Dağıtılmış çoklu bulut ortamlarında kişisel olarak tanımlanabilir bilgilerin (PII) şifrelenmesi, kurumsal güvenlik ekiplerinin çeşitli risk ve uyumluluk gereksinimleriyle ilgilenmesi nedeniyle karmaşık bir iştir. IBM, yeni IBM Cloud Security Compliance Center Data Security Broker’ın bu karmaşıklıkları azaltabileceğini ve PII’yi veritabanı alanı ve dosya düzeylerinde koruyabileceğini iddia ediyor.
Yükseltilmiş IBM Cloud Security Compliance Center, kimlik bilgilerini tehdit aktörleri, bulut sağlayıcıları ve ayrıcalıklı şirket içi kişiler de dahil olmak üzere herkesten korumak için format koruyucu şifreleme (FPE) sağlar. IBM, Cloud Security Compliance Center’da kullanılan veri güvenliği komisyoncusu teknolojisinin lisansını Baffle’dan aldı. Veritabanı şifreleme şirketi, veri güvenliği aracısını AES-256 şifrelemeyi, FPE’yi, tokenizasyonu, maskelemeyi, kimlik gizlemeyi ve rol tabanlı erişim kontrolünü destekleyen bulutta yerel bir yazılım olarak tanımlıyor.
Baffle’ın yazılımı, şirket içi veri depolarından çoklu buluta geçişin önündeki en büyük engellerden biri olan, uygulama kodunda değişiklik yapılmasını gerektirmeden dosya ve veritabanı alanı güvenliği sağlar. IBM Üyesi ve IBM Cloud Security CTO’su Nataraj Nagaratnam, “Her uygulamanın, her hizmetin, her ekibin bu değişiklikleri yapması gerekiyor ve bunlar ölçeklenebilir değil” diyor.
“Bu mekanizma sayesinde bu kod değişikliklerini yapmalarına gerek yok” diye ekliyor. “Bu politikaya dayanarak veritabanına nasıl bağlanacağımızı anlıyoruz. Veritabanına gidip geri geldikçe şifreleyeceğiz veya şifresini çözeceğiz ve tokenize edeceğiz.”
IBM Cloud Güvenlik ve Uyumluluk Merkezi, IBM Cloud yönetim platformuna yerleştirilmiştir.
Güncel Çoklu Bulut Veritabanı Koruma Yaklaşımları
Yakın tarihli bir habere göre Harris Anketi IBM tarafından görevlendirilen BT ve iş liderlerinin %77’si, dijital dönüşüm girişimlerini mümkün kılmak için hibrit bulut teknolojisini uyguluyor. Ancak %53’ü düzenlemelerdeki artışın uyumluluk zorluklarını artırdığına inanırken, yaklaşık üçte biri artan düzenlemelerin iş yüklerini hibrit ortamlara taşıma çabalarında önemli bir engel oluşturduğunu bildirdi.
Baffle’ın kurucusu ve CEO’su Ameesh Divatia, hepsinin uygulama geliştirme kaynaklarına veya altyapı değişikliklerine ihtiyaç duyduğunu söylese de, dağıtılmış bulut ortamları için bir gereklilik olan aktarım sırasında gelişmiş veri şifrelemeyi uygulamaya çalışan kuruluşların alternatifleri var. Bunların arasında Thales, Entrust ve HashiCorp gibi sağlayıcıların anahtar yönetim sistemleri ve donanım güvenlik modülleri yer alıyor.
Diğer bir alternatif ise Intel’in Yazılım Koruma Uzantıları (SGX)Xeon Ölçeklenebilir İşlemcilerini çalıştıran sunuculara gizli bilgi işlem ekleyen. Divatia, “Bu, mevcut işlemcileri en yeni Intel işlemcilerle değiştirmek ve bu bölgeleri, işlemci belleğindeki verilerin görülmeyeceği şekilde etkinleştirmek zorunda oldukları altyapının oldukça büyük bir revizyonunu gerektiriyor” diyor. “Bizimki saf bir yazılım çözümü. Herhangi bir donanım desteğine ihtiyacımız yok. Tamamen taşınabilir. Onu çekici kılan da bu.”
IBM Cloud Security and Compliance Center’ın mevcut anahtar yönetimi yeteneğini temel alan Baffle’ın veri güvenliği komisyoncusu, anahtarlara kimin erişebileceği de dahil olmak üzere hassas verilerin nasıl şifrelendiği konusunda müşterilere daha fazla kontrol sağlıyor.
Nagaratnam, “Müşteriler, bir süredir yaptığımız gibi, yalnızca anahtarlar üzerinde tam kontrole sahip olmakla kalmıyor, aynı zamanda belirli hassas veriler üzerinde de tam kontrole sahip oluyorlar ve bunları nasıl yöneteceklerine güvenebilirler” diyor.
BYOK ve KYOK’u çağırma
Baffle’ın aracı, IBM’in Kendi Anahtarını Getir (BYOK) ve Kendi Anahtarını Sakla (KYOK) araçlarını çağırıyor yetenekler. Divatia, IBM’in şu anda yöneticilerinin Veri Güvenliği Aracısını kullanırken müşterilerinin verilerini görememesini kriptografik olarak garanti edebilen tek bulut hizmeti sağlayıcısı olduğuna inanıyor.
Divatia, “Anahtarlar müşteri tarafından kontrol ediliyor ve verilerin kendisi de sanal özel bulutta bulunuyor” diye açıklıyor. “Veritabanının kendisi IBM tarafından barındırılıyor, ancak veritabanının içeriği, işlendiği zamanlar da dahil olmak üzere her zaman şifreleniyor.”
Baffle, PostgreSQL ve MySQL gibi açık kaynaklı veritabanlarının yanı sıra Snowflake ve Amazon Redshift bulut veri hizmetlerinde desteklenen modern kullanıcı tanımlı işlevleri (UDF) etkinleştirmek için tasarlanmıştır. Baffle’ın IBM’e sağladığı veri güvenliği aracısının mevcut uygulaması bir PostgreSQL sunucusunda çalışıyor. Nagaratnam, “İleriye doğru veritabanı ve nesne deposu desteğini genişletmeye devam edeceğiz” diyor.
IDC grubunun güvenlik ve güvenden sorumlu başkan yardımcısı Frank Dickson, şu anda genişleyen risk ve uyumluluk gereksinimlerine hitap eden benzer bir tekliften haberdar olmadığını söylüyor. Dickson, “Kurumlar için gelişen veri gizliliği, egemenlik ve uyumluluk standartlarının karmaşıklığı cezalandırıcıdır” diyor.
Her ülkenin farklı yasal çerçeveleri olması nedeniyle, çok uluslu şirketler, özellikle hassas verileri yüzlerce SaaS uygulamasının yanı sıra çeşitli PaaS, IaaS ve şirket içi ortamlar arasında taşırken, hızlı ve farkında olmadan yeni düzenleyici standartlara uyumun dışına çıkabilir. Dickson’a. “IBM Bulut Güvenlik ve Uyumluluk Merkezi’nin genişletilmesi, çok uluslu şirketlere sorunu çözmeye yönelik araçlar sağlamayı amaçlıyor” diyor.
Buluta geçiş zorunluluğu göz önüne alındığında, Baffle’ın Divatia’sı, şirket içi veritabanlarından bu dağıtılmış çoklu bulut ortamlarına geçerken alan düzeyindeki verileri şifrelemenin sonuçlarını vurguluyor. Kuruluşlar geçmişten beri şirket içi veritabanları için şeffaf veri şifrelemeye (TDE) güveniyordu. Ancak bu yalnızca altyapı katmanındaki verileri korur. Divatia’ya göre TDE, altyapıdan çıkarıldıktan sonra verileri korumuyor. “Bir veritabanının uygulama katmanında şifrelenmediği durumlarda bu güvenlik açığıyla karşı karşıya kalırsınız” diyor.