Bulut daha fazla uygulama, veri ve iş sürecini kapsayacak şekilde genişledikçe, son kullanıcılar da güvenliklerini satıcılara yaptırabilir.
Bir sektör araştırmasına göre, birçok şirket güvenliğin kontrolünü ele alma ihtiyacı hissediyor ve nihai sorumluluğu bulut hizmeti sağlayıcılarına devretmiyor. 241 sektör uzmanıyla yaptığı anketi yayınlayan Bulut Güvenlik İttifakı, 11 bulut güvenlik sorunu.
Anketin yazarları, bu yılın en acil sorunlarının çoğunun, güvenlik yükünü hizmet sağlayıcılardan ziyade kurumsal son kullanıcılara yüklemek olduğuna dikkat çekiyor. “Bulut hizmeti sağlayıcılarının sorumluluğu altındaki geleneksel bulut güvenliği sorunlarının sıralamasında bir düşüş olduğunu fark ettik. Bir önceki “Treacherous 12” raporunda yer alan hizmet reddi, paylaşılan teknoloji güvenlik açıkları, veri kaybı ve bulut sağlayıcı sistem güvenlik açıkları gibi sorunlar o kadar düşük derecelendirildi ki bu raporun dışında bırakıldı. Bu eksiklikler, bulut hizmeti sağlayıcısının sorumluluğunda olan geleneksel güvenlik sorunlarının daha az endişe verici göründüğünü göstermektedir. Bunun yerine, teknoloji yığınının daha yukarısında yer alan ve yönetim tarafından alınan kararların sonucu olan güvenlik sorunlarına daha fazla ihtiyaç duyulduğunu görüyoruz. »
Bu sonuçlar başka Forbes Insights ve VMware’den yeni anketBu, proaktif şirketlerin, güvenliği bulut hizmeti sağlayıcılarına devretme cazibesine direndiğini ortaya koyuyor – yöneticilerin yalnızca %31’i, birçok güvenlik önlemini bulut hizmeti sağlayıcılarına emanet ettiklerini söylüyor. Yine de %94’ü güvenliğin bir yönü için bulut hizmetlerini kullanıyor.
2022’deki ana endişeler
Cloud Security Alliance’ın en son raporu, bu yılın en önemli endişelerini vurguluyor:
- Veri ihlalleri. Raporun yazarları, “Veriler, siber saldırıların ana hedefi haline geliyor” diyor. “Verinin iş değerini ve kaybının etkisini tanımlamak, verilere sahip olan veya veri işleyen kuruluşlar için kritik öneme sahiptir. Ayrıca, “veri koruması, ona kimin erişimi olduğu sorusuna doğru evriliyor” diyorlar. “Şifreleme teknikleri verilerin korunmasına yardımcı olabilir, ancak uygulamaları daha az kullanıcı dostu hale getirirken sistem performansını olumsuz etkiler. »
- Kötü yapılandırma ve yetersiz değişiklik kontrolü. “Bulut tabanlı kaynaklar çok karmaşık ve dinamik, bu da onları yapılandırmayı zorlaştırıyor. Geleneksel kontroller ve değişiklik yönetimi yaklaşımları bulutta etkili değildir. Yazarlara göre, “İşletmeler otomasyonu benimsemeli ve yanlış yapılandırılmış kaynakları sürekli olarak analiz eden ve sorunları gerçek zamanlı olarak düzelten teknolojiler kullanmalıdır.”
- Bulut güvenliği mimarisi ve stratejisi eksikliği. “Güvenlik mimarisinin iş hedefleri ve hedefleriyle uyumlu olduğundan emin olun. Bir güvenlik mimarisi çerçevesi geliştirin ve uygulayın. »
- Kimlikler, kimlik bilgileri, erişim ve anahtarların yetersiz yönetimi. “İki faktörlü kimlik doğrulama ve kök hesapların sınırlı kullanımı dahil olmak üzere güvenli hesaplar. Kullanıcılar ve bulut kimlikleri için en katı kimlik ve erişim denetimlerini uygulayın. »
- Hesap ele geçirme. Bu ciddiye alınması gereken bir tehdittir. Derinlemesine savunma ve IAM kontrolleri [Identity and Access Management, NDLR] hesap hırsızlığını azaltmak için kritik öneme sahiptir. »
- İç tehdit. “İçeriden gelen ihmali en aza indirmek için adımlar atmak, içeriden gelen tehditlerin sonuçlarını hafifletmeye yardımcı olabilir. Güvenlik ekiplerinizi, bilgisayar sistemlerinizi, ağlarınızı, mobil cihazlarınızı ve yedekleme cihazlarınızı düzgün şekilde kurabilmeleri, yapılandırabilmeleri ve izleyebilmeleri için eğitin. Yazarlar ayrıca “çalışanları eğitim konusunda düzenli olarak eğitmeyi” tavsiye ediyor. Çalışanlarınıza, dizüstü bilgisayarlarda ve mobil cihazlarda şirket dışına taşıdıkları kurumsal verileri kimlik avı ve koruma gibi güvenlik risklerini nasıl yönetecekleri konusunda eğitmek için eğitim verin” .
- Güvenli olmayan arayüzler ve API’ler. “İyi API hijyeni uygulayın. En iyi uygulamalar, envanter, test etme, denetleme ve anormal faaliyetlere karşı koruma önlemleri gibi şeylerin özenle izlenmesini içerir. Ek olarak, “standart ve açık API çerçevelerini (örneğin, Açık Bulut Bilgi İşlem Arayüzü (OCCI) ve Bulut Altyapı Yönetim Arayüzü (CIMI)) kullanmayı düşünün”.
- Zayıf kontrol düzlemi. “Bulut müşterisi gereken özeni göstermeli ve kullanmayı düşündüğü bulut hizmetinin yeterli bir kontrol düzlemine sahip olup olmadığını belirlemelidir. »
- Üstyapı ve uygulama yapısı hataları. “Bulut hizmeti sağlayıcılarının, bulutun kiracılar için doğal şeffaflık eksikliğini gidermek için görünürlük sağlaması ve azaltıcı etkenleri ortaya çıkarması gerekiyor. Tüm satıcılar penetrasyon testi yapmalı ve sonuçları müşterilere sağlamalıdır. »
- Sınırlı bulut kullanımı görünürlüğü. “Risk azaltma, kapsamlı bir yukarıdan aşağıya bulut görünürlük çabası geliştirmekle başlar. Kabul edilen bulut kullanım ilkeleri ve bunların uygulanması konusunda şirket çapında eğitim uygulayın. Onaylanmayan tüm bulut hizmetleri, bulut güvenliği mimarı veya üçüncü taraf risk yönetimi tarafından gözden geçirilmeli ve onaylanmalıdır. »
- Bulut hizmetlerinin kötüye kullanılması ve kötüye kullanılması. “Geleneksel mekanizmalar bulut hizmetlerinin kullanımının yol açtığı riskleri azaltamadığından, şirketlerin çalışanlarını bulutta izlemesi gerekiyor. »
Kaynak: ZDNet.com