Bulutun muazzam potansiyelini fark etmek, kuruluşların yenilik yapmasına ve dijital dönüşümlerden geçmesine olanak tanır. Son iki yıl, özellikle birçok işletmenin buluta geçiş yapmasıyla birlikte, sağlam siber güvenliğin sağlanmasının önemini göstermiştir. Bununla birlikte, bulutun önemli bir parçası, kuruluşların uygun kimlik yönetimini kullanmasını sağlamaktır. Bulutun benimsenmesinin artması, tehdit aktörlerinin tehlikeye atabileceği yeni insan ve hatta insan olmayan kimlikler seliyle sonuçlandı. Bunu ciddiye almayan şirketler, kendilerini bir ihlalin son kurbanları olarak görebilirler.
Pek çok işletme tarafından kullanılan popüler bir kimlik yönetimi platformu olan Okta’dan başkasına bakmamak gerekir. Bu yılın başlarında, Lapsus$ Suç örgütü, Okta’da bir süper kullanıcı hesabına sahip olduğunu iddia etti. İhlalin tam kapsamı henüz bilinmemekle birlikte, bu üst düzey kimlik bilgilerine sahip olmak, potansiyel olarak suç örgütünün erişimle ilgili mecazi “krallığın anahtarlarına” ve buna güvenen kullanıcıların verilerini elde etme becerisine sahip olduğu anlamına gelir. Okta platformu. Bir kimlik ve erişim yönetimi (IAM) sağlayıcısı, kimlik tabanlı bir saldırının kurbanı olduğunda, tehdit aktörlerinin çok sıkı oynadığını bilirsiniz.
Bununla birlikte, IAM yeni bir konu değildir ve öngörülebilir gelecekte kesinlikle daha önemli hale gelecektir. Cider Security’den bir rapor IAM’yi ikinci en büyük sorun olarak sıraladı sürekli entegrasyon/sürekli teslimat ortamlarında. Bu endişeler, hem bir kuruluş genelinde kimliklere verilen izinlerle hem de izinlerin zamanında kaldırılmasının sağlanmasıyla ilgilidir.
Bulutta Kimlikleri Yönetmenin Zorlukları
Bulutta kimlikleri yönetmek, faktörlerin bir araya gelmesi nedeniyle zordur. Genellikle bir bulut sağlayıcısının proje ve organizasyon kavramlarının yapısı, bir işletmenin kendisini nasıl yapılandırdığıyla iyi eşleşmez. Bu, işlerini yapmak için bulut içinde birden çok “kimliği” yönetmeye çalışan tek bir kurumsal kullanıcı gibi şeylere yol açabilir. Akış yönünde, bu, bulutta kimin neye erişimi olduğu konusunda gerçek bir görünürlüğe sahip olan çok az sayıda insanla sonuçlanır.
Bunun gibi sorunlar büyüdükçe, şirket çalışanları işe alıp ciro yaşadıkça daha da şiddetlenir. Ayrıca, şirket içinden buluta geçmek de benzer zorluklar yaratabilir. Kuruluşlar, kendi donanımlarıyla kendileri için çalışan bir şekilde yıllarca çalışırlar ve ardından buluta geçtiklerinde, bu eski çalışma şeklini bulut sağlayıcının yapılarına uyarlamaları gerekir.
Yanlış Yönetilen Kimliklerin Sonuçları
Güvenlik açısından bakıldığında, bulutta kimliklerin düzgün bir şekilde yönetilememesi, kuruluşların altyapılarında kimin ne yapabileceği konusunda komuta ve kontrol eksikliğine yol açar. Ayrıca, bu kimlikler için kimlikler veya izinlerle ilgili bir sorun olduğunda fark etmeyi çok zorlaştırır.
Güvenlik dışı bir bakış açısından, kötü yönetilen kimlikler, bir kuruluşun süreçlerinde sürtüşmeye ve ardından istenmeyen sonuçlara yol açabilir. Bu sonuçlar, birden fazla kimlik kullanarak bulut varlıklarına giriş yapmak zorunda olan çalışanları veya sürekli olarak en başından beri sahip olmaları gereken yeni izinleri talep etmeleri gerektiğini bulan çalışanları içerebilir. Sonuç olarak, bu bir işletmenin süreçlerini yavaşlatır.
İki Yaygın IAM Yanlış Adımı
Müşteriler, kimlik yönetimi söz konusu olduğunda düzenli olarak bulut tabanlı çözümler oluşturmada başarısız oluyorlar. Sonuç olarak, kimlik sahipleri tarafından erişilen bulut kaynakları, bir kişi, bir makine veya bir köpek olmanızın umurunda değildir. Doğru kimlik bilgileriniz varsa, kimliğiniz doğrulanır ve yetkilendirilirsiniz. Onlar farkına varmadan, görev açısından kritik bir hizmet 7/24/365 çalışıyor ve bu hizmetin önemli bir parçası, bir insan çalışanın kimliği aracılığıyla diğer kritik hizmetlerle konuşuyor. Bu çalışan ayrıldığında ne olur? Hizmetlerin sürekliliğini sağlamak, kuruluşlar ve bulutta kimlik ve erişim yönetimi için zorunludur.
Başka bir potansiyel tuzak, kullanıcıların kimlik bilgilerini paylaşmasıyla ortaya çıkar. Kimsenin bulut kaynaklarına gerçekten kimin eriştiğini tam olarak takip etme yeteneği olmadan bu anahtarın kullanılması uzun sürmez. Bu sorumluluk eksikliği, işletmeler için güvenlik endişeleri de dahil olmak üzere büyük sorunlara yol açabilir.
Kuruluşlar Güvenlik Endişelerini Nasıl Azaltabilir?
Her şeyden önce, kimlik yönetimini, işinizi bulutta kurarken daha sonra çözeceğiniz bir şey değil, birinci öncelikli bir sorun olarak ele alın. Kimliklerin yalnızca ihtiyaç duyduklarına erişebildiği en az ayrıcalık ilkesini sağlamaya yönelik kimlik yönetimi konusunda kendi iyi tanımlanmış politikalarınızı oluşturun.
Bulut sağlayıcılarının araçlarının işinizi nasıl yürüteceğinizi belirlemesine izin vermeyin. İşletmenizin sürücü koltuğunda olmasını sağlamanın harika bir yolu, bulutu iyi bilen ve bilen kişiler bulmaktır. Bunu en iyi bilenlerden dışarıdan yardım getirmek, onu yalnızca bunu yapmak için en nitelikli kişilerin eline vermekle kalmaz, aynı zamanda sizin radarınızda bile olmayan yaygın IAM sorunlarını hafifletmeye yardımcı olabilir. Ek olarak, bulut altyapınız için kuruluş çapında görünürlük elde etmek önemlidir. Bulut altyapınıza ilişkin bu değerli içgörü, yalnızca IAM için değil, uyumluluk ve finansal yönetim için de sayısız fayda sağlar.