Şirket içi ve bulut ortamlarında siber güvenliği yönetmek arasındaki fark, geleneksel satranç ile üç boyutlu satrancı oynamaktan farklı değildir. Taktikler benzer ve hedefler aynı olsa da (riski azaltmak, gizli verileri korumak, uyumluluk gereksinimlerini karşılamak ve benzeri), bulut, dinamiği tamamen değiştiren karmaşıklık katıyor. Bulutun mimarisi, değişiklik kontrollerinin olmayışı ve çeşitli bulut platformlarının temel tasarımı ve operasyonlarındaki ince ve çok da ince olmayan farklılıklar, bulut güvenliğini daha karmaşık hale getiriyor.
Hizmet olarak altyapıya (IaaS), hizmet olarak platforma (PaaS), hizmet olarak yazılıma (SaaS) ve sunucusuz bilişime geçiş iyice yerleşmişken, bazı deneyimli teknik ve yönetim personeli de şirket içi ortamlarda eğitilmiş olanlar, bulut yönetimine hâlâ operasyonel önyargıyı getiriyor. Ancak bulut ortamlarının doğası, güvenlik ve teknik ekiplerin yeni saldırı yüzeylerini anlamak ve yönetmek için farklı bir zihniyete ihtiyaç duyması anlamına geliyor.
Üç Bulut, Üç Ortam
Kuruluşlar, belirli operasyonel ihtiyaçları karşılamak, fiyat ve performansı optimize etmek veya özel yeteneklere erişmek için genellikle birden fazla tedarikçinin bulutunu kullanır. Orta ve büyük ölçekli kuruluşların çoğu, şirket içi sunucular ve altyapı (hibrit bulut olarak adlandırılır) ile birlikte iki veya daha fazla bulut kullanır (bunlar çoklu bulut haline gelir).
Şirket içi uygulamalarınız için Windows çalıştırıyorsanız Microsoft Azure popüler seçimdir. Veri merkezinizde daha fazla raf dağıtmanın artık bir anlamı kalmadığında Azure’a geçmenin doğal bir çekimi vardır. Büyük ölçekli Web uygulamaları dağıtıyorsanız doğal yakınlık Amazon Web Services’e (AWS) yöneliktir, ancak Google Cloud Platform (GCP) de bu kullanım durumları için caziptir. GCP aynı zamanda analiz yetenekleriyle (BigQuery) de tanındığından bazı kuruluşlar onu yalnızca gelişmiş analizlere sahip bir veri gölü olarak kullanır.
Her bulut ortamını etkili bir şekilde korumak için siber güvenlik ekiplerinin her biri için güvenlik uzmanı olması gerekir. Ancak insanların ne kadar ek çalıştıkları arasında bir kopukluk var. düşünmek iki veya üç bulutun gerektirmesi gereken iş ve Aslında Her bulutun saldırı yüzeyi farklı olduğundan bunu gerektirir. Dolayısıyla, iş yüklerinizi iki buluta bölmek, tüm iş yüklerinizi tek bir bulutta çalıştırmaya kıyasla gereken bilgi ve çalışmayı neredeyse iki katına çıkarır.
DMZ Farkları
Diğer bir fark, şirket içi veri merkezinin dışarıya yönelik hizmetleri korumak için iyi tanımlanmış bir askerden arındırılmış bölgeye (DMZ) sahip olması, ancak bulut ortamlarının çoğunlukla böyle olmamasıdır.
Fiziksel bir veri merkezi, birden fazla güvenlik kontrolünün ve izlemenin uygulandığı açık (genellikle fiziksel) bir DMZ’ye sahiptir. Bir düşmanın komuta ve kontrol kanalının ve dışarı sızma trafiğinin geçmesi gereken bir veri merkezine giriş ve çıkış yolları vardır.
Bulutta DMZ daha mantıklı bir yapıya sahiptir ve çoğu zaman DMZ’nin gerçekliği kuruluşun zihinsel modeliyle uyumlu değildir. Bir taramanın, organizasyonel verileri ortamın dışına çıkaran beklenmeyen açıklıklar bulması olağandışı bir durum değildir. DMZ’nizi takip etmek ve yönetmek, şirket içi ağlara odaklanan güvenlik mimarlarının sahip olmayabileceği özel bir uzmanlık gerektirir.
Sızdıran Bulut Hizmetleri
Saldırganlar, kiracının ağını atlayacak şekilde bulut ortamı içinde ve dışında iletişim kurmak için birçok çok kiracılı bulut hizmetinden yararlanabilir. Bunun klasik bir örneği, bir saldırganın bir AWS ortamına girmesi ve erişimi (İnternetten veya başka bir AWS kiracısından) bir S3 klasörüne genişletmesidir. Bir saldırganın kiracının ağındaki S3 klasöründen 10 GB içerik okuduğunu gözlemleyemezsiniz; bulut hizmeti sağlayıcısının arka panelinde meydana geldiğinden kiracı tarafından temelde görünmez. Aynı 10 GB içeriğin şirket içi bir ağdan sızdırılması durumunda bu içerik muhtemelen işaretlenir ve güvenlik ekibine bilgi verilir.
Eğer bu sadece bulut depolama hizmetleri için doğru kontrollerin uygulanmasıyla ilgili olsaydı, yönetilebilir bir sorun gibi görünebilir. Ancak buluttaki her hizmetin kendine has özellikleri ve kontrolleri vardır ve bazıları gizli harici iletişime olanak sağlayabilir. Siber güvenlik ekibiniz bunların hepsini (sadece kullanmayı düşündüklerinizi değil) bulabilmeli ve gerekli kontrolleri ve izlemeleri yapabilmelidir.
Güncellemelerle İlgili Sorunlar
Bulut sağlayıcıları, yeni hizmetler eklemek, mevcut hizmetlerin yeteneklerini geliştirmek veya bir hizmetin varsayılan ayarlarını değiştirmek gibi düzenli güncellemeler yapar. Ortamınıza sızan saldırganlar harici iletişim kurmak için sızdıran bir hizmetten yararlanabileceğinden, kullanmayı düşünmediğiniz hizmetler bile sizi riske maruz bırakabilir. Veya sağlayıcı, bir hizmetin varsayılan yapılandırmasını kısıtlayıcı politikalardan izin verici politikalara değiştirerek sizi körü körüne riske maruz bırakabilir. Bunlar yalnızca teorik senaryolar değil; saldırganlar zaten bu yeteneklerden yararlanıyor.
Bunu, yazılım güncellemelerinin kontrolünün sizde olduğu şirket içi bir veri merkeziyle karşılaştırın. Kullanmayı planlamadığınız yazılımı yüklemezsiniz çünkü bu sizi daha fazla riske ve daha fazla çalışmaya maruz bırakacaktır. Şirket içi veri merkezlerinde ise tam tersi bir sorun yaşanıyor: bilinen güvenlik açıkları yeterince hızlı bir şekilde kapatılmıyor. Mümkün olan en az sayıda yazılım güncellemesiyle saldırı yüzeyinizi mümkün olan en büyük ölçüde azaltabilmeniz için hangi yazılım yamalarının kritik olduğuna karar vermek için çok fazla zaman ve para harcayabilirsiniz.
Bulutunuzu Korumak
Şirket içi ve bulut operasyonları arasındaki yapısal ve operasyonel farklılıkları anlamak çok önemlidir. Başlangıç olarak, her iş biriminin tercih ettiği bulut platformunu seçmesine izin vermek iş dostu gibi görünse de, her yeni bulut, onu güvence altına almak için önemli ek çalışmalarla birlikte gelir.
Eğitim ve personel öncelikleri de dahil olmak üzere riskleri göz ardı etmek, birçok gelişmiş saldırganın bulut ayak izinize odaklandığı bir dönemde sizi tehditlere maruz bırakacaktır. Günümüzün yenilikçi bulut saldırıları, yarının sıradan ihlalleri olacaktır.