Bu yardımda net güvenlik görüşmesinde, Esteban Gutierrez, CISO ve New Relic’te bilgi güvenliği Başkan Yardımcısı, bulut altyapısının benimsenmesinin güvenliğe hazır olduğunu tartışıyor. Ortak yanlış yapılandırmaların üstesinden gelmek ve buluttaki erişim kontrollerini optimize etmek için stratejileri paylaşıyor.
Bulut benimsemesinin hızının ve ölçeğinin, kuruluşların ortamlarını düzgün bir şekilde yapılandırma ve yönetme yeteneğini aştığını düşünüyor musunuz? Neden veya neden olmasın?
Sadece bulut benimsemesinin değil, aynı zamanda iş baskısını sürdürmenin hızı ve ölçeği, çoğu kuruluşa meydan okudu ve bunların çevrelerini düzgün bir şekilde yönetmelerini engelledi. SaaS uygulamalarında ve bulut ortamlarında anlam, benimseme, yenilik ve değer bulma yarışında kuruluşlar standartlara ve yönetişim kaymasına izin veriyor. Güvenlik ekipleri bazen masaya geç getirilir ve şirketin ürün hedeflerinin, yeniliklerinin ve sürümlerinin güvenli olmasını sağlamak için uzmanlıklarını uygulayamaz. Şirketler gelişim tamamlandıktan sonra güvenlik ekiplerine danıştığında, geleneksel muhafazakar bakış açıları aşırı kısıtlayıcı olabilir.
Kuş gözü görüşünden, bu pozisyon şirket ve ürün inovasyonunun önündeki bir engel olabilir. Bu çıkmazdan çıkmanın bir yolu, güvenlik ekiplerinin, gerçeğin ardından sorgulanmak yerine gelişim sırasında güvenlik değerlendirmelerini yapmalarıdır. Buna ek olarak, gözlemlenebilirlik, güvenlik ekiplerinin yapılandırmalardaki hatalar, erişim kontrol listeleri ve verilerin konumuyla ilgili endişelerini ele almasına yardımcı olabilir.
Gözlemlenebilirlik sağladığı görünürlük, güvenlik profesyonellerinin tam olarak etkileşime girdiğini görmelerini ve geliştirme aşamasında bulut yapılandırma önerilerini belirlemelerini sağlar. Birbiriyle birlikte doğru araçlarla birlikte çalışarak, tüm ekipler yeni girişimlerin gereksinimlerini karşılamak için işbirliği yapabilir. Genel olarak, gözlemlenebilirlik, güvenlik ekiplerinin obstrüktörlerden ziyade sağlayıcı olmasına yardımcı olur.
Belki de takımlardaki karmaşıklık veya boşluklar nedeniyle göz ardı edilme eğilimi gösteren beklenmedik veya daha az belirgin yanlış yapılandırmalar örneklerini paylaşabilir misiniz?
Yanlış yapılandırmalar bazen farkındalık veya bilgi eksikliğinin sonucu olabilir. Bir şirkete yeni SaaS uygulamaları veya diğer üçüncü taraf araçları tanıtan çalışanlar, BT veya teknik deneyimi olmasa bile artık sistem yöneticileri olarak kabul edilebilir. Bu çalışanlar genellikle yeni kullanıcı hesapları yapılandırma, rol atama ve veri şifrelemesi veya elde tutma hakkında seçimler yapma rolünü üstlenir, bir şirketin takip edilecek standartlara veya politikalara sahip olabileceğinden habersizdir. Bu, özellikle standart finans ve satıcı alım işlemlerinden geçmeden kaydolurlarsa ve sadece bir kredi kartı veya ücretsiz hizmet kullanırlarsa doğrudur. Sonuç olarak, kurumsal verilere veya işletmeye bir arka kapı açabilirler.
Erişim kontrolü genellikle önemli bir endişe alanı olarak belirtilir. En az ayrıcalık uygulamak ve bulutta aşırı izin veren ayarlardan kaçınmak için en iyi uygulamalar önerirsiniz?
Diğer sistemlere verilen erişim miktarı, karşılık gelen tespiti gerektiren daha fazla temas noktası oluşturur. Basitçe söylemek gerekirse, izin verme, işlerin yanlış gitmesi için daha fazla fırsat sağlar. En azından kuruluşlar çok faktörlü kimlik doğrulama (MFA) ve tek oturum açma (SSO) uygulamalıdır.
Sadece bu iki kontrol çok sayıda ortak kimlik bilgisi saldırısını engelleyebilir. SSO ayrıca kullanıcı işe alım ve off -foots yeteneğini de basitleştirir. En iyi ihtimalle, kuruluşlar bir BT veya Enterprise Kimlik ve Erişim Yönetimi (EIAM) ekibine mümkün olduğunca erişim yönetimi ve kontrol yaşam döngüsünün çoğunu merkezileştirmelidir.
“Patlama yarıçapı” kavramını bir bulut yanlış yapılandırma bağlamında açıklayabilir misiniz ve ekiplerin sistemleri içerecek veya en aza indirecek şekilde nasıl tasarlayabileceğini açıklayabilir misiniz?
Bulut yanlış yapılandırma, işletmeleri bir olaydan daha fazla hasara karşı savunmasız bırakabilir. Bir altyapı bulut ortamı, her şeye erişimi olan tek bir düz ağ olarak yapılandırılırsa, olayın etkisi gereksiz yere güçlendirilebilir. Bunun yerine, segmentli bir bulut ortam konfigürasyonu “patlama” (yani olay) çok daha iyi içerebilir. Benzer şekilde, uygulama yüklemelerinden sonra parola yeniden kullanımı veya varsayılan şifreleri değiştirme gibi zayıf kimlik doğrulama uygulamaları, bir saldırının uygulamalara ve sistemlere yayılmasına izin vererek patlama yarıçapını da artırabilir.
Bulut altyapısındaki değişikliklere ayak uydurmak için mücadele eden güvenlik ekipleri için tavsiyeleriniz nedir? Çabalarına nerede öncelik vermelidirler?
Güvenlik ekipleri, bulut altyapısını sunmak için organizasyonel çabalardan önce masaya iyi oturma çalışmalarını yapmalıdır. Bu, teknolojilerde yetkin olmak ve işyerine ortak zorluklara çözümlerle yaklaşmak anlamına gelir.
Sıklıkla, güvenlik ekipleri, iç iş süreçlerini olumsuz yönde etkileyebilecek, aşırı bir sürtünme yükü ekleyebilen veya planlama planları için gecikmelere neden olabilecek aşırı kısıtlayıcı politikalara varsayılan olarak varsayılan olacaktır. Güvenlik ekipleri, devsecops entegrasyonları, kod olarak altyapı ve ona yardımcı olacak kod olarak uyumluluk ve mühendislik ekipleri bulut altyapısını oluşturmak ve yönetmek için yöntem geliştirmek ve doğru ve daha güvenli şey yapmayı kolaylaştırmak için yöntem geliştirmelidir. Bu yaklaşım, güvenlik ekiplerinin kuruluşların yanlış yapılandırılmış S3 depolama kovalarının veya dahili arka uç hizmetlerine yönelik API arayüzlerinin maruz kalması gibi yaygın tuzaklardan kaçınmasına yardımcı olmasını sağlar.
Ayrıca, gözlemlenebilirlik, hizmetlerin ve verilerin güvenlik açısından nasıl ele alınması gerektiğine dair kesin bir anlayış sağlar ve güvenlik ekiplerinin işletme genelinde proaktif işbirliği sağlamasına izin verir. Buna ek olarak, Gözlemlenebilirliğin gerçek zamanlı izleme ve otomasyon özellikleri, bulut yapılandırmalarındaki riskleri proaktif olarak algılamaya ve azaltmaya yardımcı olabilir.