Soru: Ortak kader modeli nedir ve ortak sorumluluk modelinden nasıl farklıdır?
Google Cloud CISO Ofisi Direktörü Nick Godfrey: Paylaşılan sorumluluk, bulut teknolojisi kadar eski bir çerçevedir ve bulut hizmeti sağlayıcıları (CSP’ler) ile müşterileri arasındaki güvenlik ve gizlilik sorumluluklarını belirlemek için tasarlanmıştır. Örneğin, CSP bulutun temelini oluşturan fiziksel ortamlardan sorumlu olurken, müşteri kimlik ve erişim yönetiminden sorumlu olur. Bu modelin sorunu, taraflardan biri rolünü etkili bir şekilde yerine getiremezse bu katı sınırların güvenlikte boşluklara yol açmasıdır.
Günün sonunda, bir kuruluşun paylaşılan sorumluluk modelinin bir parçası olarak operasyonel sorumluluklarıyla ilgili bir güvenlik sorunu varsa, bu bulut sağlayıcıları için de bir sorundur. Günümüzün güvenlik manzarası her zamankinden daha karmaşıktır; yeni AI destekli tehditler, büyüyen yetenek kıtlığı ve artan düzenleyici baskılar, CSP’lerin kısıtlı paylaşılan sorumluluk çerçevesinin ötesine geçmesini ve daha dayanıklı bir modeli desteklemesini gerektirir – buna “paylaşılan kader” diyoruz.
Paylaşılan kader modeli, CSP’nin müşterinin güvenliğinde aktif bir rol oynamak için uzmanlığından yararlandığı müşterinin ihtiyaçlarına odaklanır. Bu model, kuruluşlara üç temel şekilde gelişmiş destek sağlar:
Gelişmiş İşbirliği: Bu model, hem bulut sağlayıcısının hem de müşterinin güvenli bir ortam sağlamak için iş birliği içinde çalıştığı bir ortaklığı teşvik eder. Sağlayıcılar yalnızca sorumlulukları belirlemekle kalmaz, aynı zamanda müşterinin güvenlik duruşunu aktif olarak destekler. Bu, riskleri yönetmeye yönelik daha entegre ve destekleyici bir yaklaşımla sonuçlanır.
Uygulanabilir Adımlar ve Rehberlik: Çerçeveler ve en iyi uygulamalar aracılığıyla sağlayıcılar, müşterilerin politika, düzenleyici ve iş hedeflerine ulaşmalarına yardımcı olmak için uygulanabilir adımlar ve rehberlik oluşturabilir. Buna, veri güvenliği, erişim kontrolü ve tehdit koruması için kaynaklar dahildir. Müşterilere özel kaynaklar, tavsiyeler ve destek sunmak, karmaşık güvenlik önlemlerini bağımsız olarak uygulama ve yönetme yükünü önemli ölçüde azaltabilir.
Bulut Hizmetleri için Sağlam Varsayılanlar: Paylaşılan kader modeli, bir CSP’nin bulut hizmetleri için sağlam varsayılanlar sunmaya odaklanmasını önerir. Bu, bulut sağlayıcılarının tasarıma göre güvenli ve varsayılan olarak güvenli ürünler oluşturmasını, müşterilere ortamlarını güvence altına alma zahmetinde yardımcı olmasını, buna bir şey eklememesini gerektirir.
Paylaşılan sorumluluk modelinden paylaşılan kader modeline geçiş, güvenliğe daha işbirlikçi bir yaklaşım yaratır. Elbette, hiçbir bulut sağlayıcısı bir kuruluşun güvenliğinin veya buluttaki faaliyetlerinin %100’ü için hesap verebilirlik iddia edemeyeceğinden, müşterinin güvenliği için her zaman bir miktar sorumluluğu olacaktır. Paylaşılan kaderle arasındaki fark, bu yaklaşımda bulut sağlayıcısının müşterinin güvenliğinde önemli ölçüde daha aktif bir rol oynamasıdır; öyle ki, bir şeyler ters giderse, bulut sağlayıcısı büyük yatırımlar yapmış olur ve müşteriyi bu yolculuk boyunca daha iyi destekleyebilir. Bulut sağlayıcıları ve müşterilerin yakın bir şekilde birlikte çalışmasını sağlayarak, daha entegre ve çok daha güvenli bir ortam ve daha güçlü bir siber strateji oluşturan bir ortam yaratıyoruz.
