Karmaşık sistemlerin güvenliğini sağlamak zordur. Bilgi işlem ortamlarının karmaşıklığı arttıkça, zamanla daha az güvenli ve daha savunmasız hale gelirler. Bu makalede, güvenliğin karmaşıklıkla nasıl bağlantılı olduğunu, bulut bilişim ortamlarının artan karmaşıklığının neden kaçınılmaz olduğunu ve yaygın başa çıkma stratejilerinin tuzaklarını göstereceğim.
İlk olarak, karmaşıklık büyümesinin neden kaçınılmaz olduğunu keşfedelim. İşte sabırsızlar için bir ipucu: Her şey ölçekle ilgili.
Dünyanın Bilgi İşlemini Ölçeklendirmek
Dünyanın bilgi işlem sistemlerini ölçeklendirmenin zorluklarını daha iyi anlamak için, bilgi işlemin makinelerin (donanım), uygulamaların (yazılım) ve insanların (insan yazılımlarının) bir işbirliği olduğunu ve bunların hepsinin karmaşıklığı artırdığını unutmamalıyız.
Donanımla başlayalım. Modern bilgi işlem ortamları büyüktür ve sürekli olarak büyümektedir. Az sayıda çalışanı bile olan kuruluşlar genellikle çeşitli form faktörlerinde (bulut, şirket içi veri merkezleri, yönetilen barındırma, akıllı cihazlar, kendi kendine giden araçlar vb.) gelen binlerce sunucu filosuna komuta eder. Karmaşıklığı daha da ileri götüren şey, bulut ortamlarının esnek olmasıdır; donanım yönetimi daha karmaşık hale geldikçe, güvenlik de öyle.
Ölçekleme yazılımına ne dersiniz? Teknoloji yığını büyüdükçe, bulutta yerel bir uygulama devreye alınmadan önce tipik bir bulut bilişim ortamında yapılandırılması gereken teknolojilerin listesi de büyür. Ve işte korkutucu gerçek: Her yazılım katmanı, kendi şifreli bağlantı, istemci kimlik doğrulaması, yetkilendirme ve denetim uygulamasıyla birlikte gelir ve DevOps ekiplerine bu güvenli uzaktan erişim sütunlarını düzgün bir şekilde kurmaları için baskı yapar.
Ve son olarak, “insan yazılımı” kendi ölçekleme sancılarıyla birlikte gelir. Şirketler uzaktan çalışmayı benimsedikçe, çalışanların bilgisayarlarını kontrol etme veya bir ağ çevresine güvenme fikri daha az uygulanabilir hale geliyor. Ayrıca, teknik yetenek sıkıntısı yoğunlaştıkça şirketler, ekiplerinde yeterli güvenlik uzmanlığına sahip olmadan çalışmak zorunda kalıyor.
Ama geri dönüş yok. Donanım, yazılım ve insan yazılımı karmaşıklığı büyümeye devam edecek ve sonuçta bilgi işlem ortamlarını daha savunmasız hale getirecek.
Ortak Başa Çıkma Stratejileri
Kuruluşlar şu anda ortaya çıkan güvenlik zorluklarını nasıl ele alıyor? Ne yazık ki çoğu, her bir teknoloji katmanını güvence altına alamıyor. En yaygın başa çıkma stratejilerinden bazıları şunlardır:
- Çevreye güven: Operasyonel ek yükü azaltmaya yönelik bu popüler strateji, VPN gibi çözümler kullanarak yalnızca ağ sınırlarının güvenliğini sağlamaya dayanır. Dezavantajı ise, çevre bir kez ihlal edildiğinde, saldırganların yanal olarak hareket edebilmesi ve bir ihlalin “patlama yarıçapını” artırabilmesidir.
- Paylaşılan kimlik bilgilerinin kullanımı: Bu, güvenli erişim paylaşılan takma adlara dayandığından ve paylaşılan kimlik bilgilerini depolamak için güvenli kasalar kullandığından, kuruluşların mühendislik ekiplerini çok fazla ek yük olmadan büyütmelerine olanak tanır. Ancak, bu kimlik bilgilerinin yönetilmesi gerekir; çalınabilir veya eski çalışanlar tarafından erişilebilir. Konuyla ilgili örnek: Bir 1000 DevOps, BT ve güvenlik uzmanıyla ilgili son çalışma, Ankete katılanların %83’ü, eski çalışanların artık altyapılarına erişemeyeceklerini garanti edemeyeceklerini söyledi.
- Geçmiş olsun bürokrasi: Başka hiçbir şey işe yaramadığında, manuel süreçlerin uygulanması karmaşıklıkla başa çıkmanın başka bir yöntemi olarak hizmet eder. Şaşırtıcı olmayan bir şekilde, bu, mühendislik üretkenliğini olumsuz etkileyebilir ve çalışanları işten ayrılmaya yönlendirebilir, işveren altyapısına kişisel arka kapıların oluşturulmasını davet etmekten bahsetmiyorum bile.
Bu stratejilerin hiçbiri, denetim amaçları için yeterli düzeyde ayrıntı sağlamaz. Örneğin, erişim “dba” adlı bir kullanıcı tarafından bir VPN aracılığıyla gerçekleştirildiyse, SQL tablosunu kimin düşürdüğünü söylemek imkansız hale gelir. Bildirilen siber olayların artan sıklığına dayanarak, bu yaklaşımların altyapının operasyonel yükünü en aza indirmek için mücadele ettiği açıktır.
Sıfır Güven
Siber güvenlik topluluğu sorunun farkında. Ve bu sorunlar için endüstri reçetesi sıfır güven haline geldi. Sıfır güven gerçek bir çözüm değil, mimari bir kalıptır. Her bilgi işlem kaynağının, ister dahili ister harici ağda olsun, tüm istemcilere eşit şekilde güvenmemesi gerektiğini varsayar. Esasen sıfır güven, güvenliğe çevre tabanlı, ağ merkezli yaklaşımların modası geçmiş olduğunu beyan eder ve her sunucunun İnternet’e açıkmış gibi yapılandırılmasını gerektirir.
Bulutta yerel ortamlar üzerine kurulu kuruluşlar, kimlik tabanlı erişime doğru ilerliyor. Bu ayarda, her çalışanın kendisi gibi bir bilgi işlem kaynağında kimlik doğrulaması yapması gerekir. Sıfır güven ilkesiyle birleştirildiğinde, güvenliği ihlal edilmiş bir hesabın “patlama yarıçapı” tek bir kullanıcı ve kaynağa indirgenir.
Donanımın, yazılımın ve insanların ölçeklenmesi, sürekli büyüyen bir karmaşıklık sorunu yaratarak bilgi işlem ortamlarını daha az güvenli hale getirdi. Bununla mücadele etmek için endüstri, kimlik tabanlı kimlik doğrulamanın çevre tabanlı, ağ merkezli erişim çözümlerine olan ihtiyacı ortadan kaldırabilmesi için tüm uzaktan erişim protokollerinin tek bir çözüm şemsiyesi altında birleştirilmesine öncelik vermelidir. Bu girişimleri yeterince hızlı bir şekilde uygularsak, hükümetin müdahalesi gerekli olmayabilir.