Bulut ortamları, başta kolay ölçeklenebilirlik ve dayanıklılık olmak üzere birçok avantaj sağlar. Bu nitelikler, otomasyon ve bir bulut ortamını geliştirmek için bundan yararlanmanın kolay ve anlaşılır yolu nedeniyle var.
Otomasyon yoluyla sağlanan bu kolaylığın dezavantajları olabilir ve bulut sağlayıcınızdan sürpriz bir fatura aldıysanız, bu dezavantajları kesinlikle biliyorsunuzdur; büyük ölçek ekonomileri için kullanılabilir. Otomasyonun büyük bir nimet olduğu yerlerden biri de bulut ortamının güvenliğini sağlamaktır.
Bu makale, sağlık sektöründeki CISO’ların bulut güvenlik kontrollerini otomatikleştirme ve bu kontrolleri standart devreye alma döngülerine entegre etme yollarından bazılarını ana hatlarıyla açıklayacaktır. Tüm bu tavsiyelerin altında yatan tema: her şeyi standart ve tek tip tutun.
Bir çerçeve seçin
Tutarlılık anahtardır çünkü öngörülebilirlik sağlar. Öngörülemezlik, üretim ortamınızda etkilere yol açabilir.
Birçok bulut güvenlik çerçevesi ve en iyi uygulama vardır. Cloud Security Alliance (CSA), Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve HITrust, bunları sunan birkaç kuruluştan yalnızca birkaçıdır.
En iyi uygulamalar ve tavsiyeler büyük ölçüde aynıdır, ancak bunlara nasıl ulaşacağınız bir çerçeveye dayalı olarak aşağı yukarı belirlenmiş olabilir.
Buradaki önemli husus, bir çerçeve seçmek ve ona bağlı kalmaktır. Gönülsüzce bir çerçeveyi uygulamak ve ardından diğerine geçmek, gereksiz karmaşıklık ve dahili kafa karışıklığı ve çatışmayı artırabilir.
Altyapıyı ve politikayı kod olarak ele alın
Varlıkları kod olarak ele almak, tek tip ve denetlenebilir ortamlar sağlar. Güvenlik ayarları, en iyi çerçeve uygulamalarına göre yapılandırılabilir ve doğrulanabilir. İstisnalar not edilebilir ve belgelenebilir (istenirse) veya düzeltilebilir (istenmiyorsa).
Altyapının kod olarak ele alınması durumunda, yerel ve üçüncü taraf bulut yönetim platformları, kullanıcıların altyapı için güvenlik yapılandırmasını şablon haline getirmelerini ve bu şablonları her yeni ortamın ayağa kalkması gerektiğinde kolay kullanım için depolamasını sağlar.
Bu, konteyner ayarlarının merkezi bir yönetim platformunda yapılandırılabildiği ve her konteyner oluşturulduğunda tek tip ve güvenli dağıtıma olanak tanıyan konteynerli ortamlarda daha da kolay hale gelir.
Kod olarak politika büyük ölçüde aynı şekilde çalışır. Ağ yapılandırmaları, erişim sağlama ve yetkilendirme için şablon oluşturma ve yeniden kullanma ilkesi, ağ ve kullanıcı hesaplarının tutarlı dağıtımını sağlar. Bu ayarlar tutarlı hale gelir ve öngörülebilir şekilde dağıtılır.
Dahası: altyapı, kapsayıcılar ve politika için merkezi yönetim ayarları havuzları oluşturmak, bu havuzların denetlenmesine olanak tanır. Yalnızca yapılandırmalar denetlenebilir ve tutarlı olmakla kalmaz, aynı zamanda bu havuzlara erişim de tutarlı bir şekilde yönetilebilir ve denetlenebilir. Kasıtlı olsun veya olmasın bir değişiklik yapılırsa, güvenlik ekibi bu değişikliği görebilir ve doğrulayabilir. Bu değişiklik öngörülemezse, birisi harekete geçebilir.
Varlık etiketlemeyi otomatikleştirin
Varlık etiketleme, bilgi yönetişimini korumak ve bir bulut varlığının hassasiyetini ve dolayısıyla riskini belirlemek için kritik bir özelliktir. Güvenlik ekipleri, etiketlere dayalı olarak bilgi toplayabilir veya işlem yapabilir. Bu etiketleme, kod olarak altyapı yaklaşımıyla veya varlık etiketlemeyi otomatikleştirmek için bulut tarafından sağlanan uyumluluk ilkeleri kullanılarak otomatikleştirilebilir.
Bulut platformu altyapınıza Kubernetes, Docker veya başka bir konteynerleştirme teknolojisi yerleştiriyorsanız, bu geçici varlıkları bulut etiketleme şemanızla tutarlı meta verilerle etiketlemek için etiketleme kullanmalısınız.
Etiketlemeyi otomatik hale getirmek ileride fayda sağlayabilir. Örneğin, belirli varlıkların PHI, reçeteleme verileri veya diğer hassas bilgiler içerdiğini biliyorsanız, bu varlıkları oluşturma sırasında işaretlemek ve hileli veri kümelerinden kaçınmak için otomatik etiketlerden yararlanabilirsiniz. Her zaman biraz manuel müdahaleye ihtiyacınız olacağını unutmayın, ancak otomatik varlık etiketleme bunu önemli ölçüde azaltacaktır.
Güvenlik altyapısı dağıtımını otomatikleştirin
Varlığınıza hangi etiketlerin atandığına bağlı olarak, etiketlere göre farklı işlemler yapmak isteyebilirsiniz. Bu, SIEM’inize veya diğer merkezi izleme altyapınıza beslenmek üzere daha fazla veya daha az telemetri toplamayı içerebilir. Sanallaştırılmış bir sunucuysa, buna algılama ve yanıt altyapısı ve uygunsa diğer destekleyici aracılar da dahil olabilir.
Güvenlik altyapısının nasıl yapılandırılacağı ve dağıtılacağı ve hangi verilerin toplanıp toplanmayacağı konusunda çok sayıda husus vardır. Özellikle merkezi toplama altyapınız bulut ortamınızın dışında bulunuyorsa ve bu günlük verileri için çıkış ücretleri ödemeniz gerekiyorsa, dikkate alınması gereken en önemli hususlardan biri maliyettir. Bu maliyetler hızla artabilir. Öte yandan, performans çok fazla etkilenmemelidir.
Güvenlik açığı taraması
Güvenlik açığı taramasının yapılması gerektiğini ve tüm varlıklar için yapılması gerektiğini söylemeye gerek yok. Yeni varlıkların güvenlik açığı yönetimi araçlarına dahil edilmesini otomatikleştirmezseniz, ortamınızın büyük bir bölümünü kaçırıyor olabilirsiniz. Bu da sizi olası saldırılara ve uzlaşmaya açık hale getirir.
Altyapı dağıtımında olduğu gibi, maliyet burada önemli bir faktördür. Pek çok güvenlik açığı tarayıcısının taranan IP adresi veya kapsayıcı sayısına göre fiyatlandırıldığı durumlarda, yüksek hacimli trafiği ele almak için birçok yeni sunucuyu veya kapsayıcıyı aynı anda döndürmek, özellikle tedarikçiniz geçici ölçeklendirme konusunda sizinle çalışmak istemiyorsa, öngörülemeyen masraflara neden olabilir.
Altyapıyı kod olarak ele almak, bu maliyetlerden kaçınmanın kritik bir yoludur. Şablonlarınızdan bazıları sürekli taramaya ihtiyaç duymuyorsa, onu dağıtmanıza gerek yoktur ve dağıtmamalısınız. Varsa, maliyeti modellemek için bu belirli altyapı parçalarını sürekli olarak izleyebilirsiniz.
Güvenlik orkestrasyonu, otomasyonu ve yanıtı
SOAR, güvenlik iyileştirmesini etkili bir şekilde kod olarak ele alıyor. Bazı maddi açılardan farklılık gösterir, ancak SOAR etkili bir şekilde güvenlik düzeltmesi için bir havuz ve şablonlaştırma sağlar. Bir olayın meydana geldiği yerde, vaka bazında meydana gelse bile buna öngörülebilir eylemler uygulanabilir.
Bulut ortamınız dağıtımda bir tutarlılık temeli üzerine kuruluysa, SOAR inanılmaz derecede öngörülebilir ve yüksek düzeyde ayarlanabilir olmalıdır. Bulut ortamındaki tutarlılık, bir güvenlik temeli için daha fazla ayrıntı düzeyi anlamına gelir. Taban çizgisi ne kadar ayrıntılı olursa, bu taban çizgisinden sapmalar o kadar belirgin olur ve güvenlik tepkileri daha eyleme dönüştürülebilir (ve otomatikleştirilebilir) olur.
Harekete geçmeden önce manuel müdahalenin gerekli olduğu başka yapım sistemleri olabilir. Elektronik tıbbi kayıt ve görüntüleme sunucuları, gelişmiş inceleme için potansiyel adaylar olarak akla geliyor. Ayrıca, çalışma süresini etkileyen olumsuz değişikliklerden en çok etkilenenlerdir ve bu da gelişmiş manuel incelemeyi gerektirebilir. Uygun şekilde etiketlenirse, bu varlıkları tanımlamak ve çalışma kitabı uygulamasından hariç tutmak kolay olmalıdır.
Çözüm
Planlı, stratejik ve tutarlı olmaları halinde bulut güvenlik kontrollerinin otomatikleştirilmesi basit olabilir. Bu planlama ve tutarlılık, risk, maliyet ve eyleme geçirilebilirliği modellemek için temettü ödeyecek. Uygun şekilde plan yapmamak, gereksiz yere artan risk ve maliyete yol açabilir – bazı durumlarda çok önemlidir.