Yazan: Jhilam Biswas, Müşteri Mühendisliği Müdürü, Google Cloud
İşletmeler genel bulut sağlayıcılarını daha önce hiç olmadığı kadar benimsiyor. Gartner, genel bulut hizmetlerine yönelik küresel tahmini harcamanın 2022’den itibaren %20 artacağını tahmin ediyor. İşletmeler bulutu çeşitli nedenlerle benimsiyor; bunlardan birkaçı kullandıkça öde esnek fiyatlandırma modelleri ve ölçeklenebilirliktir. Ancak altyapıyı buluta taşırken (temel bilgi işlem hizmetleri, sunucusuz teknolojiler, veritabanları, analiz yığını vb.), güvenlik genellikle sonradan akla gelen bir düşünce olarak bırakılır. Bu zihniyetin yansımaları çok büyüktür; bazen önemli mali kayıplara, geri dönüşü olmayan hasarlara ve işletmenin marka imajının olumsuz etkilenmesine neden olabilir. Bu nedenle buluta geçmek, potansiyel risklerin, uyumluluk yükümlülüklerinin ve iş gereksinimlerinizin kapsamlı bir şekilde değerlendirilmesini gerektirir. Yakın tarihli bir Gartner raporu şunu belirtiyor: “2025’e kadar bulut güvenliği arızalarının %99’u müşterinin hatası olacak.” Bu makalede, bir işletmenin buluta geçmeden önce mutlaka dikkate alması gereken 4 güvenli çerçeve hususunu ele alacağız.
- Genel Bulutta Paylaşılan Sorumluluk Matrisini İnceleyin
Bulutta iş yüklerinin güvenliğini sağlamayı düşündüğünüzde, paylaşılan sorumluluk modelini açıkça anlamanız önemlidir. Paylaşılan sorumluluk matrisi, genel bulut sağlayıcılarının ve bulut sağlayıcının müşterilerinin güvenlik ve uyumluluk sorumluluklarını kategorize eden birleştirilmiş bir çerçevedir. Yüksek düzeyde bulut sağlayıcı, veri merkezleri, ağlar ve donanım dahil olmak üzere temel bulut altyapısının fiziksel güvenliğinden sorumludur ve müşteri, erişim kontrolü ve veri şifreleme yapılandırması da dahil olmak üzere verilerinin ve uygulamalarının güvenliğinden sorumludur. .
Unutulmaması gereken son derece kritik nokta, işletmenizin güvenlik ve uyumluluk gereksinimlerini kimsenin sizden daha iyi bilemeyeceğidir; dolayısıyla iş yüklerinizi bulutta çalıştırmadan önce, özel verilerinizi korumak için ihtiyaç duyduğunuz güvenlik korkuluklarını tanımlamanız ve Faaliyet gösterdiğiniz sektörün kabul ettiği düzenleyici gerekliliklere uyun. Aşağıdaki şema, sorumlulukların bulut sağlayıcısı ile müşteri arasında nasıl paylaşıldığını göstermektedir.
Görüntü Kaynağı:
https://www.cisecurity.org/insights/blog/shared-responsibility-cloud-security-what-you-need-to-know
- Kuruluşunuza Yönelik Riskleri Belirleyin
Risk değerlendirmesi, bir kuruluşun varlıklarına yönelik risklerin metodik olarak tanımlanması, değerlendirilmesi ve azaltılmasına yönelik basiretli ve devam eden bir süreçtir. Kuruluşunuzun varlıkları ve riskleri değiştikçe düzenli olarak tekrarlanması ve yürütülmesi gereken bir süreçtir. İş yüklerini buluta taşımadan önce, iç güvenlik gereksinimlerinizi ve dış düzenleyici gereksinimlerinizi karşılamak için hangi güvenlik özelliklerine ihtiyacınız olduğunu belirlemek üzere bir risk değerlendirmesi yapmanız zorunludur. Siber güvenlik ekipleriniz, BT ve iş kullanıcılarınız da dahil olmak üzere tüm paydaşları risk değerlendirme sürecine dahil etmek önemlidir. Cloud Security Alliance’ın Bulut Kontrol Matrisi (CCM) gibi çeşitli risk değerlendirme çerçeveleri, endüstrilerde yaygın olarak kullanılmaktadır. Bu tür çerçeveleri kullanarak risklerinizi belirledikten sonra, bunları nasıl ele alacağınızı belirlemeniz gerekir. Bu, risklerin kabul edilmesini, kaçınılmasını, aktarılmasını veya azaltılmasını içerebilir. Yerleşik bulut yerel özelliklerinin kullanılması gibi teknik kontrolleri veya bulut sağlayıcısının periyodik olarak almayı taahhüt ettiği ISO veya SOC 2/3 sertifikaları gibi sözleşmeye bağlı korumaları kullanarak riskleri azaltmayı seçebilirsiniz. Risk değerlendirmesinin sonuçları kapsamlı bir şekilde belgelenmeli ve buluttaki güvenliğe hazırlığınızın temelini oluşturmalıdır.
- Uyumluluk Yükümlülüklerinizi Değerlendirin
Buluttaki uyumluluk gereksinimlerinizi düşündüğünüzde bunlar aşağıdakiler gibi çeşitli kritik faktörlere bağlıdır:
- Kuruluşunuzun ve müşterilerinizin fiziksel konumlarına bağlı yasa ve düzenlemeler (Örnek: Avrupa Birliği’nde GDPR)
- Faaliyet gösterdiğiniz sektörün düzenleyici gereksinimleri (Örnek: Sağlık ve yaşam bilimleri için HIPAA)
- Bulutta depoladığınız ve işlediğiniz veri türü (Örnek PII verileri)
- Kullandığınız bulut hizmetleri (Örneğin: iş yükleriniz için kullanmayı düşündüğünüz yönetilen bulut teklifleri HIPAA kapsamında mı?)
Yukarıdaki sorulara verilen yanıtlar, genel buluttaki iş yükleriniz için hangi güvenlik kontrollerini uygulamanız gerektiğini belirler. Tipik bir uyumluluk yolculuğu üç aşamadan geçer: değerlendirme, boşlukların giderilmesi ve uyumluluk standartlarına uygunluğu kontrol etmek için düzenli izleme. Kapsamlı bir uyumluluk değerlendirmesi, tüm zorunlu düzenleyici yükümlülüklerinizin ve kuruluşunuzun bunları halihazırda nasıl uygulamaya koyduğunun ayrıntılı bir incelemesini içerir. Mevcut durumunuzu net bir şekilde anladıktan sonra gereksinimleriniz ile mevcut uygulamalarınız arasındaki boşlukları belirlemeye başlayabilirsiniz. Bu boşlukları gidermenin bir sonraki adımı, en son güvenlik kontrollerinin uygulanmasını ve güncel olmayan mevcut politikalarınızın güncellenmesini içerir. Uyumluluk yolculuğunun son aşaması sürekli izlemedir. Bu adım, kuruluşunuzun değişen düzenlemelere göre güncel olmasını sağlamak için önemlidir. Değişen düzenlemelerde bile uyumluluğa bağlı kalmak için bulut altyapısı güvenlik politikalarınızı kod (IaC) dağıtımları olarak altyapınıza dahil ederek otomatikleştirmeyi düşünmelisiniz. Uyumluluk duruşunuzu takip etmenize, boşlukları belirlemenize ve son olarak en son düzenleyici değişiklikler konusunda güncel kalmanıza yardımcı olması için bir bulut uyumluluk yönetimi platformunu da kullanabilirsiniz.
- Gizlilik Gereksinimlerinizi Anlayın ve Bunlara Uymak İçin Sağlam Bir Plan Oluşturun
Kuruluşunuzun gizlilik gereksinimleri, hem dahili kullanıcılarınız hem de harici müşterilerinizin verilerini nasıl elde ettiğinize, işlediğinize ve sakladığınıza göre belirlenir. Kuruluş büyüdükçe gizliliği sağlamak için sağlam bir dizi güvenlik kontrolü oluşturmak giderek daha karmaşık hale gelir ve değişikliklere ayak uydurmak göz korkutucu bir görev gibi görünebilir. Ancak yöntemli ve iyi düşünülmüş bir çerçeve, kuruluşunuzun gizlilik gereksinimlerine uymanıza yardımcı olacaktır. Aşağıda gizlilik gerekliliklerini değerlendirirken dikkate alınması gereken çeşitli yaklaşımlar yer almaktadır:
- Kuruluşunuzla ilgili ‘Gizli/Hassas Veriler’i tanımlayın: Örneğin, bu SSN, ev adresi, e-posta vb. gibi PII bilgileri olabilir. Bu verileri sınıflandırmak, nelerin en dikkatli şekilde korunması gerektiğini belirlemenize yardımcı olacaktır. Tanımlandıktan sonra, kuruluşunuzdaki kişiler için bile PII verilerinin tokenleştirilmesi, gizlenmesi veya kimlik bilgilerinin kaldırılması gibi yaklaşımları göz önünde bulundurun
- Hassas verilere erişimi kilitleyin: ‘En az ayrıcalık’ uygulamak ve hassas verilere erişimi sınırlamak için kimlik ve erişim yönetimi kontrollerini kullanın. Kuruluşta kimin ne tür verilere eriştiğine ilişkin ayrıntılı bilgiler edinmek için denetim izleri için araçları kullanın ve kontrollerin gereğinden fazla sağlanması durumunda bu bilgileri erişimi daha da kısıtlamak için kullanın.
- Kimlik avı saldırılarını izleyin: E-posta yoluyla yapılan kimlik avı saldırıları, dolandırıcılık ve kötü amaçlı yazılımlara yönelik en yaygın saldırı mekanizmalarıdır. Saldırı sunucularını sınırlamak için e-posta sunucularınızda gerekli koruma sistemlerine sahip olduğunuzdan emin olun. Gmail gibi SaaS e-posta sistemleri, kimlik avına karşı yerleşik gelişmiş koruma mekanizmalarına sahiptir.
- Kuruluşunuzda sıfır güven güvenliğini genişletin: Siber güvenliğe yönelik geleneksel yaklaşım, çevre fikrine dayanmaktadır. Bu, kuruluşların ağlarının etrafına bir çevre oluşturması ve ardından yetkisiz kötü aktörleri dışarıda tutmaya çalışması anlamına gelir. Uzaktan çalışmanın ve bulut bilişimin yükselişiyle birlikte herkesi ağın dışında tutmak artık mümkün değil ve yalnızca çevre modeline dayalı korumanın modası geçmiş durumda. Sıfır güven güvenliği, “kötü aktörleri dışarıda tutma” sorununa yeni bir yaklaşım getiriyor. Katmanlı sıfır güven modelinde çevre kavramı ortadan kalkar ve kimseye örtülü olarak güvenilmez. Bu, her erişim talebinin, erişim aradığı kaynağa kadar ilerleyebilmesi için cihaz kimliği, kullanıcı kimliği vb. gibi çeşitli kontrol düzeylerinden geçirilmesi gerektiği anlamına gelir. Örneğin, Google Cloud’un, kuruluşların sıfır güveni geniş ölçekte uygulamasına yardımcı olan, kullanıma hazır BeyondCorp çözümünü kullanabilirsiniz.
Yukarıda belirtilen 4 güvenli çerçeve hususunun kapsamlı bir analizini yaparak gereken özeni gösterdikten sonra, iş yükünüzü bulutta dağıtmaya hazır olduğunuzu güvenle söyleyebilirsiniz. Bulutta ne tür bir iş yükünü çalıştırmayı planladığınıza bağlı olarak (analitik, yönetilen Kubernetes, sunucusuz, veritabanları vb.), bir sonraki adım, planladığınız belirli bulut yerel hizmetlerinin güvenlik özelliklerini derinlemesine incelemektir. iş yükünüz için kullanın. Spesifik olarak, bundan sonra odaklanmak istediğiniz üç temel alan şunlardır: uygulama/altyapı güvenliği, ağ güvenliği ve son olarak veri güvenliği (hareketsiz durumda, geçiş halinde ve işlenirken). Tüm tehditlerinizi ve güvenlik açıklarınızı tek bir yerden hızlı bir şekilde görüntülemenize ve kuruluşunuzun itibarını zedeleyebilecek potansiyel bir saldırıya maruz kalmadan hemen önce bunlar üzerinde harekete geçmenize yardımcı olacak merkezi bir izleme platformu.
yazar hakkında
Jhilam Biswas, bulut bilişim ve güvenlik alanında 9 yılı aşkın deneyime sahip deneyimli bir siber güvenlik uzmanıdır. Şu anda Google Cloud’da Müşteri Mühendisliği Yöneticisi olarak stratejik dijital yerel müşterilerin bulutta güvenli bir şekilde dağıtım ve ölçeklendirme yapmasına yardımcı oluyor. Google’dan önce, Akamai’de Güvenlik Çözümleri Mimarı ve Cisco’da Güvenlik Mühendisi gibi farklı F500 şirketlerinde çok sayıda güvenlik şapkası taktı. Yüksek Lisans derecesini College Park’taki Maryland Üniversitesi’nden bulut bilişim ve ağ güvenliği odaklı olarak aldı. Jhilam’a çevrimiçi olarak https://www.linkedin.com/in/jhilambiswas/ adresinden ve şirket web sitemiz https://cloud.google.com/ adresinden ulaşılabilir.