Kokpit görüntüsü her zaman bana çok etkileyici gelmiştir. Farklı şekil ve boyutlarda pek çok düğme ve ıslık. Pilotların gerçekten tüm bu seçeneklere kol mesafesinde ihtiyacı var mı? Her uçuşta mı? Peki kalkıştan önce hepsinin doğru konumda olduğunu nasıl doğrulayacaklar?

Günümüzün işletmelerinde bunlardan on milyonlarca tane var; daha doğrusu bunların dijital eşdeğeri: konfigürasyon. Bulut ve hizmet olarak yazılım (SaaS) artık her yerde mevcut ve beraberinde yapılacak sayısız seçeneği de getirdi. Uçakların aksine, her bir düğmenin doğru konuma getirilmesini sağlayacak standartlarımız ve prosedürlerimiz yok. Yanlış yapılandırmanın en baskın neden olmaya devam etmesi şaşırtıcı değil. bulut güvenliği sorunları.

Opak Yapılandırmalar

Ticari uçaklarda, kokpitteki her bir düğmenin işlevini ve sonuçlarını ayrıntılarıyla anlatan kapsamlı kılavuzlar bulunur. Bulut ve SaaS için genellikle anlaşılması güç bir dokümantasyon sayfasında gizlenmiş tek satırlık bir açıklama bulacaksınız. Şanslıysanız bu kısa bölüm anlamlıdır ve hâlâ günceldir. Ancak çoğu durumda o kadar şanslı değilsiniz; dokümanlar üç yıl önce yazılmıştı ve hizmet artık çok farklı. Tüm şirketler, bu geçişlerin ne işe yaradığını çözecek uzmanlardan oluşan bir ekibe sahip olma fikri üzerine inşa edilmiştir. Her konfigürasyonun anlamını yakalamak için tersine mühendislik yapar, etrafa bakar ve kaba kuvvet uygularlar.

SaaS ve hizmet olarak platform (PaaS) dünyalarında işler daha da kötüleşiyor. Kaputun altında işlerin nasıl inşa edildiğine dair hiçbir zaman tam olarak bir anlayışa sahip olamazsınız, bu nedenle hangi düğmenin bunu yapacağına dair bir sezgi oluşturmak, bir tahmin oyunu haline gelir.

Dağıtılmış Seçim

Kokpit, iyi tanımlanmış sorumluluklara sahip iki yüksek eğitimli profesyonelden oluşan kaptan ve yardımcı pilot tarafından yönetilir. Bazen her şeyin yolunda olup olmadığını üç kez kontrol eden, iyi yağlanmış bir insan makinesi olan uçuş mühendisi tarafından desteklenirler. Bulut ve SaaS için burası Vahşi Batı’dır. Kuruluş genelindeki insanlar her gün yapılandırma seçimleri yapıyor veya daha kötüsü bunları yapmada başarısız oluyor ve güvenli olmayan bir varsayılan ayarı açık bırakıyor.

En çok ilgiyi çekmiş olsalar da, bu sadece bulut geliştiricileriniz ve SaaS yöneticileriniz için geçerli değildir. İş kullanıcıları da bu seçimleri yapıyor. Az kodlu/kodsuzdan yararlanırlar düzinelerce konfigürasyon seçimi yaparak iş süreçlerini oluşturmak ve özelleştirmek için.

Güvenlik ekipleri de bu sorunu yaşıyor. Güvenlik yığınınızın %100 optimize edildiğini ve doğru şekilde yapılandırıldığını gerçekten söyleyebilir misiniz? Uygulama modundan ziyade denetim modunda kullanılan bir teknolojiyle kaç olay önlenebilirdi?

Sürekli değişim

Kokpitin her üç ayda bir düğmelerini (işlevselliklerini, etkilerini veya yalnızca görünüşlerini) değiştirmesi durumunda ne olacağını hayal edin. Şimdi günde birkaç kez değiştiğini hayal edin.

Sürekli teslimat hızlı hareket etmeyi ümit eden kurumsal bulut ve SaaS şirketlerinin kutsal kâsesidir. Satıcılara, sundukları teklifleri mümkün olduğu kadar çok ve hızlı değiştirme izni verdik. Bu çoğunlukla iyi bir şeydir çünkü mükemmel yazılım bu şekilde oluşturulur. Ancak aynı prensibin kullanıcı arayüzüne uygulanması, konfigürasyonun endişe verici bir oranda değişebileceği anlamına gelir. Mevcut bir konfigürasyonun anlamı da değişebilir, bu da neler olup bittiğini anlamayı çok daha zorlaştırabilir.

Yapılandırma seçenekleri aynı olsa bile kurumsal ortam sürekli olarak gelişmektedir. SaaS ve bulut kaynakları farklı şekillerde birbirine bağlanır. Farklı düzenlemelere tabi olan farklı verileri tutarlar. Risk kararları, tehdit ortamı değiştikçe uyarlanır.

Şimdi Standartların Zamanı

Son yıllardaki kamuoyu baskısı, büyük satıcıları güvenli olmayan temerrütlerini değiştirmeye zorladı ve bu da hepimizin daha iyi bir konuma gelmesine yardımcı oldu. S3 paketleri artık interneti kapat varsayılan olarak. Copilot botları da öyle Microsoft’un Copilot Studio’su ile oluşturulmuştur.

Bazı bulut ve SaaS platformları, güvenli bir dağıtım için önerilen yapılandırmaları yayınlamaya başladı. CISA ve diğer kuruluşların mükemmel öneriler ortaya koymak takip etmek.

Ancak bunların hepsi dağınık çabalardır. Sürekli artan yanlış yapılandırma riskinin azaltılmasında gerçek bir etki yaratmak için endüstri standartlarıyla birlikte çalışmak gerekli olabilir.



siber-1