Siber güvenlik profesyonellerinin, sürekli olarak bulut altyapılarını ve uygulamalarını hedef alan bilgisayar korsanlarını engellemek için ihtiyaç duydukları bilgiyi edinmeleri için, General George S. Patton (ya da daha doğrusu En İyi Erkek Oyuncu Oscar’ını kazanan aktör George C. Scott gibi) gibi düşünmeleri gerekir. 1970 filminde generali canlandırdığı için Patton).
Erken bir sahnede kamera, Patton’ın Alman General Erwin Rommel tarafından okuduğu bir kitaba odaklanır. Mesele, Patton’ın bir sonraki savaşı planlamak için nasıl sadece askeri istihbarata güvenmediğini göstermek. Rakibinin nasıl düşündüğü ve çalıştığı hakkında olabildiğince çok şey öğrenmek için proaktif davranıyor. Sonraki sahne, Patton’un birliklerinin Alman tanklarına ve piyadelerine yıkıcı bir saldırı başlattığını gösteriyor. Patton dürbününden bakarak gülümsüyor ve “Rommel, seni muhteşem (küfür), kitabını okudum!” diye bağırıyor.
İş dünyası ve güvenlik liderleri de bilgisayar korsanlarının motivasyonları ve taktikleri hakkında olabildiğince fazla bilgi edinme konusunda proaktif olmalıdır. Yalnızca güvenlik çözümlerinizin size söylediklerine güvenmeyin, çünkü bu size yalnızca yanlış bir güvenlik duygusu verir. Bilgisayar korsanları her gün güvenlik sınırlarını aşıyor, keyfi sınırları aşıyor ve sonunda istedikleri verilere tespit edilmeden ulaşmak için güvenlik çözümlerinden kaçıyor.
Bunda video, Josh Stellaşirketinde baş mimar Snyk ve kurucu CEO’su Függeliştirici öncelikli bir bulut güvenliği SaaS şirketi, yöneticilerin neden güvenlik ekiplerinden kendilerine çalışan bulut ortamı hakkında bilgi vermelerini istemeleri gerektiğini ve tüm ekipler arasında güvenlik yatırımını haklı çıkarmak için bunu diğer yöneticilere etkili bir şekilde iletmeleri gerektiğini açıklıyor.
Düşmanlarınız muhtemelen çalışmanız için metodolojileri hakkında kitaplar yazmayacaklardır. İşte tüm üst düzey yöneticilerin (CISO’lar, CIO’lar, CEO’lar) bulut güvenliği hakkında sorması gereken ve bulut güvenliği ekiplerinin yanıtlarını her zaman bilmesi gereken dokuz soru.
Bulut ortamımız ne kadar uyumlu değil?
Bulutta faaliyet gösteren hiçbir kurumsal kuruluş, mevzuat ve güvenlik ilkeleriyle %100 uyumlu bir ortama sahip değildir. Ancak bulut güvenliği yapanlar, ortamlarının tam olarak nerede olduğunu ve uyumlu olmadığını tam olarak bilir. İstisnaların -kuralın istisnaları- olmasını sağlarlar ve her şeyi uyumlu hale getirmek için öncelikli bir planları vardır.
Bulut ortamınızın güvenliği ve uyumluluğu konusunda her zaman nerede olduğunuzu bilmelisiniz. Güvenlik ekibiniz, kullanım durumlarınızı ve ortaya çıkan saldırı vektörlerini yeterince ele aldıklarından emin olmak için şirket içi güvenlik politikalarını düzenli olarak gözden geçirmelidir. Ekibinizin uyumsuz bulut altyapısını keşfetmek için kullandığı süreci, sahip oldukları iyileştirme sürecini ve bir ortamı uyumluluğa getirmek için gereken süreyi anlayın.
Kaç güvenlik açığını belirledik ve ortadan kaldırdık?
Bulut güvenliği duruşunuz statik değildir ve ekibiniz sorunları belirleme ve gidermede daha iyi hale geldikçe zaman içinde gelişecektir. Ortamınızda kaç tane yanlış yapılandırma güvenlik açığı bulunduğuna ve günde kaç tanesinin giderildiğine dair bilginiz olmalıdır.
Bu çaba genellikle izleme araçları ve biletleme sistemlerinden oluşan çok sayıda manuel çalışmayı gerektirdiğinden, ekibinizin modern kurumsal bulut ortamlarında yer alan karmaşıklık ölçeğini ele almasına yardımcı olmak için otomasyondan yararlanmak isteyeceksiniz. Modern büyük bulut ihlallerinin nasıl gerçekleştiğini anlamak için etki alanı uzmanlığına sahip bulut güvenliği uzmanlarıyla birlikte çalışın ve bu bilgiyi kullanarak kod olarak politika aynı koşulların kuruluşun bulut altyapısında mevcut olup olmadığını otomatik olarak kontrol etmek için kullanılabilir. Kod olarak politika, istenmeyen koşullar için diğer kodları ve çalışan ortamları kontrol etmek için tasarlanmıştır. Tüm bulut paydaşlarının, kurallar ve bunların yazılım geliştirme yaşam döngüsünün her iki ucunda nasıl uygulanacağı konusunda belirsizlik veya anlaşmazlık olmadan güvenli bir şekilde çalışmasını sağlar.
Kaç güvenlik açığının konuşlandırılmasını engelledik?
Güvenlik ekibinizin bulut ortamınızda hangi güvenlik açıklarını keşfettiğini ve düzelttiğini bilmek, bütünsel güvenlik bulmacasının yalnızca bir parçasıdır. Ayrıca, güvenlik ekibinin, yanlış yapılandırmaların devreye alınma sıklığını azaltmak için hangi proaktif adımları attığını da bilmek istersiniz. Bulut güvenliğinde “sola kaydırma” başarısızlığı, ortamınıza kesintisiz bir bulut güvenlik açığı akışı olmasını ve bir güvenlik ekibinin sonsuz bir köstebek vurma oyunu oynamasını sağlar.
Ekibinizin sürekli entegrasyon ve sürekli teslim (CI/CD) ardışık düzenlerinde yerleşik bir güvenliği var mı? Ekibiniz dağıtım öncesi yanlış yapılandırmaları bulmak ve düzeltmek için altyapıyı kod olarak (bulut altyapısını programlı olarak oluşturma ve dağıtmanın bir yolu) kontrol ediyor mu? Bunu yapmak daha hızlı, daha kolay ve daha güvenliyken mi? Buradaki cevaplar “hayır” ise, kod ve CI/CD ardışık düzenleri olarak altyapı benimsenmemiş olabilir. Ancak bunlar kullanılıyorsa, en azından bu süreçlere güvenlik inşa etmek için bir plan olmalıdır.
Bulut API kontrol düzleminin güvenliğini sağlıyor muyuz?
Tüm bulut ihlalleri aynı modeli takip eder: kontrol düzlemi uzlaşması. Uygulama programlama arabirimleri (API’ler), bulut bilişimin birincil sürücüsüdür; onları farklı uygulamaların birbirleriyle etkileşime girmesine izin veren “yazılım aracıları” olarak düşünün. API kontrol düzlemi, bulutu yapılandırmak ve çalıştırmak için kullanılan API’ler topluluğudur.
Bilgisayar korsanları yanlış yapılandırmaları arar. Ne yazık ki güvenlik sektörü, bilgisayar korsanlarının bir adım gerisinde kalıyor çünkü birçok satıcı çözümü, müşterilerini bulut kontrol düzlemini hedef alan saldırılara karşı korumaz. Açıkçası, çoğu üst düzey yöneticilerin ve güvenlik ekiplerinin kendilerini daha iyi hissetmelerini sağlayan onay kutularına odaklanır – saldırıya uğrayana kadar. İşimizde fazlasıyla yaygın olan güvenlik tiyatrosu.
Yanlış yapılandırma, uygulama güvenlik açıkları, kaynak koddaki API anahtarları vb. nedeniyle olası herhangi bir sızma olayının patlama yarıçapı riskini değerlendirmek, saldırganların her gün yararlandığı tasarım kusurlarını belirlemek ve bunlardan kaçınmak için bulut güvenliği mimarisinde uzmanlık gerektirir. Bulut güvenliği bilgi ile ilgilidir ve savunucular çevreleri hakkında tam bilgiye sahip olmadığında ve saldırganların bu bilgiyi keşfetmesini engelleyemediğinde ihlaller meydana gelir.
Güvenlik üretkenliği ne kadar etkiliyor?
Bulut, inovasyon hızı ile ilgilidir ve güvenlik, ekiplerin ne kadar hızlı gidebileceği ve dijital dönüşümün ne kadar başarılı olabileceği konusunda bir numaralı sınırlayıcı faktördür. Uygulama geliştiricileri, dağıtmaları gereken altyapıyı mı bekliyor? DevOps ekipleri, altyapılarını gözden geçirmek ve onaylamak için güvenlik mi bekliyor? Bulut mühendisleriniz, şirketiniz ve müşterileriniz için daha fazla değer yaratabilecekken, zaman alan manuel güvenlik ve uyumluluk görevlerine çok fazla zaman mı harcıyor?
Geliştirici ve DevOps verimini düzenli olarak ölçmek, üretkenliği ve morali olumsuz yönde etkileyen yetersiz güvenlik süreçlerinden kaynaklanan gecikmelerin belirlenmesine yardımcı olacaktır.
Güvenlik politikalarını nasıl ifade ediyoruz?
Bu sorunun iki yanıtı var: Güvenlik politikalarınız insan dilinde yazılmış ve insanlar tarafından gözden geçirilmiş veya politikayı kod olarak kullanıyorsunuz. Cevap eskiyse, bulut ortamlarınız yeterince güvenli olamaz. Bulut ihlallerinin yürütülmesinin dakikalar aldığı bir zamanda, ilkeleri manuel olarak gözden geçirmek ve bunları ortamınızda uygulamak zaman alır. Ve insan hatası riskleri ve yorum farklılıkları her zaman mevcuttur.
Politika kod olarak kullanıldığında, makineler bir politikayı her seferinde aynı şekilde gerçek zamanlı olarak doğru bir şekilde yorumlayacaktır; bu, herhangi bir insan ordusunun yapmayı umabileceğinden çok daha fazla bulut altyapısını sürekli olarak değerlendirebileceğiniz anlamına gelir. Güvenlik ilkesi uygulamasının bir dağıtımdan diğerine değişmesi gerekiyorsa, her şeyin iyi belgelenmesi için bu istisnaları kod olarak ifade edebilirsiniz. Politikayı kod olarak kullanarak güvenlik otomasyonunu uyguladığınızda, üretime ulaşmadan önce geliştirme veya dağıtım sırasında sorunlar bulunabilir ve giderilebilir.
Sıfır gün olaylarına ne kadar çabuk yanıt verebiliriz?
Bu yılın başlarındaki Log4j kusuru, güvenlik ekiplerini her yere yanıt vermeye zorladı. Bu tür “sıfır gün” olayları, müdahale ve iyileştirme çabalarınıza öncelik vermek için ekiplerin güvenlik açıklarının nerede olduğunu ve önem derecelerini hızlı ve doğru bir şekilde değerlendirmesini gerektirir. Bu tür uygulama sıfır gün istismarlarına tepki, ekiplerin normalde olduğundan daha derine inmesini gerektirir, çünkü uygulama güvenlik açıkları genellikle bulut altyapısı ortamına sızmak ve nihayetinde bulut kontrol düzlemini tehlikeye atmak için kullanılır.
Ekipler, yalnızca uygulama güvenlik açıklarını hızlı bir şekilde tanımlayabilmeli, aynı zamanda önem derecesi atamak ve buna göre düzeltmeye öncelik vermek için güvenlik açığının her bir örneğinin sunduğu potansiyel patlama yarıçapını değerlendirebilmelidir.
Tüm takımlar başarılı olmak için ihtiyaç duydukları şeye sahip mi?
Modern kurumsal güvenlikte silo yoktur. Güvenlik, ekiplerin ve maliyet merkezlerinin ötesine geçen ve doğruyu bulmak için yönetici liderliği ve sponsorluk gerektiren entegre bir yaklaşım gerektirir. Örneğin, güvenliğe yönelik bir sola kaydırma yaklaşımı, geliştiricilerin ve DevOps’un, yazılım geliştirme yaşam döngüsünün başlarında sorunları bulmak ve düzeltmek için bazı sorumluluklar üstlenmesini gerektirir. Ancak güvenlik yatırımı bu yeni öncelikleri yansıtmazsa, çabayı tehlikeye atan sürtüşmeler olacaktır.
Güvenlik başarısı, hem bütçe hem de zaman açısından yeterli yatırımların yapıldığı yönetici sponsorluğuna bağlıdır.
Başarısızlık nasıl görünecek?
CISO’ların ötesinde, kendilerine bu soruyu gerçekten soran çok az yönetici görüyorum. Büyük bir güvenlik ürünleri şirketi olan Imperva’yı vuran ve sonuçta CEO’nun görevi bırakmasıyla sonuçlanan bulut ihlalini düşünün. Sonra, hala büyük bir finans kurumunu vuran en büyüklerden biri olan Capital One ihlali var. Ve bu yılın başlarında sadece Twitch’i değil, Amazon’u da etkileyen Twitch ihlali. General Patton’ın General Rommel’i yenilgiye uğratmasının aksine, iş liderleri için herhangi bir zafer olmayacak, sadece başarısızlığı önlemeye yönelik sürekli arayış olacak.
Bulut güvenliği, bir spor salonuna katılmak ve formda kalmak ve formda kalmak için bu üyeliği sürekli olarak kullanma konusunda titiz olmak gibi sonsuz bir girişimdir. Kuruluşunuzun bulut güvenliği duruşu hakkında tutarlı raporlama gerektiren bir ilke uygulamanız gerekir. Güvenlik açıklarını belirlemek ve gidermek için neler yapıldığı, geçen hafta veya geçen ay kaç tanesinin ortadan kaldırıldığı ve haber başlıklarına neden olan yeni bir güvenlik açığına nerede maruz kalabileceğinizle ilgili sorularla boğuşmak istemezsiniz; yanıtlar istersiniz.
Josh Stella, şirketin baş mimarıdır. Snyk ve bulut güvenliği konusunda teknik bir otorite. Josh, şirketin kurucu CEO’su olarak 25 yıllık BT ve güvenlik uzmanlığını getiriyor. Füg, Amazon Web Services’de ana çözüm mimarı ve ABD istihbarat topluluğuna danışman. Josh’un kişisel görevi, kuruluşların bulut yapılandırmasının nasıl yeni saldırı yüzeyi olduğunu ve şirketlerin bulut altyapılarını güvenceye almak için savunmacı bir duruştan önleyici bir duruşa nasıl geçmeleri gerektiğini anlamalarına yardımcı olmaktır. O’Reilly tarafından yayınlanan “Değişmez Altyapı” üzerine ilk kitabı yazdı, çok sayıda bulut güvenliği teknolojisi patentine sahip ve eğitici bir Bulut Güvenliği Masterclass serisine ev sahipliği yapıyor. Josh ile bağlantı kurun LinkedInve geliştiricilerin ilk bulut güvenliği SaaS şirketi olan Fugue hakkında daha fazla bilgi için şu adresi ziyaret edin: www.fugue.com, GitHub, LinkedIn, ve heyecan.
–
New Tech Forum, ortaya çıkan kurumsal teknolojiyi benzeri görülmemiş bir derinlikte ve genişlikte keşfetmek ve tartışmak için bir alan sağlar. Seçim, önemli olduğuna inandığımız ve InfoWorld okuyucularının en çok ilgisini çeken teknolojileri seçmemize dayalı olarak özneldir. InfoWorld, yayın için pazarlama teminatı kabul etmez ve katkıda bulunan tüm içeriği düzenleme hakkını saklı tutar. Tüm sorularınızı [email protected] adresine gönderin.
Telif Hakkı © 2022 IDG Communications, Inc.
Kaynak : https://www.infoworld.com/article/3660058/9-questions-you-should-ask-about-your-cloud-security.html#tk.rss_all