Çoklu bulut güvenliği son derece karmaşık bir girişimdir ve güvenlik ekiplerinin, ortaya çıkan tehditlere etkili ve doğru bir şekilde yanıt verebilmek için farklı platformlardaki binlerce günlük güvenlik uyarısını ilişkilendirmesini gerektirir. Çoklu bulut ortamınızı korumak için genellikle birbirleriyle entegre olmak ve iletişim kurmakta zorlanan bir dizi üçüncü taraf nokta çözümüne güvenmek yerine, ortamınıza sorunsuz bir şekilde entegre edilebilecek yerel güvenlik çözümlerine öncelik vermenizi öneririz.

Bulutta yerel uygulama koruma platformu (CNAPP), bulut uygulamalarının yaşam döngüleri boyunca güvenliğini sağlamayı kolaylaştıran birleşik bir platformdur. Başlangıçta Gartner tarafından geliştirilen bu hepsi bir arada platform, geleneksel olarak silolara ayrılmış güvenlik ve uyumluluk yeteneklerini tek bir kullanıcı arayüzünde birleştiriyor. CNAPP’ler özünde, güvenlik ekiplerinin güvenliği uygulama geliştirme sürecinin ilk aşamalarına yerleştirmesine ve bulut iş yükleri ve verileri için daha güçlü korumalar dağıtmasına olanak tanır.

Bulutta yerel bir çözümün sahip olacağı birçok kullanım durumu vardır. doğal kenar üçüncü taraf çözümleri üzerinden. Özelleştirilmiş veya üçüncü taraf bir çözümle kopyalanması zor olan yetenekleri sergilemek için birkaç yaygın senaryo seçtik. Bu liste kapsamlı olmayıp temsili niteliktedir.

1. Bulut Yönetim Katmanınızı İzleme

Bulut yönetimi katmanı, tüm bulut kaynaklarınıza bağlı önemli bir hizmettir. Bu da onu saldırganlar için potansiyel bir hedef haline getiriyor. Sonuç olarak, güvenlik operasyonları ekiplerinin kaynak yönetimi katmanını yakından izlemesini öneriyoruz.

Bulut hizmeti sağlayıcıları (CSP’ler) bu katmanla entegrasyona izin vermediğinden, üçüncü taraf çözümlerin sağladığı yetenekler ciddi şekilde sınırlıdır ve yalnızca Azure Diagnostics ve AWS CloudTrail gibi günlüklerin/olayların kullanılabilirliğine bağlıdır.

2. İş Yükleri Üzerinde Sıfır veya Minimum Etkiye Sahip, Gerçek Zamana Yakın Tehditlerin Tespiti

Daha fazla yerel mimari modelinden yararlandıkça, nesne depolama ve yerel SQL gibi yerel depolama kullanımınız artacaktır. Sonuç olarak bu hizmetler genellikle bir saldırı hedefini temsil eder.

CSP’ler bu hizmetlerle yerel entegrasyona izin vermediğinden, kuruluşlar genellikle bir nesne bir depolama hesabına yüklenir yüklenmez, iş yüklerine gecikme veya başka riskler getirmeden kötü amaçlı yazılımları tespit etmekte zorlanırlar. Aynı sorunun, üçüncü taraf bir çözüme erişime izin vermeden veritabanları ve nesne depoları genelinde hassas verileri tespit etmeye çalışırken de mevcut olduğunu görüyoruz. Yerel bulut güvenliği tekliflerinde bu sınırlamalar yoktur.

3. Ölçeklendirirken veya Modernleştirirken İş Yüklerinin Doğal Kapsamı

Yerel çözümler hesap veya abonelik düzeyinde devreye alınır, diğer bulut hizmetleriyle yerel olarak entegre edilir ve çok çeşitli kullanım modellerini kapsar. Çoğu zaman bu çözümler herhangi bir aracıya ihtiyaç duymaz ve tek tuşla yapılır. Bulut mimarisi ekipleri sanal makine tabanlı bir dağıtımdan konteyner tabanlı bir dağıtıma geçmeye karar verdiğinde kuruluşlar, iş yükünün en baştan korunduğundan emin olabilirler.

4. Yerel Boru Hatlarınızla Entegrasyon

Kuruluşlar bulut iş yüklerini dağıtırken yerel çözümü kod deposu düzeyinde entegre edebilirler. Bu, her düzeyde uygun riskleri kontrol etmelerini sağlar; örneğin, kod birleştirmenin bir parçası olarak kod tarama veya anında görüntü tarama. Yerel çözümler ayrıca kuruluşların konteyner dağıtımından önce doğrulamayı gerçekleştirmesine olanak tanır.

5. Erişimle İlgili Patlama Yarıçapının Korunması

Kuruluşlar bir üçüncü taraf çözümünü devreye aldığında, bu çözüm, izlenmesi gereken kendi rol kümesini gerektirir. Kullanıcıların ayrıca büyük olasılıkla üçüncü taraf çözümün kendisi tarafından yönetilmesi gerekecektir. Bu, güvenlik ekipleri için yerel çözümler dağıtılırken gerekmeyen ek izleme gereksinimleri ekler. Yerel çözümler zaten diğer bulut hizmetleriyle entegre olduğundan ve önceden tanımlanmış rollerden yararlandığından, güvenlik ekiplerinin ortamlarına gelebilecek ek riskler konusunda endişelenmelerine gerek yok.

Gördüğümüz gibi, CNAPP’ler, birincil çözüm olarak veya mevcut bulut güvenliği durum yönetiminizin (CSPM) tamamlayıcısı olarak bulut güvenlik portföyünüze entegre edilmek için benzersiz bir değer teklifine sahiptir.

– Devamını oku Microsoft Security’den İş Ortağı Perspektifleri

En son siber güvenlik tehditlerini, yeni keşfedilen güvenlik açıklarını, veri ihlali bilgilerini ve ortaya çıkan trendleri takip edin. Günlük veya haftalık olarak doğrudan e-posta gelen kutunuza teslim edilir.

Abone

Daha fazla kuruluş, yeni iş özelliklerini ve dijital dönüşüm girişimlerini desteklemek için bulutta yerel uygulama geliştirmeye geçtikçe, yazılım tedarik zinciri sorunları daha görünür hale geldi. Bulutta yerel geliştirme, büyük ölçüde açık kaynaklı yazılıma dayandığından, kuruluşların bu uygulamalara giren bileşenleri düşünmeye başlaması gerekir.

Geliştiriciler, bu yerel bulut uygulamalarını oluşturmak için çevik uygulama geliştirme uygulamalarını ve hızlı yayın döngülerini benimsedi ve kapsayıcılarını ve sunucusuz işlevlerini oluşturmak için büyük ölçüde açık kaynak koduna ve geniş çapta dağıtılmış ve genellikle geniş bir topluluktan mikro hizmetlere güveniyorlar. Kaynak kodu öncelikle yerleşik bir ekosistemden gelse de, bazılarının bilinmeyen kaynaklardan veya eskimiş projelerden gelmesi yaygın bir durumdur.

Geleneksel güvenlik yaklaşımları, özellikle modern bulut bilgi işlem ve sunucusuz mimariler için uygulama geliştirmeye yönelik bu yeni yaklaşımı ele alacak şekilde tasarlanmamıştır. Bu, bulutta yerel uygulama koruma platformlarının ele almak üzere evrimleştiği alandır. Gartner, CNAPP’yi “geliştirme ve üretim genelinde bulutta yerel uygulamaların güvenliğini sağlamaya ve korumaya yardımcı olmak için tasarlanmış entegre bir güvenlik ve uyumluluk yetenekleri seti” olarak tanımlıyor.

Yakın tarihli bir Frost & Sullivan raporuna göre, CNAPP satışları 2021’de 1,7 milyar doları aşarak 2020’den yaklaşık %49 daha yüksek. Frost & Sullivan, CNAPP gelirlerinin 2021’den 2026’ya kadar yaklaşık %26’lık yıllık bileşik büyüme oranında artacağını tahmin ediyor. raporun yazarı, küresel siber güvenlik endüstri müdürü Anh Tien Vu, “bulut altyapı güvenliğini güçlendiren ve uygulamaları ve verileri yaşam döngüleri boyunca koruyan birleşik bir bulut güvenlik platformuna yönelik artan talep nedeniyle” 2026 yılına kadar gelirlerin 5,4 milyar doları aşacağını tahmin ediyor.

Geliştirme Sırasında Sorunları Önleyin

Saldırganlar, yazılım tedarik zincirine giren güvenlik açıklarından yararlanmak için bulutta yerel hedeflere giderek daha fazla yöneliyor. Geçen yıl, yaygın olarak dağıtılan Log4j Java çalışma zamanı kitaplığındaki Log4Shell güvenlik açığı, böyle bir güvenlik açığının uygulama ekosistemi üzerinde yaratabileceği geniş etkiyi gösterdi. Java uygulamalarının yaygın olarak dağıtılmış dağıtımı göz önüne alındığında, kuruluşlar, Apache Foundation’ın kamuya ifşa edilmesinden sonra bunları bulmak ve yamalamak için uğraşmak zorunda kaldı.

Enterprise Strategy Group kıdemli analisti Melinda Marks, “Log4j ile insanlar bu kitaplıkların kullanımda olup olmadığını bilmiyorlardı” diyor. Uzmanlar, Log4j’den sık sık, yazılım geliştirme yaşam döngülerinin daha yakın işbirliği yapması ve sola kayması gereken CISO’lara ve CIO’lara yönelik bir uyandırma çağrısı olarak bahseder.

Marks, CNAPP’nin kuruluşların, uygulama çalışma zamanlarını üretime dağıtmadan önce yazılım geliştiricilerin koddaki potansiyel kusurları keşfetmede başı çektiği DevSecOps süreçleri oluşturmasına olanak sağladığını söylüyor, ancak aynı zamanda daha da ileri gidiyor. Marks, “Uygulamalarınızı buluta dağıtmadan önce güvenlik sorunlarını önlemek için bu önemlidir, çünkü bunları bir kez dağıttığınızda bilgisayar korsanları tarafından kullanılabilirler” diyor.

Öncelikleri Belirlemek için Çalışma Zamanını İzleyin

CNAPP’ler, kapsayıcılar ve kod olarak altyapı (IaC), bulut güvenlik duruş yönetimi (CSPM), bulut altyapı yönetimi (CIEM) ve çalışma zamanı bulut iş yükü koruma platformları gibi geliştirme eserlerinin taranması dahil silo halindeki yetenekleri birleştirir. CNAPP, daha bütünleşik bir yaklaşım ve bulut tabanlı bilgi işlem ortamlarının risklerine ilişkin daha iyi görünürlük sağlamanın yanı sıra, güvenlik açıklarını azaltmak için ortak kontroller sağlar.

CNAPP ayrıca uygulama geliştirme, siber güvenlik ve BT altyapısı ekipleri arasındaki işbirliğini kolaylaştırarak, uygulamalar üretime dağıtılmadan önce güvenlik açıklarını tespit etmenin ve azaltmanın yolunu açar. Check Point ve Palo Alto Networks gibi güvenlik sağlayıcıları, güvenlik platformlarına CNAPP yetenekleri ekliyor.

Marks, güvenliği sola kaydırma konusunda bir yanlış anlama olduğu konusunda uyarıyor: Bu tamamen güvenliği yazılım geliştirme ve yapı döngülerinde öne taşımakla ilgili. “Çalışma zamanı izlemeyi bağlama ve geliştirici iş akışları için bu bağlama sahip olma ihtiyacı da var, böylece uygulamanın bulutta gerçekte nasıl çalışacağı üzerinde hiçbir etkisi olmayan şeyleri düzeltmek için zaman kaybetmiyorlar” diyor.

Kontrol Noktası Yazılımı İsrailli startup Spectral’ı satın aldı bir yıl önce, artan yazılım tedarik zinciri saldırıları tehdidini kabul ederek diğer ağ güvenliği sağlayıcılarının saflarına katıldı. Spectral, Check Point’in genel ve hibrit bulutlar için birleşik tehdit koruması ve ağ güvenliği platformu olan CloudGuard’daki kritik bir boşluğu kod tarama ve sızıntı algılama araçlarıyla doldurmaya yardımcı oldu.

Spectral, kod (IaC) taraması, kod kurcalamayı önleme, sabit kodlanmış sırları algılama kaynak kontrolleri ve CI/CD güvenliği ve kaynak kodu sızıntısı algılama araçları olarak altyapı sunar. Artık dört temel Check Point ürün serisinden biri olan CloudGuard’ın bir parçası olan Check Point’in Bulutta Yerel Uygulama Koruma Platformunun (CNAPP) temelini oluşturdu.

CNAPP’nin Rolünü Anlamak

Geliştiriciler, yeni iş uygulamalarını ve dijital dönüşüm girişimlerini desteklemek için bulutta yerel uygulama geliştirmeye geçtikçe CNAPP büyük ilgi görüyor. Gartner, CNAPP’leri “geliştirme ve üretim genelinde bulutta yerel uygulamaların güvenliğini sağlamaya ve korumaya yardımcı olmak için tasarlanmış entegre bir güvenlik ve uyumluluk yetenekleri seti” olarak tanımlıyor.

Geliştiriciler, kapsayıcılarını ve sunucusuz işlevlerini oluşturmak için geniş çapta dağıtılmış ve genellikle geniş bir topluluktan gelen açık kaynak koduna ve mikro hizmetlere giderek daha fazla güveniyor. Kaynak kodu yerleşik bir ekosistemden gelse de, bazı bileşenlerin köklerinin bilinmeyen veya eskimiş kaynaklardan gelmesi yaygın bir durumdur. Enterprise Strategy Group’ta kıdemli bir analist olan Melinda Marks, CNAPP’nin kuruluşların, yazılım geliştiricilerin uygulama çalışma zamanlarını üretime dağıtmadan önce koddaki olası kusurları keşfetmede başı çektiği DevSecOps süreçleri oluşturmasını sağladığını söylüyor.

Marks, “Uygulamalarınızı buluta dağıtmadan önce güvenlik sorunlarını önlemek için bu önemlidir, çünkü bunları bir kez dağıttığınızda bilgisayar korsanları tarafından kullanılabilirler” diyor.

Aracısız Tarama ve Diğer Yeni Özellikler

Check Point, geçen yılki satın alma işlemini tamamladıktan sonra Spectral’ın araçlarını CloudGuard’a entegre ettikten sonra, CNAPP’ye bu ay kullanıma sunulan, izinler ve yetkilendirme yönetimi, aracısız tarama ve bir kuruluşun tüm ortamının daha derin risk puanlaması dahil olmak üzere bazı kritik yeni yetenekler ekledi. Check Point yetkilileri, geçen hafta New York’ta düzenlenen yıllık CPX 360 etkinliğinde şirketin CNAPP hamlesinin altını çizdi.

Check Point baş ürün sorumlusu Dorit Dor, Dark Reading’e “Bulutta yerel kontrol ortamının birçok önemli öğesini ele almak için platformu önemli ölçüde zenginleştirdik” dedi. Check Point ayrıca CloudGuard’daki tüm verileri yenisine beslemeyi planladığını duyurdu. Ufuk Etkinlikleri, tüm Check Point ekosisteminden günlükleri toplayan birleşik bir pano. Check Point, Horizon Events’i geçen yılın sonlarında tanıttı ve artık erken erişim sürümü mevcut.

Check Point için CNAPP’yi CloudGuard’a eklemek çok önemliydi. Check Point’in önemli rakipleri de CNAPP ana yolunda. Bunların arasında Palo Alto Networks, son zamanlarda eklenen Prisma Cloud’u önemli ölçüde vurguladı. Yazılım Kompozisyon Analizi (SCA) ve Gizli Tarama yetenekler. Aralık ayında, Palo Alto Networks Edinilen tedarik zinciri güvenlik aracı sağlayıcısı Cider Security.

Check Point Paylaşımları CNAPP Yol Haritası

Dor, Spectral’ın “çok güçlü” gizli tarama yeteneklerini lanse etti. Geliştiricilerin bunu kendi CI/CD ortamlarına bağlayabileceklerini ve açık ilke aracıları aracılığıyla ilkeleri kod olarak uygulayabileceklerini açıkladı.

Dor, CloudGuard için yol haritasını sundu ve Check Point’in daha fazla yapay zeka uygulamak istediğini belirtti. Check Point, geliştiricilerin kötü amaçlı kodları tanımlamasına yardımcı olmak için gözlemlenebilirliği ve görünürlüğü iyileştirmeyi planlıyor. Ayrıca Check Point, CloudGuard’ın tüm yazılım malzeme listesi (SBOM) yaşam döngüsünü yönetmesine izin vermek için çalışıyor ve nihayetinde bunları etkinleştiriyor ve uyguluyor.

Check Point ayrıca CloudGuard’ın ağ güvenliğiyle çalışma biçimini geliştirmek için çalışıyor. Dor, “Ağ Güvenliği uzun süredir var; çok olgun bir ağ güvenliği çözümümüz var” dedi. “Ancak şu anki zorluk, onu geliştiricilerin dilinden daha fazla konuşturmak.” Check Point, ağ güvenliğini kendi sistemine entegre ederek bunu ele alıyor. AWS Güvenlik çerçevesi ve bunu AWS ağ güvenliği ile bir hizmet olarak sunmak. Dor, Check Point’in yakın zamanda CloudGuard ağ güvenliğini entegre ettiğini belirtti. Microsoft Azureyöneticilerin Microsoft ortamlarını yönetmelerine olanak tanır.

Dor, “Sürekli yatırım için bir alan,” dedi. Çoklu bulut kapsamına yönelik bir yönlendirme ile amaç, “geliştiricilerinizi yerel olarak desteklemesini ve sistem yönetimini desteklemesini ve size bir bulut kontrol düzlemi sunmasını” sağlamaktır.