Buluta ve mobil iş gücüne geçişi tanımlayan geniş bir terim olan bulut bilgi işlem, yeni güvenlik ve uyumluluk risklerini beraberinde getirmiştir. Çünkü bulut hesabının devralınması, aşırı veri paylaşımı ve onaylanmamış bulut uygulamalarının kullanımı, güvenlik ekipleri için büyük zorluklar oluşturur. Bu nedenle, BT onaylı uygulamalar üzerinde görünürlük ve kontrol elde etmek bulut güvenliği kritik öneme sahiptir.
Bulut Güvenliği Nedir?
Bulut bilgi işlem, yazılımlara, veri tabanlarına ve kaynaklara web üzerinden ve yerel donanım kısıtlamalarının dışında erişmeyi gerektirir. Bu teknolojiyi kullanmak, işletmelerin altyapı yönetiminin büyük bölümünü veya bir kısmını harici barındırma şirketlerine devrederek operasyonlarını daha fazla esneklikle ölçeklendirmelerine olanak tanır.
Bulut bilişim modelini kullanan şirketlere yönelik hem iç hem de dış güvenlik tehditleriyle mücadele etmek için “bulut güvenliği” olarak bilinen bir dizi prosedür ve araç geliştirilmiştir. Bu işletmeler, bulut tabanlı araç ve hizmetleri kullandıkları için bulut güvenliği onlar için bir zorunluluktur.
Bulut tabanlı ortamlara geçiş, güvenli olmayan bir şekilde yapılırsa birkaç sonuç doğurabilirken, daha yeni teknolojiler, işletmelerin şirket içi altyapının sınırları dışında yetenekler geliştirmesine yardımcı olur. İşletmelerin, en iyi bulut güvenlik uygulamalarını uygularken bağlantılı bulut teknolojilerini kullanmaktan nasıl yararlanabileceğini anlamak, doğru dengeyi sağlamak için gereklidir.
Bulutistan bulut güvenliği hizmeinin detaylarına ulaşmak için tıklayınız.
Bulut Güvenliği Nasıl Çalışır?
Bulut güvenliği, bulut tabanlı altyapıyı, uygulamaları ve verileri kalıcı siber tehditlerden korumak için teknik ve prosedürel önlemlerin bir kombinasyonunu kullanır. Temelde bulut güvenliği, kullanıcı ve cihaz kimlik doğrulaması, veri ve kaynaklar üzerinde erişim kontrolü ve veri gizliliği koruması sağlar.
Bulut güvenliği, işletmelerin kullanıcıları bulut tabanlı tehditlere karşı korumasına yardımcı olur:
- Kullanıcılarının hangi bulut bilgi işlem platformlarına ve hizmetlerine eriştiğini ortaya çıkarmak.
- İşletmeyi istemeden riske atan siber saldırıları ve kullanıcı eylemlerini tespit etmek için bulut bilgi işlem etkinliğini izleme.
- Siber saldırganların ve diğer yetkisiz kullanıcıların hassas verilere ve kaynaklara erişmesini önleme.
- Kullanıcıların bulut tabanlı hesaplarını ele geçirmeye karşı koruma.
- Güvenlik ve uyumluluk ilkelerini uygulama.
Çevre ve ağ güvenliğine odaklanan geleneksel siber güvenlik çözümlerinden farklı olarak bulut güvenliği, yetkisiz erişimi önlemek için yetkilendirme süreçleri, veri şifreleme ve çok faktörlü kimlik doğrulama gibi veri merkezli bir yaklaşımdan yararlanır.
CIA üçlüsü olarak bilinen bilgi güvenliği modelinin bir parçası olarak bulut güvenliği, verilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini koruyarak çalışır ve üç ana bulut ortamında çalışır: genel, özel ve hibrit bulut hizmetleri. Uygun ortam, bulut güvenliğini kullanan kişi veya işletme türüne ve veri gereksinimlerine bağlıdır.
Bulut Güvenliği Neden Önemlidir?
İşletmeler, dosya ve bilgileri meslektaşları ve iş ortakları ile paylaşmak için bulut bilgi işlem ve bulut tabanlı işbirliği veya mesajlaşma araçlarını kullanır. Bu kullanım, ticari sırlar, mühendislik tasarımlar ve diğer hassas kurumsal veriler gibi düzenlemeye tabi verileri ve fikri mülkiyeti (IP) riske atabilir.
Bulut bilgi işlem altyapısı, siber tehditlere karşı koruma gerektirir. Bulut güvenliği, bu göreve ayrılmış bir siber güvenlik dalıdır. Bulut güvenliği yalnızca verilerin korunması için önemli olmakla kalmaz, aynı zamanda sektörlerin ve işletmelerin uyumluluk gereksinimlerini karşılamasına, itibarları için korumaya, iş sürekliliği sağlamasına ve hatta yüksek düzeyde bulut tabanlı bir ortamda rekabet avantajı sağlamasına yardımcı olur.
Bulut güvenliği, işletmelerin belirli güvenlik açıklarını ve tehditleri ele almasına yardımcı olmak için de çok önemlidir. Çalışan ihmali veya eğitim eksikliği, herkesin erişebileceği genel bağlantılar aracılığıyla bulut güvenliği tehditleri oluşturabilir. İçeriden kişiler tarafından veri hırsızlığı da yaygındır. Örneğin, şirketinizden ayrılan satış görevlileri bulut CRM hizmetlerinden veri çalabilir.
Büyüyen başka bir zorluk daha var: OAuth izinlerine sahip üçüncü taraf uygulamalar ve komut dosyaları. OAuth bağlantılı üçüncü taraf uygulamalar, Microsoft Office 365 ve Google G Suite gibi BT onaylı bulut bilgi işlem hizmetlerine erişir. Bir işletmenin bulut ortamında yüz, hatta bin uygulama ve komut dosyası görmek yaygın bir durumdur. Bazıları, yetersiz tasarım nedeniyle risk oluşturur ve onlara gerekenden daha geniş veri izinleri verir. Bazıları kötü amaçlıdır veya istismar edilmesi kolaydır.
Bulut Bilişim Güvenliği İle İlgili Hususlar Nelerdir?
1. Görünürlük ve Gölge BT Eksikliği
Bulut bilgi işlem, herkesin bir SaaS uygulamasına abone olmasını ve hatta yeni örnek ve ortamlar kurmasını kolaylaştırır. Kullanıcılar, yeni bulut hizmetleri için yetki almak ve bunlara abone olmak veya yeni örnekler oluşturmak için güçlü ve kabul edilebilir kullanım politikalarına uymalıdır.
2. Kontrol Eksikliği
Bir genel bulut hizmetini kiralamak, bir işletmenin bulut hizmetlerinin üzerinde çalıştığı donanım, uygulama veya yazılımların mülkiyetine sahip olmadığı anlamına gelir. Bu noktada bulut satıcısının bu varlıklara yaklaşımını anladığınızdan emin olmanız gerekir.
3. Veri Gönderme ve Alma
Bulut uygulamaları genellikle diğer hizmetler, veri tabanları ve uygulamalarla entegre olur ve bunlarla arabirim oluşturur. Bu genellikle bir uygulama programlama arabirimi (API) aracılığıyla sağlanır. API verilerine erişimi olan uygulamaları ve kişileri anlamak ve hassas bilgileri şifrelemek çok önemlidir.
4. Varsayılan Kimlik Bilgileri ve Sırlar
Bulut uygulamaları, varsayılan kimlik bilgileri içerebilir. Varsayılan kimlik bilgileri, siber saldırganlar tarafından tahmin edilebileceği için daha fazla risk taşır. İşletmelerin, diğer ayrıcalıklı kimlik bilgileri türlerinde olduğu gibi bu kimlik bilgilerini yönetmeleri gerekir.
5. Uyumsuzluklar
Şirket içi ortamlar veya bir tür bulut için tasarlanan BT araçları, genellikle diğer bulut ortamlarıyla uyumsuzdur. Uyumsuzluklar, işletmeleri yanlış yapılandırmalar, güvenlik açıkları, veri sızıntıları, aşırı ayrıcalıklı erişim ve uyum sorunları riskine maruz bırakan görünürlük ve kontrol açıklarına dönüşebilir.
6. Çoklu Kiralama
Çoklu kiralama, paylaşılan kaynakların birçok bulut avantajının (örneğin, daha düşük maliyet, esneklik vb.) belkemiğidir, ancak aynı zamanda veri izolasyonu ve veri gizliliği ile ilgili endişeleri de beraberinde getirir.
7. Ölçeklenebilirlik
Otomasyon ve hızlı ölçeklenebilirlik, bulut bilgi işlemin başlıca avantajlarıdır, ancak diğer tarafı, güvenlik açıkları, yanlış yapılandırmalar ve diğer güvenlik sorunlarının aynı ölçekte çoğalabilmesidir. Örneğin, bulut yönetici konsolları, kullanıcıların sunucuları büyük ölçekte hızlı bir şekilde tedarik etmesini, yapılandırmasını, yönetmesini ve silmesini sağlar. Ancak, bu sanal makinelerin her biri, düzgün bir şekilde dahil edilmesi ve yönetilmesi gereken kendi ayrıcalıklı hesaplarıyla doğar. Tüm bunlar, doğası gereği hızlı şarj olan, yüksek düzeyde otomatikleştirilmiş ve güvenliği sonradan düşünülmüş bir şey olarak ele alma eğiliminde olan DevOps ortamlarında daha da birleştirilebilir.
8. Kötü Amaçlı Yazılım ve Harici Saldırılar
Siber saldırganlar, bulut güvenlik açıklarından yararlanarak geçimlerini sağlayabilir. Hızlı algılama ve çok katmanlı bir güvenlik yaklaşımı (güvenlik duvarları, veri şifreleme, güvenlik açığı yönetimi, tehdit analitiği, kimlik yönetimi vb.), riski azaltmanıza yardımcı olurken, bir siber saldırıya karşı koymak için daha iyi yanıt vermenizi sağlar.
9. İçeriden Gelen Tehditler – Ayrıcalıklar
İçeriden öğrenenlerle ilgili tehditler (ihmal veya kötü niyet yoluyla), genellikle tespit edilmesi ve çözülmesi en uzun süren tehditlerdir ve zararlı olma potansiyeline sahiptir. Etkili ayrıcalık yönetimi araçlarıyla birlikte güçlü bir kimlik ve erişim yönetimi çerçevesi, bu tehditleri ortadan kaldırmak ve meydana geldiklerinde zararı azaltmak (yanal hareketi ve ayrıcalık artışını önleyerek) için esastır.
Bulut Güvenliği Çözümü Türleri
Günümüzde işletmeler, verilerini korumak için birden çok türde bulut güvenlik çözümünden yararlanır. Bu çözümler, bütünsel ve etkili bir bulut güvenlik stratejisi oluşturmak için birlikte kullanılabilir.
1. Kimlik ve Erişim Yönetimi (IAM)
IAM, kullanıcı kimliklerini ve bulut kaynaklarına erişimi yönetir. Belirli bulut kaynaklarına kimlerin erişebileceği ve hangi eylemleri gerçekleştirebilecekleri üzerinde ayrıntılı kontrol sağlarken yetkisiz erişimi önlemek için uygun kimlik doğrulama, yetkilendirme ve kullanıcı yönetimi sağlar.
2. Ağ ve Cihaz Güvenliği
Ağ ve cihaz güvenliği, bulut altyapısını ve cihazları ağ seviyesindeki saldırılara karşı güçlendirir ve doğru yapılandırmayı sağlar. Güvenlik duvarlarını, IdP’leri ve VPN’leri içeren bu bulut güvenlik çözümü, DDoS saldırılarına, kötü amaçlı yazılımlara ve diğer dış tehditlere karşı korunmaya yardımcı olur. Uç nokta koruması ve mobil cihaz yönetimi, bulut kaynaklarına erişmek için kullanılan cihazların güvenliğini sağlamaya da yardımcı olabilir.
3. Sürekli İzleme ve Uyarı
Sürekli izleme, algılama ve uyarılar, bulut kaynaklarının gerçek zamanlı izlenmesini sağlamak ve işletmelerin güvenlik tehditlerine hızla yanıt vermesine yardımcı olmak için IdP’ler ve SIEM sistemleri gibi araçları kullanır. Güvenlik izleme çözümleri ayrıca olası güvenlik olaylarını belirlemek ve uyarılar oluşturmak için çeşitli kaynaklardan veri toplar ve analiz eder.
4. Cloud Access Security Broker (CASB)
CASB’ler, bir işletmenin şirket içi altyapısı ile bulut arasında bir bekçi görevi gören bir tür bulut güvenlik sistemidir. Tüm bulut uygulamaları ve hizmetlerinde güvenlik politikalarını etkin bir şekilde izleyebilir ve uygulayabilirler, bu da işletmelerin bulut kullanımına ilişkin görünürlük kazanmasına ve yasal gerekliliklere uyumu sağlamasına olanak tanır.
5. Veri Güvenliği
Veri güvenliği, şifreleme, veri maskeleme ve erişim kontrollerini kullanarak verileri yetkisiz erişime, kurcalamaya ve kayba karşı korur. Bekleyen, aktarılan ve kullanılan verilerin güvenliğini içerir. Buluttaki hassas verileri korumak için veri kaybı önleme (DLP) çözümleri, erişim kontrolü çözümleri ve şifreleme çözümleri kullanılabilir.
6. Felaket Kurtarma ve İş Sürekliliği Planlaması
Bu hayati çözüm, bir felaket sırasında bulut hizmetlerini geri yüklemek ve kesinti süresini en aza indirmek için planlama stratejileri içerir. Olağanüstü durum kurtarma, verilerin ve uygulamaların kabul edilebilir zaman çerçeveleri içinde geri yüklenebilmesini sağlamak için kritik veri ve uygulamaların tanımlanmasını ve kurtarma süresi hedeflerinin (RTO’lar) ve kurtarma noktası hedeflerinin (RPO’lar) oluşturulmasını içerir. Felaket kurtarmayla alakalı yazımıza buradan ulaşabilirsiniz.
7. Yasal Uyum
Yasal uyumluluk, bulut hizmetlerinin veri gizliliği ve koruması dahil olmak üzere yasal ve düzenleyici gerekliliklerle uyumlu olmasını sağlar. HIPAA, GDPR ve CCPA gibi düzenlemelere uyum, hassas verileri işleyen işletmeler için kritik öneme sahiptir. Yasal uyumluluk, veri gizliliğini korumak için uygun denetimlerin uygulanmasını ve bulut hizmetlerinin düzenleyici gereksinimleri karşılamasını sağlamayı içerir.
8. Yönetim
Yönetişim, bulut hizmeti kullanımını yönetmek ve uygun risk yönetimi ve uyumluluk raporlaması sağlamak için politika ve prosedürler oluşturur. Bulut hizmetlerinin sektör düzenlemeleri ve standartlarına uygun olmasını sağlar. Yönetişim, bulut hizmetleriyle ilişkili risklerin belirlenmesini ve yönetilmesini ve bunları azaltmak için uygun kontrollerin oluşturulmasını içerir. Ayrıca veri sınıflandırması, erişim kontrolü ve olay müdahalesi için politika ve prosedürler oluşturmayı da içerir.
9 Bulut Bilişim Güvenliği En İyi Uygulamaları
Aşağıdaki listede bulut bilişim güvenliğinin en iyi uygulamalarını bulabilirsiniz:
1. Strateji ve Politika
Bütüncül bir bulut güvenlik programı, bulut güvenlik risklerinin sahipliğini ve sorumluluğunu (dahili/harici) ve koruma/uyumdaki boşlukları hesaba katmalı ve güvenliği olgunlaştırmak ve istenen son duruma ulaşmak için gereken kontrolleri belirlemelidir.
2. Ağ Segmentasyonu
Çok kiracılı ortamlarda, kendi kaynaklarınız ile diğer müşterilerin kaynakları arasında ve ayrıca kendi kurulumlarınız arasında hangi segmentasyonun yürürlükte olduğunu değerlendirin. Mümkün olduğunda bulut sunucularını, kapsayıcıları, uygulamaları ve tam sistemleri birbirinden izole etmek için bir bölge yaklaşımından yararlanın.
3. Kimlik ve Erişim Yönetimi ve Ayrıcalıklı Erişim Yönetimi
Yalnızca yetkili kullanıcıların bulut ortamına, uygulamalara ve verilere erişmesini sağlamak için sağlam kimlik yönetimi ve kimlik doğrulama süreçlerinden yararlanın. Ayrıcalıklı erişimi kısıtlamak ve bulut kaynaklarını sağlamlaştırmak için en az ayrıcalığı zorunlu kılın. Ayrıcalıkların rol tabanlı olduğundan ve ayrıcalıklı erişimin oturum izleme yoluyla denetlendiğinden ve kaydedildiğinden emin olun.
4. Bulut Örneklerini ve Varlıklarını Keşfedin ve Yerleştirin
Bulut örnekleri, hizmetleri ve varlıkları keşfedilip gruplandırıldıktan sonra bunları yönetim altına alın (ör. parolaları yönetme ve döngüye sokma vb.). Gölge BT’yi ortadan kaldırmak için keşif ve katılım mümkün olduğunca otomatikleştirin.
5. Parola Kontrolü (Ayrıcalıklı ve Ayrıcalıksız Parolalar)
Paylaşılan parolaların kullanımına asla izin vermeyin. Hassas alanlar için parolaları diğer kimlik doğrulama sistemleriyle birleştirin. Parola yönetimi en iyi uygulamalarını sağlayın.
6. Güvenlik Açığı Yönetimi
Düzenli olarak güvenlik açığı taramaları ve güvenlik denetimleri gerçekleştirin ve bilinen güvenlik açıklarını yamalayın.
7. Şifreleme
Bulut verilerinizin şifrelenmiş, beklemede ve aktarım halinde olduğundan emin olun.
8. Felaket Kurtarma
Bulut satıcıları için veri yedekleme, saklama ve kurtarma ilkeleri ve süreçleri hakkında bilgi sahibi olun.
9. İzleme, Uyarı ve Raporlama
Tüm ortam ve örneklerde sürekli güvenlik ve kullanıcı etkinliği izlemesi uygulayın. Ortamınızda neler olup bittiğine dair bütüncül bir resme sahip olmak için bulut sağlayıcınızdan (varsa) verileri kurum içi ve diğer satıcı çözümlerinden gelen verilerle entegre etmeye ve merkezileştirmeye çalışın.