Öğrendiğimiz her bulut tabanlı veri ihlalinde, yanlış yapılandırma hataları merkezi bir rol oynadı. Bu yanlış yapılandırma “haydut dalgaları” en büyük ve en gelişmiş bulut müşterilerinden bazılarını vurdu – yakın zamanda Twitch ve ondan önce Uber, Imperva ve Capital One. Tüm bu saldırılar, bulut sağlayıcı API kontrol düzlemlerine karşı karmaşık bir açıklardan yararlanma zincirini içeriyordu.
Güvenlik endişeleri artık bulutun benimsenmesi için bir engel değil, ancak mükemmel bir bulut riski fırtınası geldi. Bu mükemmel fırtınayı ve onun üç sürücüsünü inceleyelim ve içinde güvenle gezinmek için bir strateji oluşturalım.
1. Bulut Karmaşıklığı Artıyor
Başlıca bulut sağlayıcıları – özellikle Amazon Web Services (AWS), Microsoft Azure ve Google Cloud – yeni hizmetler sunmak için bir inovasyon yarışına kilitlendi. AWS tek başına 200’den fazla altyapı hizmeti sunar ve her biri benzersiz yapılandırma seçenekleri ve güvenlik hususlarıyla birlikte gelir. Ve stratejik seçim, satın almalar veya tesadüfen olsun, çoğu kuruluş artık bir çoklu bulut güvenlik stratejisi gerektiren bir çoklu bulut ayak izine sahip.
Tipik kurumsal bulut ortamı, birden çok bulut hesabını ve iş birimini kapsayan yüz binlerce birbiriyle ilişkili kaynak içerebilir. Her kullanım durumu farklı güvenlik gereksinimleri getirir ve yerel olduğu kadar küresel kurumsal güvenlik ve düzenleyici politikalara göre yönetilmelidir. Bu politikalar, manuel denetimler sırasında farklı insan yorumlarına tabidir.
Bulut sağlayıcıları daha fazla güvenlik aracı sunmaya devam ederken, bu yeterli değil. Bulut güvenliği uzmanı Scott Piper olarak koymak“[P]insanlar bulut ortamlarını istedikleri kadar iyi anlamıyor. … [T]yanlış yapılandırmaların çoğunun devreye girdiğini düşünüyorum.” Birçok kuruluş için seçim, hızlı hareket etmek ve ek riskler üstlenmek veya teslimatı yavaşlatmak ve dağıtımdan önce her şeyin güvenli ve uyumlu olduğunu onaylamaktır.
2. Bilgisayar Korsanları Artık Bulut Güvenliği Uzmanı
Bulut ortamları daha karmaşık hale geldikçe, bilgisayar korsanları hatalarımızdan yararlanma konusunda gerçekten başarılı oldular. Dağıtımdan birkaç dakika sonra bulut güvenlik açıklarını tespit etmek için interneti tarayan otomasyonu benimsediler.
Bilgisayar korsanları, ortamınıza girdikten sonra, herhangi bir ilk güvenlik açığının patlama yarıçapını genişletmek için – kendileri bir tür yanlış yapılandırma olan – bulut mimarisi kusurlarından nasıl yararlanacaklarını bilirler. Bu kusurlar genellikle kimlik ve erişim yönetimi (IAM) kaynaklarının çevre hakkında daha fazla şey keşfetmesine, yanlamasına hareket etmesine ve verileri çalmasına olanak tanır. Twitch ihlali başlangıçta yanlış yapılandırılmış bir sunucuyu içeriyordu, ancak saldırgan nihayetinde yalnızca Twitch için değil, aynı zamanda ebeveyni Amazon için müşteri verilerini ve hassas kaynak kodunu çalmak için bir dizi güvenlik açığından yararlandı.
Bulut API kontrol düzlemine yönelik bir saldırı başladığında, onu durdurmak için çok geç. Çoğu zaman, bulut müşterileri, verileri Dark Web’de (Twitch’in durumunda) görünene veya bilgisayar korsanı çevrimiçi olarak övünene kadar saldırıya uğradıklarının farkında değildir (Capital One ihlali). Bulut ekonomisti Corey Quinn’in de söylediği gibi Bulutta çığlık atmak podcast: “Öyleyse, ihlal tespiti için birincil yönteminiz nedir? Ve dürüstçe cevap, ‘New York Times’ın ön sayfası’dır.”
3. Bulut Mühendisliği Yeteneği Savaşı
Bulut mühendisliği yeteneğine olan talep patlama yapıyor ve bu da ücrete yansıyor. İşverenlere göre Wall Street Journal tarafından alıntılanan, “Bulut becerisine sahip kişiler genellikle iki veya üç güçlü teklif alıyorlar, çoğu zaman yüz binlerce dolarlık paketlerin yanı sıra hisse senedi seçenekleriyle.”
Bulutta faaliyet gösteren her şirket, halihazırda kendi ekiplerinde bulunanlar da dahil olmak üzere, bulut mühendisleri üzerinden teknoloji devleriyle rekabet ediyor. Bu şirketlerin çoğu, teknoloji devlerinin sahip olduğu derin ceplere ve çekici hisse senedi seçeneklerine sahip değil. Ve Gartner’ın Lydia Leong’u olarak söz konusu, “Bu sadece büyük bir teknoloji değil. Gezegendeki her SI ve MSP, her yerde teknik insanları kovalıyor.”
Fırtınada Yönlendirme Stratejileri
1. Ortamınız ve güvenlik durumunuz hakkında tam bir farkındalık oluşturun. Bulut ihlalleri, güvenlik ekiplerinin karmaşık bir bulut kaynağı grafiğindeki güvenlik açıklarını tespit etmek için ihtiyaç duydukları görünürlüğe sahip olmaması nedeniyle gerçekleşir. Yöneticiler, bulut ortamlarının tam yapılandırma durumunu ve güvenlik duruşunu ayrıntılandıran bir rapor istemeli ve güvenlik ekipleri istedikleri zaman bir rapor üretebilmelidir.
2. Güvenli mimari oluşturmaya ve yanlış yapılandırmayı önlemeye odaklanın. Bulut güvenliği bir mimari ve süreç sorunudur ve her yanlış yapılandırma, tasarım veya süreç hatasıdır. DevOps mühendislerine altyapılarındaki hataları kod olarak işaretleyen ve bunların nasıl düzeltileceğini açıklayan araçlar verin. Yanlış yapılandırma güvenlik açıklarının dağıtımını önlemek için CI/CD işlem hatlarınıza güvenlik korkulukları yerleştirin.
3. İlkeyi koda dayalı otomasyon olarak kullanarak ölçeklenebilir bulut güvenliği oluşturun. Kod olarak politika, birden fazla iş birimini ve bunların sayısız kullanım senaryosunu ve yerel politika gereksinimlerini, onları yavaşlatmadan etkili bir şekilde desteklemenin tek yoludur. Başlamak için iyi bir yer Açık İlke Aracısı, a Bulut Yerel Bilgi İşlem Vakfı T-Mobile, Goldman Sachs ve Netflix gibi büyük şirketler tarafından kullanılan proje.
Yazılım mühendislerinin güvenli bulut altyapısı geliştirmelerine yardımcı olan, dağıtımda yanlış yapılandırmayı önleyen ve kod olarak tutarlı ve ölçeklenebilir bir politika temeli üzerine inşa edilen bulut güvenliğine yönelik bütünsel bir yaklaşımla, kuruluşlar bulut kullanımlarını güvenli bir şekilde ölçeklendirebilir ve tehlikelerden uzak durabilir. aksi takdirde karmaşık kurumsal bulut müşterilerinin başına gelenler.