Bulut Güvenliği Tanımı

• Güvenlik tehditlerine otomatik olarak uyum sağlamak ve bunları ele almak için yapay zeka (AI) ve makine öğrenimini (ML) etkinleştirin
• Güvenlik yanıtlarını ölçeklendirmek, riskleri düzeltmek ve hataları ortadan kaldırmak için kendi kendini yöneten yetenekleri kullanın
• Verileri erişim kontrolleriyle proaktif olarak koruyun, kullanıcı riskini ve görünürlüğünü yönetin ve keşif ile sınıflandırma için araçlar sağlayın
• Müşteri ile bulut servisi sağlayıcı arasındaki güvenlik faaliyetlerini bilerek kapsamak için bulut paylaşılan güvenlik sorumluluğu modelini uygulayın
• Güvenliği “önce güvenlik” yaklaşımlı mimari tasarımıyla sağlayın

Bulut güvenliği kurumlara güvenlik gereksinimlerini ele alma ve kurumların düzenlemelere uygunluk gereksinimlerine uymalarını sağlamaya yönelik bir yaklaşım sağlar. Etkili bulut güvenliği, aşağıdakilerden oluşan bulut teknolojisi yığını boyunca birden çok savunma katmanı gerektirir:

• Önleyici kontroller hassas sistemlere ve verilere yetkili erişimi engellemek için tasarlanmıştır
• Dedektif kontrolleri denetleme, izleme ve raporlama yoluyla yetkisiz sistemler ile veri erişimi ve değişiklikleri ortaya çıkarmak için tasarlanmıştır
• Otomatik kontroller hem normal hem de kritik güvenlik güncellemelerini önlemek, tespit etmek ve bunlara yanıt vermek için tasarlanmıştır
• İdari kontroller güvenlik politikalarını, standartlarını, uygulamalarını ve prosedürlerini ele almak için tasarlanmıştır

Makine öğrenimi ve yapay zeka, bağlamsal farkındalık teknolojilerini bir bulut güvenlik portföyüne genişletir. Bulut güvenliğiyle, işletmeler güvenliği ağ, donanım, yonga, işletim sistemi, depolama ve uygulama yazılımı katmanlarına genişleterek IaaS, PaaS ve SaaS ile korunurlar.

Bulut güvenliği, bulut sağlayıcı ile müşteri arasında paylaşılan bir güvenlik sorumluluğudur. Bulut paylaşılan güvenlik sorumluluğu modeli, bulut servisi sağlayıcı ile servis abonesi arasındaki işbölümünü iletmek için temel bir bulut güvenliği ve risk yönetimi yapısıdır. Her tür bulut servisi için paylaşılan güvenlik sorumluluğu modelinin net bir şekilde anlaşılması, bulut güvenlik programları için kritik öneme sahiptir. Maalesef, paylaşılan güvenlik sorumluluğu modelinin bulutta en az anlaşılan güvenlik kavramlarından biri olduğu da söylenebilir. Aslında, CISO'ların yalnızca yüzde 8'i, bulut servis sağlayıcısına (CSP) kıyasla SaaS'yi güvence altına alma rollerini tam olarak anlıyor. Basitçe ifade edersek, paylaşılan güvenlik sorumluluğu modeli, bulut servisi sağlayıcının servisin güvenliğini ve kullanılabilirliğini sürdürme konusundaki sorumluluk alanını ve müşterinin servisin güvenli kullanımını sağlama sorumluluğunu ve her ikisinin de belirli bir görevi paylaştığı durumlarda ana hatlarıyla belirtir.

Bu, şirketlerin sorumluluklarını anlamaları için gereklidir. Verilerin yeterince korunamaması, ciddi ve maliyetli sonuçlara yol açabilir. Bir ihlalin sonucunu tecrübe edecek birçok kurum maliyeti karşılayamayabilir; hatta büyük şirketler bile bunun mali tablolarına olan etkisini görebilir. Paylaşılan bir güvenlik sorumluluğu modelinin amacı, hızlı dağıtıma izin veren yerleşik güvenlik ile esneklik sağlamaktır. Bu nedenle, kurumlar genellikle bulut güvenliği olarak belirtilen bulut güvenliği sorumluluklarını anlamalıdır.

Günümüzde kurumlara, iş yüklerini ve verileri buluta taşırken ortamlarını güvence altına almak için çok çeşitli bulut güvenlik araçları sunulmaktadır. Ancak, bu araçlardan bazıları ısmarlama talimatlarla birlikte gelir ve ayrı servisler olarak sunulur. Bulut kullanıcılarının ve yöneticilerinin, bulut güvenlik servislerinin nasıl çalıştığını, bunları nasıl doğru şekilde yapılandıracaklarını ve bulut dağıtımlarını nasıl sürdüreceklerini bilmeleri beklenir. Güvenlik seçenekleri sıkıntısı olmamakla birlikte, kurulumları karmaşık olabilir ve bir alanda hata yapmak kolay olabilir. Buna ek olarak, aralıksız kimlik avı döngüsü, kötü amaçlı yazılımlar, artan siber dolandırıcılık ve bir dizi yanlış yapılandırılmış bulut servisi, halihazırda zorlanan siber güvenlik programlarını daha da sıkıntıya sokuyor. Bu, kurumların veri ihlalleri yaşamasına ve bunun sonucunda marka hasarına, kurtarma maliyetlerine ve cezalara neden oldu. Aşağıda, bulut verilerini güvende tutmak için birkaç önemli gereksinim bulunmaktadır:

• Paylaşılan güvenlik sorumluluğu ve güven: Güven, paylaşılan güvenlik modelinin sonunu korumak için bir bulut iş ortağı seçmede çok önemlidir. Kurumlar, roller ve sorumluluklar konusunda net bir anlayışa ve bağımsız üçüncü taraf güvenlik denetimlerine ve onaylarına erişime sahip olmalıdır.
• Otomasyon ve makine öğrenimi: Bulut tehditleri geleneksel kurumsal güvenlik analiz ederken ve insan hızında tepki verirken makine hızında hareket eder. Bulut ortamlarındaki modern güvenlik, tehdit algılama ve müdahaleyi otomatik hale getirmelidir. Gelişmiş tehditler, makine öğrenimiyle tehdit tahmini, önleme, algılama ve yanıt vermeye yeni bir çok yönlülük düzeyi getiren güvenlik çözümleri gerektirir.
• Derinlemesine savunma: Tüm teknoloji yığını boyunca birden fazla güvenlik katmanı, bulut sağlayıcılarının fiziksel veri merkezlerinin güvenliğini sağlamaya yardımcı olmak için doğru kişiler, süreçler ve teknoloji için önleyici, tespit edici ve idari kontroller içermelidir.
• Kimlik yönetimi: Mobil cihazlar, uygulama yazılımları ve kullanıcı karakterleri daha yaygın hale geldikçe, kimlik yeni ölçüm unsuru haline geldi. Güvenli kimlik bilgilerine dayalı olarak bulutta ve şirket içinde erişimi ve ayrıcalıkları kontrol etmek kritik önem taşımaktadır.
• Görünürlük: Bir bulut erişim güvenliği aracısı ve bulut güvenliği duruş yönetimi çözümü, bir kurumun tüm bulut ortamı genelinde görünürlüğü ve denetimi genişletir.
• Sürekli uyum: Yasal uyumluluk isteğe bağlı değildir ve uyumluluk ile güvenlik aynı şey değildir. Kurumlar, örneğin yapılandırma sapması ve hatalar nedeniyle bir güvenlik ihlali olmaksızın uyumluluk ihlalleri yaşayabilir. Şirketlerin bulut ortamlarında kapsamlı, zamanında ve eyleme geçirilebilir uyumlulukla ilgili veriler sağlayan bir bulut yönetimi çözümüne sahip olması çok önemlidir.
• Varsayılan güvenlik: Güvenlik kontrolleri, işletmenin güvenliği açmayı hatırlamasını gerektirmek yerine varsayılan olarak bulut sağlayıcısı tarafından etkinleştirilmelidir. Farklı güvenlik kontrolleri ve bunların riski azaltmak ve eksiksiz bir güvenlik duruşu sağlamak için nasıl birlikte çalıştıkları konusunda herkesin güçlü bir anlayışı yoktur. Örneğin, veri şifreleme varsayılan olarak açık olmalıdır. Bulutlarda tutarlı veri koruma kontrolleri ve politikalarının uygulanması gerekir.
• İzleme ve taşıma: Bulut kiracılığına ve bölümlerine yönelik güvenlik politikaları, iş yüklerinin güvenliğini sağlamaya yardımcı olmak için yöneticilere göre ayarlanmalı ve uygulanmalıdır. Bulut kiracıları genelinde birleşik bulut güvenliği duruşu görünümü, kiracılar arasında yanlış yapılandırılmış kaynakları ve güvensiz etkinliği tespit etmek ve güvenlik yöneticilerine bulut güvenliği sorunlarını önceliklendirmek ve çözmek üzere görünürlük sağlamak için de gereklidir.
• Görevlerin ayrılması ve en az ayrıcalıklı erişim: Görevler ayrılığı ve en az ayrıcalıklı erişim ilkeleri, bulut ortamlarında uygulanması gereken en iyi güvenlik uygulamalarıdır. Bunu yapmak, kişilerin aşırı yönetici haklarına sahip olmamasını ve hassas verilere ek yetkilendirme olmadan erişememesini sağlar.

Bulutun benimsenmesi, dijital dönüşüm önceliklerinin bir sonucu olarak hızlanmaya devam ederken, şirketler bulut ortamlarını güvenli hale getirmenin karmaşıklıklarını önceden görmeli ve yönlerini buna göre belirlemelidir. Güvenliği tüm bulut yığınında (IaaS, PaaS, SaaS) otomatik olarak yerleşik olacak şekilde tasarlayan bir bulut sağlayıcı seçmek çok önemlidir. Bulut güvenliğinin geleceğiyle ilgili diğer konular şunları içerir:

• Bulut altyapısı güvenliği: Mimariden başlayarak, iş yüklerini bilişim, ağ ve bulut altyapısının depolanması genelinde güvenlik öncelikli bir yaklaşımla koruyun. İş açısından en kritik iş yükleriniz için gerekli güvenlik seviyelerini sağlamak üzere temel güvenlik servislerinden yararlanın.
• Veritabanı bulut güvenliği: Bulutta veri ihlali riskini azaltın ve uyumluluğu hızlandırın. Şifreleme, anahtar yönetimi, veri maskeleme, ayrıcalıklı kullanıcı erişim kontrolleri, etkinlik izleme ve denetimi içeren veritabanı güvenlik çözümlerini benimseyin.
• Bulut uygulama yazılımları güvenliği: Kritik uygulama yazılımlarının dolandırıcılık ve suistimale karşı güvenliğini sağlamak, kurumunuzun iş açısından kritik verilerinin korunması açısından çok önemlidir. Ayrıntılı erişim denetimleri, görünürlük ve izleme, günümüzün katmanlı savunmalarının kritik bileşenleridir.
• Kurumsal güvenlik ve gizlilik: Hangi bulut ürünü seçilirse seçilsin, bulut ortamında barındırılan veri ve veri sistemlerinin gizliliğini, bütünlüğünü ve erişilebilirliğini koruyun.
• Gelişmiş müşteri hizmeti: Bulut veya çoklu bulut ortamlarına geçiş yaparken güvenlik ekipleri, genişleyen bir saldırı yüzeyi, aşırı uyarı yükleri ve siber güvenlik becerileri eksikliğiyle karşı karşıya kalmaktadır. Bu zorlukların üstesinden gelmek için bulut servisi sağlayıcınızın sunduğu gelişmiş servisleri benimseyin.
• Kimlik ve erişim yönetimi (IAM): Bulutta veya şirket içinde barındırılmasına bakılmaksızın verilerinize kimlerin erişebileceğini, bu kişilerin ne tür erişime sahip olduklarını ve bunların güvenli kimlik bilgilerini kullanarak hangi belirli kaynaklara erişeceklerini kontrol edin.

1. Oracle ve KPMG Bulut Tehdit Raporu (PDF)
2. Teknik ön hazırlık: Oracle Database'in Güvenliğini Sağlamak (PDF)