Nataraj Nagaratnam, IBM üyesi ve bulut güvenliği CTO’su, oldu yaklaşık 25 yıldır tedarikçi ile. İster bulut güvenliği, ister hibrit bulut güvenliği veya teknoloji stratejisi olsun, güvenlik bu süre boyunca onun en güçlü noktası olmuştur.
Nataraj’ın güvenliğe ilgisi, yüksek lisans ve doktora çalışmaları sırasında başladı. “Güzel bir gün, profesörüm içeri girdi ve Java adında yeni bir şey olacağını söyledi” diye hatırlıyor. “Zaten o sırada Java’yı yaratan çekirdek Java mühendislik ekibiyle çalışıyordu. İlgimi çekti, Java’nın güvenlik yönleri üzerinde çalışmaya başladım ve ardından doktoramı dağıtık sistemlerde güvenlik üzerine yaptım.
Eğitiminin ardından, Nataraj yeni zorluklar ararken, IBM ona güvenliğin geleceğini şekillendirmeye yardımcı olacak bir fırsatla yaklaştı. İnternet dünyayı ve işlerin yürütülme şeklini değiştireceği sırada, IBM ona işletmelerin internet üzerinden nasıl güvenli bir şekilde çalışabileceğine dair sistemler geliştirme şansı sundu.
IBM’in IBM ürünleri için kurumsal web güvenliğine liderlik etme teklifi, yeni teknolojilerin hem pazarlar için yıkıcı hem de dünya için kolaylaştırıcı olacağına söz verdiği için genç Nataraj’ın ilgisini çekti. “Doğrudan fırsatın üzerine atladım. Ve dedikleri gibi, gerisi tarihtir” diyor. “WebSphere’in sektörü şekillendirmesine ve web hizmetleri güvenliği gibi standart güvenlik özellikleri konusunda sektörle birlikte çalışmasına yol gösterecek kadar şanslıydım.”
bulutun yükselişi
Teknoloji, özellikle kurumsal BT, Nataraj’ın kariyeri boyunca büyük ölçüde genişledi. Bu durum kurumsal çözümler için fırsatlar yaratırken bazı riskler de taşımaktadır. Nataraj, “Bilişim tarihinde üç ana bölüm vardır – ana bilgisayarlar, ardından web ve şimdi de bulut var” diyor. “Bu, tüm BT alanında belirleyici bir an ve web’den buluta güvenlik konusundaki çalışmaları tanımlayacak ve yönetecek kadar şanslıyım.”
Kuruluşların, verilerin gizli ve korunmasını sağlamak için yeterli korumaya sahipken, verilerin ağlar arasında paylaşılabilir kalmasını sağlaması gerektiğinden, buluttaki verilere ve hizmetlere güvenmek zor olabilir. Bu, özellikle savunma, sağlık ve finans sektörleri gibi yoğun şekilde düzenlenen sektörler için geçerlidir. Bu, risk, güvenlik ve uyumlulukla ilgilenen bu tür sektörler için belirleyici bir an haline geldi.
Nataraj, kişinin birine veya bir şeye güvenebileceğini veya güvenebileceğini ima eden sübjektif “güven” terimine güvenmek yerine “teknik güvence” kullanmayı tercih ediyor. Teknik güvence, verilerin korunmasını sağlamak için teknolojik ve insani süreçlerin devreye alındığını gösterir.
Bunun bir kısmı, kimlik ve erişim yönetiminin (IAM), bulut depolama yeteneklerinden şirket içi hizmetlerine kadar kuruluşun tüm bulut platformlarında tek tip olarak ele alınmasını sağlamaktır. İki bulut platformunun asla aynı olmadığı göz önüne alındığında, genellikle birden fazla platform kullanıldığı için bu durum işleri karmaşıklaştırabilir.
Buluttaki zorluklar
Teknoloji sektörünün hızlı genişlemesi, ele alınması gereken büyüyen bir güvenlik becerileri açığı olduğu anlamına gelir. Bu, kuruluşları hayati derecede önemli rolleri üstlenmeye ve bunun yerine harici yüklenicilere güvenmeye zorladı. Yükleniciler uzun vadeli projeler için pahalı olduğundan, özellikle önemli miktarda çalışma gerekiyorsa, bu daha fazla maliyet ekler.
Bu tür endişeleri gidermek için kuruluşlar, mevcut bulut altyapılarında bir yer paylaşımı görevi görecek IAM araçlarına yöneliyor. Nataraj, “Erişim yönetimini ve güvenlik katmanını standartlaştırırsak ve bunları otomasyon ve sürekli izlemeyle etkinleştirirsek, karmaşık sorunları çözebiliriz” diyor. “Güvenlik ve uyumluluk otomasyonu ile hibrit bir çoklu bulut yaklaşımı benimsemek, bunu tutarlılık ve sürekli izleme ile ele alıyor.”
Veri koruma ve bilgi alışverişi
Düzenleyiciler, bölgeler arasında veri paylaşırken veri korumasına yönelik ek taleplerle teknolojik olarak daha bilinçli hale geldikçe, devlet politikası da gelişmektedir. Bununla birlikte, ülkeler arasında bu konuda daha fazla işbirliği vardır. Örneğin, Avrupa Birliği’nin (AB’nin) Genel Veri Koruma Yönetmeliği (GDPR), ülkeler ticaretin engellenmemiş bir veri akışına bağlı olduğunu fark ettikçe, veri koruma için fiilen küresel bir standart haline geldi.
“Milletvekilleri ve düzenleyiciler teknolojinin etkisini ve politikaların ve standartların bu teknolojileri barındıracak ve aynı zamanda bir düzeyde risk ve mevzuata uygunluk sağlayacak şekilde gelişmesi gerektiğini anlamaya başlıyor. Standardizasyonun gerçekleşmesi gerekiyor”
Nataraj Nagaratnam, IBM
Nataraj, “Kanunlar, yönetmelikler ve politikalar teknolojinin çok daha farkında hale geliyor” diyor. “Milletvekilleri ve düzenleyiciler teknolojinin etkisini ve politikaların ve standartların bu teknolojileri barındıracak ve aynı zamanda bir düzeyde risk ve mevzuata uygunluk sağlayacak şekilde gelişmesi gerektiğini anlamaya başlıyor. Her ülkenin kendi düzenleyici gerekliliklerine sahip olmasının aksine, standardizasyonun gerçekleşmesi gerekiyor çünkü bunun kendi karmaşıklığı olacaktır.”
Farklı ülkeler arasındaki bilgi alışverişinin veri paylaşım anlaşmalarına bağlı olması nedeniyle kuruluşlar, düzenleyici ve teknik gereklilikleri karşılamalarına olanak tanıyan yaklaşımlar arıyor.
Nataraj, “Birkaç hafta önce, ben Hindistan’dayken, bu veri elçilikleri kavramı hakkında konuştuk – temel kavram, hizmetleri bu veri merkezleri ve hizmet sağlayıcılar içinde çalıştırırsanız, belirli yasalardan muaf olursunuz” diyor. “Bir ülkenin bir ülkede veri elçiliği olabilir ve karşılıklı olarak kendi ülkelerinde veri elçiliği olabilir. Dünyanın farklı yerlerinde ortaya çıkan yenilikçi ve yaratıcı fikirler var. Bu, veri paylaşım sorununu çözmeye yönelik bir politikanın ve pratik bir yaklaşımın yansıması ve bu gelişmeye devam edecek.”
Bu veri elçilikleri, sosyal medya platformunun ABD’deki tüm verileri Amerikan şirketi Oracle’ın gözetimi altında depoladığını görecek olan TikTok’un önerdiği Project Texas’a benziyor. Bu veri elçilikleri, bağımsız üçüncü taraf kuruluşlara dönüşebilir.
Kuantum bilişimden kaynaklanan risk
Bulut hizmetlerine güvenen kuruluşların gelecekte karşılaşacağı en önemli endişelerden biri, şifreleme güvenliğini bozabilecek kuantum bilgi işlemin oluşturacağı risk olacaktır. Mevcut şifreleme teknolojilerine güvenmek bir seçenek değildir, çünkü kuantum bilgisayarların sunduğu işlem hızları, özellikle belirli açık anahtar algoritmalarının kuantum bilgisayar saldırılarına açık olduğu kanıtlanmış olduğundan, onların şifrelemeyi hızlı bir şekilde kırmalarını sağlayacaktır.
Dünya genelinde kullanılan en yaygın ortak anahtar altyapısı (PKI) teknolojisi, aktarılan verilerin güvenliğini sağlayan aktarım katmanı güvenliğidir (TLS). Bu nedenle, bu en büyük risk olarak kabul edilmelidir, çünkü veriler bugün aktarılırken yakalanırsa, kuantum hesaplama ticari olarak kullanılabilir hale gelirse şifreleme beş yıl içinde kırılabilir. Bu nedenle hibrit buluta, güvenli bağlantıya ve TLS’ye yaklaşma şeklimizi yeniden düşünmemiz gerekiyor.
“Kuantum güvenliği söz konusu olduğunda, düzeltilmesi gereken ilk şeyin bağlantı olduğuna inanıyorum. Nataraj, iki yıl önce IBM bulutunda kuantum güvenli algoritmalar için desteği kullanıma sunduk” diyor. “Kablo üzerinden uygulama işlemleri yaptığınızda, bu bağlantı kuantum açısından güvenli olabilir. Tehdide hazırlanın. Bulut güvenliği söz konusu olduğunda, üzerinde çalışılması gereken ilk şeylerden biri bu olmalı.”
Yapay zeka (AI) ve makine öğrenimi (ML) tarafından sunulan artan işlevsellik düzeyleriyle otomasyon, bir kuruluşun güvenlik duruşunun büyüyen bir parçası haline gelecektir. Güvenlik ve uyumluluk duruşunun otomatik olarak izlenmesi, sürekli güvenlik sağlar.
Ayrıca, güvenlik konuşlandırması otomatik hale getirilecek ve böylece CISO’lar ile CIO’lar ve BT ekipleri arasındaki boşluk kapatılacaktır. Bu, hepsinin birbiriyle tutarlı olmasını ve kuruluşun küresel güvenlik ve uyumluluk gereklilikleriyle uyumlu olmasını sağlayacaktır.
Nataraj, “Otomasyonla aşılanmış sürekli güvenlik ve uyumluluk ve bir Visio şemasında olabilecek bir referans mimariden kuralcı, konuşlandırılabilir ve otomatikleştirilmiş bir mimariye nasıl geçeceğimiz konusunda yapılacak daha çok şey var” diyor.
Gelecek için hazırlanıyor
Mevzuata uygunluk ve verilerle uğraşmanın jeopolitik yönleri göz önüne alındığında, veri egemenliği ve veri gizliliği yerleşimi ile ilgili endişelerin artması muhtemeldir. Bu nedenle, gizli bilgi işlemle aşılanacak olan verilerin ve gizliliğin korunmasına yardımcı olabilecek daha kanıtlanabilir kontrollere ve teknolojilere ihtiyaç duyulacaktır.
Nataraj, “Gizli bilgi işlem uygulamaları henüz emekleme aşamasında ve yapılacak daha çok şey var çünkü bu yalnızca bir teknoloji değil, aynı zamanda gizli yapay zekadaki kullanım durumları da” diyor. “IBM, bir müşterinin anahtarlara yalnızca kendisinin erişebileceğine dair teknik güvenceye sahip olduğu, anahtarların hem donanım içinde hem de güvenli yerleşim bölgeleri içinde korunduğu, Kendi Anahtarınızı Tutun adlı şifreleme anahtarı yönetimi çevresinde benzersiz yaklaşım kullanım durumlarını etkinleştirmek için gizli bilgi işlem teknolojisinden yararlandı. . Bu artık Birleşik Anahtar aracılığıyla hibrit çoklu bulut anahtar yönetimine genişletildi.”
BT sektörü, web tabanlı bir modelden bulut hizmetlerine dayalı bir modele dönüşürken temel bir değişim geçiriyor. Bu, öne çıkan teknolojik ve düzenleyici sorunlarla birleşiyor. Bir çoklu bulut sistemi, değişen pazar eğilimlerine uyarlanabilirliği artırabilir, ancak bu, belirli zorlukları da beraberinde getirir. Ağ yönetimi politikalarının otomatikleştirilmesi, değişen mevzuat uyumluluğuna uygunluğun sürdürülmesini sağlarken, konumdan bağımsız olarak ağlar içinde hızlı ve etkili bilgi paylaşımına olanak tanır.
Nataraj, “Endüstrinin, hükümetlerin ve diğerlerinin ilerlemesine yardımcı olabiliriz” diyerek sözlerini tamamlıyor. Bunu gerçekleştirmek için hükümetler ve onların politikalarıyla işbirliği yapacağız” dedi.