Araştırmalar, otomasyonun bulut kontrol düzlemindeki ödünleri azaltabileceğini gösteriyor
Güvenlik araştırmacıları, sözde ‘bulut yerel’ BT mimarilerinin, teknoloji altyapılarını güncellemeye çalıştıkları gibi, kuruluşlar için yeni tehditler oluşturduğu konusunda uyardı.
Geliştirici güvenlik araçları satıcısı Snyk’in araştırmasına göre, geliştiricilerin ve güvenlik uzmanlarının yarısından fazlası kuruluşlarına yönelik risklerin gelecek yıl artmasını bekliyor. Sürücüler, bulutta yerel tehditleri ve özellikle kontrol düzlemi uzlaşmalarını içerir.
Diğer olası sorunlar arasında yanlış yapılandırılmış bulut kaynakları ve güvenliği ihlal edilmiş kimlik bilgileri yer alır.
KAÇIRMAYIN Araştırmacılar, CI/CD sunucularının SCM web kancalarını kötüye kullanarak kolayca ihlal edildiğini buldu
Londra’daki son Uluslararası Siber Expo’da konuşan Snyk’in başlıca bulut güvenliği savunucusu Ashish Rajan, güvenlik ihlallerinin artık yalnızca verilerle ilgili olmadığını açıkladı. Giderek artan bir şekilde suç grupları, bulut altyapısı kimlik bilgileri de dahil olmak üzere kimlik bilgilerini çalmaya veya ifşa etmeye çalışıyor.
Rajan, sosyal mühendisliği bir saldırının parçası olarak kullanan ve nihayetinde şirketin Amazon Web Hizmetleri ve Google Workspace kimlik bilgilerine erişmeyi başaran araç çağırma şirketi Uber’deki son ihlali gösterdi.
“Bu sadece bir ihlal, kayıtların yayınlanması değil, aynı zamanda internette AWS ve Google Cloud kimlik bilgilerini de paylaştılar” dedi. “Aslında bulut ortamımıza ve hatta daha geniş üretim ortamlarımıza sızan veri ihlallerinden bahsediyoruz.”
Hedeflenen kimlik bilgileri
Saldırganlar, ‘açık S3 kovaları’, blob depolama veya diğer açık depolama sitelerinin yanı sıra GitHub depoları, SSH’yi arayarak bulut hizmetleri için kimlik bilgileri arıyor [Secure Shell] ve SSL güvenlik açıkları ve hatta geliştiricilerin Stack Overflow gibi sitelerdeki gönderileri. Rajan, “İnsanlar daha kolay hedefler buluyor” dedi.
Konuşmacı, bunun geliştiricileri hem uygulama güvenliğine hem de bulut güvenliğine daha fazla dikkat etmeye zorladığını savundu. Kuruluşlar ve geliştiricileri, uygulama güvenliği ihtiyacını giderek daha fazla anlasa da, bulut güvenliği, aynı sorunun parçası olarak değil, genellikle ayrı olarak ele alınmaktadır.
“Önceki şirketimde ürün güvenlik ekibimiz ve bulut çalışanlarımız vardı. Ama aynı takımda değillerdi. Mantıklı gelmedi. Hâlâ bu tek uygulamayı koruyorduk,” dedi Rajan.
Snyk’ten Ashish Rajan, geliştiricilerin genellikle bulut sağlayıcının güvenlik önlemlerine çok fazla güvendiğini söylüyor.
Bulutlu ve ihlal olasılığı
Ve durum, bulut güvenliğinin ‘paylaşılan sorumluluk’ modeli tarafından daha da zorlaştırılıyor. Rajan’a göre, geliştiriciler ve yöneticileri, altyapılarının ve kodlarının güvenli olduğundan emin olmak yerine çoğu zaman bulut sağlayıcısının güvenlik önlemlerine güveniyor.
Snyk’in 2022 Bulut Güvenliği Durumu Raporuna göre, kuruluşların %80’i geçtiğimiz yıl içinde “ciddi bir bulut saniye olayı” yaşadı. Bunların %33’ü bulut veri ihlali ve %26’sı bulut veri sızıntısı yaşadı. Diğer %27’lik bir kesim ise çevrelerine izinsiz giriş tespit etti.
DevSecOps ile ilgili en son haberleri ve analizleri yakalayın
Araştırma ayrıca, bir veri merkezinden taşınan uygulamaları barındırmak için bulutu kullanan şirketlerin ciddi bulut güvenliği olaylarını bildirme olasılığının en yüksek olduğunu buldu: %89’u geçen yıl bunu yaptı.
Bu, kurum içi uygulamalar oluşturmak ve çalıştırmak için bulutu kullanan (%73) veya üçüncü taraf uygulamaları barındıran kuruluşların toplamından (%78) daha yüksekti.
Kod olarak altyapı
Buna karşı koymak için Rajan, geliştiricilerin bulut güvenliğinin beş temel ilkesini izlemelerini önerir. Bunlar, işletim ortamını bilmek, önleme ve güvenli tasarıma odaklanmak, geliştiricileri güçlendirmek, güvenlik gereksinimleriyle uyum sağlamak ve uyumluluğu otomatikleştirmek için politikayı kod olarak kullanmak ve güvenlik ekiplerinin “önemli olanı ölçmesini” sağlamak.
Bu temel ilkelere bağlı kalmak için kuruluşlar, bir projenin zaman çizelgesinde daha önce ‘sola kaydırma’ ve güvenlik kontrolleri oluşturma arayışında olmalıdır. Firmalar, kod olarak altyapı (IaC) araçları ve CI/CD ardışık düzenlerini kullanarak bulutta güvenli bir geliştirme yaşam döngüsünü planlamalıdır. Ve kuruluşlar, IaC içinde güvenlik ilkeleri tanımlayarak bunu bir adım daha ileri götürebilir.
Rajan, bunun bulut güvenliği hatalarının en yaygın nedenlerinden birini ortadan kaldırdığını veya en azından azalttığını söyledi: insan hatası.
“Politika neye benziyor? Politikayı IaC olarak tanımlayabilir miyim? Bu noktada birçok insan, kimlik bilgilerinin sızdırılmasını veya aşırı ayrıcalıkları veya kaynakların yanlış yapılandırılmasını ve kimliğin kontrol altında olmamasını azaltabileceğinizi keşfetti” dedi. Kod olarak politika, kuruluşların ister tek bir bulut platformu kullansınlar, ister iki veya üç, Rajan ekledi, güvenlik kurallarını uygulamalarına olanak tanır.
İLİŞKİLİ Rancher, hassas değerleri düz metinde sakladı, Kubernetes kümelerini devralmaya maruz bıraktı