Bulut bilişim günümüzün dijital ortamının değerli bir bileşenidir. BT altyapısı, platformları ve yazılımları günümüzde hizmet olarak sunulmaktadır. Daha çok küçük ve orta ölçekli işletmelere hitap eden çözümler aynı zamanda riskleri de beraberinde getiriyor. Siber güvenlik şirketi ESET, KOBİ’lerin yaptığı en önemli 7 bulut güvenliği hatasını belirledi ve doğru bulut güvenliği için yapılması gerekenleri sıraladı.
Bulut çözümleri, KOBİ’lere oyun alanını daha büyük rakiplerle aynı seviyeye getirme fırsatları sunuyor. Gelir ve gider istikrarını bozmadan daha fazla iş çevikliği ve hızlı ölçeklendirme sağlar. Araştırmalar, küresel ölçekte KOBİ’lerin yüzde 53’ünün buluta yılda 1,2 milyon dolardan fazla para harcadığını gösteriyor. Ancak dijital dönüşüm riskleri de beraberinde getiriyor. KOBİ’lerin belirttiği ikinci ve üçüncü en değerli bulut zorluklarının güvenlik (%72) ve uyumluluk (%71) olduğu görülüyor. Bu zorlukların üstesinden gelmenin ilk adımı, küçük işletmelerin bulut dağıtımlarıyla ilgili temel yanılgılarını anlamaktır.
KOBİ’lerin yaptığı en önemli hatalar
En büyük ve en iyi kaynaklara sahip işletmeler bile bazen temel güvenlik sorunlarını gözden kaçırıyor. Bu kör noktaları ortadan kaldırarak kuruluşunuz, potansiyel olarak önemli finansal veya prestij riskine maruz kalmadan bulut kullanımını optimize etme yolunda büyük adımlar atabilir.
Çok faktörlü kimlik doğrulamayı (MFA) kullanmamak Statik şifreler doğası gereği güvenilmezdir ve her işletme sağlam bir şifre oluşturma politikasına uymaz. Parolalar kimlik avı, kaba kuvvet sistemleri veya basit tahmin gibi çeşitli yöntemlerle çalınabilir. Bu nedenle MFA, saldırganların kullanıcılarınızın SaaS, IaaS veya PaaS hesap uygulamalarına erişmesini çok daha zorlaştıracak ve böylece fidye yazılımı, bilgi hırsızlığı ve diğer olası sonuçların riskini azaltacaktır. Diğer bir seçenek ise mümkünse şifresiz kimlik doğrulama gibi alternatif kimlik doğrulama sistemlerine geçmektir.
Bulut sağlayıcısına (CSP) çok fazla güvenme Birçok BT lideri, buluta yatırım yapmanın her şeyi güvenli bir üçüncü tarafa yaptırmak anlamına geldiğine inanıyor. Bu yalnızca kısmen doğrudur. Bulutun güvenliğini sağlamak için CSP ile müşteri arasında paylaşılan bir sorumluluk modeli vardır. Dikkat etmeniz gerekenler bulut hizmetinin türüne (SaaS, IaaS veya PaaS) ve CSP’ye bağlı olacaktır. Sorumluluk birçok sağlayıcıya ait olsa bile, ek üçüncü taraf denetimlerine yatırım yapmak faydalı olabilir.
Başarısız yedekleme Bulut sağlayıcınızın (örn. dosya paylaşımı, depolama hizmetleri için) arkanızda olduğunu varsaymayın. En kötü senaryoya göre plan yapmak her zaman faydalıdır; Bu senaryo büyük olasılıkla bir sistem arızası veya siber saldırıdır. Kuruluşunuzu etkileyecek olan yalnızca veri kaybı değil, aynı zamanda bir olayın ardından oluşabilecek kesinti ve üretkenlik darbesidir.
Düzenli yama yapmamak Yama yapmazsanız bulut sistemlerinizi güvenlik açıklarından yararlanmaya açık hale getirirsiniz. Bu, kötü amaçlı yazılım bulaşmalarına, bilgi ihlallerine ve daha fazlasına yol açabilir. Yama yönetimi, hem bulutta hem de şirket içinde geçerli olan temel bir güvenlik en iyi uygulamasıdır.
Yanlış bulut yapılandırması Bulut sağlayıcıları yenilikçi bir gruptur. Ancak müşteri geri bildirimlerine yanıt olarak sundukları çok sayıda yeni özellik ve yetenek, birçok KOBİ için inanılmaz derecede karmaşık bir bulut ortamı yaratabilir. Bu, hangi konfigürasyonun en güvenilir olduğunu bilmeyi çok daha zorlaştırır. Yaygın kusurlar arasında bulut depolamayı rastgele bir üçüncü tarafın erişebileceği ve açık bağlantı noktalarını engellemeyecek şekilde yapılandırmak yer alır.
Bulut trafiği izlenmiyor Günümüzde, bulut ortamınızın ihlal edilip edilmeyeceği değil, “ne zaman” ihlal edileceğinin önemli olduğu yaygın bir inançtır. Bu, işaretleri erken tespit etmek ve bir saldırıyı kuruluşu etkileme şansına sahip olmadan kontrol altına almak için hızlı tespit ve müdahaleyi kritik hale getirir. Bu da izlemeyi her zaman bir zorunluluk haline getiriyor.
Kurumsal verileri şifrelemede başarısız olmak Hiçbir ortam yüzde 100 dokunulmaz değildir. Ancak kötü niyetli bir taraf, en hassas dahili bilgilerinize veya sıkı denetime tabi çalışan veya müşteri kişisel bilgilerinize erişmeyi başarırsa ne olur? Verilerinizi bulunduğu yerde ve aktarım sırasında şifreleyerek, ele geçirilse dahi kullanılmamasını sağlarsınız.
Doğru bulut güvenliği
Bulut güvenliği riskleriyle mücadelede birinci adım, sorumluluklarınızın nerede olduğunu ve hangi alanların bulut sağlayıcıları (CSP) tarafından ele alınacağını anlamaktır. Daha sonra CSP’nin bulutta yerel güvenlik kontrollerine güvenip güvenmeyeceğinize veya bunları ek üçüncü taraf yapılarıyla geliştirmek isteyip istemediğinize karar vermeniz gerekir. Aşağıdaki unsurları göz önünde bulundurun:
- Dünyanın lider bulut sağlayıcıları tarafından sunulan bulut hizmetlerinde yerleşik güvenlik özelliklerine ek olarak, bulut güvenliğinizi geliştirmek ve e-posta, depolama ve işbirliği uygulamalarınız için koruma sağlamak amacıyla üçüncü taraf güvenlik çözümlerine yatırım yapın.
- Olaylara hızlı müdahale ve ihlallerin kontrol altına alınması veya iyileştirilmesi için genişletilmiş yönetilen algılama ve yanıt (XDR/MDR) araçlarını ekleyin.
- Her zaman güçlü varlık yönetimine dayanan risk tabanlı bir yama programı geliştirin ve uygulayın (yani hangi bulut varlıklarına sahip olduğunuzu bilin ve ardından bunların her zaman güncel olduğundan emin olun)
- Kötü niyetli kişilerin eline geçse bile korunmasını sağlamak için beklemedeki (veritabanı düzeyinde) ve aktarım halindeki verileri şifreleyin. Bu aynı zamanda etkili ve sürekli bilgi keşfi ve sınıflandırmasını da gerektirecektir.
- Açık bir erişim kontrol politikası tanımlayın; Makul IP’ler için güçlü parolalar, MFA, en az ayrıcalık ilkeleri ve IP tabanlı kısıtlamalar/izin listeleri uygulayın.
- Yukarıdaki öğelerin (MFA, XDR, şifreleme) birçoğunun yanı sıra ağ bölümlendirmesi ve diğer kontrolleri içerecek bir Sıfır Güven yaklaşımını benimsemeyi düşünün
Kaynak: (BYZHA) Beyaz Haber Ajansı
