Bulut tabanlı hizmet olarak yazılım (SaaS) uygulamaları veya buluttaki kendi uygulamalarınız için güvenliği yönetmek, siber güvenlik ekiplerine farklı, daha karmaşık talepler getiriyor. Siber güvenlik becerileri yetersiz kalırken, hem bulut hem de şirket içi güvenlik becerilerine sahip kişilerin kullanılabilirliği, özellikle küçük ve orta ölçekli kuruluşlar için daha da kısıtlıdır.
Microsoft 365, Google Workspace, Salesforce, Slack, Box ve Zoom gibi popüler SaaS uygulamalarının yükselişiyle birlikte BT ekibinizin, kullandığınız her SaaS sağlayıcısında hangi güvenlik bileşenlerinden sorumlu olduğunuzu anlaması gerekiyor. Aynı durum kurumsal kaynak planlaması, İK ve diğer uygulamaları Amazon Web Services, Microsoft Azure ve Google Cloud Platform tarafından sağlanan bulut altyapısına taşıdığınızda da geçerlidir.
Bu neden önemli? Çünkü SaaS veya başka bir bulut ortamı, toplam saldırı yüzeyinizin bir parçası haline gelir ve bulut kaynaklarının yanlış yapılandırılması, veri sızıntısının önde gelen nedeni olmaya devam eder.
Paylaşılan Sorumluluğun Tanıtılması
Hem SaaS hem de altyapı sağlayıcıları olan bulut sağlayıcıları, güvenlik açısından nelerden sorumlu olduklarını çok net bir şekilde ortaya koydular. Göre İnternet Güvenliği Merkezi, bir SaaS sağlayıcısı fiziksel güvenlik, ana bilgisayar altyapısı güvenliği ve ağ denetimlerinden yalnızca sorumludur. Ancak uygulama düzeyinde kontroller, kimlik ve erişim yönetimi ve uç nokta koruması için sağlayıcı ve müşteri güvenlik sorumluluğunu paylaşır. İşte bu noktada kafa karışıklığı ve bulut güvenliği uzmanlığına duyulan ihtiyaç devreye giriyor.
Örneğin, görev açısından kritik olan Microsoft 365 SaaS uygulamalarının güvenliğini sağlamayı düşünün. Microsoft
sorumluluklarının nerede olduğunu yayınladı. Kullanıcı ve cihaz erişimini yapılandırmak size, yani müşteriye düşer; kullanıcı, uygulama ve veri davranışını izlemek; ve olaylara tepki verir. Bu, genel buluttaki verilerinize veya uygulamalarınıza erişen iş ortaklarının eylemlerini içerir.
Ayrıca, ister bulutta ister şirket içinde olsun, e-posta kullanıcılarınız insan hatasından kaynaklanan önde gelen bir risk kaynağı olmaya devam ediyor. Bilgisayarlarından, dizüstü bilgisayarlarından ve mobil cihazlarından yine de kötü amaçlı bir bağlantıya tıklayabilir veya bir ek açabilir ve bu uç noktaya kötü amaçlı yazılım bulaştırabilirler.
İşte bundan sonra olacaklarda bir değişim görüyoruz. Bilgisayar korsanları uç noktaya bir kez girdikten sonra, şirket içi kaynaklara nüfuz etmek için ağ üzerinde yanlara doğru dönmekle yetinmezler. Bunun yerine, verilerinize erişmek için uç noktadan buluta geçerler ve bu genellikle daha düşük bir meyvedir.
Bulutta İş Yüklerinin Güvenliğini Sağlama
COVID-19, geleneksel olarak şirket içi uygulamaların ve iş yüklerinin, depolama ve veritabanları gibi bulut kaynaklarının yapılandırmasının daha da karmaşık olabileceği bir hizmet olarak bulut altyapısına (IaaS) geçişini hızlandırdı.
Örneğin, sağlık hizmeti müşterilerimizden biri, öncelikle kendi HIPAA uyumlu veri merkezinde şirket içinde çalışıyordu. COVID-19 nedeniyle şirket, uygulayıcı işyeri ortamını PC’lerden ve dizüstü bilgisayarlardan evde hasta bakımı için kullanılabilecek tabletlere hızla geçirmek zorunda kaldı. Bu aynı zamanda verileri her yerden erişilebilir kılmak için buluta taşımak anlamına geliyordu. Bulut altyapısını ve depolamayı yapılandırmanın, şirket içinde sahip olmadığı beceriler gerektirdiğini ve potansiyel bir siber güvenlik ve uyumluluk açığı oluşturduğunu hemen fark etti.
Bu örnekte paylaşılan sorumluluk modelinde farklı olan nedir? Bulut sunucularında uygulamaları çalıştırmak ve verileri bulut depolamaya yerleştirmek için IaaS kullanan şirketler için, bulut sağlayıcısı yalnızca fiziksel ana bilgisayar, ağ ve veri merkezi güvenliğinden tamamen sorumludur. Diğer her şey sizin sorumluluğunuzdadır. Buna uygulama düzeyinde kontroller, kimlik ve erişim yönetimi, istemci ve uç nokta koruması ve veri sınıflandırması ve hesap verebilirlik dahildir. Windows Azure gibi hizmet olarak platform (PaaS) tekliflerinin sorumlulukları, IaaS ve SaaS arasında yer alır.
Bulut Güvenliği Becerilerini Edinme Seçenekleri
Birincil çıkarım, ister Microsoft 365 kullanıyor olun, ister Windows uygulamalarınızı Windows Azure üzerinde çalıştırıyor olun, ister kurumsal verileri bir bulut veri gölüne çoğaltıyor olun, ister yalın donanım sunucularda özel kurumsal uygulamalar çalıştırıyor olun, verilerinizin güvenliğinden siz sorumlusunuz. Dahası, buluttaki herhangi bir güvenlik ihlali, kalan şirket içi kaynaklarınızı riske atabilir.
Bulut teklifleri yeni olmasa da, bulut bilişim – ve özellikle bulut güvenliği – konusunda uzmanlaşmak zor. Sektör raporları, bulut güvenliği becerilerine yönelik talebin, uygulama güvenliği uzmanlığı talebinden sonra ikinci sırada olduğunu gösteriyor. Küçük ve orta ölçekli kuruluşlar da dahil olmak üzere her büyüklükteki işletme, iş yüklerini ve verileri şirket içi kaynaklardan uzaklaştırırken bulut güvenliğini ihmal edemez.
Bulut güvenliği becerileri yetersiz olsa da, şirketler mevcut kurum içi personeli eğiterek kendi becerilerini geliştirebilirler. Alternatif olarak, günümüzün oldukça rekabetçi maaş ve işe alım ortamında bulut uzmanlarını işe almakla karşı karşıya kalırlar. Şirketler, uzaktan çalışma düzenlemeleri sunarak, erişimlerini genişletebilir ve her yerden işe alabilir, bu da ihtiyaç duydukları kalifiye işçileri bulmayı kolaylaştırır.
Yaklaşımınız ne olursa olsun, bulut güvenliği duruşunuzu ve bulut siber güvenlik becerileri açığınızı değerlendirin. Veri güvenliğiniz buna bağlıdır.