ben yürürken için bu hafta devasa Boston Kongre Merkezi’nin salonları AWS yeniden: Zorlamabölümün yıllık güvenlik etkinliğinde birkaç satıcıyla konuştum ve bir tema açıktı: Bulut güvenliği gerçekten paylaşılan bir sorumluluktur.
Bu fikir bir süredir ortalıkta dolaşıyordu, ancak özellikle bu hafta çeşitli AWS güvenlik yöneticilerinin etkinlik açılış konuşmasında ve hafta boyunca yaptığım sonraki konuşmalarda bu konu hakkında konuşmalarını dinlediğimde isabetli oldu.
Çok yüksek bir düzeyde, bulut satıcısı güvenlik için birinci düzeyde sorumluluğa sahiptir. Çalıştığı veri merkezlerinin kendi kontrolünde olduğu ölçüde güvenli olduğundan emin olmalıdır. Yine de bir noktada şirket ve müşteri arasında gri bir alan var. Elbette, satıcı veri merkezini güvence altına alabilir, ancak nedeni ne olursa olsun müşteriyi bir S3 paketini açıkta bırakmaktan kurtaramaz.
Güvenlik o kadar karmaşık bir girişimdir ki, özellikle herhangi bir düzeydeki kullanıcı hatası bir sistemi akıllı bilgisayar korsanlarına karşı savunmasız bırakabiliyorsa, hiç kimse bir sistemi güvende tutmaktan sorumlu olamaz. Müşteriler ve ilgili üçüncü taraflar ile organizasyonun her seviyesinde iletişim kanalları olmalıdır.
Log4J güvenlik açığı veya Solarwinds istismarı gibi harici bir olay tüm topluluğu etkilediğinde, bu tek bir satıcının sorunu değildir. Bu herkesin sorunu.
Buradaki fikir, sorunlar ortaya çıktığında herkesin iletişim kurması, en iyi uygulamaları paylaşması ve güvenlik olaylarını önlemek veya azaltmak için mümkün olduğu ölçüde bir topluluk olarak bir araya gelmesi gerektiğidir.