İş araçları hizmet olarak altyapı (IaaS) ve hizmet olarak yazılım (SaaS) gibi çevrimiçi platformlara dönüştükçe, şirketler kendilerini giderek artan sayıda bulut tabanlı hizmetlere bağımlı buluyor. Sonuç olarak, iş verileri genellikle ağ sınırlarını terk ediyor ve dahili erişim yönetimi sistemlerinin görev alanının ötesinde harici bir üçüncü taraf platformuna aktarılıyor.
Buluttaki veriler
Veri işleme ve yönetimi, sektör ne olursa olsun modern işletmenin temel bir parçasıdır. Bu nedenle, verilerin korunmasını ve paylaşılmamasını veya kaybolmamasını sağlamak tüm kuruluşların görevidir. Bu aynı zamanda birçok ülkede düzenleyici bir gereklilik haline geldi. Veri işleme, artık sıklıkla bulutta gerçekleştiği için zorlu hale geldi.
Her platform farklı uygulamalar ve veri işleme için kendine özgü avantajlar ve uygunluk sunduğundan, iki bulut platformu aynı değildir. Değişen pazar trendlerini karşılamak için esnekliklerini en üst düzeye çıkarmak isteyen kuruluşlar, bunu desteklemek için bulut platformlarına giderek daha fazla güveniyor.
IBM’de bulut güvenliği CTO’su Nataraj Nagaratnam, “Ortalama bir şirket, 10 farklı sağlayıcıdan yaklaşık 25 ila 49 araç kullanıyor” diyor. “Bu araçlardan gelen verileri entegre edebilen ve genel duruş hakkında tek bir cam bölmesi sağlayabilen bir güvenlik ve uyumluluk platformu önemlidir.”
Ancak, verilerin çok çeşitli platformlarda korunmasını ve erişimin uygun şekilde yönetilmesini sağlamak zaman alan bir süreç haline geldi. Her bulut platformu farklı olduğu gibi erişim kontrolleri de farklıdır. Bu nedenle, doğru kontrollerin yürürlükte olduğundan ve kullandıkları tüm platformlarda dağıtıldığından emin olmak kuruluşların sorumluluğundadır.
Tüm veri kümeleri eşit değildir ve bazıları diğerlerinden çok daha hassastır. Örneğin, müşterilerin harcama kalıpları ticari olarak faydalı olabilir ancak finansal işlemler kadar hassas değildir. Nataraj, “Kamuya açık ve dahili veriler, gizli ve hassas verilerle aynı şey değildir” diyor. “Ne zaman [putting] buluttaki gizli veriler ve kritik iş yükleri, uygulamanız gereken güvenlik kontrolleri artar.”
Veri merkezli, risk tabanlı bir yaklaşım benimsemek, bir kuruluşun uygun güvenlik kontrollerinin yürürlükte olduğundan emin olmasını sağladığı için çok önemlidir.
Bulutta risk yönetimi
Şifreleme, buluttaki verileri korumak için kritik öneme sahip olsa da, muhtemelen daha da önemli olan şifreleme anahtarı yönetim sistemleridir. Nataraj, “Anahtarlar kritik altyapı haline geldi” diyor. “Şaka yapıyoruz – şifreleme amatörler içindir ve anahtar yönetimi profesyoneller içindir.”
Bu nedenle, anahtarlar veri güvenliğinin temel bileşenleri haline geldi. Veriler şifreleme yoluyla korunabilse de, ilişkili anahtarlar yeterince korunmamışsa, veriler yine de saldırılara karşı savunmasız olacaktır. Anahtarlara ve dolayısıyla korudukları verilere yönelik riskin minimum düzeyde olmasını sağlamak için sıfır güven yaklaşımı benimsenmelidir.
“Anahtarlar kritik altyapı haline geldi. Bununla ilgili şaka yapıyoruz – şifreleme amatörler içindir ve anahtar yönetimi profesyoneller içindir”
Nataraj Nagaratnam, IBM
Güvenlik duruşundaki yaygın bir kusur, bulut platformu erişim kontrolleriyle ilgili sorunları içerir. Sorunlar, personelin ayrıldığı ancak kullanıcı profillerinin etkin kaldığı durumlar gibi eski hesapları içerebilir; kullanıcıların departman değiştirmesi ve farklı bilgilere erişme ihtiyacı duyması nedeniyle gereksiz erişim izinleri; ve erişimin yanlışlıkla harici taraflara verilmesi.
Nataraj, “En büyük hatalar yanlış yapılandırmalardır” diyor. “Dışarıda olan sadece karmaşık saldırılar değil. Bu, temel güvenlik uygulamalarının – örneğin, hassas veri depolarına kamu erişiminin engellenmesi – tam olarak uygulanmadığı sıradan, basit bir yanlış yapılandırmadır. Bu tür durumlar daha fazla ihlale ve saldırıya yol açar.”
Bir çoklu bulut ağında erişim denetimlerini yönetmek karmaşık bir süreç haline geldi. Kuruluşlar artık güvenlik kontrollerinin riski ve mevzuat uyumluluğunu yansıtmasını sağlamaktan sorumludur. Bu karmaşıklık, kuruluşların kontrol ettikleri verilerin önemini takdir etmemelerinden değil, genellikle güvenlik ekibinin doğru kontrollerin yerinde olmasını sağlayacak bilgi veya zamana sahip olmamasından kaynaklanır.
Bu nedenle, kuruluşların erişim yönetimi sistemini geliştiriciler için basitleştirmesi ve tek tip güvenlik kontrollerinin önemini anlaması önemlidir.
Ağa karşı bulut değil, riske karşı hassasiyet
Kuruluşların, özellikle kritik iş yüklerini buluta taşıdıkları zaman, verilerinin riskini nasıl azaltabileceklerini düşünmeleri gerekir. Verilerin artık bulutta olduğu göz önüne alındığında, veri koruması için üçüncü taraf riskinin de dikkate alınması gerekir.
“Teknik güvenceler nelerdir? [the] bulut sağlayıcısı veya üçüncü bir şahıs müşteri verilerine veya anahtarlara erişemez mi?” Nataraj’a sorar. “Teknik güvence sağlamadaki bu değişiklik, veri güvenliği ve gizliliğinin merkezinde yer alıyor.”
Buluttaki verilerle kuruluşların güvenlik stratejisine risk tabanlı ve veri merkezli bir yaklaşım benimsemesi gerekir. Artık ağlarını güvenilir bir sınır olarak göremezler ve bunun yerine verilerinin hassasiyetine odaklanmaları gerekir. Bilginin hassasiyeti ile buluttaki erişilebilirliğinin yararlılığını dengelemek ve verilere yönelik riski azaltmak için uygun politikaların yürürlükte olması hayati önem taşır.
Hiçbir şeyin %100 güvenli olmadığını ve bir bilgisayar korsanlığının gerçekleşip gerçekleşmeyeceğinden ziyade ne zaman gerçekleşeceğinin bir durum olduğunu kabul etmek önemlidir. Bu, kaderci bir yaklaşım gibi görünebilir, ancak saldırıya uğramanın asla gerçekleşmeyeceğini varsaymak ve bu nedenle en kötü durum senaryosu için beklenmedik durumlara sahip olmamak, bir kuruluşu ve verilerini önemli ölçüde riske atar. Bu nedenle, bu tür durumlar için eyleme geçirilebilir ve test edilmiş planlara sahip olmak ihtiyatlı olacaktır.
Erişim denetimlerini IAM ile yönetme
Devreye alınmış bir kimlik ve erişim yönetimi (IAM) sistemine sahip olmak, kuruluşların çeşitli bulut hizmetlerine erişimi kontrol etmek için tek bir yönetim arabirimine sahip olmalarını sağlar. Artık ayrı bulut platformlarının her birindeki kullanıcı profillerini yönetmek zorunda kalmayan BT ekipleri, kimlik yönetimini verimli bir şekilde kontrol edebilecek ve dikkatlerini en çok ihtiyaç duyulan yere odaklamalarına olanak tanıyacak.
Saldırıya uğramanın asla gerçekleşmeyeceğini varsaymak ve bu nedenle en kötü durum senaryosu için beklenmedik durumlara sahip olmamak, bir kuruluşu ve verilerini önemli ölçüde risk altına sokar. Bu nedenle, bu tür durumlar için eyleme geçirilebilir ve test edilmiş planlara sahip olmak ihtiyatlı bir davranıştır.
Bir IAM sistemi yer paylaşımı, birden çok bulut platformunda bilgi kontrolünün denetlenmesine de olanak tanır. Bu, bilgilere ne zaman ve nerede erişildiğini izlemenin yanı sıra buluttaki herhangi bir anormal etkinliği belirlemeyi mümkün kılacaktır.
Bulut platformlarında güvenlik kontrollerini ve erişim izinlerini tanımlayan kodlanmış bir standartlar setine sahip olmak, birleşik bir kimlik ve güvenlik yönetimi sisteminin merkezinde yer alır. Nataraj, “‘Verileri koruyacaksın’ diyen yalnızca bir dizi politika belgesi değil,” diyor. “‘Verilerinizi bu şekilde korursunuz’ diyen belirli kuralcı kontrollere ulaşması gerekiyor.”
Bu sürecin otomatikleştirilmesi, temel kullanıcı izinlerinin yerinde olduğu yeni bulut altyapısının oluşturulmasına olanak tanır. Bu, bir kuruluşun güvenlik ve veri koruma politikalarını ağ boyunca bütünleştiren, bilgi yönetimine yönelik tutarlı ve tekrarlanabilir bir yaklaşım olmasını sağlar. Yeni fırsatlara yanıt vermede bir kuruluşun çevikliğini geliştirme ve özellikle başlangıçta proje gecikmesini azaltma avantajı da vardır.
Otomasyon, zayıf iletişim ve insan faktörleri nedeniyle yanlış yapılandırma riskini azaltabilirken, ağ gözetimini sağlamak için döngüde her zaman bir insan bulunmalıdır. Bu, bir kuruluşun otomasyondan geniş ölçekte faydalanma biçiminde tutarlılık olmasını sağlarken aynı zamanda yerleşik erişim kontrollerinden sapma olmamasını sağlar.
IAM sisteminin otomatikleştirilmesi, bir kuruluşun ağ ve bulut platformları genelinde erişim kontrollerini daha fazla denetlemek için bir ağın izinsiz giriş tespit sistemi (IDS) ile koordine edilebilir. Bunlar, şüpheli ağ etkinliğini ağ yöneticilerine işaretleyebilir ve yanıtları, makine öğreniminin tehdit algılama algoritmasını iyileştirmek için otomatik IDS’ye geri beslenebilir.
Veri korumanın düzenlenmesi
Buluttan çalışan artan sayıda iş platformuyla, bu çeşitli platformlarda erişimi yönetmek giderek artan bir zorluk haline geldi. Bu, Genel Veri Koruma Yönetmeliği (GDPR) ve 2018 Veri Koruma Yasası dahil olmak üzere en son veri koruma düzenlemeleriyle ön plana çıkmıştır.
Veri koruma yasaları artık kuruluşların kullanıcı verilerini korumak için uygun politikalara sahip olmalarını gerektirmekle kalmıyor, aynı zamanda bu politikalar aynı zamanda bilgiye erişimin kontrol edilebilmesini ve denetlenebilmesini de gerektiriyor. Bir çoklu bulut mimarisini denetleyen bir IAM sistemi, bir kuruluşun kaç tane bulut platformu ve hizmeti kullandığından bağımsız olarak erişim kontrollerinin tamamen denetlenebilir olmasını sağlar.
Düzenleyici gözetim, mevcut mevzuatın genişletilmesi ve yeni veri egemenliği yasalarının geliştirilmesiyle büyümeye devam edecek gibi görünüyor. Bu, bilgi paylaşımını ve veri işlemeyi karmaşık bir alan haline getirmeye devam edecektir. Bu değişen düzenleyici eğilimlerin nasıl geliştiğinin belirlenmesi, uygun mekanizmaların hazırlanmasını sağlayacak ve böylece verilerin ilgili veri koruma düzenlemelerine uygun bir şekilde paylaşılmaya ve işlenmesine devam edilmesini sağlayacaktır.
IAM ile risk ve uyumluluğu yönetme
Kuruluşlar, iş ihtiyaçlarını karşılamak için bulut tabanlı hizmetlere her zamankinden daha fazla bağımlı hale geliyor. Bu nedenle, kuruluşların veri koruma ve veri egemenliği mevzuatı ile uyumlu olmalarını sağlarken bulut hizmetlerinin avantajlarından yararlanmalarına olanak tanıyacağından, uygun erişim yönetim sistemlerinin yürürlükte olduğundan emin olmak için entegre bir IAM sisteminin yürürlükte olması hayati önem taşır.