Bulut güvenliği nedir?
Bulut tabanlı sistemlerinizi ve verilerinizi korumanıza yardımcı olan teknolojiler, prosedürler, ilkeler ve denetimler hakkında daha fazla bilgi edinin.
Bulut güvenliği tanımlanıyor
Bulut güvenliği, bulut hizmeti sağlayıcıları ve müşterileri arasında paylaşılan bir sorumluluktur. Sorumluluk, sunulan hizmetlerin türüne göre değişir:
Ortak bulut ortamları
Bulut hizmeti sağlayıcıları tarafından çalıştırılır. Bu ortamda sunucular birden çok kiracı tarafından paylaşılır.
Özel bulut ortamları
Müşteriye ait bir veri merkezinde olabilir veya bir genel bulut hizmeti sağlayıcısı tarafından çalıştırılabilir. Her iki durumda da sunucular tek kiracılıdır ve kurumların diğer şirketlerle yer paylaşması gerekmez.
Hibrit bulut ortamları
Şirket içi veri merkezlerinin ve üçüncü taraf bulutların birleşimidir.
Çoklu bulut ortamları
Farklı bulut hizmeti sağlayıcıları tarafından işletilen iki veya daha fazla bulut hizmetini dahil edin.
Bir kurumun kullandığı ortam türü veya ortam birleşimi ne olursa olsun, bulut güvenliğinin amacı yönlendiriciler ve elektrik sistemleri, veriler, veri depolama, veri sunucuları, uygulamalar, yazılımlar, işletim sistemleri ve donanımlar dahil olmak üzere fiziksel ağları korumaktır.
Bulut güvenliği neden önemlidir?
Bulut, çevrimiçi yaşamın ayrılmaz bir parçası haline geldi. Dijital iletişimi ve çalışmayı daha kolay hale getirir ve kurumlar için hızlı yeniliği teşvik eder. Ancak arkadaşlar fotoğraf paylaştığında, iş arkadaşları yeni bir ürün üzerinde işbirliği yaptığında veya hükümetler çevrimiçi hizmetler sunduğunda, verilerin kendisinin nerede depolandığı her zaman net değildir. Kişiler istemeden, verileri daha az güvenli bir konuma taşıyabilir ve internetten erişilebilen her şeyle, varlıklara yetkisiz erişim riski daha yüksektir.
Veri gizliliği de kişiler ve hükümetler için giderek daha önemli hale geliyor. Genel Veri Koruma Yönetmeliği (GDPR) ve Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) gibi düzenlemeler, bilgi toplayan kurumların bunu şeffaf bir şekilde yapmasını ve verilerin çalınmasını veya kötüye kullanılmasını önlemeye yardımcı olan ilkeleri uygulamaya koymasını gerektirir. Uyulmaması, pahalı para cezalarına ve itibarın zarar görmesine neden olabilir.
Rekabetçi kalabilmek için kurumlar, verileri ve sistemleri aşağıdaki tehditlerden korurken, hızla yineleme yapmak ve çalışanlar ile müşterilerin hizmetlere erişimini kolaylaştırmak için bulutu kullanmaya devam etmelidir:
- Risk altındaki hesaplar: Saldırganlar çalışanların parolalarını çalmak ve sistemlere ve değerli kurumsal varlıklara erişim sağlamak için genellikle kimlik avı kampanyalarını kullanır.
- Donanım ve yazılım güvenlik açıkları: Bir kurum, ister genel ister özel bulut kullanıyor olsun, donanım ve yazılıma düzeltme eki uygulanması ve güncel tutulması çok önemlidir.
- İç tehditler: İnsan hatası, güvenlik ihlallerinin büyük bir itici gücüdür. Yanlış yapılandırmalar, kötü aktörler için açıklıklar oluşturabilir ve çalışanlar genellikle kötü bağlantılara tıklar veya yanlışlıkla verileri daha az güvenlikli konumlara taşır.
- Bulut kaynaklarında görünürlük eksikliği: Bu tür bulut riski, güvenlik açıkları ve tehditlerini algılama ve bunlara yanıtlamayı zorlaştırarak ihlallere ve veri kaybına yol açabilir.
- Risk önceliklendirme eksikliği: Güvenlik yöneticileri bulut kaynaklarına yönelik görünürlük elde ettiklerinde, güvenlik duruşunu geliştirmeye yönelik çok fazla sayıda tavsiye ile karşılaşabilirler. Yöneticilerin güvenlik açısından en iyi etkiyi yaratmak için nereye odaklanacaklarını bilmeleri için risk önceliklendirmesi yapmak önemlidir.
- Yüksek riskli bulut izinleri: Bulut hizmetlerinin ve kimliklerin yaygınlaşması, yüksek riskli bulut izinleri sayısını da artırarak olası saldırı yüzeyini genişletmiştir. İzin yayılma endeksi (PCI) ölçümü, izinlerine dayalı olarak kimliklerin ne kadar zarara sebep olabileceğini ölçer.
- Gelişen tehdit düzlemi: Bulut güvenliği riskleri sürekli olarak gelişmektedir. Güvenlik ihlalleri ve veri kaybına karşı koruma sağlamak için yeni gelişen tehditlerden daima haberdar olmak önemlidir.
- Buluta özel geliştirme ve güvenlik arasında tümleştirme eksikliği: Uygulama buluta dağıtılmadan önce kod sorunlarını tanımlamak ve düzeltmen için güvenlik ve geliştirme ekiplerinin birlikte çalışması kritik bir öneme sahiptir.
Bulut güvenliği nasıl çalışır?
Bulut güvenliği, bulut hizmeti sağlayıcıları ve müşterileri arasında paylaşılan bir sorumluluktur. Sorumluluk, sunulan hizmetlerin türüne göre değişir:
Hizmet olarak altyapı
Bu modelde, bulut hizmeti sağlayıcıları talep üzerine bilgi işlem, ağ ve depolama kaynakları sunar. Sağlayıcı, temel bilgi işlem hizmetlerinin güvenliğini sağlamaktan sorumludur. Müşteriler, uygulamalar, veriler, çalışma zamanları, ara yazılımlar ve işletim sisteminin kendisi dahil olmak üzere işletim sisteminin üzerindeki her şeyi güvenli hale getirmelidir.
Hizmet olarak platform
Birçok sağlayıcı, bulutta eksiksiz bir geliştirme ve dağıtım ortamı da sunar. Çekirdek bilgi işlem hizmetlerine ek olarak çalışma zamanını, ara yazılımı ve işletim sistemini koruma sorumluluğunu üstlenirler. Müşteriler uygulamalarını, verilerini, kullanıcı erişimini, son kullanıcı cihazlarını ve son kullanıcı ağlarını korumalıdır.
Hizmet olarak yazılım
Kurumlar, Microsoft Office 365 veya Google Drive gibi kullandıkça öde modelindeki yazılımlara da erişebilir. Bu modelde müşterilerin verileri, kullanıcıları ve cihazları için güvenliği hala kendilerinin sağlamaları gerekir.
Kim sorumlu olursa olsun, bulut güvenliğinin dört temel yönü vardır:
- Erişim kısıtlama: Bulut, her şeyi internet üzerinden erişilebilir hale getirdiğinden, yalnızca doğru kişilerin doğru araçlara doğru süre boyunca erişmesini sağlamak inanılmaz derecede önemlidir.
- Verilerin korunması: Kurumların, verilerinin nerede olduğunu anlaması ve hem verilerin kendisini hem de verilerin barındırıldığı altyapıyı korumak için uygun denetimleri devreye sokması gerekir.
- Veri kurtarma: Bir ihlal olması durumunda iyi bir yedekleme çözümü ve veri kurtarma planı çok önemlidir.
- Cevap planı: Bir kurum saldırıya uğradığında, etkiyi azaltmak ve diğer sistemlerin güvenliğinin ihlal edilmesini önlemek için bir plana ihtiyaçları vardır.
- Güvenliğin sola kaydırılması: Buluta özel uygulamaların güvenli bir şekilde başlangıç yapması ve güvenli kalabilmesi için güvenlik ve geliştirme ekipleri güvenliği kodun içine eklemek için birlikte çalışır.
- DevOps güvenlik duruşunun görünürlüğünün birleştirilmesi: DevOps platformlarında DevOps güvenlik duruşu içgörülerini ortaya çıkarması için tek cam bölmeyi kullanarak kör noktaları en aza indirin.
- Güvenlik ekiplerinin gelişen tehditlere odaklı kalmasını sağlamak: Güvenlik ortamlarına erişen güvenlik sorunlarını azaltmak için bulut kaynağı yapılandırmalarını güçlendirin.
Bulut güvenliği aracı türleri
Bulut güvenlik araçları, hem çalışanlardan hem de dış tehditlerden kaynaklanan güvenlik açıklarını ele alır. Ayrıca geliştirme sırasında oluşan hataların azaltılmasına yardımcı olur ve yetkisiz kişilerin hassas verilere erişme riskini azaltır.
-
Bulut güvenliği duruş yönetimi
Bulut yanlış yapılandırmaları sık sık meydana gelir ve ihlaller için fırsatlar yaratır. Bu hataların çoğu, insanların bulutun yapılandırılmasından ve uygulamaların güvenliğinin sağlanmasından müşterinin sorumlu olduğunu anlamadığı için ortaya çıkar. Karmaşık ortamlara sahip büyük şirketlerde hata yapmak da kolaydır.
Bir bulut güvenlik duruşu yönetimi çözümü, sürekli olarak bir ihlale yol açabilecek yapılandırma hatalarını arayarak riski azaltmaya yardımcı olur. Bu çözümler, süreci otomatikleştirerek el ile süreçlerde hata riskini azaltır, binlerce hizmet ve hesabın bulunduğu ortamlarda görünürlüğü artırır. Güvenlik açıkları algılandıktan sonra geliştiriciler, rehberli önerilerle sorunu düzeltebilir. Bulut güvenliği duruş yönetimi ortamı kötü niyetli etkinliklere veya yetkisiz erişime karşı sürekli olarak izler.
-
Bulut iş yükü koruması platformu
Kurumlar, geliştiricilerin özellikleri daha hızlı oluşturmasına ve dağıtmasına yardımcı olan süreçler oluşturduğundan, geliştirme sırasında güvenlik kontrollerinin kaçırılması riski daha yüksektir. Bir bulut iş yükü koruması platformu, buluttaki uygulamaların ihtiyaç duyduğu bilgi işlem, depolama ve ağ oluşturma yeteneklerinin güvenliğini sağlamaya yardımcı olur. Genel, özel ve hibrit bulut ortamlarındaki iş yüklerini belirleyerek ve bunları güvenlik açıkları için tarayarak çalışır. Güvenlik açıkları keşfedilirse, çözüm bunları düzeltmek için denetimler önerecektir.
-
Bulut erişimi güvenlik aracısı
Bulut hizmetlerini bulmak ve bunlara erişmek çok kolay olduğu için BT ekiplerinin kurumda kullanılan tüm yazılımları takip etmesi zor olabilir.
Bulut uygulaması güvenlik aracıları (CASB) BT’nin bulut uygulaması kullanımına ilişkin görünürlük kazanmasına yardımcı olur ve her uygulama için bir risk değerlendirmesi sağlar. Bu çözümler ayrıca verilerin bulutta nasıl hareket ettiğini gösteren araçlarla verilerin korunmasına ve uyumluluk hedeflerine ulaşılmasına yardımcı olur. Kurumlar, olağandışı kullanıcı davranışlarını algılamak ve tehditleri düzeltmek için de bu araçları kullanır.
-
Kimlik ve erişim
Kaynaklara kimlerin erişimi olduğunu denetlemek, buluttaki verileri korumak için kritik öneme sahiptir. Kurumlar, ister yerinde ister uzaktan çalışıyor olsunlar, çalışanların, yüklenicilerin ve iş ortaklarının hepsinin doğru erişime sahip olmasını sağlayabilmelidir.
Kurumlar, kimlikleri doğrulamak, hassas kaynaklara erişimi sınırlamak, çok faktörlü kimlik doğrulaması ve en az ayrıcalık ilkelerini uygulamak için kimlik ve erişim çözümlerini kullanır.
-
Bulut altyapısı yetkilendirme yönetimi
Kimlik ve erişim yönetimi kişiler birden fazla bulut üzerinden verilere eriştiğinde daha da karmaşık hale gelir. Bir bulut altyapısı yetkilendirme yönetimi çözümü, bir şirketin bulut platformlarında hangi kimliklerin hangi kaynaklara eriştiği konusunda görünürlük kazanmasına yardımcı olur. BT ekipleri ayrıca bu ürünleri en az ayrıcalıklı erişim ve diğer güvenlik ilkelerini uygulamak için kullanır.
-
Bulutta yerel uygulama koruması platformu
Güvenlik ekiplerinin koddan koda güvenlik eklemesine yardımcı olan kapsamlı bir bulutta yerel uygulama koruması platformu (CNAPP). CNAPP, geliştirmeden çalışma zamanına kadar çoklu bulut ve hibrit ortamlarında bulut güvenliği tehditlerini önlemek, algılamak ve yanıtlamak için uygunluk ve güvenlik özelliklerini birleştirir.
-
Birleşik DevOps güvenlik yönetimi
Bulut uygulamalarını başlangıçtan itibaren güvenli olmasını sağlamak üzere DevOps için güvenlik yönetimini birleştirin. Güvenlik ekipleri çoklu işlem hattı güvenliğini birleştirme, güçlendirme ve yönetme; güvenliği kodun kendi içine eklemek için güvenliği sola kaydırma ve tek bir konsoldan koddan koda güvenliği destekleme konularında yetki sahibidir.
Bulut güvenliğinin zorlukları nelerdir?
Bulutun birbirine bağlı olması, çevrimiçi çalışmayı ve etkileşimi kolaylaştırır, ancak aynı zamanda güvenlik riskleri de yaratır. Güvenlik ekipleri, bulutta aşağıdaki temel zorlukların üstesinden gelmelerine yardımcı olacak çözümlere ihtiyaç duyar:
Verilerde görünürlük eksikliği
Kurumları üretken tutmak için BT’nin çalışanlara, iş ortaklarına ve yüklenicilere şirket varlıklarına ve bilgilerine erişim sağlaması gerekir. Bu kişilerin çoğu şirket ağının dışında veya uzaktan çalışıyor ve büyük işletmelerde yetkili kullanıcıların listesi sürekli değişiyor. Çeşitli genel ve özel bulutlarda şirket kaynaklarına erişmek için birden fazla cihaz kullanan bu kadar çok kişiyle, hangi hizmetlerin kullanıldığını ve verilerin bulutta nasıl hareket ettiğini izlemek zor olabilir. Teknik ekiplerin, verilerin daha az güvenli olan depolama çözümlerine taşınmamasını sağlamaları ve yanlış kişilerin hassas bilgilere erişmesini engellemeleri gerekir.
Karmaşık ortamlar
Bulut, altyapıyı ve uygulamaları dağıtmayı çok daha kolay hale getirdi. Pek çok farklı sağlayıcı ve hizmetle BT ekipleri, her bir ürün ve hizmetin gereksinimlerine en uygun ortamı seçebilir. Bu durum, şirket içi, genel ve özel bulut genelinde karmaşık bir ortama yol açmıştır. Hibrit, çoklu bulut ortamı, tüm ekosistemde çalışan ve farklı konumlardan farklı varlıklara erişen kişileri koruyan güvenlik çözümleri gerektirir. Yapılandırma hataları daha olasıdır ve bu karmaşık ortamlarda yanal olarak hareket eden tehditleri izlemek zor olabilir.
Hızlı yenilik
Faktörlerin bir araya gelmesi, kurumların hızlı bir şekilde yenilik yapmalarını ve yeni ürünleri devreye almalarını sağlamıştır. Yapay zeka, makine öğrenmesi ve nesnelerin interneti teknolojisi, işletmelerin verileri daha etkin bir şekilde toplamasını ve kullanmasını sağladı. Bulut hizmeti sağlayıcıları, şirketlerin gelişmiş teknolojileri kullanmasını kolaylaştırmak için düşük kodlu ve kodsuz hizmetler sunar. DevOps süreçleri geliştirme döngüsünü kısalttı. Altyapılarının çoğu bulutta barındırıldığından birçok kurum, kaynaklarını araştırma ve geliştirmeye yeniden tahsis etti. Hızlı yeniliğin dezavantajı, teknolojinin o kadar hızlı değişmesidir ki, güvenlik standartları genellikle atlanır veya gözden kaçırılır.
Uygunluk ve yönetim
Çoğu büyük bulut hizmeti sağlayıcısı, iyi bilinen birkaç uygunluk akreditasyon programına uysa da, iş yüklerinin devlet ve şirket içi standartlarla uyumlu olmasını sağlamak yine de bulut müşterilerinin sorumluluğundadır.
İç tehditler
BT ve güvenlik ekiplerinin kurumlarını kasıtlı veya kasıtsız bir şekilde yetkili erişimlerini kullanarak zarar verebilecek çalışanlara karşı korumaları kritik öneme sahiptir. İç tehditler, potansiyel güvenlik olaylarına neden olabilecek insan hatalarını kapsar. Bir çalışanın kimlik avı e-postasına cevap verdikten sonra kötü amaçlı bir yazılımı indirmesi gibi durumlar buna örnek olarak verilebilir. Buna ek olarak, tek başına veya bir siber suç örgütüyle birlikte çalışarak hırsızlık veya dolandırıcılık gibi eylemlerle kasıtlı olarak zarar vermeyi amaçlayan kötü niyetli kurum içi çalışanlarından kaynaklanan tehditler de diğer tehdit türleri arasındadır. Kurum içi çalışanlar hâlihazırda kurumun varlıklarına erişim sağlayabildiğinden ve yine kurumun güvenlik önlemlerine aşina olduklarından içeriden riskleri algılamak dışarıdan gelen risklere göre daha zordur.
Bulut güvenliği uygulama
Doğru süreçler, denetimler ve teknoloji kombinasyonu ile bulut ortamınıza karşı bir siber saldırı riskini azaltmak mümkündür.
Bulut iş yükü koruma platformu, bulut altyapısı yetkilendirme yönetimi ve bulut güvenliği duruş yönetimi içeren bulutta yerel bir uygulama platformu, hataları azaltmanıza, güvenliği güçlendirmenize ve erişimi etkin bir şekilde yönetmenize yardımcı olur.
Teknoloji yatırımınızı desteklemek için, çalışanların kimlik avı kampanyalarını ve diğer sosyal mühendislik tekniklerini tanımasına yardımcı olmak için düzenli eğitimler gerçekleştirin. Kişiler kötü niyetli bir e-posta aldıklarından şüphelenirlerse, BT'yi bilgilendirmelerinin kolay olduğundan emin olun. Programınızın etkinliğini izlemek için kimlik avı simülasyonları çalıştırın.
Bir saldırıyı önlemenize, algılamanıza ve yanıt vermenize yardımcı olan süreçler geliştirin. Güvenlik açıklarını azaltmak için yazılım ve donanıma düzenli yama uygulayın. Güvenliği ihlal edilmiş hesap riskinizi azaltmak için hassas verileri şifreleyin ve güçlü parola ilkeleri geliştirin. Çok faktörlü kimlik doğrulaması yetkisiz kullanıcıların erişim sağlamasını zorlaştırırken parolasız teknolojiler de geleneksel parola yöntemlerine kıyasla daha kolay ve güvenli bir çözüm sunar.
Çalışanlara ofiste ve uzaktan çalışma esnekliği veren hibrit iş modelleriyle kurumların, nerede olurlarsa olsunlar kişileri, cihazları, uygulamaları ve verileri koruyan yeni bir güvenlik modeline ihtiyacı var. Sıfır Güven altyapısı ağ içinden gelse bile bir erişim isteğine artık güvenemeyeceğiniz ilkesiyle başlar. Riskinizi azaltmak için, güvenliğinizin ihlal edildiğini varsayın ve tüm erişim isteklerini kesin bir şekilde doğrulayın. İnsanlara, daha fazlasına değil, yalnızca ihtiyaç duydukları kaynaklara erişim sağlamak için en az ayrıcalıklı erişim kullanın.
Bulut güvenliği çözümleri
Bulut, yeni güvenlik riskleri getirse de, doğru bulut güvenlik çözümleri, süreçleri ve ilkeleri, riskinizi önemli ölçüde azaltmanıza yardımcı olabilir. Aşağıdaki adımlarla başlayın:
- Kurumda kullanılan tüm bulut hizmeti sağlayıcılarını tanımladıktan sonra bunların güvenlik ve gizlilikle ilgili sorumluluklarını öğrenin.
- Kurumunuzun kullandığı uygulamalara ve verilere ilişkin görünürlük elde etmek için bulut erişimi güvenlik aracısı gibi araçlara yatırım yapın.
- Yapılandırma hatalarını belirlemenize ve düzeltmenize yardımcı olması için bir bulut güvenlik duruşu yönetimi dağıtın.
- Geliştirme sürecine güvenlik eklemek için bir bulut iş yükü koruma platformu uygulayın.
- Çalışan cihazlarını güncel tutmak için yazılımları düzenli olarak yama uygulayın ve ilkeler oluşturun.
- Çalışanların en son tehditlerden ve kimlik avı taktiklerinden haberdar olmalarını sağlamak için bir eğitim programı oluşturun.
- Sıfır Güven güvenlik stratejisi uygulayın, erişimi yönetmek ve korumak için kimlik ve erişim yönetimini kullanın.
- Buluta özel uygulamaların güvenli bir şekilde başlangıç yapması ve güvenli kalabilmesini sağlamak üzere güvenliği kodun içine eklemek için DevOps işlem hattında güvenliği sola kaydırın.
Microsoft Güvenlik hakkında daha fazla bilgi edinin
Bulut için Microsoft Defender
Çoklu bulut ve hibrit ortamlarınız genelinde iş yüklerini izleyin ve korumaya yardımcı olun.
Microsoft Defender for Cloud Apps
Lider bir CASB sayesinde bulut uygulamalarınız için derin görünürlük ve denetim elde edin.
DevOps için Microsoft Defender
Çoklu bulut ve çoklu işlem hattı ortamlarında birleşik DevOps güvenlik yönetimi elde edin.
Microsoft Entra İzin Yönetimi
Çok bulutlu altyapınızdaki izin risklerini keşfedin, düzeltin ve izleyin.
Microsoft Defender Harici Saldırı Yüzeyi Yönetimi
Güvenlik duvarı içindeki ve dışındaki güvenlik duruşunuzu anlayın.
Sık sorulan sorular
-
Bulut güvenliği, bulut hizmeti sağlayıcıları ve müşterileri arasında paylaşılan bir sorumluluktur. Sorumluluk, sunulan hizmetlerin türüne göre değişir:
Hizmet olarak altyapı. Bu modelde, bulut hizmeti sağlayıcıları talep üzerine bilgi işlem, ağ ve depolama kaynakları sunar. Sağlayıcı, temel bilgi işlem hizmetlerinin güvenliğinden sorumludur. Müşteriler, uygulamalar, veriler, çalışma zamanları ve ara yazılımlar dahil olmak üzere işletim sistemi ve üzerindeki her şeyi güvenli hale getirmelidir.
Hizmet olarak platform. Birçok sağlayıcı, bulutta eksiksiz bir geliştirme ve dağıtım ortamı da sunar. Çekirdek bilgi işlem hizmetlerine ek olarak çalışma zamanını, ara yazılımı ve işletim sistemini koruma sorumluluğunu üstlenirler. Müşteriler uygulamalarını, verilerini, kullanıcı erişimini, son kullanıcı cihazlarını ve son kullanıcı ağlarını korumalıdır.
Hizmet olarak yazılım. Kurumlar, Microsoft Office 365 veya Google Drive gibi kullandıkça öde modelindeki yazılımlara da erişebilir. Bu modelde müşterilerin verileri, kullanıcıları ve cihazları için güvenliği hala kendilerinin sağlamaları gerekir.
-
Dört araç, şirketlerin buluttaki kaynaklarını korumasına yardımcı olur:
- Bir bulut iş yükü koruması platformu, buluttaki uygulamaların ihtiyaç duyduğu bilgi işlem, depolama ve ağ oluşturma yeteneklerinin güvenliğini sağlamaya yardımcı olur. Genel, özel ve hibrit bulut ortamlarındaki iş yüklerini belirleyerek ve bunları güvenlik açıkları için tarayarak çalışır. Güvenlik açıkları keşfedilirse, çözüm sorunları düzeltmek için denetimler önerecektir.
- Bulut uygulaması güvenlik aracıları, BT ekiplerinin bulut uygulaması kullanımına ilişkin görünürlük kazanmasına yardımcı olur ve her uygulama için bir risk değerlendirmesi sağlar. Bu çözümler ayrıca verilerin bulutta nasıl hareket ettiğini gösteren araçlarla verilerin korunmasına ve uyumluluk hedeflerine ulaşılmasına yardımcı olur. Kurumlar ayrıca olağandışı kullanıcı davranışlarını tespit etmek ve tehditleri gidermek için bulut uygulaması güvenlik aracılarını kullanır.
- Bir bulut güvenlik duruşu yönetimi çözümü, sürekli olarak bir ihlale yol açabilecek yapılandırma hatalarını arayarak riski azaltmaya yardımcı olur. Bu çözümler, süreci otomatikleştirerek el ile süreçlerde hata riskini azaltır, binlerce hizmet ve hesabın bulunduğu ortamlarda görünürlüğü artırır. Güvenlik açıkları tespit edildikten sonra bu çözümler, geliştiricilerin sorunu düzeltmesine yardımcı olacak rehberli öneriler sunar.
- Kimlik ve erişim yönetimi çözümleri, kimlikleri yönetmek ve erişim ilkelerini uygulamak için araçlar sağlar. Kurumlar, hassas kaynaklara erişimi sınırlamak ve çok faktörlü kimlik doğrulamasını ve en düşük ayrıcalık erişimini zorlamak için bu çözümleri kullanır.
- Güvenlik ekiplerinin koddan koda güvenlik eklemesine yardımcı olan bulutta yerel uygulama koruması platformu (CNAPP). CNAPP, geliştirmeden çalışma zamanına kadar bulut güvenliği tehditlerini önlemek, algılamak ve yanıtlamak için uygunluk ve güvenlik özelliklerini birleştirir.
- Birleşik DevOps güvenlik yönetimi, güvenlik ekiplerinin çoklu işlem hattı güvenliğini birleştirme, güçlendirme ve yönetme; güvenliği kodun kendi içine eklemek için güvenliği sola kaydırma ve tek bir konsoldan koddan koda güvenliği destekleme konularında yetki sahibi olmasını sağlar.
-
Kurumların bulutlarını korumak için prosedürler ve ilkeler uygularken dikkate alması gereken dört alan vardır:
- Erişimi sınırlandırma: Bulut, her şeyi internet üzerinden erişilebilir kıldığı için, yalnızca doğru kişilerin doğru araçlara doğru süre boyunca erişebildiğinden emin olmak son derece önemlidir.
- Verileri koruma: Kurumların, verilerinin nerede bulunduğunu anlaması, hem verilerin barındırıldığı ve depolandığı altyapıyı hem de verilerin kendisini korumak için uygun kontrolleri uygulamaya koyması gerekir.
- Veri kurtarma: Bir ihlal olması durumunda iyi bir yedekleme çözümü ve veri kurtarma planı çok önemlidir.
- Cevap planı: Bir kurumun güvenliği ihlal edildiğinde, etkiyi azaltmak ve diğer sistemlerin tehlikeye girmesini önlemek için bir plana ihtiyaçları vardır.
- Güvenliğin sola kaydırılması: Buluta özel uygulamaların güvenli bir şekilde başlangıç yapması ve güvenli kalabilmesi için güvenlik ve geliştirme ekipleri güvenliği kodun içine eklemek için birlikte çalışır.
- DevOps güvenlik duruşunun görünürlüğünün birleştirilmesi: DevOps platformlarında DevOps güvenlik duruşu içgörülerini ortaya çıkarması için tek cam bölmeyi kullanarak kör noktaları en aza indirin.
- Güvenlik ekiplerinin gelişen tehditlere odaklı kalmasını sağlamak: Güvenlik ortamlarına erişen güvenlik sorunlarını azaltmak için bulut kaynağı yapılandırmalarını güçlendirin.
-
Kurumların aşağıdaki bulut risklerine dikkat etmesi gerekir:
- İhlal edilmiş hesaplar: Saldırganlar, çalışanların parolalarını çalmak ve sistemlere ve değerli kurumsal varlıklara erişim sağlamak için genellikle kimlik avı kampanyalarını kullanır.
- Donanım ve yazılım güvenlik açıkları: Bir kurum, ister genel ister özel bulut kullanıyor olsun, donanım ve yazılımın yama yapılıyor ve güncel olması çok önemlidir.
- İç tehditler: İnsan hatası, güvenlik ihlallerinin büyük bir itici gücüdür. Yanlış yapılandırmalar, kötü aktörler için boşluklar yaratabilir. Çalışanlar genellikle kötü bağlantılara tıklar veya yanlışlıkla verileri daha az güvenlikli konumlara taşır.
- Bulut kaynaklarında görünürlük eksikliği: Bu tür bulut riski, güvenlik açıkları ve tehditlerini algılama ve bunlara yanıtlamayı zorlaştırarak ihlallere ve veri kaybına yol açabilir.
- Risk önceliklendirme eksikliği: Güvenlik yöneticileri bulut kaynaklarına yönelik görünürlük elde ettiklerinde, güvenlik duruşunu geliştirmeye yönelik çok fazla sayıda tavsiye ile karşılaşabilirler. Yöneticilerin güvenlik açısından en iyi etkiyi yaratmak için nereye odaklanacaklarını bilmeleri için risk önceliklendirmesi yapmak önemlidir.
- Yüksek riskli bulut izinleri: Bulut hizmetlerinin ve kimliklerin yaygınlaşması, yüksek riskli bulut izinleri sayısını da artırarak olası saldırı yüzeyini genişletmiştir. İzin yayılma endeksi (PCI) ölçümü, izinlerine dayalı olarak kimliklerin ne kadar zarara sebep olabileceğini ölçer.
- Gelişen tehdit düzlemi: Bulut güvenliği riskleri sürekli olarak gelişmektedir. Güvenlik ihlalleri ve veri kaybına karşı koruma sağlamak için yeni gelişen tehditlerden daima haberdar olmak önemlidir.
- Buluta özel geliştirme ve güvenlik arasında tümleştirme eksikliği: Uygulama buluta dağıtılmadan önce kod sorunlarını tanımlamak ve düzeltmen için güvenlik ve geliştirme ekiplerinin birlikte çalışması kritik bir öneme sahiptir.
-
Bulut güvenliği, bulut tabanlı sistemleri ve verileri korumayı amaçlayan teknolojiler, prosedürler, ilkeler ve denetimleri ifade eder. Bulut güvenliğine verilebilecek bazı örnekler:
- Bir kurumun kullandığı uygulamalara ve verilere ilişkin görünürlük elde etmek için bulut erişimi güvenlik aracısı gibi araçlar.
- Yapılandırma hatalarının belirlenmesine ve düzeltilmesine yardımcı olmak için bulut güvenlik duruşu yönetimi.
- Güvenlik ve geliştirme ekiplerinin güvenliği kodun içine eklemek üzere birlikte çalışmalarına yardımcı olacak araçlar.
- Geliştirme sürecine güvenlik eklemek için bir bulut iş yükü koruma platformu.
- Çalışanların cihazlarını güncel tutmak için yazılımlara düzenli olarak düzeltme eki uygulama da dahil olmak üzere gerekli ilkelerin uygulanması.
- Çalışanların en son tehditlerden ve kimlik avı taktiklerinden haberdar olmalarını sağlamak için bir eğitim programının oluşturulması.
-
Bulut güvenliği, bulut sistemlerinin iç ve dış tehditlere karşı korunmasını sağlayarak siber saldırı riskini azaltır. Bulut güvenliği aynı zamanda çalışanlar, yükleniciler ve iş ortakları ister sahada ister uzaktan çalışıyor olsun kaynaklara erişim sahibi olan kişilerin denetlenmesini sağlayarak hibrit çalışma modellerini de destekler. Bulut güvenliğinin sağladığı bir diğer avantaj ise veri gizliliğinin artırılması ve kurumun GDPR ve HIPAA gibi yönetmeliklere uyum sağlamasına yardımcı olmasıdır. Bu yönetmeliklere uyulmaması, maliyetli para cezalarına ve itibarın zarar görmesine neden olabilir.
-
Bulut güvenliği açısından en iyi deneyimler, kurumunuzun teknolojisini, süreçlerini ve denetimlerini kapsar. Bunlardan bazıları aşağıda belirtilmiştir:
- Hataları azaltmanıza, güvenliği güçlendirmenize ve erişimi etkin bir şekilde yönetmenize yardımcı olmak için buluta özel uygulama platformunuzun bulut iş yükü koruma platformu, bulut altyapısı yetkilendirme yönetimi ve bulut güvenliği duruş yönetimini kapsamasını sağlamak.
- Çalışanların kimlik avı kampanyalarını ve diğer sosyal mühendislik tekniklerini tanımasına yardımcı olmak için düzenli eğitimler gerçekleştirmek. Ayrıca, hassas verilerin şifrelenmesi, yazılımlara ve donanımlara düzenli olarak düzeltme eki uygulanması ve güçlü parola ilkelerinin geliştirilmesi de dahil olmak üzere bir saldırıyı önlemenize, algılamanıza ve saldırıyı yanıtlamanıza yardımcı olacak süreçleri yürütmek.
- Tüm erişim isteklerini açık bir şekilde doğrulayan Sıfır Güven altyapısını benimsemek. Bu, çalışanlara yalnızca ihtiyaç duydukları kaynaklara erişim sunak için en az ayrıcalıklı erişim verilmesini kapsar.
- DevOps işlem hattında güvenliğin sola kaydırılması buluta özel uygulamaların güvenli bir şekilde başlangıç yapması ve güvenli kalabilmesi için güvenlik ve geliştirme ekipleri güvenliği kodun içine eklemek için birlikte çalışmasını destekler.
Microsoft Güvenlik'i takip edin