BULUT GÜVENLİĞİ ORTAK BİR SORUMLULUKTUR

This post is also available in: Deutsch (Almanca) Nederlands (Hollandaca) Español (İspanyolca) Italiano (İtalyanca)

Bulut güvenliği, bulut bilişim kullanımına özgü verilerin, uygulamaların ve altyapının çeşitli ilkeler, teknolojiler ve denetimler gibi yollarla güvenli hale getirilme çabalarını ifade etmektedir.

Bulut tabanlı uygulamalar ve bunları tamamlayan veriler, kuruluşun çevikliğini artırmak ve maliyetleri azaltmak için çeşitli ortamlarda gittikçe daha fazla dağıtılmaktadır. Bu ortamlara özel bulutlar, genel bulutlar (hibrit veya ayrılmış) ve hizmet olarak yazılım (SaaS) dahildir ve her biri kendi benzersiz çeviklik avantajları ile güvenlik sorunlarını da beraberine getirir.

Verilerin tehlikeye maruz kalmasına yönelik endişeler, bulut güvenliğini öncelikli bir konu haline getirmiştir. Buradaki zorluk, bir yandan uygulamaların güvenliğini iyileştirip çeşitli bulut ortamları arasında dolaşan veriyi güvenli hale getirirken, diğer yandan kuruluşun çeviklik ihtiyacını da dengelemektir. Görünürlük elde etmek ve hem harici bir konumdan hem de yanal saldırı yoluyla veri sızdırmaya çalışan saldırıları önlemek, uygulamaların ve verilerin yer aldığı tüm konumlarda zorunlu olmaktadır.

Bir kuruluş içinde bulut güvenliğinden sorumlu olabilecek birkaç farklı grup vardır: ağ ekibi, güvenlik ekibi, uygulamalar ekibi, uyum ekibi veya altyapı ekibi. Ancak bulut güvenliği aynı zamanda bulut hizmetleri satıcısı ile kuruluş arasında ortak bir sorumluluktur.

Özel – Bulut kendi veri merkezlerinde barındırıldığı için güvenliğinin tamamından da kurum sorumludur. Buna fiziksel ağ, altyapı, misafir sistem ara katmanı, sanal ağ, işletim sistemleri, güvenlik duvarları, hizmet konfigürasyonları, kimlik ve erişim yönetimi, vb. dahildir. Kurum ayrıca verinin ve veri güvenliğinin de sahibidir.

Genel – AWS® veya Microsoft® Azure™ gibi genel bulutlarda altyapının, fiziksel ağın ve misafir sistem ara katmanının sahibi bulut hizmeti satıcısıdır. Kurum iş yükü işletim sisteminin, uygulamaların, sanal ağın, kiracı ortamına/hesabına erişimin ve verilerin sahibidir.

SaaS – SaaS satıcıları öncelikle kendi platformlarının güvenliğinden sorumludur. Fiziksel güvenlik, altyapı ve uygulama güvenliği de bu kapsamda değerlendirilir. Bu satıcılar, müşteri verilerinin sahibi değildir veya müşterilerin uygulamaları kullanma şeklinden sorumlu tutulmazlar. Dolayısıyla kötü amaçlı veri sızdırma, yanlışlıkla tehlikeye maruz kalma veya kötü amaçlı yazılım bulaştırma riskini önleyecek ya da en aza indirecek güvenliğin sağlanması kurumun sorumluluğundadır.

Şirketler özel buluttan genel buluta veya SaaS uygulamalarına geçtikçe verileri, uygulamaları ve altyapıyı güvenli hale getirme sorumluluğu kurumdan ziyade satıcıya yüklenmektedir. Ancak kullanılan platforma bakılmaksızın kurum her zaman kendi verilerinin güvenliğini sağlamaktan sorumlu olur.

Uygulamaların güvenli biçimde etkinleştirilmesi için BT güvenliği, bulut hizmeti satıcılarının uygulamanızı ve verilerinizi korumak için uygun güvenlik önlemlerini uyguladığından emin olmalıdır. Bulut hizmeti satıcılarının güvenli hale getiremediği verileri telafi etmek için kurumun doğru araçlara sahip olması gerekir. Bu araçlar SaaS uygulamaları içindeki etkinliğe yönelik görünürlük, veri riskini ve uyum ihlallerini önlemek için ayrıntılı kullanım analizleri, bir ihlal gerçeklemesi durumunda güvenlik uygulamasını ve karantinayı zorlayacak bağlama duyarlı ilke denetimleri ve yeni kötü amaçlı yazılım bulaşma noktalarını önlemek için bilinen ve bilinmeyen tehditleri algılamakla ilgili gerçek zamanlı tehdit bilgileri sunmalıdır.