzerlerini içeren bu unsurları izlemeleri, savunmaları ve korumaları gerektiğini söylüyor. “Genellikle bir veri merkezinden sağlamasını beklediğiniz her şey, CSP’ler [cloud service providers] sağlayacak” diyor.
Genel bulut altyapısının hangi bölümlerinin bulut hizmet sağlayıcısı tarafından yönetildiğini bilmek, BT ekiplerinin ele almaları gereken güvenlik açıklarını nasıl gidereceklerine dair bir plan geliştirmelerini sağlar.
Gartner’dan Caraballo, BT güvenlik liderlerinin bir CSP seçme sürecinin başında yönetişim, risk ve uyumluluk (GRC) ve hukuk ekipleriyle iletişime geçmesini öneriyor.
Wilkes de aynı fikirde: “CSP’nin olaya müdahale konusunda sağlam bir destek sağlaması için açık sözleşme hükümleri gereklidir.”
Caraballo, BT güvenliği liderlerinin, bulut ortamlarında meydana gelen güvenlik olaylarına müdahale etmek için bir strateji geliştirirken genel iş esnekliğini dikkate almalarını öneriyor. Bunun yalnızca teknik yanıtları değil aynı zamanda dijital tedarik zinciri fazlalıkları ve sağlam yasal sözleşmeler gibi stratejik planlamayı da içeren daha geniş bir yaklaşım gerektirdiğini belirtiyor. BT güvenliği liderlerini, olay müdahale planlarının kapsamlı olmasını, buluta özgü hususları içermesini ve genel iş sürekliliği ve felaket kurtarma stratejileriyle uyumlu olmasını sağlamaya çağırıyor.
Bulut güvenliği neden farklı bir yaklaşım gerektiriyor?
Caraballo’ya göre, bulut ortamlarına geçiş, olay müdahale stratejilerinde temel bir değişimi gerektiriyor. BT güvenlik liderlerini, bulutun benzersiz zorluklarını karşılamak için otomasyon, proaktif iş birliği ve kimlik merkezli güvenlikten yararlanarak olay müdahale prosedürlerini yeniden değerlendirmeye ve yükseltmeye çağırıyor.
“Bulut güvenliğinin dinamik doğası, kuruluşların ortaya çıkan tehditlere hızlı ve etkili bir şekilde yanıt verebilmesini sağlayan, eşit derecede dinamik ve esnek olay müdahale stratejileri gerektirir” diye ekliyor.
İyi haber, en azından Swalling’in bakış açısına göre, bulut sağlayıcılarının büyük miktarda veri ve tehditleri değerlendirme yeteneğine sahip olmasıdır. Bu, onun belirttiğine göre, genel bulut hizmetlerinin şu anda yapay zekayı kullanmada daha basit şirket içi güvenlik araçlarından daha üstün olduğu anlamına geliyor.