Cloud Security Alliance’a göre, Bulut Yerel Uygulama Koruma Platformları (CNAPP’ler), çoklu bulut ortamlarının kapsamlı şekilde güvenliğinin sağlanmasının karmaşıklığı nedeniyle son yıllarda kritik bir güvenlik araçları kategorisi olarak ortaya çıktı.
Güvenli bulut bilişim ortamı
CNAPP’lerin popülaritesinin büyük bir kısmı, Bulut Güvenlik Duruş Yönetimi (CSPM), Bulut İş Yükü Koruması (CWP) ve Bulut Altyapı Yetki Yönetimi (CIEM), ağ güvenliği gibi kuruluşların halihazırda dağıttığı çok sayıda güvenlik aracının yeteneklerini birleştirme yeteneklerinden kaynaklanmaktadır. ve DevOps’un güvenliğini sağlayın.
“Günümüzün işletmelerinin karşılaştığı zorluklar göz önüne alındığında, insanlar ve teknoloji ön plana çıkıyor. Bir yandan şirketlerin iş gücünü, rollerini ve sorumluluklarını anlayan, iyi eğitimli güvenlik profesyonelleriyle desteklemesi gerekiyor. Öte yandan, hem hızla gelişen siber güvenlik tehditleri ortamını ele alırken, hem de güvenlik ekiplerini etkili bir şekilde destekleyen etkili teknoloji ve araçlara acil bir ihtiyaç var” dedi Cloud Security Alliance’ın başyazarı ve Kıdemli Araştırma Teknik Direktörü Hillary Baron.
Baron şöyle devam etti: “Günümüzün çoklu bulut ortamlarının giderek daha karmaşık hale geldiği ve kuruluşların güvenlik duruşlarını kapsamlı bir şekilde ele almanın yollarını bulması gerektiği açıktır.”
“Günümüzde hâlâ kullanımda olan pek çok geleneksel güvenlik çözümü, giderek dinamikleşen ve dağıtılan çoklu bulut stratejilerini yeterince koruma kapasitesine sahip değil. Kuruluşların buluttaki yollarında ilerlerken güvenliğe entegre bir yaklaşım sunan çözümlerden yararlanmaları zorunludur. Bunu yaparak kendilerini bugünün ve geleceğin karmaşık siber güvenlik zorluklarıyla başa çıkmaya daha iyi hazırlayabilirler” dedi Microsoft Bulut Güvenliği ürün pazarlama direktörü Adwait Joshi.
Çoklu bulut ortamlarının güvenliğini sağlama
Bulut yerel uygulama koruma platformu
Dört kuruluştan üçü, çoklu bulut ortamlarını korumak için CNAPP’ı kullanmayı tercih ediyor. Kuruluşların %75’i bulut ortamlarında CNAPP’leri uygulamış veya uygulamayı planlamıştır. Bu hareketin arkasındaki itici faktörlerden biri çoklu bulut stratejilerinin yaygınlığıdır; kuruluşların %84’ü iki veya daha fazla bulut ortamı kullandığını bildirmiştir.
Bulut güvenliği duruş yönetimi
Güvenlik ekipleri, uygun önceliklendirme için net bilgiler talep ediyor. Çok sayıda güvenlik uyarısı, güvenlik ekiplerinin güvenlik geliştirmelerini yönetmesini ve önceliklendirmesini zorlaştırdı.
Ankete katılanların %32’si, aldıkları çok fazla ve çoğu zaman yanlış bilgiler nedeniyle güvenlik iyileştirmelerine öncelik vermekte zorlandıklarını açıkladı. Üstelik %34’ü kendilerini güvenlik önerileri altında buluyor, buna eşdeğer bir yüzde ise bilinçli kararlar vermek için bağlamsal veya eyleme dönüştürülebilir içgörülerden yoksun.
DevOps güvenliği
DevOps güvenliğinin öneminin giderek daha fazla tanınmasına rağmen, uzmanlık ve yetenek eksiklikleri ilerlemeyi engelliyor. Sola kaydırmalı güvenlik ve DevSecOps’a yönelik eğilime rağmen, sağlam güvenlik önlemlerinin DevOps’a dahil edilmesi hâlâ başlangıç aşamasındadır ve tam entegrasyonu engelleyen önemli engeller bulunmaktadır.
Şu anda kuruluşların %51’i güvenliği DevOps uygulamalarına entegre etme sürecindedir ve yalnızca %35’i entegrasyonun tamamlandığını bildirmektedir. Başlıca zorluklar arasında güvenlik uzmanlığı eksikliği (%46), yetersiz otomasyon (%43), aşırı sayıda yanlış pozitif (%42) ve eyleme dönüştürülebilir geri bildirim eksikliği (%42) yer alıyor.
Bulut iş yükü koruması
Olaylara müdahaleyle ilgili zorluklar insanlara, süreçlere ve teknolojiye bağlıdır. Ankete katılanların %25’i insan gücü eksikliğini önemli bir sorun olarak tanımladı; kuruluşların %29’u resmi müdahale planlarının bulunmadığını bildirdi; ve %39’u otomasyon eksikliğinin önemli bir zorluk olduğunu bildirdi.
Ağ güvenliği
En olgun uygulama olmasına rağmen tehdit tespiti hala bir zorluktur. Ağ güvenliği, tüm kategoriler arasında en olgun olanıydı. Katılımcıların %43’ü ağ güvenliği için çoklu bulut ortamında tam entegrasyon bildirirken, CSPM’de bu oran yalnızca %28’dir.
Sıfır güven stratejilerinin artan popülaritesi bu seviyenin arkasında yatan önemli bir faktör olsa da kuruluşlar, özellikle tehdit tespiti ve büyük miktarda güvenlik uyarısının yönetimi konusunda ağ güvenliği konusunda hâlâ önemli zorluklarla karşı karşıyadır.
Bulut altyapısı yetkilendirme yönetimi
Yanlış yapılandırmalar izinlerle ilgili en büyük endişe kaynağıdır. Kuruluşların %43’ü izinlerin yanlış yapılandırılmasını en büyük endişeleri olarak tanımladı. Bu yaygın sorunun ciddi etkileri olabilir ve potansiyel olarak yetkisiz erişime ve hatta yıkıcı veri kaybına yol açabilir.
Yanlış yapılandırmalar, hassas verilerin yanlışlıkla açığa çıkmasına veya gereksiz ayrıcalıklar verilmesine neden olarak kötü niyetli kişiler tarafından kullanılabilecek açıklıklar oluşturabilir.