Citrix işletmelerin dikkat etmesi gereken en önemli 5 bulut güvenliği riskini ve yapılması gerekenleri hatırlatıyor.
Bulut kullanımı giderek artarken, bulut üzerinde depolanan veri miktarı da artıyor. Bulut hizmetlerinin tüketicileri, kullandıkları bulut modeli fark etmeksizin, her zaman veri güvenliğinin bulut sağlayıcısının değil kendilerinin sorumluluklarında olduğunu hatırlamak zorunda. Verilerin ele geçirilmesi potansiyeline ek olarak, bulut hizmetleriyle bağlantılı başka riskler de söz konusu ve bunların göz ardı edilmemesi gerekiyor.
Citrix, her kuruluşun bulut teknolojilerini kullanmaya başlarken göz önünde bulundurması gereken en önemli beş riski anımsatıyor:
Veri Yönetişimi Hatası
Verilerin bir bulut ortamında yönetilmesi, şirket içinde yönetilmesine benziyor. Her iki durumda da yetkisiz kullanıcıların erişiminin önlenmesi amaçlanıyor. Bulut hizmeti sağlayıcıları, sistemlerinde depolanan verileri korumak için genellikle verilerin çevresine güvenlik duvarları, erişim denetimleri, şifreleme ve izleme araçları kuruyor; ancak, bu güvenlik önlemlerini anlamak ve uygulamak müşterinin sorumluluğunda bulunuyor.
Ayrıca, verilerin coğrafi sınırlar bakımından barındırıldığı yer de bulut depolaması stratejisi ve yönetişimi bakımından hayati bir rol oynayabilir. Örneğin, Avrupa’nın yeni veri gizliliği ve güvenliği kanunu olan Genel Veri Koruma Yönetmeliği (GDPR/GVKY), veri sorumlularının verileri Avrupa Birliği’nin coğrafi sınırları içinde işlerken yeterli özeni göstermesini gerektiriyor. Uyumsuzluk, yüksek cezalarla sonuçlanabilir. Bulut hizmeti sağlayıcısının, verilerin AB coğrafi sınırları dahilinde barındırıldığından emin olması gerekiyor. Verilerin sınırlar dışında barındırılması gerekiyorsa, bu düzenlemenin şeffaf bir biçimde yapılması ve veri sahibi tarafından onaylanması gerekiyor.
Bulut ortamı dahilindeki saklama yaşam döngüsü, veri yönetiminin bir başka ve genelde göz ardı edilen unsurunu oluşturuyor. Bulut hizmeti sağlayıcılarına ait olan veri depolama bileşenleri, hizmetin bir parçası olarak müşterilere sağlanıyor. Veriler, tipik olarak hizmet sağlayıcı tarafından yedekleme amaçlarıyla birkaç farklı depolama birimine dağıtılıyor. Bu dağıtık senaryoda, müşterinin DoD 5220.22-M standardı doğrultusunda verilerin hizmet sağlayıcı tarafından güvenli bir biçimde silinip silinmediğini ya da kalıntılar olup olmadığını doğrulaması mümkün değil. Çoğu bulut hizmeti sağlayıcısı, güvenli bir silme yöntemi sağlamak için çaba harcıyor; ancak nihai sorumluluk veri sahibine ait. Bulut tüketicilerinin bulut hizmeti sağlayıcısı tarafından kullanılan veri silme ve yaşam döngüsü metodolojisini belirlerken ve talep ederken ayrıntılı bir araştırma gerçekleştirmesi gerekiyor.
Artan Karmaşıklık ve Eğitim Eksikliği
Bulut hizmeti sağlayıcıları, kullanım kolaylığını artırmak ve müşteriler için kısa sürede maliyetin karşılanmasını sağlamak amacıyla bulut tabanlı hizmetlerin devreye alınmasının karmaşıklığı ile kendileri başa çıkıyor. Ancak, şirket içindeki bir ortamdan buluta geçiş yapılması, bir kuruluşun BT operasyonlarının da karmaşık hale gelmesine neden oluyor. Mevcut BT personeli, bulut hizmetlerinin yönetilmesi ve desteklenmesi konusunda uygulamalı deneyime sahip olmayabilir ve bu da ekibin yeni bir modeli öğrenmesini gerektirebilir. Ekiplerin özellikle bulut üzerindeki veri güvenliği hakkında bilgi edinmesi gerekiyor.
Bulut hizmeti sağlayıcıları, müşteri BT ekiplerine bir veri şifreleme çözümü sağlıyor. Bu çözümler tipik olarak çeşitlilik gösteriyor. Örneğin Microsoft Azure, Azure Depolama Hizmeti Şifrelemesi hizmetini sunarken Amazon Web Services, EBS Birim Şifrelemesi hizmetini sunuyor. Tüm bu karmaşıklık ve bulut öğrenme eğrisi, hem bulut hem de hibrit bulut uygulamalarında güvenlik açıklarına neden olabilir. Çözüm, BT ekibine yeterli eğitimin sağlanmasında ve çözümünün önde gelen uygulamalar doğrultusunda devreye alınması için bulut hizmeti sağlayıcı ile birlikte çalışılmasında yatıyor. Ayrıca, kurumsal BT ekibinin bulut tabanlı modele geçmeden önce güçlü bir operasyonel ilke oluşturması gerekiyor.
Hatalı Yapılandırmalar
Bir sistemin hatalı yapılandırılması, yaygın olarak görülen bir güvenlik riski. Bulut hizmeti sağlayıcıları, rakiplerinden farklılaşmak ve bir dizi özellik sağlamak amacıyla, yapılandırma karmaşıklıklarının gizlendiği tek tıkla devreye alma modellerini etkinleştiriyor. Müşterinin kendi yapılandırmasını devreye alma sonrasında gerçekleştirmesi gerektiğinden, gerekli teknik anlayışın mevcut olmaması hatalara ya da eksikliklere yol açabilir. Citrix Danışmanlık Hizmetleri tarafından bugüne kadar keşfedilen, hizmet sağlayıcıdan bağımsız en önemli beş hatalı güvenlik yapılandırması şunlardan oluşuyor:
- Kısıtlanmamış dışa dönük erişim
- Kullanılmayan güvenlik grupları
- Şifrelenmemiş depolama
- Çok faktörlü kimlik doğrulamasının kullanılmaması
- Hatalı yapılandırılmış güvenlik grupları
Hatalı yapılandırma riski, güvenliğin sonradan akla gelen bir unsur olarak değil, devreye alma öncesinde planlanması aracılığıyla stratejik bir biçimde yönetilebilir. Kurumsal müşterilerin, bulut hizmetlerinin önde gelen uygulamalara uygun biçimde yapılandırıldığından emin olmak için tasarım ve devreye alma aşamaları sırasında hizmet sağlayıcının desteğini alması gerekiyor. Herhangi bir güvenlik açığının keşfedilmesine ve bulut hizmetlerinin genel sağlığının garanti edilmesine yardımcı olması için kurumsal stratejinin bir parçası olarak sürekli denetim ve test gerçekleştirilmesi gerekiyor.
Kullanılabilirlik Hatası
Önemli bir gerçek: genellikle birbirlerini desteklediklerinden, iş unsurları ile teknik unsurlar arasına belirgin bir çizgi çekmek mümkün değil. Birinde oluşacak hata bir domino etkisine yol açabilir. Çoklu kiralamanın, bulut hizmeti sağlayıcısı tarafından yama uygulanması gereken daha az BT kaynağı bulunması, daha düşük toplam sahip olma maliyeti ve daha kısa olaylara müdahale süresi gibi avantajları bulunuyor. Ancak, bir güvenlik ihlali durumunda, bundan tek kiracı da altta yatan fiziksel kaynakları paylaşan çok sayıda kiracı da etkilenebilir. Çok sayıda kiracıyı barındıran temel fiziksel destek sistemine erişim elde eden kötü amaçlı kullanıcılar, sağlanan mantıksal veya fiziksel ayırma denetiminin başarısız olması durumunda bir ya da daha fazla kiracının savunmasız kalmasına yol açabilir. Yukarıdakilere ek olarak, donanım arızaları da barındırılan kiracıların tamamını etkileyebilir ve kullanılabilirlik sorunlarına neden olabilir. Tüm gerekli mantıksal ve fiziksel güvenlik denetimleri, her kiracı için güvenli bir alan ve çok sayıda arıza etki alanı, yukarıda belirtilen risklerin azaltılması amacıyla bulut hizmeti sağlayıcısı tarafından tedarik ediliyor. Çok kiracılı bir ortamın potansiyel etkilerinin ve hizmet sağlayıcısı tarafından sağlanan risk azaltma stratejilerinin anlaşılması için bulut hizmetleri kullanıcılarının ayrıntılı bir araştırma gerçekleştirmesi gerekiyor.
Bulut Üzerinde Cryptojacking
Bundan kısa bir süre önce ortaya çıkan yukarı yönlü ve aynı zamanda istikrarsız kripto para trendi, cryptojacking adı verilen yeni bir tehdidin ortaya çıkmasına yol açtı. Bitcoin gibi kripto para birimleri, çok yüksek bilgi işlem gücü gerektiriyor ve bu da kötü amaçlı kullanıcıların madencilik yapmak ya da dijital para birimini kullanarak işlemler gerçekleştirmek için istismar edilebilecek zengin bilgi işlem kaynaklarına sahip bulut hizmeti sağlayıcılarını hedef almasına yol açtı. Bu yeni saldırı yöntemi, kötü amaçlı kullanıcıları zenginleştirmek için bilgi işlem kaynaklarından yasa dışı bir biçimde yararlanmak amacıyla arka planda fark edilmeden çalışıyor. Herhangi bir verinin ya da kaydın silinmemesi veya çalınmaması nedeniyle zararsız görünmekle birlikte, bu tehdit cryptojacking kodunun yerleştirilmesi için bulut güvenlik sınırlarını ihlal ediyor. Bu istismar, kötü amaçlı veri çobanlarının erişim elde etmek için benzer yöntemler kullanmasının önünü açıyor. Cryptojacking istismarları 2017 yılından bu yana yüzde 141 oranında arttı ve bunlardan en dikkat çekici olanları Tesla’nın Amazon Web Services bulut hesabına dijital para madenciliği için yasa dışı olarak erişilmesi ve AOL reklamcılık platformuna web madenciliği komut dosyasının yerleştirilmesi oldu.
Bulut güvenliği mikro hizmetlerinin önde gelen uygulamalar doğrultusunda yapılandırılmasının, uygun yönetişimin mevcut olmasının ve bulut hizmetlerinin kullanımına ilişkin incelikler konusunda son kullanıcılara eğitim sağlanmasının garanti edilmesi için müşterilerin ve bulut hizmeti sağlayıcılarının birlikte çalışması gerekiyor. Bu strateji, kripto para birimleri için gerekli olan gücün sağlanması amacıyla bilgi işlem kaynaklarının yetkisiz olarak kullanılması sonucunda hem müşterilerin hem de bulut hizmeti sağlayıcılarının uğrayacağı finansal kayıpları azaltabilir.
