Veri güvenliğiyle ilgili konuşmalar üç ana başlıkta ayrılıyor:
- Şirket içi veya bulut altyapımızda sakladığımız verileri nasıl koruyabiliriz?
- Hangi stratejiler, araçlar veya platformlar verileri güvenilir bir şekilde yedekleyebilir ve geri yükleyebilir?
- Tüm bu verileri kaybetmenin bize maliyeti nedir ve bunları ne kadar çabuk geri alabiliriz?
Bunların hepsi, her şekil ve büyüklükteki teknoloji kuruluşları için geçerli ve gerekli konuşmalardır. Yine de ortalama bir şirket kullanıyor 400’den fazla SaaS uygulaması. Aynı rapor, BT profesyonellerinin %56’sının veri yedekleme sorumluluklarının farkında olmadığını da ortaya çıkardı. Ankete katılanların %84’ünün iş açısından kritik verilerinin en az %30’unun SaaS uygulamalarında bulunduğunu söylediği göz önüne alındığında, bu durum endişe verici.
SaaS verileri şirket içi veya bulut verileri gibi değildir çünkü işletim ortamı üzerinde hiçbir sahipliğiniz yoktur ve verilerin kendisi üzerinde çok daha az sahipliğiniz vardır. Bu kısıtlamalar nedeniyle, otomatik yedeklemeler oluşturmak, bunları güvenli ortamlarda depolamak ve geri yükleme sürecine sahip olmak çok daha karmaşık bir mühendislik görevidir.
Bu esnekliksizlik, kuruluşların SaaS verilerini yedeklemek için geçici çözümler ve manuel süreçler geliştirmesine yol açarak onları çok daha az güvenli ortamlarda bırakıyor; bu utanç verici çünkü yedeklemeleriniz neredeyse Saldırganlar için üretim verileriniz kadar değerlidir. SaaS uygulamalarının kullanımındaki çift haneli büyüme göz önüne alındığında bile, SaaS verilerine daha az özen gösteren kuruluşlar, anahtarları kendi krallıklarına beklediklerinden daha bariz yollarla devrediyorlar. Veri kaybı tehdidi yaklaşırken, bir SaaS veri kurtarma planı oluşturmak için hızlı hareket etmezseniz işletmenize maliyeti ne olur?
Göz önünde saklanan değerli sırlar
Yaygın bir senaryoyu örnekleyelim: Ekibinizin, tüm mühendislik ekibinizin çeşitli özel depolardaki geliştirme ve dağıtım projeleri üzerinde işbirliği yaptığı tek bir GitHub organizasyonu var.
Şimdi bu çizimi daha az yaygın olan bir eklemeyle değiştirelim: Şunun için yedekleriniz var: Tümü Yalnızca bu depoların her birindeki kodu değil aynı zamanda çekme isteği incelemeleri, sorunlar, proje yönetimi ve daha fazlası gibi meta verileri de içeren GitHub verilerinizin.
Bu durumda, GitHub yedekleme verileriniz, çalışanlarınızın GitHub profillerinde zaten kamuya açıklanmış olan bilgilerin yanı sıra, çalışanlarınız hakkında şifreler veya kişisel olarak tanımlanabilir bilgiler (PII) içermeyecektir. Ayrıca saldırganın, saldırı vektörünü veya izinsiz giriş noktasını henüz bulamadığından, üretim sunucularınıza veya hizmetlerinize yanlamasına hareket etmesine de izin vermez. Ancak henüz işin içinden çıkmış değilsiniz; her türlü yedekleme verisi, saldırganların öğrenebileceği bilgileri içerir ve üretim ortamınızın nasıl olduğuna dair bir çıkarım oluşturur. yapmak çalıştırın.
Saldırganın yalnızca fikri mülkiyet (IP) çalmayı veya gelecek özellikler, ortaklıklar veya birleşme ve satın alma faaliyetleriyle ilgili gizli bilgileri rakiplere veya mali dolandırıcılığa sızdırmayı amaçlaması durumunda, özel kodunuzun her güvenli olmayan yedeği ve klonu son derece değerlidir.
Kod Olarak Altyapı (IaC) ve CI/CD yapılandırma dosyalarınız da, altyapınızın topolojisini tanımladıkları, test altyapınızı ve dağıtım aşamalarınızı açığa çıkardıkları ve üretiminizdeki tüm bulut sağlayıcılarını veya üçüncü taraf hizmetlerini ortaya çıkardıkları için özellikle ilgi çekici olacaktır. hizmetlerine güveniyoruz. Bu yapılandırma dosyaları şunlara dayanır: sırlar şifreler veya kimlik doğrulama belirteçleri gibi. Söz konusu gizli dizilerin gerçek içeriğinin GitHub’da sürüm kontrollü olmasını engellemek için bir gizli yönetim aracı kullanıyor olsanız bile, bir saldırgan bir sonraki nereye bakacağını hızlı bir şekilde belirleyebilecektir; Hashicorp Vault, AWS Secrets Manager, Cloud KMS veya birçok alternatiften biri.
Bu çizimde meta verilerinizi de yedeklediğiniz için, güvenli olmayan bir uygulama, normalde özel GitHub depolarınızda gizlediğiniz çekme isteklerinizi ve sorun yorumlarınızı saldırganın keşfetmesine açık bırakır. Kodu onaylama ve her bir depoda birleştirme ayrıcalıklarına kimin sahip olduğunu hızlı bir şekilde öğrenecekler ve zayıf yönleri tespit etmek için dağıtım veya düzeltmeye yönelik kontrol listelerini inceleyecekler.
Bu bilgilerle, doğrudan altyapınıza karşı veya bahane uydurma gibi sosyal mühendislik yöntemlerini kullanarak, artık yönetici düzeyinde ayrıcalıklara sahip olduğunu anladıkları çalışanlara çok daha hedefli bir saldırı düzenleyebilirler.
Özellikle SaaS verilerinin güvenli yedeklenmesi neden her zamankinden daha kritik?
Kısacası SaaS verileri, kuruluşunuzun saatlik operasyonları için hiç bu kadar kritik olmamıştı. İster GitHub gibi bir kod işbirliği platformu, Jira gibi üretkenlik araçları kullanıyor olun, hatta Confluence’ı tüm bir markanın temel sağlayıcısı (ve bağımlılığı) olarak kullanıyor olun, veri yönetimi uygulamalarıyla sahip olmadığınız ortamlara borçlusunuz. ışıkları açık tutmak için tam olarak kontrol edemezsiniz.
SaaS verileri benzersiz bir şekilde savunmasızdır çünkü şirket içi verilerden farklı olarak iki paydaş vardır: sağlayıcınız ve siz. Sağlayıcınız, bir mühendisin üretim veri tabanı üzerine yazdığı GitLab’ın yalnızca birkaç saniye içinde 300 GB’lık kullanıcı verisini kaybetmesi gibi bir veri kaybı yaşayabilir. Dürüst bir hata yapabilirsin, mesela örneğinizin yanlışlıkla silinmesi veya verilerinizin her yönünü anında bozan bir CSV yüklemek.
Farkındalık önemli bir endişe kaynağıdır. İçinde AppOmni’den 2023 raporuAnkete katılan BT ve siber güvenlik uzmanlarının %85’i SaaS konusunda herhangi bir güvenlik sorunu olmadığını iddia etti. Ancak aynı kişilerin %79’u, kuruluşlarının son 12 ay içinde en az bir SaaS tabanlı siber güvenlik tehdidi tespit ettiğini itiraf etti. En yaygın olaylar; kullanıcı izinlerindeki güvenlik açıkları, verilerin açığa çıkması, belirli bir siber saldırı ve insan hatasıydı.
Aynı zamanda, Oracle ve analist firması ESG tarafından hazırlanan bir rapor Baş bilgi güvenliği görevlilerinin (CISO’lar) yalnızca %7’sinin, Ortak Sorumluluk ModeliBu, veri güvenliği sorumluluğunu SaaS sağlayıcısı yerine kullanıcıya yükler. Katılımcıların %49’u ayrıca bu modelle ilgili kafa karışıklığının veri kaybına, verilere yetkisiz erişime ve hatta sistemlerin tehlikeye girmesine neden olduğunu belirtti.
Yedeklenen verilerin güvenliğiyle ilgili her türlü korkuya yanıt, yedeklemeleri tamamen göz ardı etmemektir.
Bir yerde ne aranmalı? güvenli SaaS veri yedekleme sağlayıcısı
Görev açısından kritik SaaS uygulamalarındaki verileri yedeklemenize ve geri yüklemenize olanak tanıyan platform ortamını keşfederken, şu olmazsa olmazları dikkatlice doğrulamanız gerekir:
- Otomasyon: Hiçbir kesin yedekleme, manuel işlemler içermez; yedekleme işlemi, bir delta veya fark algoritması kullanarak otomatik olarak artımlı günlük yedeklemeler oluşturmalıdır. Bir araçtan yararlanmak gibi her manuel işlem açık kaynaklı yedekleme komut dosyası Yıllardır güncellenmeyen bir dosya veya her Salı saat 23:59’da bir yedekleme komut dosyası çalıştırmak için bir cron işi yazmak gibi basit bir görev bile potansiyel başarısızlık noktaları yaratır.
- Kapsamlılık: GitHub örneği, veriler (kodunuz) ile meta veriler (mühendislerinizin yaptığı konuşmalar) arasındaki farkı gösterme konusunda benzersiz derecede iyidir. etrafında kodunuz) ancak birçok SaaS uygulamasının benzer veri hiyerarşileri vardır. Bir yedekleme çözümü tüm verilerinizi koruyamazsa, bir veri kaybı felaketi durumunda, yalnızca gönülsüz bir kurtarma planınız olacak ve eski hızınıza geri dönmek için çok sayıda manuel çalışma yapacaksınız.
- Şifreleme: Tüm SaaS veri yedeklemeleriniz için hem kullanımda hem de aktarım sırasında AES-256 bit şifrelemede ısrar edin. Merkezi bir kimlik sağlayıcı kullanarak kullanıcıları ve ayrıcalıklarını yönetebilmeniz için sağlayıcının ayrıca SSO’yu desteklemesi gerekir.
- Veri uyumluluğu: Yedekleme platformunun güvenlik kontrollerini detaylandıran SOC 2 Tip 2 raporları gibi ayrıntılar, yedeklemelerinizdeki hassas verileri korumayı ne kadar ciddiye aldıkları konusunda size güvence verebilir. Şu anda ihtiyacınız olmasa da veri yerleşimi gibi özellikler, birden fazla bölge için doğru politikalarla gelişmiş bir altyapı tasarladıklarını gösteriyor.
- Gözlenebilirlik: Kuruluşunuzun verilerine ne olacağını tam olarak kontrol edemezsiniz. Bir sonraki en iyi şey, yedekleme verilerinizde kimin, ne zaman ve neye erişildiğini veya değiştirildiğini tam olarak bilmektir. Gerçek zamanlı bir denetim günlüğü, izinsiz girişleri hızlı bir şekilde yakalamanıza ve bir saldırının verilerinizi ihlal etmeye vakti olmadan doğru düzeltmeyi yapmanıza yardımcı olur.
SaaS verilerine yönelik benzersiz tehditler hızla artıyor. Verimsizlikleri ortaya çıkarmak veya yapmamayı tercih ettiğimiz işleri otomatikleştirmek için tasarlandığını düşündüğümüz araçlar bile (üçüncü taraf yapay zeka ajanları gibi), kılık değiştirmiş büyük veri kaybı olayları olabilir; önümüzdeki aylarda ve yıllarda mutlaka duyacağımız olaylar .
Bir yapay zekaya SaaS platformlarınıza yazma erişimi verdiğinizde, masum bir şekilde yozlaşmış tüm görev açısından kritik verileriniz GPU ile hızlandırılmış hızda. Bu durumlarla ilgili raporlar topluca ortaya çıkmaya başladığında, SaaS verilerinizi hiç kimsenin (bir saldırganın veya kayıp bir yapay zekanın) okuyamayacağı bir yere sakladığınıza sevineceksiniz. En çok ihtiyaç duyduğunuz anda güvenli ve sağlam olduğundan iki kat memnun kalacaksınız.