Daha fazla kuruluş, hibrit ve uzak modellerde çalışan dağıtılmış ekipleri desteklemek için dijital dönüşüm çabalarının bir parçası olarak çoklu bulut yaklaşımını benimsiyor. Ve hibrit çalışma ortamları kalıcı olmaya devam ederken, çoklu bulut yaklaşımı da yerini aldı. Gartner, küresel bulut gelirinin ulaşacağını tahmin ediyor 2022’de 474 milyar dolarile birlikte işletmelerin %90’ı zaten bir çoklu bulut stratejisi için çalışıyor.
Doğru bir şekilde kullanıldığında, bir çoklu bulut stratejisi birçok süreci daha verimli hale getirebilir. Ayrıca, kesintilere karşı daha fazla esneklik ve tek bulut stratejisinden daha fazla satıcı esnekliği sunar. Ek avantajlar şunları içerir:
- Tek bir bulut sağlayıcıyla satıcıya bağlı kalmaktan kaçınma. Küresel bir ayak izine ve özel verilere sahip bir kuruluş, işine en az etkisi olan veri merkezinin konumunu seçebilir. Örneğin, Microsoft Azure şu anda veri merkezi konumu açısından Orta Doğu’da lider konumdadır.
- Google Cloud’daki benzersiz veritabanı çözümleri veya Microsoft Azure’da şirket içi ve bulut kaynaklarınızı çok daha sorunsuz bir şekilde yönetme yeteneği gibi her bulut satıcısı tarafından sunulan ayırt edici özelliklerden yararlanma yeteneği.
- Belirli bir satıcı aracılığıyla daha düşük maliyetli belirli hizmetler ve hizmet kesintilerine karşı koruma ile daha iyi maliyetler ve iş esnekliği. Her ikisi de, hizmetlerinizi avantajlardan yararlanacak şekilde tasarlamayı gerektirir, ancak bir kez kurulduktan sonra, kuruluşunuz yatırımını iki ila üç yıl içinde geri alabilir ve bu da uzun vadeli maliyet tasarrufu sağlar.
Ancak bu avantajların bir bedeli vardır. Farklı ortamlar birden fazla sağlayıcı tarafından barındırıldığında, verilerin ve bulut altyapısının güvenli olmasını ve yükümlülüklerinize ve kontrollerinize uygun olmasını sağlamak zor olabilir. Bu ortamlardaki veriler, yapılandırma ve güvenlik hakkında birleşik bir hikaye anlatmak neredeyse imkansız olabilir.
kucaklayan CISO’lar çoklu bulut veri yaklaşımı iki ana güvenlik sorununa odaklanmalıdır: tedarikçilerin ve farklı bulut işletim modellerinin oluşturduğu riskleri yönetmek ve çoklu bulut dünyasında artan maliyetler karşısında güvenlik kontrollerinin ve stratejilerinin değerini göstermek.
Bulutlar Arasında Riski Yönetme
Siber saldırıların etkisi ve sıklığı, çoklu bulut stratejilerine artan odaklanmaya paralel olarak büyüdü. Fidye yazılımı saldırıları, veri ihlalleri ve büyük BT kesintileri Allianz Risk Barometresi Bu yıl anket tarihinde yalnızca ikinci kez, yöneticiler bunları tedarik zinciri kesintileri, doğal afetler ve pandemiden daha endişe verici olarak sıraladı. Şirketler endişe göstermekte haklılar: Dünya çapında deneyimli kuruluşlar %50 daha fazla haftalık siber saldırı 2021’de, 2020’ye kıyasla.
İş dünyası liderleri, siber saldırıların önemini anlıyor, ancak çoğu, satıcı ortaklarının oluşturduğu riskler hakkında yeterince bilgi sahibi değil. PwC’de “2022 Global Digital Trust Insights Anketi“İş liderlerinin %57’si bulut hizmetlerine yönelik saldırılarda bir sıçrama beklediklerini söyledi, ancak yalnızca %37’si bulut risklerini anladıklarını söyledi. Yaklaşım ve güvenlik işletim modelleri bulut sağlayıcıları arasında farklılık gösterir ve riske karşı koruma, yalnızca paylaşılan bir sorumluluktur. kimlik ve erişim yönetimi (IAM) veya sanallaştırılmış sunucular gibi farklı yaklaşımlar kullanan ortak bulut hizmetleri ekledikçe daha karmaşık hale gelir.
Örneğin, farklı bulut satıcılarının rol tabanlı erişim için kendi yaklaşımları vardır. Amazon Web Services, IAM ilkelerini doğrudan bir sanal sunucuya ekleyerek, sunucuya eylem gerçekleştirme yeteneği vererek kimliği işler. Buna karşılık Google Cloud’un teklifi, hizmet hesapları (kullanıcılar) oluşturmaya ve ardından başka bir kaynakla etkileşim kurabilmesi için bu hesapları sunucuya eklemeye odaklanır. Bu küçük farklılıklar, kurumsal ölçekte toplanır ve her iki bulutta da en az ayrıcalık ve diğer güvenlik gereksinimlerini sağlamak için güvenlik karmaşıklığını artırır.
Bulut hizmetleri rakipleriyle entegre olacak şekilde tasarlanmadığından, her bir bulut sağlayıcısı için güvenlik araçlarının nasıl kullanılacağını öğrenmek sadece bir başlangıçtır. BT ekiplerinin, bulut hizmetlerinin birlikte çalışabilirliğini artırmak için diğer üçüncü taraf araçlarla birlikte bir güvenlik bilgisi olay yönetimi (SIEM) aracıyla güvenlik izlemesini merkezileştirmesi gerekecek. Bu eklenen sistemler, her bulut platformunda uzmanlık sağlamak için ek eğitim ve kaynaklar ve hatta belki de ek BT personeli gerektirir. ve bu platformların birlikte nasıl çalıştığı.
Hizmetleri arasındaki bu yerleşik farklılıklara ek olarak, çoğu bulut satıcısı kendi özel olarak uyarlanmış güvenlik tekliflerine öncelik verir. Bu, bulut güvenliğini rahatsız eden bir dizi komplikasyona yol açar. Bir örnek olarak, ağınızı korumak için bir bulut Web uygulaması güvenlik duvarı (WAF) kullanılabilir, ancak yalnızca belirli bir bulut hizmeti sağlayıcısıyla çalışır ve birden çok bulut teklifi arasında genişletilemez. Bu işlevleri farklı sağlayıcılar için çoğaltmak, bu önemli güvenlik araçlarını desteklemek ve yönetmek için ekipleri çoğaltmayı veya karışıma başka bir satıcıyı ekleyen buluttan bağımsız bir hizmet satın almayı gerektirir.
Genellikle bir çoklu bulut modelinin devreye alınmasının sonlarına kadar keşfedilmeyen bu ek risk ve maliyet, zaman çizelgelerini zorlayabilir, maliyeti artırabilir ve denetim bulgularını tetikleyebilir. Bu risklerin planlanmaması ve hafifletilmemesi, bir şirketi finansal kayıplara, düzenleyici işlemlere, davalara ve itibarın zarar görmesine açık hale getirebilir.
Risk Ölçme ile Değer İletişimi
Gartner, 2023 yılına kadar, CISO’ların etkinliğinin %30’u değer gösterme yeteneklerine bağlı olacaktır. Çoklu bulut veri stratejileri norm haline geldikçe ve bu strateji dahilindeki güvenlik kontrollerinin maliyeti arttıkça, risk niceleme, liderlerin çoklu bulut risk duruşunu net parasal değerlerle ifade ederek değerlerini tutarlı bir şekilde iletmelerine yardımcı olabilir.
PwC’ye göre, veri güveni sonuçlarında en önemli gelişmeyi bildiren kuruluşların iki ortak noktası vardı: Siber güvenlik harcamalarında bir artış öngördüler ve risk ölçümü de dahil olmak üzere operasyonel modellerine iş zekası ve veri analitiğini dahil ettiler.
Bir çoklu bulut stratejisinin finansal risklerini değerlendirmek için CISO’lar, algılanan risklerine karşı tartılan her bir platformun maliyetlerini hesaba katmalıdır. Bu hususlar, düşündüğünüz tüm bulut sağlayıcılarının veri yönetimi ve siber güvenlik uygulamalarının yanı sıra ortak izleme için kullanacağınız buluttan bağımsız araçlar ve platformları içermelidir.
Bu kadar çok faktör söz konusu olduğunda, “düşük, orta, yüksek” ve “kırmızı, sarı, yeşil” gibi kesin olmayan, içgüdüsel ölçüm ölçeklerine güvenmeyi göze alamazsınız. Risk verilerini finansal terimlerle ifade etmek güçlü bir araçtır çünkü değişen risk önceliklerini iletmek, CISO’lar ve yönetim kurulu arasındaki uyumu iyileştirmek ve daha bilinçli risk yönetimi kararlarını kolaylaştırmak için ortak bir dil sunar.
İşte bir örnek: Bir CISO, çoklu bulut mimarisinin çeşitli riskleriyle ilişkili finansal değeri inceliyor. Bir siber güvenlik olayını hafifletmeye yönelik taktikleri karşılaştırarak, idari ayrıcalıklar üzerindeki daha iyi kontrollerin, olayın finansal maliyetini bir siber güvenlik eğitim programı uygulamaktan çok daha fazla azalttığını buldular. CISO, çoklu bulut mimarisi içindeki siber riskin teknik ayrıntılarını anlarken, C-suite’in geri kalanı, her bir risk ve azaltma taktiğiyle ilişkili parasal değerlerin netliğinden faydalanacaktır. CISO’ların durumlarını meslektaşlarına ve yönetim kuruluna sunmalarını sağlayarak, risk niceleme, bir çoklu bulut stratejisinin birçok hareketli parçasına daha fazla şeffaflık getirir.
Gartner’a göre, 2025 yılına kadar kuruluşların %85’inden fazlası bulut öncelikli olarak işlev görecek ve bulutta yerel teknolojileri kullanmadan dijital stratejilerini tam olarak gerçekleştiremeyecekler. Bir Gartner lideri bunu şöyle ifade etti: “Bulut stratejisi olmadan iş stratejisi olmaz.”
İş liderlerinin, verilerini korumak ve çoklu bulut önceliklerini iletmek için stratejiler izlemesi, kuruluş genelinde ortak bir değer diliyle uyum sağlaması zorunludur.