Uzmanlara göre, 2022 yılına kadar bulut güvenliği arızalarının yüzde 95’i müşterinin hatası olacak.
Bulut bilişim, ağdaki uygulamalardan depolama ve bilgi işleme kapasitesine kadar çeşitli isteğe bağlı çözümlerin sunulması olarak tanımlanıyor. Kullanımı, şirketlerin özel ihtiyaçlarına göre web üzerinden üçüncü taraf hizmetlerine güvenerek para, zaman ve emekten tasarruf etmelerini sağlıyor.
Bununla birlikte, bulut hizmetinden yararlanmak, sistemlerin ve varlıklarının güvenliği açısından zorlukları da beraberinde getiriyor. Bulut hizmetlerindeki sorunların çoğu, kullanıcıların planları hakkında bilgi sahibi olmamaları ve altında çalıştığı Güvenlik Paylaşımlı Sorumluluk Modeli (SRM) ile ilgili kafa karışıklığından kaynaklanmakta.
2022’ye kadar bulut güvenlik hatalarının yüzde 95’inden müşteriler sorumlu olacak
Yaygın bir düşüncenin aksine, kurumsal verileri bulutta korumanın ana sorumluluğu hizmet sağlayıcıya değil, müşteriye ait. Şirketler yalnızca veri kaybı riski veya bilginin fikri mülkiyetiyle ilgili değil, aynı zamanda harici olarak barındırılan kaynaklarının değiştirilmesi konusunda da endişelenebilir.
Buluttaki bilgileriyle çalışan bir firma, güvenlik açısından önemli faydalar elde eder; ancak bu çalışma taraflardan sadece birine bağlı değil. Bu tür hizmetin sağlayıcıları, sorumluluklarının fiziksel yönlerin, altyapının, ağın ve dijitalleştirmenin bakımı ile sınırlı olduğunu belirleyen, küresel olarak kabul edilmiş bir güvenlik SRM’sine abone olurlar. Öte yandan müşteri, bilgilere erişen kullanıcıların erişim güvenliğini ve kimliğini sağlamaktan ve depolanan verilerin korunmasından sorumlu olur.
Önümüzdeki yıl, buluttaki güvenlik arızalarının en az yüzde 95’inin müşterinin hatası olacağı tahmin ediliyor. Henüz çok fazla şirket SRM’yi ve yüksek güvenlik risklerini kavrayamadı.
Oracle ve KPMG tarafından bulut hizmetlerini kullanan kuruluşların anlaşılması adına yapılan 2020 anketinde, büyük çoğunluk Güvenlik Paylaşımlı Sorumluluk Modeli terimine aşina olduklarını söyledi. Bununla birlikte, yalnızca yüzde 8’i her tür bulut hizmeti için SRM’yi gerçekten anladıklarını söyledi. Bu konudaki bilgi eksikliği, birçok şirketin bulut içinde sahip oldukları sorumlulukların birçoğunu gözden kaçırmasına neden oluyor.
Bulutta sorumluluk ihlalinin en iyi bilinen vakalarından biri, 2019’daki Capital One banka veri ihlaliydi. Bu olayda, bulut çözümlerini entegre etme sürecinde bir güvenlik duvarının yanlış yapılandırılması, 100 milyondan fazla müşterinin kredi kartı bilgilerinin çalınmasına neden oldu.
Şirketiniz, yükümlülüklerine uygun şekilde bulut hizmetlerinde bu tür bir güvenlik sorununu önlemek isteyen kurumlar içindeyse, bu tür bir hizmetle sözleşme yaparken, sorumluluklarını anlamanız önemli olacak. Güvenlik açıklarının erken tespiti için güvenlik testinin kullanılması da öneriliyor.
Varlıklarınızı ister AWS, GCP, Azure veya başka bir bulutta barındırıyor olun, uygulanabilecek çeşitli otomatik ve manuel değerlendirme teknikleri söz konusu. Bu teknikler güvenlik kontrollerinizin mimarisini ve bütünlüğünü analiz etmenize, ardından neyin düzeltilmesi ve yeniden çalışılması gerektiğini belirlemenize ve varlıklarınızın güvenliğini sağlamanıza olanak tanır.
