Bulut ortamları ve uygulama bağlantısı, birçok kuruluşun dijital dönüşüm girişimlerinin kritik bir parçası haline geldi. Aslında, Kuzey Amerika ve Avrupa merkezli işletmelerin yaklaşık %40’ı 2022’de sektöre özel bulut platformlarını benimsedi. Peki kuruluşlar neden şimdi bu çözümlere yöneliyor?
Bu eğilimler mevcut durumu etkiliyor:
- Düşük/kodsuz çözümler: Yazılım geliştirme becerilerindeki boşluk sayesinde, uygulama geliştirmek için yeni yollar bulmak zorunda kaldık. Örneğin Citizen geliştirme, BT eğitimi almamış çalışanları, iş uygulamaları oluşturmak için BT onaylı düşük kodlu/kodsuz (LCNC) platformları kullanarak yazılım geliştiricileri olmaya teşvik eder.
- şekillendirilebilirlik: “Eklenti çalıştır” mimarisi olarak da adlandırılan şekillendirilebilir kuruluşlar, yekpare teknoloji paketlerinden ve kod tabanlı yazılım geliştirmeden çoklu, birbiriyle değiştirilebilir uygulamaların birbirine bağlı ekosistemlerine geçişi temsil eder.
- mikro hizmetler: Yazılım geliştirmeye yönelik bu mimari yaklaşım, bir zamanlar çok büyük olan bir uygulamayı (Microsoft Word’ü düşünün) alır ve onu çok sayıda küçük hizmete (yazı tipi stili, sayfa biçimlendirme vb.) ayırır. zaman açısından daha verimli bir yol.
Bu eğilimlerin artan popülaritesine rağmen, bir kuruluş her yeni ortamı benimsediğinde veya belirli bir bulut sağlayıcısıyla çalıştığında, güvenlik risklerinin ortaya çıkacağını ve bunları azaltmak her zaman sağlayıcıların sorumluluğunda olmadığını unutmamak çok önemlidir.
Bulutta hava almak için hangi fırtınaları yaşamanız gerekecek?
Bu trendlerin üçünün de ortak bir noktası var; hepsinin bir bulutta herhangi bir yerde bulunabilecek çok sayıda uygulama arasındaki bağlantıları artırması ve bağımlılıkları artırması. Geliştiriciler, farklı bulutlar ve diğer uygulamalara veya hizmetlere bağımlı uygulamalar genelinde karmaşık uygulama bağlantılarıyla uğraşmak zorunda kaldıklarında, hız ve rahatlık uğruna güvenliği gözden kaçırma eğilimindedirler.
Bu basit “kayma”, tüm tedarik zincirlerini alt üst etme gücüne sahiptir. Günün sonunda, küçük bir halkanın kullanılması tüm zinciri kırma gücüne sahiptir. Ancak bir bağlantı eksik olduğunda ne olur? Ya birden çok bağlantı eksikse ve bunlar tedarik zinciriyle sınırlı değilse? Ya güvenlik hizmetlerini içeriyorlarsa?
Birçok bulut ve uygulama güvenlik stratejisinde bir zayıflık var. Kuruluşlar, ağlarının etrafında güçlü bir zincir bağlantı çitine sahip olduklarına inanıyorlar, ancak tehdit aktörlerinin doğrudan içeri girmesine izin veren kritik kontrolleri – zincirdeki halkaları – kaçırıyor olabilirler. web üzerinde canlı bir uygulama haline gelir. Modern uygulamaların bu güvenlik risklerini azaltmak için çalışmasının bir yolu, uygulamalar boru hattından geçerken kusurları ve güvenlik açıklarını tarayan araçları otomatik hale getirmektir.
GitLab bunun harika bir örneğidir. GitLab, ortamlarında yazılım oluşturmanıza olanak tanır, ancak boru hattı içinde statik ve dinamik uygulama güvenlik testleri gibi çeşitli test türleri bulunur. Bu, modern uygulamalar için büyük bir ilerlemedir, ancak bu yeni uygulamaları kabul etmek için gereken yeniden yapılanmaya elverişli olmayan eski sistemlerle birçok eski uygulama oluşturulmuştur.
Öte yandan, çoklu bulutun önemi ve bulut altyapısının katıksız karmaşıklığı nedeniyle, ortamınızda çalışan tüm farklı bulut iş yüklerini güvenlik altına almak şöyle dursun, bunlara ilişkin görünürlüğe sahip olmak zordur. Kuruluşların bulut sağlayıcılarına duydukları varsayılan güven nedeniyle gözden kaçabilecek çok sayıda bulut ve uygulama denetimi vardır. Kuruluşlar, AWS’nin kimlik ve erişim yönetimi ilkelerinin işlenmesini denetlediğini veya Azure’un veri sınıflandırmasını yöneteceğini düşünebilir, ancak çoğu kişi için bu inanç yanlış bir güvenlik duygusuna yol açar. Peki, üretim uygulamalarının güvenli olmasını sağlama sorumluluğu kimde?
Bulut ve uygulama güvenliği herkesin sorumluluğundadır – fazla seçenek yoktur
Pek çok kurumsal bulut müşterisi, uygulama güvenliği söz konusu olduğunda herhangi bir yükümlülük taşımadıklarına inanma hatasına düşüyor ve uygulamaları bulutta devreye alarak kendilerini kurumsal ve bulut satıcısı altyapılarındaki güvenlik açıklarına maruz bırakıyor. Kapsamlı güvenlik, kuruluşların güvenlik savunmalarında her zaman sorumlu ve proaktif olmalarını gerektirmiştir, ancak işin aslı şu ki, kuruluşlar gerçekten de sorumluluğu paylaşmaya zorlanırlar.
Bulut ve uygulama güvenliği, içinde çalışan verileri korumaya hizmet eden tüm insan, süreç, politika ve teknoloji ekosistemini kapsar, ancak veri sınıflandırması, ağ kontrolleri ve fiziksel güvenlik gibi güvenlik, net sahiplere ihtiyaç duyar. Bulut güvenliği için paylaşılan sorumluluk modeli, kimin ne yapması gerektiğine dair net bir döküm sağlar.
Geleneksel kurumsal CISO’lar geçmişte, trafiği izleyen bir güvenlik duvarı ile korunabilen şirket içi veri merkezlerini kullanıyordu. Güvenlik departmanları üzerinde tam kontrole sahiptiler, ancak buluta geçtiklerinde bu kontrolün bir kısmını kaybettiler. Artık bulut sağlayıcının sunduğu güvenliğe güvenmek zorunda kalıyorlar. Evet, bu sağlayıcılar çok sayıda yerleşik güvenlik sunar, ancak her şeyi kapsamazlar.
Günümüzün bulut ve uygulama güvenliği sağlayıcıları çok sayıda hizmete sahiptir ve bu hizmetleri nasıl yapılandıracaklarını bulmak veya güvenlik çevrelerini anlamak, bazı özel beceriler ve eğitim gerektirdiğinden inanılmaz derecede zor olabilir. Ve bu, işletmelerin tek bir ticari bulutla çalışması durumunda mümkündür!
Güvenlik ekiplerinin ev ödevlerini yapmalarını şiddetle tavsiye ediyorum: bulut sağlayıcınızın kapsamayabileceği veya kuruluşunuzla en iyi şekilde çalışacak şekilde sağlayamayacağı güvenlik hizmetleri hakkında bilgi sahibi olmak için kaynaklardan yararlanın. Araştırın ve sorular sorun veya akranlarınızla sohbet edin. Boşluklarınızın nerede olabileceğini bulun ve mimarinizin bunları kapattığını doğrulayın.