Bulut benimseme atlamalı olabilir, ancak birçok kuruluş hala bu hizmetlerle güvenlik risklerini nasıl belirleyip yönetecekleriyle boğuşuyor.
Cloud Security Alliance (CSA) ve Google Cloud tarafından yürütülen yeni bir araştırma, bulutun ideal olarak kuruluşlar için güvenliği artırmaya yardımcı olabileceğini, ancak birçoğunun henüz bulutta risk yönetimini ustaca ele almadığının altını çiziyor. CSA CEO’su Jim Reavis, “Kuruluşlar, bulutla daha güvenli bir ortama sahip olma yeteneklerinden agresif bir şekilde yararlanmıyor” diyor. “Riskleri izleme ve yönetme konusunda proaktif değiller.”
İlginçtir ki, pek çok kuruluş bulutu benimseme kapsamını tam olarak bilmiyor olabilir. %51’i iş yüklerinin %41’ini artık genel bulutta çalıştırdıklarını söylüyor, ancak çoğunun (%85) bunu ölçmek için bulut keşif araçlarını kullanmadığı, bunun yerine kullanımlarını manuel yöntemlerle tahmin ettiği ortaya çıktı. Bulut iş yüklerini eşlemek için bulut erişim güvenlik komisyoncusu veya CASB (%15) gibi keşif araçlarını kullananlar, manuel değerlendirme yapanlara göre %31 daha fazla bulut kullanımı bildirdiler – bu, manuel izlemeye güvenen çoğu kuruluşun bilmediği bir ipucu. araştırmaya göre, bulut hizmetlerinde nelerin çalıştığına dair eksiksiz bir envantere sahipler.
“Bilmediğin şeylerin riskini yönetemezsin. Temel şeyler, bulut varlıklarınızı güncel tutmazsanız ve bulut kullanımınızda boşluklar varsa, ihlallere veya veri ifşasına, sızmaya veya fidye yazılımı saldırısına yol açar, ”diye belirtiyor Reavis. Ancak bulut, varlıkları yönetmek için geleneksel BT ağlarından daha iyi bir yol sunuyor.
“Orada araçlar var” ve bulut varlıklarını algılamanın ve güvence altına almanın otomatik yolları var, diyor.
Çalışma, bulutun benimsenmesinde önemli bir artış olduğunu doğruladı. Kuruluşlar tarafından kullanılan ortalama hizmet olarak yazılım (SaaS), hizmet olarak platform (PaaS) ve hizmet olarak altyapı (IaaS) sayısı 2020’de 38’den 147’ye yükseldi. Kuruluşların yüzdesi 100 veya daha az hizmetleri olduğunu söylüyor; %32, 101’den 999’a; ve %3, 1.000 veya daha fazla hizmet.
Çalışmaya göre en yaygın kullanılan IaaS bulut platformu Azure (%70), ardından AWS (%65) ve ardından %24 ile Google Cloud geliyor.
“Görüştüğümüz şirketler, önümüzdeki 12 ay içinde buluttaki iş yüklerini artırmayı planlıyor. İşletmelerin buluta üretim eklemeye ve daha fazla bulut hizmeti kullanmaya devam etmesiyle birlikte, bulut ve dijital varlıkları yönetmek, buluttaki riskin yönetimi ve ölçümünde kritik hale gelecektir.”
Çalışmanın amacı, kuruluşların genel bulut hizmetlerinde risk yönetimine ilişkin zorluklarını ölçmekti ve Google ile CSA, 2021’de 600 BT ve güvenlik uzmanıyla anket verilerinin yanı sıra görüşmeleri de topladı.
buluttan kaçış
Reavis, bulutun BT operasyonları için daha yaygın hale gelirken, bulutta veri ihlallerinde bir korelasyon veya artış olmadığını belirtiyor.
Google Cloud CISO’su Phil Venables, bugüne kadar buluttaki neredeyse tüm kamuya açıklanmış ihlallerin siber saldırılardan değil yanlış yapılandırmalardan kaynaklandığını söylüyor. “Geliştirme sürecinin başlarında yanlış yapılandırma ve uyum ihlalleri riskini önlemek ve ele almak için güvenlik liderleri, kod olarak güvenlik DevOps’un hızına ve çevikliğine ulaşmak, riski azaltmak ve bulutta daha güvenli bir şekilde değer yaratmak için” diyor Venables.
Google, yanlış yapılandırmalardan ve Kod Olarak Risk ve Uyumluluk (RCaC), Güvenli Temeller kılavuzu, Bulut Mimarisi Merkezi gibi diğer bulut hatalarından kaçınmaya yardımcı olmak için müşterilerine bir dizi plan sunar. “Taslaklar, müşterilerimizin bulut ortamlarını güvenli ve uyumlu bir şekilde hızla yapılandırmasına yardımcı oluyor” diyor. “Sonuçta bu güvenli hijyen düzeyi, yanlış yapılandırmaların bir güvenlik riski veya saldırganların bulut iş yüklerine giriş noktası haline gelmesini önlemeye yardımcı oluyor.”
Rapora göre, araştırmadaki kuruluşların yaklaşık %70’i, riskleri bulut varlıklarıyla eşleştirmek için sağlam süreçlere sahip olmadıklarını söylüyor. Küçük bir yüzde – %4 – bulutta “son derece etkili” risk yönetimine sahip olduklarını bildiriyor. %20’den biraz fazlası bulut veri sınıflandırma araçlarını kullanıyor.
Bu arada, buluttaki uygulamalarla ilgili temel güvenlik endişeleri arasında hassas verilerin kaybı (%64), yanlış yapılandırma ve güvenlik ayarları (%51) ve yetkisiz erişim (%51) yer alıyor.