Bulut güvenliği, bulut tabanlı bilgi işlem ortamlarını potansiyel siber güvenlik tehditlerine karşı güçlendiren bir dizi prosedür, politika ve teknolojidir. Uygulamada, herhangi bir saldırı veya ihlal sırasında bulut bilişim modellerinin bütünlüğünü ve güvenliğini sağlar. Bulut servis sağlayıcıları, güvenli bulut altyapısı sağlar.
Bulutun güvenliğini sağlamak, göründüğü kadar karmaşık değildir. Bulutunuzu güvende tutarken işinizi korumanın ve sunduğu her şeyden aynı anda yararlanmanın birçok yolu vardır.
Bulut güvenliği, kuruluşunuzun ihtiyaçlarına uyan doğru hizmet modelini seçmekle başlar. Bulut güvenliği teklifleri açısından üç benzersiz hizmet modeli ve dört dağıtım seçeneği vardır. Hizmet modeli seçenekleri aşağıdakileri içerir:
Hizmet Olarak Yazılım (SaaS) SaaS modeli ile müşterilere, üzerine kurulum için bilgisayar veya sunucu kullanımı gerektirmeyen bir yazılım sunulur. Buna örnek olarak Microsoft 365 (eski adıyla Office 365) ve Gmail verilebilir. Bu seçeneklerle, müşterilerin her uygulamaya erişmek için yalnızca bir bilgisayara, tablete veya telefona ihtiyacı vardır. İşletmeler, ürünlerini vurgulamak için DRaaS'den (olağanüstü durum kurtarma) HSMaaS'ye (donanım güvenlik modülü), DBaaS'ye (veritabanı) ve son olarak XaaS'ye (herhangi bir şey) kadar çeşitli terimler kullanır. Bir şirketin ne pazarladığına bağlı olarak, bir ürünün SaaS mı yoksa PaaS mı olduğunu belirlemek zor olabilir, ancak sonuçta bulut sağlayıcısının sözleşmeden doğan sorumluluklarını anlamak daha önemlidir. Bulut sağlayıcıları, HSMaaS (donanım güvenliği modülü) veya DRMaaS (dijital haklar yönetimi) gibi hizmetler aracılığıyla bulut oluşumlarına güvenlik eklemek için sözleşmelerini genişletir.
Dört dağıtım modeli bulunur:
Bireysel bir bulut güvenlik politikasının tüm yönleri önemlidir, ancak her sağlayıcının sunması gereken belirli temeller vardır. Bunlar, bir bulut güvenlik altyapısının temel ve en önemli yönlerinden bazıları olarak kabul edilir. Seçtiğiniz sağlayıcının tüm bu temelleri kapsadığından emin olmak, uygulayabileceğiniz en eksiksiz bulut güvenliği stratejisiyle eşdeğerdir.
Sürekli izleme:: Bulut güvenliği sağlayıcıları, tuttukları günlüklerle bulut platformlarınızda neler olduğuna dair bir fikir verebilir. Bir olay meydana geldiğinde, güvenlik ekibiniz olası saldırılara veya değişikliklere ilişkin içgörü için dahili günlükleri inceleyebilir ve sağlayıcınızın kayıtlarıyla karşılaştırabilir. Bu, meydana gelebilecek herhangi bir olayı hızlı bir şekilde tespit etmeye ve müdahale etmeye yardımcı olur.
Değişiklik yönetimi: Bulut güvenliği sağlayıcınız, değişiklikler istendiğinde, varlıklar değiştirildiğinde veya taşındığında ya da yeni sunucular sağlandığında veya kullanımdan kaldırıldığında uyumluluk kontrollerini izlemek için değişiklik yönetimi protokolleri sunmalıdır. Özel değişiklik yönetimi uygulamaları, olağandışı davranışları otomatik olarak izlemek için kullanıma alınabilir. Böylece siz ve ekibiniz, bunları azaltmak ve düzeltmek için hızla hareket edebilirsiniz.
Sıfır güven güvenlik kontrolleri: Görev açısından kritik varlıklarınızı ve uygulamalarınızı bulut ağınızdan ayırın. Güvenli iş yüklerini gizli ve erişilemez tutmak, bulut tabanlı ortamınızı koruyan güvenlik ilkelerinin uygulanmasına yardımcı olacaktır.
Her şeyi kapsayan veri koruması: Sağlayıcınız, tüm taşıma katmanları, iyi veri hijyeni, sürekli risk yönetimi izleme, güvenli dosya paylaşımı ve güvenli iletişim için ek şifreleme ile gelişmiş veri koruması sunmalıdır. Kısacası, işletmenizin verilerini her şekilde, şekilde ve biçimde korumak söz konusu olduğunda, sağlayıcınız oyunun zirvesinde olmalıdır.
Kendinize şu soruyu sorun: “Nelerden endişeleniyorum?” Bu, akılda tutulması gereken en önemli hususları anlamanıza yardımcı olabilecek bulut sağlayıcınıza hangi soruları soracağınızı belirlemenize yardımcı olacaktır.
Bulut mimarisi, basitçe söylemek gerekirse yazılım uygulamaları, veritabanları ve diğer hizmetler genelinde ölçeklenebilir kaynakları paylaşmak için birden fazla ortamın bir araya toplanmasının sonucudur. Bu terim, bildiğimiz şekliyle bulutu oluşturmak için birlikte çalışan altyapı ve bileşenleri ifade eder.
Bir bulut oluşturmak için gereken temel bileşenler arasında ağlar, yönlendiriciler, anahtarlar, sunucular, güvenlik duvarları, izinsiz giriş algılama sistemleri ve diğerleri bulunur. Bulut ayrıca sunuculardaki tüm unsurları içerir: Hipervizör, sanal makineler ve elbette yazılımlar. Bulut mimarisi ayrıca bulut hizmetleri oluşturmak, yönetmek, satmak ve satın almak için bir bulut sağlayıcısı, bulut mimarı ve bulut aracısı gerektirir. Takip edilmesi gereken bütün bir ekosistem var, ancak insanlar “bulut” dediğinde aslında bulut mimarisine atıfta bulunuyor.
Bulut mimarisiyle ilgili birçok terim, bulut kelimesini bulut tüketicisi gibi eski ve tanıdık bir terime ekler. Tüketici tanımını anlarsanız, yeni terim oldukça nettir. Telefon hizmetleri yerine bulut hizmetleri tüketicisi anlamına gelir.
İşte bazı temel örnekler:
Bulutta güvenlik, temel mimariye güvenlik öğeleri ekleyen bulut güvenlik mimarisiyle başlar. Geleneksel güvenlik öğeleri arasında güvenlik duvarları (Firewall), kötü amaçlı yazılımdan koruma ve izinsiz giriş algılama sistemleri (IDS) bulunur. Bulut ortamında güvenli yapılar tasarlamak için bulut denetçilerine, güvenlik mimarlarına ve güvenlik mühendislerine de ihtiyaç vardır.
Başka bir deyişle, bulut güvenliği mimarisi donanım veya yazılımla sınırlı değildir.
Bulut güvenliği mimarisi risk yönetimi ile başlar. Neyin yanlış gidebileceğini ve bir işletmenin nasıl olumsuz etkilenebileceğini bilmek, şirketlerin sorumlu kararlar almasına yardımcı olur. Üç kritik konu iş sürekliliği, tedarik zinciri ve fiziksel güvenliktir.
Örneğin, bulut sağlayıcı bir sorunla karşılaşırsa işinize ne olur? Sunucuları, hizmetleri ve verileri buluta koymak, iş sürekliliği ve/veya olağanüstü durum kurtarma planlaması ihtiyacını ortadan kaldırmaz.
Bulut sağlayıcının veri merkezine isteyen herkes girebilseydi ne olurdu? Üç büyük sağlayıcıda (AWS, GCP ve Azure) bu kolay olmayacaktır, ama mesele bu. Veri merkezi güvenliğine çok büyük yatırım yapıyorlar.
Peki diğer bulut sağlayıcılarda durum nasıl? Herhangi bir bulut sağlayıcısının veri merkezinin potansiyel değerlendirilmesini isteyin ve bir denetime dahil olun. Yanıtlarına dakkat edin. Ertesi gün veri merkezini kontrol etmenize izin verdiler mi? Veri merkezine girmek kolaysa, belki de bu sağlayıcıyı tercih etmek için ikinci kez düşünmeniz gerekebilir.
Bazı küçük bulut sağlayıcıların kendilerine ait fiziksel bir veri merkezi olmayabilir. Büyük bulut sağlayıcılardan aldıkları hizmeti size yeniden satarlar. Bu bulut teknolojisinin güzelliklerinden biridir. Bulut sağlayıcılar arasındaki ilişkiler bilinmiyorsa yasalar, düzenlemeler ve sözleşmelerle ilgili ek sorunlar ortaya çıkabilir. Bu basit soruyu sorun: Verilerim nerede? Bulut sağlayıcının birden çok düzeyi varsa, yanıtı belirlemek zor olabilir. Avrupa Genel Veri Koruma Yönetmeliği (GDPR) ile ilgili bir sorun gibi ciddi yasal sonuçlara da neden olabilir.
Bir işletmenin bulut güvenlik mimarisini oluşturan unsurlar arasında bulut güvenlik hizmetleri de yer alabilir. Veri sızıntısını önleme (DLPaaS) gibi hizmetleri satın almak mümkündur. Güvenli bir şekilde güvence altına alınabilmesi için kişisel olarak tanımlanabilir bilgileri arayan bir tarama aracı gibi diğer unsurlar güvenliğe yardımcı olacaktır. Bu hizmetlerin gerektiği gibi çalışmasını sağlamak için bulut güvenlik yönetimi gereklidir.
CNAPP, bir dizi buluta özel uygulamada riskin belirlenmesine, değerlendirilmesine, önceliklendirilmesine ve bunlara uyum sağlanmasına yardımcı olmayı amaçlayan bir grup güvenlik çözümüdür.
Bu nedenle, CNAPP, silolanmış ürünlerden ve platformlardan toplanan en önemli özelliklerden birkaçını bir araya getirir: Yapısal Tarama, Çalışma Zamanı Koruması ve Bulut Yapılandırması. Bu, şunları içerir:
Trend Micro, bir CNAPP satıcısı olarak kabul edilir ve bulut oluşturuculara yönelik güvenlik hizmetleri platformu Trend Micro Cloud One™ gibi ürünler, CNAPP mimarisine tam olarak uyumludur.
İşletmelerin yürürlükteki birçok yasa, yönetmelik ve sözleşmeye uyması gerekir. Verilerinizi ve hizmetlerinizi başka birinin mülkiyetine bıraktığınızda, uyumluluğu sağlamak için yerine getirilmesi gereken bazı karmaşık gereksinimler vardır.
Yasal açıdan, kuruluşların Kişisel Verileri Korunması Kanunu (KVKK - Türkiye), Avrupa Birliği Genel Veri Koruma Yönetmeliği (EU GDPR), Sarbanes-Oxley – ABD finansal veri koruması (SOX), Sağlık Bilgilerinin Taşınabilirliği ve Sorumluluğu Yasası – ABD sağlık hizmetleri (HIPAA) ve diğerlerine uyması gerekir. . Ayrıca, kredi kartı koruması, Payment Card Industry - Data Security Standard (PCI-DSS) ile sözleşme kanunu kapsamındadır.
Uyum konusu belirlendikten sonra, başta denetim olmak üzere birçok önlem alınabilir. Denetim, Amerikan Yeminli Mali Müşavirler Enstitüsü'nün SSAE 18 (Onay Anlaşmalarına İlişkin Standartlar Beyanı, Madde 18) gibi standartlaştırılmış bir yaklaşım ve kanıtlanmış bir metodoloji kullanılarak yapılmalıdır. Denetimin bulguları, neyin uygun olmayabileceğini gösterecektir. Bir bulut sağlayıcısına karar verirken, veri merkezinin güvenlik düzeyini ve sizi nelerin beklediğini bilmek için bu raporları okumak önemlidir.
İlgili Makaleler
İlgili Araştırmalar