Kuruluşlar yıl sonunda veri güvenliği stratejilerini yeniden değerlendirdikçe, birçoğu verileri üzerinde daha fazla kontrol elde etmek ve bulut güvenlik açıklarıyla ilişkili riskleri azaltmak için bulut hizmetlerinden şirket içi çözümlere geçmeyi düşünüyor. 2024’teki birçok yüksek profilli ihlalin ve çoklu bulutlu veri ambalaj platformlarından gelen müşteri verilerinin çalınmasının ardından, kötü niyetli saldırganlar bulut altyapısındaki zayıflıklardan yararlanmaya devam ediyor.
Yaygın ihlaller ve sonuçta ortaya çıkan veri maruziyetleri, özellikle ulusun güvendiği kritik altyapıyı sağlayan kuruluşlar için birçok endüstride endişe yaratmıştır. Bulut hizmeti saldırıları yoluyla maruz kalma riskini azaltmak için kuruluşlar, güvenlik duruşlarını iyileştirmek, üçüncü taraf sağlayıcılara olan güvenini azaltmak ve uyumluluk gereksinimleriyle daha iyi uyum sağlamak için önümüzdeki yıl altyapı ve dağıtım stratejilerini yeniden gözden geçireceklerdir.
Şirket içi konuşlandırmaya yönelik eğilim
2024’te çok sayıda yüksek profilli ihlal, bulut tabanlı hizmetleri etkiledi ve saldırganların binlerce kuruluşa ve 100 milyondan fazla kişiye erişmesini sağladı. Bir bulut hizmetinden ödün vererek, kötü niyetli aktörler müşteri örneklerinden ödün verebilir ve değerli verileri sunmak için çalıntı müşteri kimlik bilgilerini kullanabilir. Her ne kadar bazı güvenlik açıkları hem şirket hem de bulutta kullanılabilse de, bulut güvenlik açıklarının sıklıkla ölçeklendirildiği de açıktır. Bu yüksek profilli ihlaller, birçok kuruluşun altyapı stratejilerini yeniden değerlendirmesine yol açmıştır.
Buna karşılık, çeşitli endüstrilerdeki güvenlik ekipleri, özellikle de hassas verileri ele alan güvenlik ekipleri, şirket içi dağıtımlara geçmeyi düşünmektedir. Bu, güvenlik açıkları, çalıntı kimlik bilgileri, yanlış yapılandırmalar, güvensiz API’ler ve arayüzler, zayıf kimlik ve erişim yönetimi (IAM), veri maruziyeti ve karmaşık ve giderek birbirine bağlı bir ekosistem boyunca kontrol eksikliği gibi bulut zayıflıklarından elde edilen riski en aza indirecektir. Şirket içi sistemlere geri dönmek, donanım ve şirket içi bilgiye yatırım gerektirirken, çeşitli avantajlar da sunar. Şirket içi dağıtımlar ekiplerin şunları yapmasını sağlar:
- İnternet bağlantısından bağımsız olarak işlemleri koruyun ve 3’e olan güveni en aza indirinRD parti satıcıları
- Hava engelli bir ortamda gelişmiş güvenlik özellikleri sağlayın
- Daha fazla görünürlük ve minimal gecikme ile işlemleri gerçek zamanlı olarak izleyin
- Yerinde yedek sistemler ve yük devretme mekanizmaları oluşturun ve uygulayın
Bu faydalar şirket içi çözümleri veri kontrolü ve güvenliğine öncelik veren kuruluşlar için cazip bir seçenek haline getirir.
Şirket içi gelişmiş veri kontrolü sunar
Bulut sağlayıcıları tarafından sunulan paylaşılan sorumluluk modellerinden farklı olarak, şirket içi dağıtım kuruluşlara çevrelerinin eksiksiz mülkiyetini sunar. Bu yaklaşım, şirket içi güvenlik ekiplerine depolanan verilere doğrudan erişim sağlar. Sonuç olarak, kuruluşlarının özel ihtiyaçlarına göre uyarlanmış özel güvenlik önlemleri uygulayarak ihlal riskini ve yetkisiz erişim riskini en aza indirebilirler. Şirket içi dağıtım ayrıca, iç politikalar, karmaşık düzenleyici gereksinimler ve sektöre özgü standartlarla uyumlu konfigürasyonların, güncellemelerin ve veri depolamanın yönetilmesinde daha fazla esneklik sunar.
Bu avantajlara rağmen, şirket içi çözümler donanım ve bakım için önemli yatırım gerektirir. Ancak, bu yatırımlar potansiyel tasarruflarla dengelenebilir. Örneğin, IBM’in bir veri ihlali raporunun 2024 maliyetine göre, genel bulut ihlalleri ortalama 5,17 milyon dolar iken, şirket içi ihlaller ortalama 4,18 milyon dolarlık en ucuztu.
Düzenleyici uyum
Bulut çözümleri ölçeklenebilirlik sunarken ve açık maliyetlerin azalması olsa da, şirket içi dağıtım, düzenleyici uyum için birkaç benzersiz avantaj sağlar. Şirket içi konuşlandırma, Sağlık Sigortası Taşınabilirliği ve Hesap Verebilirlik Yasası (HIPAA) Gizlilik Kuralı, Genel Veri Koruma Yönetmeliği (GDPR) ve Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI-DSS) gibi sektöre özgü düzenlemelere uyumu basitleştirebilir. Tüm verileri kuruluşun kendi sunucularında, genellikle hava engelli bir ortamda tutmak, uyumluluğu kolaylaştırabilir. Örneğin, sağlık kuruluşları, veriler yerinde saklandığında HIPAA’nın gerektirdiği fiziksel önlemleri daha kolay uygulayabilir. Bu seçenek aynı zamanda artan veri gizliliği sağlar, çünkü hassas bilgiler potansiyel olarak zayıf güvenli bir bulut teklifinde depolanmak yerine şirketin fiziksel konumunda kalır.
Şirket içine dönerken, kuruluşların donanım satın almasını ve şirket içinde yönetilmesini gerektirir, güvenlik ekipleri de tam olarak kontrol sahibi olurlar. Bu, donanım ve güvenlik denetimlerini benzersiz ihtiyaçlarına göre özelleştirmelerini ve gerektiğinde yükseltmeler yapmalarını, çevredeki değişikliklere tam görünürlükle yapmalarını sağlar. Aynı hatlar boyunca, şirket içi dağıtım, üçüncü taraf riski en aza indiren ve üçüncü taraf hizmetleri ihlaller veya diğer beklenmedik olaylarla bozulduğunda operasyonel sürekliliği bile artırabilen dış sağlayıcılara bağımlılığı azaltır. Güvenlik ve uyumluluk ekipleri için şirket içi konuşlandırmanın birkaç temel avantajı şunlardır:
- Sektöre özgü düzenlemelere daha kolay uyumu
- Veri depolama yerleri üzerinde daha fazla kontrol, ekiplerin farklı veri egemenlik gereksinimlerini karşılamasına yardımcı olur
- Denetim parkurlarını korumak ve özel uyumluluk önlemleri uygulamak daha basit
Bu faydalar, şirket içi konuşlandırmayı, özellikle yüksek düzenlenmiş endüstrilerdeki kuruluşlar veya hassas verileri ele alan kuruluşlar için cazip hale getirerek belirli uyumluluk gereksinimlerini karşılamak için gerekli kontrol ve güvenliği sağlar.
Geri dönme zamanı
Bulut ilk yaklaşımları son on yılda egemen olsa da, birçok kuruluşun 2025’te şirket içi konuşlandırmalara geri dönmesini beklemesini bekleyin. Kritik altyapı sektörlerinde faaliyet gösteren kuruluşlar için bu yol özellikle zorlayıcıdır. Operasyonlarının hassas doğası, kritik altyapıdaki ulus-devlet aktörlerinin artan infiltrasyonu ile birleştiğinde, bu kuruluşları ortamlarının tamamen kontrolünü yeniden ele geçirmek için bulut ilk dağıtımlarından uzaklaşmaya yönlendirecektir.
Yazar hakkında
Itay Glick, Opswat’ta ürün başkan yardımcısı olarak görev yapıyor ve ABD, Avrupa ve Asya merkezli küresel teknoloji şirketlerinde siber güvenlik alanında 17 yıldan fazla yürütme yönetimi deneyimi getiriyor. Opswat’ten önce, Allot’ta Ağ ve Bulut Güvenliği AVP olarak görev yaptı ve ondan önce kendi şirketini kurdu ve Verint Sistemleri adına yasal müdahale piyasası için ekipman geliştirilmesinde önemli bir rol oynadı. ITAY, kariyerini İsrail Savunma Kuvvetleri’nin seçkin bir istihbarat biriminde yazılım mühendisi olarak başlattı. Bar-Ilan Üniversitesi’nden MBA ve B.Sc. Technion – İsrail Teknoloji Enstitüsü’nden elektrik mühendisliğinde. ITAY burada LinkedIn’de bulunabilir.