Çoğu çalışmada olduğu gibi, bulut gibi teknolojiler oluştururken veya bu teknolojilere geçiş yaparken güvenliği sürece mümkün olduğunca erken dahil etmek çok önemlidir. İster temel hizmetleri buluta geçirme yolculuğunuza başlıyor olun ister bulutta yerel, kalıcı bir proje başlatıyor olun, bulut güvenlik modelini derinlemesine anlayan güvenlik uzmanlarının sürece dahil edilmesi çok önemlidir. Bu, güvenli ve sağlam bir sistemin başarılı bir şekilde uygulanmasını sağlar.
Paylaşılan sorumluluk modeli
Bir teknoloji lideri olarak bu sürecin başındaysanız bulut paylaşılan sorumluluk modelini anlamak çok önemlidir. Farklı bulut hizmet sağlayıcıları (CSP’ler) tarafından sunulan hizmetlerin her birinin, veri merkezlerindeki fiziksel altyapı ve erişim kontrolleri, esnek güç yedeklemeleri ve benzeri gibi izleme, savunma ve koruma sorumluluğu kendilerine ait olan unsurları vardır. Tipik olarak bir veri merkezinin sağlamasını beklediğiniz her şeyi CSP’ler sağlayacaktır ve bazıları gerçekten çok büyük bir ölçekte çalıştıkları için gerçekten iyi ayarlanmıştır.
Metalden uzaklaşın
Buradaki zorluk, fiyat, güvenlik ve uzun vadeli genel masraflar ve bakım gibi faktörleri göz önünde bulundurarak hangi hizmetlerin kullanılacağına ilişkin bilinçli kararlar vermek için gereken ayrıntılarda yatmaktadır. Bu yolculukta şirketlerle yapılan görüşmelerde mümkün olduğunca çıplak metalden uzaklaşmayı öneriyorum. Bu, AWS’nin Fargate ve Lambda’sı, Google’ın Cloud Run ve Cloud Functions’ı veya Microsoft’un Azure Containers ve Azure Functions’ı gibi yüksek düzeyde sanallaştırılmış ve konteynerleştirilmiş hizmetlerden yararlanmayı içerir.
Burada göz önünde bulundurulması gereken noktalardan biri, bu yönetilen hizmetlerin iyi yönetilmesi ve dolayısıyla onlar için daha temel tekliflerden daha yüksek bir prim ödemeniz gerektiğidir. Şirket içinde aynı seviyede iş yapmak için işe almanız ve yönetmeniz gereken çok sayıda personel göz önüne alındığında, bu, dikkatli bir incelemeye değer.
Bununla birlikte, üretime geçmek için onaylanmadan önce bir dizi otomatik testle karşı karşıya kalan dağıtımları hızla çalıştırmanıza olanak tanıyan Sürekli Entegrasyon ve Sürekli Dağıtım (CI/CD) modelini kullanarak kod ardışık düzeninize yatırım yapmak isteyeceksiniz. Anahtar, hizmet, güvenlik ve kod kalitesi standartlarını uygulayan ve tekrarlanabilir sonuçlar üreten iyi tanımlanmış süreçlerdir.
Çoğu durumda, bu yönetilen hizmetler (Lamdas ve konteyner sistemleri gibi), sizin ve ekibinizin güncel kalmak için kaynak ayırması gerekmesi yerine, CSP’nin bu araçların etrafındaki güvenliğin bir ölçüde izlenmesinden ve yönetilmesinden sorumlu olduğu anlamına gelir. Bir Linux İşletim Sistemi için gereken tüm düzeltme ekleriyle bulut sağlayıcınız bunu sizin için yönetir. Not: Bulut hizmetleri düzenli olarak değiştiğinden, kullandığınız herhangi bir hizmetin, başlamadan önce otomatik yama ve sürüm oluşturma içerdiğini doğrulamalısınız.
Buradaki fikir, AWS, Google ve Azure’un bu güvenlik yönetimi uygulamalarından bazılarında ve işleri güncel tutma konusunda çoğu kuruluştan daha iyi olduğudur. Bazı dikkate değer istisnalar vardır; Özellikle Microsoft’un ürünlerinin güvenliği açısından çok kötü bir yıl geçirdiğini belirtmekte fayda var. Okumadıysanız ABD hükümeti Siber Güvenlik Güvenliği İnceleme Kurulu’nun (CSRB) geçen yılki Microsoft ihlallerine ilişkin raporuna bir göz atın. Şirket içindeki bazı feci güvenlik başarısızlıklarının oldukça ciddi bir değerlendirmesi.
Olgunluk değerlendirmeleri ve kurul görünürlüğü
Bulut ortamlarına yoğun yatırım yapıyorsanız bulut altyapınızın güvenlik riski değerlendirmesini yapmanız çok önemlidir. Anahtar alanlara odaklanın:
- Kimlik ve Erişim Yönetimi: Makineler için kriptografik anahtar tabanlı kimlik doğrulama ve özellikle ayrıcalıklı kullanıcılar için FIDO2 donanım destekli MFA ile ayrıcalıklı makine erişimini ve kök hesapları inceleyin ve güvence altına alın.
- Sanal Makineler ve Uç Noktalar: Yama işlemlerinin, önerilen zaman dilimleri içerisinde tüm CISA Bilinen İstismar Edilen Güvenlik Açıklarını kapsadığından emin olun. Yama uygulama sürenizi ölçün ve bunu idari bir iş ölçütü olarak takip edin.
- İnternet’ten Erişilebilir Güvenlik Duruşu: Gelen ve giden bağlantıların çoğu için güvenlik duvarı kurallarının varsayılan olarak reddedildiğinden emin olun.
- Günlük kaydı: Her yerde günlük kaydını etkinleştirin ve bir ekibin günlükleri düzenli olarak incelemesini sağlayın.
- Yedekleme ve Geri Yükleme: Hesapların felaketle sonuçlanmasına karşı koruma sağlamak için ideal olarak çekirdek bulut hesaplarınızdan bağımsız yedeklemelerle güçlü bir yedekleme ve geri yükleme süreci uygulayın.
Bu temel risk ve olgunluk alanları için bir temel oluşturduktan sonra, hizmetleri satın almaya veya kuruluşunuzda en üst düzeylerde görünürlük ve raporlama ile bunları izlenmeye devam etmek için kapasite oluşturmaya bakmaya başlayın. Bu, BT ve bulutla ilişkili siber güvenlik risklerinin anlaşılmasının yalnızca teknoloji ekibiyle değil aynı zamanda yönetim kuruluyla da sınırlı olmasını sağlamak için son derece değerli bir adımdır.
Elliott Wilkes, Gelişmiş Siber Savunma Sistemleri’nde CTO’dur. Deneyimli bir dijital dönüşüm lideri ve ürün yöneticisi olan Wilkes, hem Amerikan hem de İngiliz hükümetleriyle on yıldan fazla çalışma deneyimine sahiptir; en son olarak Kamu Hizmetinde siber güvenlik danışmanı olarak görev yapmıştır.