Günümüzün dijital, talep üzerine çağında birçok kuruluş günlük operasyonlarını yürütmek için birden fazla bulut hizmetine yoğun bir şekilde güvenmektedir. Ancak bu işlevselliğin üçüncü taraf niteliği ek güvenlik riskleri getirir ve kötü niyetli aktörlerin gözenekli ağ çevrelerinden yararlanmak için her zaman mevcut olmasıyla, siber güvenlik uzmanları işletmeyi korumada titiz olduklarından emin olmalıdır.
Aşağıda bulut tabanlı uygulamaları güvence altına almak için en iyi uygulamaya yönelik temel kontrol noktaları sunulmaktadır.
Varlık yönetimi ve veri akışı
Varlıkların nasıl yönetildiğini ve verilerin kuruluş içinde nereye aktığını anlamak kritik öneme sahiptir. Bu bilgi, siber güvenlik duruşundaki boşlukları belirlemeyi ve bununla birlikte saldırı vektörlerini tespit etmeyi mümkün kılar. Kuruluşlar, sistemlerindeki bu tür boşlukları belirlemek için tedarikçilerden girdi isteyebilir ve ortaya çıkan güvenlik açıklarına karşı önlem almak için araçlar (CrowdStrike gibi) kullanabilir. Şeylerin nerede olduğuna dair net bir anlayış olduğundan emin olmak için, bu çalışma kuruluşta bulunan her varlığın belirlenmesini ve hem yapılandırılmış hem de yapılandırılmamış verilerin eşleştirilmesini içerir.
Güvenlik politikaları ve prosedürleri
Kuruluşu saldırıya karşı savunmasız hale getirmek için tek bir zayıf halka yeterlidir. Bu, genel bulutlar, özel bulutlar ve şirket içi teknoloji dahil olmak üzere tüm BT altyapısında tutarlı bir şekilde uygulanan önlemlerle sağlam kurumsal güvenlik politikaları ve prosedürleri gerektirir.
Bulut sunucu yapılandırması
Yanlış yapılandırılmış bulut sunucuları, verileri doğrudan genel internete ifşa edebilir ve uyumluluk ihlallerine ve ihlallerine yol açabilir. Doğru yapılandırma, bulut satıcısıyla yakın koordinasyonla birlikte buluta özgü uzmanlardan girdi gerektirir.
Her bulut uygulaması için güvenli bir temel yapılandırma oluşturulduktan ve karşılandıktan sonra, otomatik araçlar kullanılarak gerçek zamanlı sürekli izleme, yanlış yapılandırmaların güvenlik olaylarına yol açmadan önce tespit edilmesine ve düzeltilmesine yardımcı olabilir; düzenli denetimler ayrıca bu yapılandırmaların güvenli kalmasını ve güvenlik standartları ve politikalarıyla uyumlu olmasını sağlar.
Erişim yönetimi
Hassas verilere yalnızca ihtiyaç duyan kişilerin erişebilmesini sağlamak, her kuruluşun güvenlik duruşunun temel bir bileşenidir. Kullanıcılar, işlevlerini yerine getirmek için ihtiyaç duydukları asgari erişim seviyesinden daha fazlasına sahip olmamalıdır; bu, aşırı erişim hakları riskini azaltan rol tabanlı erişim denetimi (RBAC) ile desteklenen bir koşuldur. Kullanıcıların, cihazların ve uygulamaların güvenilirliği de erişim verilmeden önce sürekli olarak doğrulanmalıdır.
Bulut güvenliği ortamı, çok faktörlü kimlik doğrulama (MFA) gibi güvenlik önlemlerinin uygulandığı ve başarısız erişim girişimlerini belirlemek ve izinsiz girişleri tespit etmek için denetim günlüklerinin düzenli olarak kontrol edildiği kimlik erişim yönetimi (IAM) yoluyla güvenlik duruşunu sürekli olarak iyileştiriyor.
Veri şifreleme
Verileri güçlü protokoller kullanarak şifrelemek, bulut güvenliği ihlalinde çalınması veya sızdırılması durumunda herhangi bir verinin okunamaz hale gelmesini sağlar. Bu nedenle şifreleme, ister aktarım halinde ister beklemede olsun, verileri (özellikle hassas verileri) güvende tutmak için önemli bir araçtır. Şifreleme yeni bir şey değildir ancak gelişmeye devam etmektedir; saldırılar daha karmaşık hale geldikçe, gelişmiş şifreleme algoritmaları geliştirmek siber risk yönetiminde önemli bir rol oynayabilir.
Sıfır güven yaklaşımı
Sıfır güven mimarileri, hiçbir kullanıcı, cihaz veya sistemin bulut tabanlı uygulamalara ve verilere erişmesine güvenilmemesi gerektiği ilkesini benimser, ta ki doğrulanana kadar. Bu, yalnızca yetkili kişilerin ve teknolojinin hassas verileri görebilmesini veya kullanabilmesini sağlayarak, yanlış ellere geçme olasılığını azaltır.
Kurum çapında eğitim
Bulutla ilgili olsun veya olmasın, birçok siber saldırı insan riski nedeniyle gerçekleşir ve bu, kullanıcıların bir kimlik avı saldırısının kurbanı olması, bilmeden kötü amaçlı yazılım yüklemesi, güncel olmayan sistemler ve/veya savunmasız cihazlar kullanması veya zayıf parola hijyeni uygulaması gibi faaliyetleri kapsar. Bununla mücadele etmek, kuruluş genelinde sürekli güvenlik eğitimi gerektirir; bulut güvenliği en iyi uygulamalarını kapsamanın yanı sıra, bu, kullanıcıları bu giderek karmaşıklaşan saldırıları tanıma ve bunlardan kaçınma konusunda eğitmek için düzenli kimlik avı simülasyonları ve veri korumasının tüm kuruluş için neden bu kadar önemli olduğunu göstermek için alıştırmalar içermelidir. Bir kuruluş içinde bir güvenlik kültürü teşvik etmek, bunu herkesin sorumluluğu haline getirerek bazı güvenlik katmanları da ekler.
Yedekleme planları
En titiz güvenlik süreçleri ve hazırlıkları bile hatasız değildir, bu da kuruluşların acil durum planlarına ihtiyaç duyduğu anlamına gelir. Veriler kaybolmasını veya kurcalanmasını önlemek için yedeklenmelidir. Ayrıca, bir yedekleme planı bir bulut hizmeti başarısız olursa iş sürekliliğini sağlar. Çoklu bulut ve hibrit bulut kurulumlarının bir avantajı, şirket içi bir veritabanı için bulut veri depolaması gibi ayrı bulutların yedekleme olarak kullanılabilmesidir.
CISO’lar ve güvenlik uygulayıcıları ayrıca güvenli bulut dağıtımı için çeşitli araç setlerinden de yardım alırlar. Örneğin bulut güvenlik duruşu yönetimi (CSPM) araçları hassas verileri şifreleyebilir, veri koruma düzenlemelerine uymak için coğrafi konum kontrollerini kullanabilir ve düzenli denetimler ve sızma testleri gerçekleştirebilir. Ve veri kaybı önleme (DLP) araçları hassas verilerin bulut ortamları arasında hareketini izler ve kontrol eder; doğru politikalarla birlikte kullanıldığında hassas bilgilerin yetkisiz paylaşılmasını veya sızdırılmasını önlerler.
Aynı zamanda, AI – şaşırtıcı olmayan bir şekilde – siber güvenlik operasyonlarında genel olarak daha büyük ve daha büyük bir rol oynuyor. AI tehdit tespiti, güvenlik izleme ve olay azaltmayı önemli ölçüde iyileştirebilir; ayrıca güvenlik sorunlarını gerçekleşmeden önce tahmin edebilir ve durdurabilir.
Bulut tabanlı işlemler iş ortamını dönüştürdü ancak çoğu gelişmiş teknolojide olduğu gibi ek riskler getiriyor. Bu uygulamaları, kötü niyetli aktörler için saldırı yüzeyini genişletmeden fayda sağlayacak şekilde benimsemek uzmanlık ve bağlılık gerektirir; bu, halihazırda iyi siber güvenlik hijyeni uygulayan çoğu kuruluşun kolayca erişebileceği bir şeydir.
Kashil JagmohanSingh, Turnkey Consulting’de uygulama ve siber güvenlik danışmanıdır. Risk yönetimi uzmanlığı SAP Governance, Risk and Compliance (GRC) paketinde faaliyet göstermeyi ve küresel organizasyonların siber riskini yönetmek için müşterilerle yakın bir şekilde çalışmayı içerir. Ayrıca, SAP ortam taraması ve kırmızı takım gibi faaliyetleri yürüten güvenlik açığı değerlendirmesinde de deneyimlidir. Bu, onun ilk Think Tank katkısıdır.