İş ve genel olarak dünya daha karmaşık hale geldikçe, bulut müşterisi ile bulut sağlayıcısı arasındaki paylaşılan sorumluluk, yani, daha da bulutlu hale gelir. Bu, özellikle güvenlik ve uyumluluk söz konusu olduğunda geçerlidir.
Uygulamaları ve altyapıyı buluta taşımak, kaynakları serbest bırakır ve esnekliği ve ölçeklenebilirliği artırır, ancak kuruluşları düzenleyici ve güvenlik sorumluluklarının yerine getirildiğinden emin olmaktan kurtarmaz. Bulut sağlayıcıları bulutun güvenliğini vaat ediyor, ancak güvenlikten kuruluşlar sorumlu içinde Bulut. Ve bulutta uyum – özellikle hibrit bir modelde – ezici bir zorluk olabilir çünkü ne bilmediğinizi bilmiyorsunuz. Ve tabii ki bilmediğiniz şey, sonunda size neyin mal olacağıdır – zaman, para ve bazen de itibar.
Hiçbir şey değişmeseydi yeterince zor olurdu, ama sürekli çalkantılı bir dünyada yaşıyoruz. Örneğin, Ocak ayı başlarında Biden yönetimi, 2022 güz düzenleme gündemiGıda katkı maddelerinden devlet müteahhitleri için siber güvenlik gerekliliklerine kadar her şeyi yöneten düzinelerce önerilen, bekleyen ve nihai kural dahil. Ve bulutun kendisi, yapay zeka tabanlı uygulamalar gibi yıkıcı uygulamaların önünü açtı. ChatGPT— birçok potansiyel faydası olan ancak aynı zamanda uyumluluk ve güvenlik endişelerini garanti eden yeni kanallar açan uygulamalar. Önerilen Amerikan Veri Gizliliği ve Koruma Yasasışirketler tarafından toplanan kişisel bilgiler için ulusal standartlar sağlayacak olan , AI’nın federal gözetimini de artırabilir.
İnceleme ve düzenlemeler arttıkça cezalar da güçleniyor. Kuruluşlar, buluttan yararlanırken iş uygulamalarını korumak ve yasal gereklilikleri karşılamak için ellerinden gelen her şeyi yaptıklarından emin olmalıdır. Sadece bu da değil, kuruluşlar bunu her kim isterse – denetçiler, müşteriler, ortaklar ve hatta rakipler – ne zaman isterlerse ona yaptıklarını gösterebilmelidir.
Sürekli Uyumluluk Zihniyeti
Sürekli değişim, bir DevSecOps modeli içinde sürekli uyumluluk zihniyetinin benimsenmesini gerektirir. Bunu yapmak için tek bir araç yok. Aslında, çok var – belki de şu anda çok fazla. Platform sağlayıcıları güvenlik ve uyumluluk yeteneklerini entegre ettikçe pazarın birleşmesi muhtemeldir, ancak bu arada kuruluşlar proaktif olarak gözlemlenebilirliği, yönetişimi ve güvenliği sağlayan ve sürdürmeye yardımcı olan teknolojiyi entegre etme fırsatları aramalıdır.
Örneğin, bulut güvenliği duruş yönetimi (CSPM) sistemleri, kuruluşların IaaS, SaaS ve PaaS platformlarının yanlış yapılandırmalarından kaynaklanan güvenlik risklerini belirlemesine ve düzeltmesine yardımcı olur. CSPM’ler bulut kaynaklarını keşfeder ve bunları yerleşik güvenlik en iyi uygulamalarına ve düzenleme standartlarına göre izler.
Daha kapsamlı bir ölçekte, CNAPP’ler (bulutta yerel uygulama koruma platformları), CSPM yeteneklerini CWPP (bulut iş yükü koruma platformu) özellikleriyle birleştiren bulutta yerel uygulama güvenliğine entegre bir platform yaklaşımı sağlar. CNAPP’lerin amacı, çözüm yığını genelinde riski belirlemek ve düzeltmek için bulut altyapısı ve bulut iş yükleri genelinde güvenlik ve uyumluluğu bütünsel olarak uygulamaktır.
Özellikle, Kubernetes ile entegre olan CNAPP’ler, bir kuruluşun şirket içi, hibrit ve bulut altyapılarında bulutta yerel uygulamaları güvenli ve uyumlu bir şekilde oluşturma, devreye alma, çalıştırma ve ölçeklendirme becerisini güçlendirir. Güvenliği, gözlemlenebilirliği ve yönetişimi iyileştirmek için tasarlanmış bir dizi Kubernetes projesi vardır. Kuruluşlar birden fazla Kube kümesini giderek daha fazla dağıttıkça ve platform kullanımlarını kuruluş sınırlarının ötesine genişlettikçe, bu alana topluluk yatırımı artıyor.
Örneğin SPIFFE/SPIRE, uçtan uca kimlik sorununu çözmede uzun bir yol kat ederken, Sigstore tedarik zinciri boyunca kriyotografik imzalamayı kolaylaştırır. Daha büyük faydalar için bu projelerin birçoğunu birleştirme fırsatları mevcuttur. Tekton Chains, bir Tekton işlem hattı tarafından üretilen yapıların imzalanması ve onaylanması için Sigstore’u kullanır. Tekton projesi ayrıca, TaskRun bölmelerine kimlik sağlamak ve görevlerin kurcalanmamasını garanti etmek için görev nesnelerini imzalamak üzere SPIFFE/SPIRE kullanmaya yatırım yapıyor.
Otomatikleştirme Politikası
Kuruluşlar ayrıca mümkün olan her yerde ve zamanda otomatikleştirilmiş, ilke tabanlı yönetişim, risk yönetimi ve uyumluluk açısından da düşünmelidir. Tarihsel olarak silo halindeki güvenlik çözümleri arasında köprüler oluşturulduğu gibi, DevOps ekipleri de geçmişte silo halindeki kuruluşlar arasında köprüler kurmalıdır. DevOps ekipleri, uygulama ve platform yaşam döngüsünün yanı sıra uygulama tedarik zinciri boyunca güvenlik ve uyumluluğu yönetmek için proaktif bir yaklaşım benimseyerek DevSecOps ekipleri haline gelmelidir.
Uygulamaların dağıtılmadan önce sağlamlaştırılabilmesi için geliştiricilerinize her gün kullandıkları araçlarda otomatik korkuluklar sağlamaya yardımcı olan çözümler arayın. Çoğu geliştiricinin güçlü bir uyumluluk ve güvenlik bilgi tabanı yoktur, bu nedenle rehberlik çözümleri ne kadar çok sağlayabilirse o kadar iyidir. Benzer şekilde, altyapıyı kod olarak yöneten ekipler için otomatik korkuluklar sağlamaya yardımcı olan çözümler arayın, böylece altyapı dağıtım zamanında sağlamlaştırılabilir. Geliştiriciler, altyapı ve güvenlik ekipleri için standart kalıplarla güvenlik uygulamalarının benimsenmesini basitleştiren, kullanıma hazır ilkeler ve yerleşik yanıt yetenekleriyle sektör uzmanlığına dayalı çözümlerden yararlanın.
Çözüm
Giderek daha fazla kuruluş, iş çevikliği ve ölçeklenebilirlik oluşturmak için şirket içi ve genel bulut dahil olmak üzere birden çok bulutta çözümleri yönetiyor. Çözümleri birden çok bulutta yönetmek, altyapı, uygulama ve güvenlik ekipleri için ek iş ve ek yük oluşturabilir. Çoklu bulut ve hibrit bulut altyapısına yatırım yapan kuruluşlar, otomatikleştirilmiş, ilke tabanlı yönetişim, uyumluluk ve güvenlik uygulamalarını bulut ortamlarında ortak bir şekilde uygulamalarını sağlayan çözümlerden yararlanacak. Yaşam döngüsü ve yığın boyunca kullanılabilecek çözümler arayın; bireysel ekiplere her gün kullandıkları araçlarda rehberlik ederek köprüler oluşturan çözümler. Bu, paydaşlar arasında ortak bir dille işbirliğini mümkün kılan geri bildirim döngüleri ve çözümler yaratırken, aynı zamanda bağlamsallaştırılmış verilere dayalı olarak bilinçli risk yönetimi kararları ve daha etkili önceliklendirme iş akışları sağlar.