Bulut’a taşıdık, siber güvenlik artık dert değil (mi?)

“Bulut’a taşıdık” sözünü sıkça duyuyoruz artık.

Dünyadaki trende baktığımızda ise bulut depolamaya geçişte ilk zamanlara göre bir yavaşlama izlendiğini söyleyebiliriz.

Yazılım ve uygulamaların bulutta çalışacak şekilde tasarlanmasında da aynı şekilde geçen yıla göre düşüş izleniyor. Bu düşüşün nedeni uygulamaların giderek mobil platformlara kayması olabilir.

Bulut uygulamasına yönelik kötü amaçlı yazılımlarda ise aksine bir yükseliş izleniyor; 2016 yılında yapılan bir ankete katılan kuruluşların %52’si bir kötü amaçlı yazılımdan etkilendiğini söylerken bu yıl bu rakam %56.

Ancak, düşüş ve yavaşlamaya veya risklere rağmen bulut depolamaya geçişin devam edeceği, kullanımının artacağı kesin. Bu nedenle de önemli olan güvenliği ve bütçeyi aynı anda göz önünde bulundurup buna göre dikkatli bir yaklaşım belirlemek.

McAfee 2018 bulut depolama güvenliği raporu bize şunu gösteriyor: Hassas veriler bulut depolamaya aktarılınca doğal olarak siber saldırganların ilgisi de oraya kayıyor.

Bulut depolama güvenlik raporu için araştırmaya katılan 1400 IT yöneticisinin

  • %20’si kuruluşlarının bulut depolama altyapısının ileri seviye bir saldırı ile karşılaştığını belirtmiş.
  • %25’i verilerinin genel bulut depolama alanından çalındığını söylemiş.

Rapodaki bazı bulgular ele alındığında bu sonuçlar şaşırtıcı değil:

  • Araştırmaya katılan kuruluşlar yanlış yapılandırılmış bulut hizmetlerinin doğrudan bir sonucu olarak ayda yaklaşık 2.200 güvenlik ihlali olayı yaşıyor
  • Kuruluşların bulut depolama alanlarının %80’den fazlası gizli bilgileri içeriyor (%21’i kredi kartı numaraları, sağlık verileri, ticari sırlar, kişisel olarak tanımlanabilir bilgiler (PII) ve gizli e-postalar gibi hassas bilgiler.)
  • Bulutta hiçbir hassas veri depolanmadığını belirten kuruluş oranı sadece %16

Zayıf güvenlik önlemleri ile değerli verilerin yanlışlıkla bütün dünyanın erişebileceği bir yere yüklenmesi sonucunda veri kaybı kaçınılmaz oluyor.

Fakat bulut verileri neden bu kadar savunmasız?

Rapora göre bunun başlıca nedeni bulut güvenlik ekibinin yeterli olmamasından kaynaklanıyor. Aynı zamanda manuel süreç yönetiminin daha güvenli bulunması ve buna devam edilmesi de nedenlerden bir tanesi. Ancak Wall Street Journal’a göre daha temel bir neden var:

“Kuruluşlar bulut depolamaya geçtikten sonra güvenlik ile ilgili sorumluluklarının azaldığını veya bittiğini düşünüyor ve güvenlikten bulut hizmeti veren satıcının sorumlu olduğunu düşünüyor. Ancak durum böyle değil.” diyor Donnelley Financial Solutions Inc. şirketinin Chicago’daki bilgi güvenliği sorumlusu Dannie Combs.

Birçok yönetici, kuruluş verileri bir başkasının ortamına geçtiğinde, uygulama ve veri güvenliğinin yükünün satın alınan hizmetlere entegre olduğu gibi yanlış bir izlenime sahip.

Bazı siber güvenlik uzmanları bile, bulut depolama hizmet sağlayıcılarının en düşük seviyeli güvenlik araçlarını kullanmanın “yeterince iyi” olduğunu düşünüyor.

Ancak her iki görüş de tehlikeli ve yanlış.

Genel ya da özel bir bulut depolama alanına geçildiğinde, verilerinizin ve uygulamalarınızın güvenliğinden hala siz sorumlusunuz.

Bu da şu anlama geliyor; Web Uygulaması Güvenlik Duvarı (WAF), veri merkezinizde istediğiniz veya ihtiyacınız olan güvenlik düzeyini sağlamazsa; bulut depolama alanında da daha iyi performans göstermeyecektir (bulut sağlayıcınız WAF’ı sunmuyorsa). Benzer şekilde, kurumsal web uygulamalarınızı yamalamak veya yükseltmek için uğraşıyorsanız ancak bulut depolamada zaman içinde düzeltme veya yükseltme yapmazsanız, riskli saldırılara ve uyumluluk sorunlarına devam edeceksiniz demektir.

Bulut Uygulama Güvenliği

Kuruluş altyapısını bulut depolamaya taşımak çoğu kuruluş için açık avantajlara sahip, ancak bu avantajlar içerisinde uygulama ve veri güvenliği sorumluluğunun azalması veya bitmesi yok. Siber güvenlik duruşunuzu en yeni ve en etkili güvenlik teknolojilerine taşımanız ve geliştirmeniz yine de gerekiyor.

Bulut güvenliği konusunda bazı öneriler:

  • Varsayım yapmayın: Sparta sızma testi ekibinin ilk kuralı bulut bilişim konusunda da faydalı bir öneri olarak karşımıza çıkıyor. Bulut altyapısının güvenliği “sağlanıyordur” veya “izleniyordur” gibi “güncellemeleri yapıyorlardır herhalde” gibi varsayımlarınızı mutlaka teyit edin.
  • İzlenebilir bir yapı kurun: Buluttaki sistemlerin loglarının alınabildiğinden ve bunların ihtiyaç duyduğunuzda kullanılabilir olacağından emin olun.
  • Bulut’a geçiş ve bulut altyapısının yönetim aşamalarında (evet, güvenlik yönetimiyle ilgili yapmanız gerekenler var maalesef) güvenliği en başından itibaren sürece ve projeye dahil edin.
  • Şifreleyin: Buluta taşıdığınız altyapıdaki verilerin yanlışlıkla veya bir saldırı sonucunda ifşa edilmesi ihtimaline karşı mutlaka şifreli tutun. Örneğin kendi sunucunuzda personelin ev adresinin şifreli olmaması sorun olmayabilir ancak buluta taşınıyorsanız bunun gibi verileri şifrelemek önemlidir. Tam bu noktada içinizden “ama bulut hizmeti satan bunların şifrelendiğini söyledi” diye geçirdiyseniz bunu nasıl yaptıklarını ve gizli/açık anahtarların nasıl üretildiği, nerede tutulduğu gibi konuları sorgulamanın tam zamanı.
  • Güçlü parola ve güvenilir bağlantı yöntemleri kullanın. Herkesin erişebildiği bir kullanıcı giriş ekranının 2 önemli şeye ihtiyacı var: güçlü bir parola ve iki kademeli doğrulama. Bu iki konunun bulut hizmet sağlayıcınız tarafından desteklendiğinden emin olun.
  • Test edin. Yapınızın güvenlik testlerini düzenli olarak yaptırın.

Sparta Bilişim, bulut altyapılarını ve bunlar üzerinde çalışan sistemlerin güvenliğini denetlemek için özel bir metodoloji geliştirmiştir.

Software as a Service (SaaS), Platform as a Service (PaaS) veya Infrastructure as a Service (IaaS) gibi farklı hizmet modellerine göre özelleştirilen yaklaşım, buluttaki sistem, uygulama ve hizmetlerinizin güvenlik seviyesinin ortaya çıkartılmasını ve iyileştirilmesini sağlar.

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*