Bulut güvenliği ihlalleri meydana gelir ve ihlaller gerçekleştiğinde parmakla işaretlemenin takip etmesi yaygındır. Hem bulut kullanıcılarının hem de bulut hizmet sağlayıcılarının (CSP’ler), bulut güvenliğine ilişkin yerleşik paylaşılan sorumluluk modelinin sınırlamalarını aşmak için birlikte çalışma fırsatı vardır. Bu modelin temellerini geliştirmek ve eksikliklerini gidermek bizi daha iyi ve daha güvenli bir bulut geleceğine götürebilir.
Siber Risklerin “Sahibi” Kimdir?
Altında iken paylaşılan sorumluluk modeli doğrudan sorumluluklar müşterinin kullandığı bulut hizmetlerine göre değişir, CSP her zaman bulut altyapısına yönelik tehditlere karşı savunmadan sorumludur ve müşteri de bulutta yönettiği veri ve uygulamaların güvenliğinden her zaman sorumludur.
Ancak bulutun benimsenmesi genişledikçe ortak sorumluluğun sınırlamaları netleşti. Birçok güvenlik alanında sorumluluk alanları arasında keskin bir sınırın korunması gerçekçi değildir. Buna ek olarak, müşteriler sıklıkla CSP’nin gerçekte olduğundan daha fazla siber güvenlik sorumluluğunu üstleneceğini varsayarlar ve çoğu durumda siber tehditlere karşı savunmanın veya siber tehditlere yanıt vermenin tek gerçekçi yolu müşterinin ve CSP güvenlik ekiplerinin birlikte çalışmasıdır. birlikte.
Paylaşılan Sorumluluğun Sınırlamaları
Paylaşılan sorumluluk modelinin çözümleyebileceği bazı spesifik yollar şunlardır:
-
Müşteri tarafında teknik uzmanlık eksikliği. Müşterinin kaldıramayacağı sorumlulukları müşteriye yükleyen bir modelin ne faydası var? Aşırı yüklenmiş BT ekipleri ve bulut güvenliği becerilerinin eksikliği, bazı müşterilerin çok fazla yardım almadan bulut güvenliğinin kendilerine ait kısmını halledemeyeceği anlamına gelebilir. Bu sorumlulukları yalnızca kendilerine yükleyen bir modelde ısrar etmek, çok az şey yapmak anlamına gelir; ancak müşteri ile CSP arasındaki ilişkiye zarar verecek maliyetli bir siber güvenlik olayına davetiye çıkarır.
-
İkiden fazla taraf katıldı. Bulut ortamı bir müşteriden ve bir CSP’den daha fazlasını içerir. Satıcılar ve yönetilen hizmet sağlayıcılar dikkate alındığında, sorumluluk sınırlarının bulanık olması sorunu katlanarak daha karmaşık hale geliyor. İyi bir güvenlik modeli sorumluluktan daha fazlasını içermelidir. Klasik paylaşılan sorumluluk modelinin, birçok kuruluş için gerçeklik olan karmaşık bulut yapılandırmalarına ilişkin net yönergeleri yoktur.
-
Varsayılan ayar karışıklığı. Bu bir soruna örnek meli basit olabilir ancak pratikte karmaşık olduğu kanıtlanmıştır. Birçok bulut güvenliği ortaklığı, varsayılan güvenlik ayarları sorunu etrafında bocalıyor. Bulut müşterileri genellikle bu ayarların yapılmasından kimin sorumlu olduğunu net olarak bilmiyorlar. olası Ayarlamalar yapmak, yeni bulut müşterilerinin her zaman hangi ayarlamaların yapılması gerektiğini anladığı anlamına gelmez.
Yıllar süren gerçek dünya kullanımından sonra, paylaşılan sorumluluk modelinin yeterli olmadığı bazı kritik alanların olduğu açıktır ve pratik açıdan bakıldığında, boşlukları doldurmaya çalışmak için bulut müşterilerine daha fazla yük yüklemek kesinlikle sorunu çözmeyecektir. sorun. Daha gerçek çözümler sunan ve daha fazla işbirliğini teşvik eden güncellenmiş bir bulut güvenliği paradigmasına ihtiyaç var.
Paylaşılan Kader Modeli
Bulut güvenliğine yönelik geleneksel ortak sorumluluğun ötesindeki evrimin bir sonraki aşaması Google’ın ortak kaderibulut risklerini ele almaya yönelik işbirliğine dayalı bir model. Paylaşılan kader modeli kapsamında CSP, dağıtım aşamasında rehberlik sağlamanın yanı sıra sürekli güvenliği sağlamaya yönelik öneriler ve araçlar da dahil olmak üzere çok daha proaktif bir rol üstleniyor. Paylaşılan kader, bulut sağlayıcının, ortak sorumluluğun nerede bozulduğu ve boşlukları kapatmak için adım attığı gerçeğini kabul ettiğini görüyor.
Varsayılan olarak güvenli altyapı, güvenlik temelleri ve güvenli planlar, müşterilerin ekiplerinin güvenlik yüklerinin bir kısmını ortadan kaldıran ortak kader modelinin unsurlarıdır. Birden fazla paydaşın yer aldığı karmaşık bulut ortamlarında model, karar verme işini müşteriye bırakmak yerine, iş akışlarının ve sorumlulukların nasıl düzenlenmesi gerektiğine dair kılavuzlar sağlar. Ve ortak kader, bir siber olay durumunda bir bulut müşterisine yardım etmek için orada olan sorumlu güvenliğin önemli bir yönü olan siber sigortaya daha fazla vurgu yapıyor.
Paylaşılan kader, müşterilerle bulundukları yerde buluşmayı ve onların olmak istedikleri yere ulaşmalarına yardımcı olmayı amaçlayan bir değişimi temsil ediyor. Müşterilerin bulut güvenliği konusunda her zaman bir düzeyde sorumluluğu olsa da, paylaşılan kader modeli siber riskleri yönetmenin daha pragmatik bir yoludur. Çünkü sonuçta bulut güvenliği yalnızca kimin neyi yapacağına karar vermek değil, birlikte daha iyisini yapmaktır.