Amazon Web Services CISO CJ Moses geçen hafta AWS re:Invent 2022 konferansında bulut tehditlerinin 2023’te büyümeye ve çoğalmaya devam edeceğini, ancak kuruluşların doğru güvenlik temellerini yerleştirerek zorlukların üstesinden gelebileceklerini söyledi.
Kötü amaçlı etkinlik artıyor: Bu yılın Ocak ve Eylül ayları arasında AWS’deki DDoS olaylarının hacmi, 2021’in aynı dönemine kıyasla %35 arttı. AWS, 2021’in dördüncü çeyreğine kıyasla ele geçirilen bulut sunucularında %256 artış gördü.
AWS, güvenlik telemetrisini, izin yönetimini ve anahtar yönetimini analiz etmede kurumsal güvenlik ekiplerine yardımcı olacak yeni güvenlik araçlarını tanıttı.
Tehdit Telemetrisi Toplanıyor
İlki, tehdit istihbaratı verilerini yönetmek için Amazon Security Lake idi. AWS CEO’su Adam Selipsky, Amazon Security Lake’in kuruluşların birçok kaynaktan güvenlik telemetrisi ve verileri toplamasına, temizlemesine ve analiz için erişilebilir hale getirmesine olanak tanıyacağını söyledi. Zorluk, güvenlik verilerinin birden fazla formatta mevcut olması gerçeğinde yatmaktadır. Selipsky, geçen Ağustos ayında Black Hat USA sırasında duyurulan yeni Açık Siber Güvenlik Şema Çerçevesi standardının, çok çeşitli ürün ve hizmetlerde güvenlik günlüklerini ve olay verilerini normalleştirmek için kullanılabileceğini söyledi.
Destekleyici OCSF üyelerinin kapsamlı birlikte çalışabilirlik testleri veya sertifikasyon çabaları gerçekleştirip gerçekleştirmediği sorulduğunda, Splunk seçkin mühendisi Paul Agbabian, Dark Reading’e verilerin nasıl normalleştirildiğini açıkladı.
“OCSF’de dikkate alınacak bir olay sınıfı için, üyenin örnek günlüklerinden biri aracılığıyla sınıfın gerçek bir uygulaması olmalıdır” dedi. “Ayrıca OCSF, doğrulama için şemanın her bir uygulamasını test edebilen, dikkate değer hataların ve ihlallerin gösterilmesini içeren bir sunucu kullanıyor.”
Moses, “Artan tehditler ve riskler, güvenliğin kuruluşların teknoloji yığınlarında ve ekipleri genelinde yaptıkları her şeye yerleştirileceği buluta geçişi yönlendirmeye devam ediyor” dedi. “Giderek daha fazla güvenlik, bir veri bilimi sorunu olarak düşünülebilir.”
AWS, FINRA, Salesforce ve Tinder’ın Amazon Security Lake’i kullanan ilk müşteriler olduğunu söyledi. Omdia’nın kıdemli baş analisti Fernando Montenegro, Amazon Security Lake’in geçen haftaki konferansta duyurulan en önemli yeni güvenlik teklifi olduğunu söyledi.
Karadağ, Dark Reading’e şunları söyledi: “Security Lake, AWS’nin ele almayı sevdiği güvenlik ‘farklılaştırılmamış ağır yüklerin’ bazılarına değindiği için açıkça dikkate değerdir.” “Henüz erken, ancak beklenti, güvenlik analitiğini geniş ölçekte basitleştirmeye yardımcı olabileceği yönünde. AWS ortamları dışında bile daha kolay veri entegrasyonunun habercisi olabileceğinden, OCSF standardının kullanımı da dikkate değer.”
Geliştiriciler için Doğrulanmış İzinler
A Amazon Onaylı İzinler önizlemesi Musa’nın özel uygulamalar için ölçeklenebilir, ayrıntılı bir izin yönetimi ve yetkilendirme hizmeti olarak tanımladığı artık kullanılabilir.
“Geliştiricilere, uygulamalar genelinde ince ayarlı izinleri tanımlamaları ve yönetmeleri için tutarlı bir yol sağlıyor, kodu değiştirmeye gerek kalmadan izin rollerini değiştirmeyi basitleştiriyor ve aynı zamanda izinlerin görünürlüğünü geliştiriyor,” diye açıkladı.
Moses, Amazon Verified Permissions’ın uygulama yöneticilerine “otomatik mantık kullanarak milyonlarca ilkeyi ölçeklendiren kapsamlı bir denetim yeteneği” sağladığını ekledi. “Amazon Onaylı İzinler aracılığıyla yürütülen yetkilendirme istekleri, dinamik gerçek zamanlı kararlar sağlamak için milisaniyeler içinde değerlendirilir.”
VPN Olmadan Uzaktan Erişim
Amazon ayrıca yayınladı AWS Verified Access önizlemesi, VPN gerektirmeden kurumsal uygulamalara güvenli uzaktan erişim sağlayan yeni bir bağlantı hizmeti. AWS’ye göre, yeni hizmet yalnızca kullanıcılar ve cihazları tanımlanmış güvenlik gereksinimlerini karşılıyorsa uygulamalara erişim izni verir.
AWS, Verified Access’in erişim izni vermeden önce kullanıcı veya ağdan bağımsız olarak her uygulama isteğini doğruladığını belirtti.
Omdia’dan Karadağ, “AWS Onaylı Erişim, AWS kaynaklarına ‘sıfır güven’ tarzında erişme yüküne yardımcı olmalıdır” dedi.
AWS KMS için Harici Anahtar Deposu (XKS)
Amazon ayrıca AWS Dijital Egemenlik Taahhüdünü duyurdu. şirket açıklıyor “tüm AWS müşterilerine bulutta bulunan en gelişmiş egemenlik denetimleri ve özelliklerini sunma taahhüdü olarak.”
Daha önce müşteriler “AWS’nin tam gücü ile yenilik yapma, dönüştürme ve büyüme yeteneklerini engelleyebilecek özelliklerle sınırlı bir bağımsız bulut çözümü arasında seçim yapmak zorunda kalıyordu. Müşterilerin bu seçimi yapmak zorunda olmaması gerektiğine kesinlikle inanıyoruz.” AWS Kıdemli Başkan Yardımcısı Matt Garman açıkladı bir blog yazısında.
AWS, büyüyen dijital egemenlik sektörü ve bölgesel düzenlemeleri sürdürmek için eksiksiz tekliflerini etkili bir şekilde etkinleştirme sözü veriyor. Moses, AWS Anahtar Yönetimi Hizmeti (KMS) için yeni Harici Anahtar Deposunun (XKS), kuruluşların şifreleme anahtarlarını AWS dışında depolamasına ve kullanmasına olanak tanıdığı için taahhüdü desteklediğini söyledi.
“Müşteriler artık AWS KMS müşteri tarafından yönetilen anahtarlarını AWS’nin dışında, ister şirket içinde ister başka bir yerde çalıştırsınlar, donanım güvenlik modüllerinde depolayabilirler” dedi. “XKS, KMS’nin tüm kritik özelliklerini destekler ve halihazırda KMS müşteri anahtarlarıyla entegre olan 100’den fazla AWS hizmetiyle çalışır.”
Bir kullanıcı, Amazon EBS, AWS Lambda, Amazon S3, Amazon DynamoDB ve 100’den fazla hizmet dahil olmak üzere AWS KMS müşteri tarafından yönetilen anahtarları destekleyen çoğu AWS hizmeti için verileri harici anahtarlarla şifreleyebilir. Harici anahtar deposu, müşterinin donanım güvenlik modülüne (HSM) güvenli bir şekilde bağlanmak için API çağrılarını iletir. göre bir AWS blog gönderisianahtarı açıklayan veriler HSM’den asla ayrılmaz.