Bulut Güvenliği nedir?

• Yapay zekanın ve makine öğreniminin (ML) güvenlik tehditlerine otomatik olarak uyum sağlamasını ve bunları çözmesini sağlayın
• Güvenlik yanıtlarını ölçeklendirmek, riskleri gidermek ve hataları ortadan kaldırmak için otonom yetenekleri kullanın
• Erişim kontrolleriyle verileri proaktif olarak koruyun, kullanıcı riskini ve görünürlüğü yönetin ve keşif ve sınıflandırma için araçlar sağlayın
• Müşteri ve bulut hizmeti sağlayıcısı arasındaki güvenlik etkinliklerini bilerek kapsamak için bulut paylaşılan güvenlik sorumluluğu modelini izleyin
• "İlk önce güvenlik" yaklaşımı için yaklaşımı için güvenliği mimarinin tasarımına dahil edin

Bulut güvenliği, kuruluşlara güvenlik gereksinimlerini ele alma ve kuruluşların yasal uyumluluk gereksinimlerine uymasını sağlama konusunda bir yaklaşım sunar. Etkili bulut güvenliği, bulut teknolojisi yığını boyunca aşağıdakilerden oluşan birden fazla savunma katmanı gerektirir:

• Hassas sistemlere ve verilere yetkili erişimi engellemek için tasarlanan Önleyici kontroller
• Denetim, izleme ve raporlama yoluyla yetkisiz sistemleri ve veri erişimini ve değişiklikleri ortaya çıkarmak için tasarlanmış algılama kontrolleri
• Hem düzenli hem de kritik güvenlik güncellemelerini önlemek, tespit etmek ve bunlara yanıt vermek için tasarlanmış otomatik kontroller
• Güvenlik ilkelerini, standartları, uygulamaları ve prosedürleri ele almak için tasarlanmış Yönetim kontrolleri

Makine öğrenimi ve yapay zeka, bağlamsal farkındalık teknolojilerini bir bulut güvenlik portföyü boyunca genişletir. Bulut güvenliği ile işletmeler, güvenliği ağ, donanım, çip, işletim sistemi, depolama ve uygulama katmanlarına genişleten IaaS, PaaS ve SaaS genelinde korumaya sahip olur.

Bulut güvenliği, bulut sağlayıcısı ile müşteri arasında paylaşılan bir güvenlik sorumluluğudur. Bulut paylaşımlı güvenlik sorumluluğu modeli, bulut hizmeti sağlayıcısı ile hizmet abonesi arasındaki iş bölümünü iletmek için temel bir bulut güvenliği ve risk yönetimi yapısıdır. Her tür bulut hizmeti için paylaşılan güvenlik sorumluluğu modelinin net bir şekilde anlaşılması, bulut güvenlik programları için kritik öneme sahiptir. Ne yazık ki paylaşılan güvenlik sorumluluğu modelinin bulutta en az anlaşılan güvenlik kavramlarından biri olduğu da söylenebilir. Aslında, CISO'ların sadece yüzde 8'i, bulut hizmet sağlayıcısına (CSP) karşı SaaS güvenliğini sağlama rolünü tam olarak anlıyor. Basitçe ifade etmek gerekirse, paylaşılan güvenlik sorumluluğu modeli, bulut hizmeti sağlayıcısının hizmetin güvenlik ve erişilebilirliğinin sürdürülmesiyle ilgili sorumluluk alanını ve müşterinin hizmetin güvenli şekilde kullanılmasını sağlamak ve her ikisinin de belirli bir görevde olduğunu ifade eder.

Şirketlerin sorumluluklarını anlamaları gerekir. Verileri yeterli derecede korumamak ciddi ve maliyetli sonuçlara neden olabilir. Bir ihlalin sonucunu yaşayacak birçok organizasyon, maliyeti karşılayamayabilir, hatta büyük şirketler bile bunun finansallarına etkisini görebilir. Paylaşılan bir güvenlik sorumluluğu modelinin amacı, hızlı dağıtıma izin veren yerleşik güvenlikle esneklik sağlamaktır. Bu nedenle, organizasyonların bulut güvenliği sorumluluklarını anlamaları gerekir. Genellikle bulutun "güvenliği" ile bulut "içindeki" güvenlik olarak anılır.

Günümüzde şirketlere, iş yüklerini ve verileri buluta taşırken ortamlarını güvence altına almak için çok çeşitli bulut güvenliği araçları sunulmaktadır. Bununla birlikte, bu araçların bazıları ısmarlama talimatlar ile birlikte gelir ve bireysel hizmetler olarak sunulur. Bulut kullanıcılarının ve yöneticilerinin, bulut güvenlik hizmetlerinin nasıl çalıştığını, bunları nasıl doğru bir şekilde konfigüre edeceğini ve bulut dağıtımlarını nasıl sürdüreceklerini bilmeleri beklenir. Güvenlik seçeneklerinde eksiklik olmamasına rağmen, kurulumları karmaşık olabilir ve bir alanda hata yapmak kolay olabilir. Buna ek olarak, sürekli kimlik avı, kötü amaçlı yazılım, artan siber dolandırıcılık ve bir dizi yanlış yapılandırılmış bulut hizmeti döngüsü, zaten zorlu siber güvenlik programlarını daha da zorlu hale getirir. Bu, organizasyonların veri ihlalleri yaşamasına ve bunun sonucunda marka hasarına, kurtarma maliyetlerine ve para cezalarına neden oldu. Bulut verilerinin güvenliğini sağlamak için çeşitli önemli gereksinimleri aşağıda bulabilirsiniz:

• Paylaşılan güvenlik sorumluluğu ve güven: Paylaşılan güvenlik modelinin sonunu korumak için bir bulut ortağı seçerken güven çok önemlidir. Organizasyonlar, rolleri ve sorumlulukları net bir şekilde anlamalı ve bağımsız üçüncü taraf güvenlik denetimlerine ve tasdiklerine erişebilmelidir.
• Otomasyon ve makine öğrenimi: Bulut tehditleri makine hızında taşınırken, geleneksel kurumsal güvenlik de insan hızında analiz ve tepki verir. Bulut ortamlarında modern güvenlik tehdit tespiti ve yanıtı otomatikleştirmelidir. Gelişmiş tehditler, makine öğrenimi ile tehdit tahmini, önleme, tespit ve müdahaleye yeni bir gelişmişlik düzeyi getiren güvenlik çözümleri gerektirir.
• Kapsamlı savunma: Tüm teknoloji yığını boyunca çeşitli güvenlik katmanları, bulut sağlayıcılarının fiziksel veri merkezlerini korumaya yardımcı olmak üzere doğru kişi, süreç ve teknoloji için önleyici, araştırmacı ve yönetim kontrolleri içermelidir.
• Kimlik yönetimi: Mobil cihazlar, uygulamalar ve kullanıcı kişilikleri daha yaygın hale geldikçe, kimlik yeni çevre haline geldi. Güvenli kimlik bilgilerine dayalı olarak bulutta ve şirket içinde erişim ve ayrıcalıkları kontrol etmek çok önemlidir.
• Görünürlük: Bulut erişim güvenliği aracısı ve bulut güvenliği duruş yönetimi çözümü, bir organizasyonun tüm bulut ortamı genelinde görünürlüğü ve kontrolü artırır.
• Sürekli uyum:Yönergeye uygunluk isteğe bağlı değildir ve uyumluluk ile güvenlik aynı şey değildir. Organizasyonlar, örneğin konfigürasyon kayması ve hatalar nedeniyle güvenlik ihlali olmadan uyumluluk ihlallerini yaşayabilir. Şirketlerin, bulut ortamlarında uyumlulukla ilgili kapsamlı, zamanında ve eyleme geçirilebilir veriler sağlayan bir bulut yönetimi çözümüne sahip olması çok önemlidir.
• Varsayılan olarak güvenlik: Güvenlik kontrolleri, işletmenin güvenliği etkin hale getirmeyi hatırlamasını gerektirmek yerine varsayılan olarak bulut sağlayıcısı tarafından etkinleştirilmelidir. Herkesin farklı güvenlik kontrollerini güçlü bir şekilde anlaması ve bunların riskleri azaltmak ve tam bir güvenlik duruşunu uygulamak için birlikte nasıl çalıştıklarını öğrenmesi gerekmez. Örneğin, veri şifrelemesi varsayılan olarak açılmalıdır. Bulutlarda tutarlı veri koruma kontrolleri ve ilkeleri uygulanmalıdır.
• İzleme ve geçiş: Bulut geçici kullanıcılarına ve bölmelere yönelik güvenlik ilkeleri yöneticilerin iş yüklerinin güvenliğini sağlamaya yardımcı olması için kurulmalı ve uygulanmalıdır. Bulut geçici kullanıcılarındaki bulut güvenlik duruşunun birleşik bir görünümü de yanlış konfigüre edilmiş kaynakları tespit etmek ve geçici kullanıcılar arasında güvensiz aktiviteyi tespit etmek için gereklidir ve güvenlik yöneticilerine bulut güvenlik sorunlarını izleme ve çözme konusunda görünürlük sağlar.
• Görevlerin ayrılması ve en az ayrıcalık erişimi: Görevlerin ayrılması ve en az ayrıcalık erişimi ilkeleri, bulut ortamlarında uygulanması gereken en iyi güvenlik uygulamalarıdır. Bunu yapmak, bireylerin aşırı idari haklara sahip olmamasına ve ek yetki olmadan gizli verilere erişememesine yardımcı olur.

Web Yayını: Cloud Guard and Security Zones (21:37)

Bulutun benimsenmesi, dijital dönüşüm önceliklerinin bir sonucu olarak hızlanmaya devam ederken, şirketlerin bulut ortamlarını güvence altına almanın karmaşıklıklarını öngörmesi ve yönlendirmesi gerekir. Güvenliği tüm bulut yığını (IaaS, PaaS, SaaS) genelinde otomatik olarak yerleşik olacak şekilde tasarlayan bir bulut sağlayıcısı seçmek önemlidir. Bulut güvenliğinin geleceğine ilişkin ek hususları şunlardır:

• Bulut altyapısı güvenliği: Mimariden başlayarak, bulut altyapısının bilişim, ağ ve depolama genelinde güvenliği öncelikli bir yaklaşımla iş yüklerini koruyun. İş açısından en kritik iş yükleriniz için gerekli güvenlik seviyelerini sağlamak üzere temel güvenlik hizmetlerinden yararlanın.
• Veritabanı bulut güvenliği: Veri ihlali riskini azaltın ve bulutta uyumluluğu hızlandırın. Şifreleme, anahtar yönetimi, veri maskeleme, ayrıcalıklı kullanıcı erişim kontrolleri, etkinlik izleme ve denetleme gibi veritabanı güvenlik çözümlerini benimseyin.
• Bulut uygulama yazılımları güvenliği: Kritik uygulama yazılımlarının sahteciliğe ve amacı dışında kullanıma karşı güvenliğini sağlamak, işletmenizin kritik verilerini korumak için gereklidir. Ayrıntılı erişim denetimleri, görünürlük ve izleme, günümüzün katmanlı savunmalarının kritik bileşenleridir.
• Kurumsal güvenlik ve gizlilik: Hangi bulut ürünü seçilirse seçilsin, bulut ortamında barındırılan veri ve veri sistemlerinin gizliliğini, bütünlüğünü ve erişilebilirliğini koruyun.
• Gelişmiş müşteri hizmeti: Bulut veya çoklu bulut ortamlarına geçiş yaparken güvenlik ekipleri, genişleyen bir saldırı yüzeyi, aşırı uyarı yükleri ve siber güvenlik becerileri eksikliğiyle karşı karşıya kalmaktadır. Bulut hizmeti sağlayıcınızın sunduğu gelişmiş hizmetleri kabul ederek bu zorlukların giderilmesine yardımcı olun.
• Kimlik ve erişim yönetimi (IAM): Verilerinize kimlerin erişimi olduğunu, ne tür erişimleri olduğunu ve bulutta veya şirket içinde barındırılmasından bağımsız olarak güvenli kimlik bilgileri kullanarak belirli kaynakları kontrol edin.

1. Oracle ve KPMG Bulut Tehdit Raporu (PDF)
2. Teknik kılavuz: Oracle Veritabanının Güvenliğini Sağlama (PDF)