Bulut Güvenliği Zorlukları Nelerdir?

Yayınlanan: 2020-09-17

Check Point ve Cybersecurity Insiders, genel bulut sistemlerinde veri ve iş yüklerinin korunmasında iş güvenliği sistemlerinin karşılaştığı bulut güvenliği zorluklarına vurgu yapılan küresel 2020 Bulut Güvenliği Raporlarını yayınladı.

Rapora göre, ankete katılanların %75'i, kendileri için büyük bir zorluk olmaya devam ettiği için genel bulut güvenliği konusunda "son derece endişeli" olduklarını açıkladı.

( Ayrıca Okuyun: Bulut Güvenliği Nedir? )

Bulut Güvenliğindeki Zorluklar

  1. Veri Sızması/İhlalleri

    2020'de bulut güvenliğini etkileyen mevcut bulut bilişim güvenliği sorunlarından ve zorluklarından biri veri ihlalleri sorunudur. Veri ihlalinin, bazıları aşağıdakileri içeren çeşitli sonuçları vardır:

    • Mali harcamalara yol açan adli olay ve müdahale
    • Yasal ve sözleşmesel sonuçlar
    • Listelenen tüm nedenlerden dolayı ticari piyasa değerinin düşmesine neden olabilecek marka üzerindeki olumsuz etkiler
    • Düzenleyici uygulamalardan kaynaklanabilecek parasal kayıp
    • Ürünlerin piyasaya sürülmesini etkileyebilecek şekilde rakiplere fikri mülkiyeti (IP) kaybetmek.
    • Marka itibarını ve müşterilerin veya ortakların işletmeye olan güvenini etkileyebilir.

  2. Yanlış Yapılandırma ve Uygunsuz Değişiklik Kontrolü

    Bu, 2020'de bulut teknolojisinin karşılaştığı en yaygın bulut güvenliği zorluklarından bir diğeri. Örneğin, yanlış yapılandırılmış bir AWS Basit Depolama Hizmeti (S3) bulut depolama kovası, 2017'de yaklaşık 123 milyon Amerikalı ailenin doğru ve hassas verilerini sızdırdı.

    Veri kümesi, verilerin Alteryx adlı çevrimiçi pazarlama ve veri analitiği kuruluşuna satışıyla uğraşan bir kredi bürosu olan Experian'a aitti. Dosya Alteryx tarafından ifşa edildi. Böyle bir olay ölümcül sonuçlara yol açabilir.

  3. Bulut Güvenlik Yapısının ve Taktiklerinin Bulunamaması

    Dünyanın her yerinde birçok işletme, BT altyapılarının bir kısmını genel bulutlara taşıyor. Bu geçişle ilgili önemli bir sorun, siber tehditlerle mücadele için yeterli güvenlik yapılarının dahil edilmesidir.

    Ancak zorluk, çoğu işletmenin hala bu süreci uygulamayı neredeyse imkansız bulmasıdır. İşletmeler, bulut geçişinin yalnızca mevcut BT sistemlerini ve güvenlik mimarisini bir bulut ortamına geçirmekten ibaret "yürütmesi basit" bir görev olduğunu varsaydıklarında, veri kümeleri çeşitli saldırılara karşı savunmasız kalır. Katkıda bulunan diğer bir faktör de paylaşılan güvenlik rol modelinin anlaşılmamasıdır.

  4. Yetersiz Erişim, Kimlik Bilgisi, Kimlik ve Anahtar Yönetimi

    Bulut bilişim ile birlikte, kimlik ve erişim yönetimi (IAM) ile ilişkili tipik dahili sistem yönetimi uygulamalarında birkaç değişiklik gelir. Bunlar gerçekten yeni bulut güvenliği zorlukları olmasa da, bulut tabanlı bir ortamda çalışırken daha önemli zorluklardır.

    Bunun nedeni, bulut bilişimin kimlik, kimlik bilgisi ve erişim yönetimi üzerinde büyük etkileri olmasıdır. Hem özel hem de genel bulut ortamlarında, CSP'lerin ve bulut kullanıcılarının güvenliği bozmadan IAM'yi yönetmesine ihtiyaç vardır.

  5. Hesabın Ele Geçirilmesi

    Hesapların ele geçirilmesi, son derece hassas veya özel ayrıntılar içeren hesaplara kötü niyetli saldırganlar tarafından erişilmesi ve bunların kötüye kullanılması ile karakterize edilen bir sorundur. Genellikle, bulut ortamlarında en çok tehdide sahip hesaplar, abonelikler veya bulut hizmeti hesaplarıdır.

    Bu hesaplar, çalınan kimlik bilgileri, bulut tabanlı sistemlerden yararlanma ve kimlik avı saldırılarının bir sonucu olarak tehlikeye girmeye eğilimlidir.

  6. Dahili İhlaller

    2018 Netwrix Bulut Güvenliği Raporuna göre, kuruluşların %58'i güvenlik ihlallerinin nedeni olarak içeriden kişileri gösteriyor. Bu nedenle, çoğu güvenlik olayı içeriden birinin ihmalinden kaynaklanır.

    Ponemon Enstitüsü'nün 2018 İçeriden Öğrenen Tehditlerin Maliyeti araştırmasının raporu, rapor edilen içeriden öğrenenlerin olaylarının %13'ünün kimlik bilgisi hırsızlığından, %23'ünün içeriden suçlularla ilişkili olduğunu ve %64'ünün çalışan veya yüklenici ihmalinin bir sonucu olduğunu gösterdi.

    Belirtilen genel senaryolardan bazıları şunlardır: çalışanların veya diğer dahili personelin, iş varlıklarına yönelik kötü niyetli saldırılarla sonuçlanan kimlik avı e-postalarının kurbanı olması, çalışanların özel şirket verilerini düşük güvenlikli kişisel sistemlerine veya cihazlarına kaydetmesi ve uygun olmayan şekilde yapılandırılmış bulut sunucuları .

  7. Düşük Güvenlikli Arayüzler ve API'ler

    Tüketicilerin bulut sistemlerini yönetmesini ve kullanmasını sağlamak için, bulut bilişim sağlayıcıları bir dizi yazılım kullanıcı arabirimi (UI'ler) ve API'ler yayınlar. Bu API'ler, genel bulut sunucu hizmetlerinin ne kadar güvenli ve kullanılabilir olacağını belirleyen API'lerdir.

    Erişim yönetimi ve kimlik doğrulamasından etkinlik kontrolü ve şifrelemeye kadar, bu arayüzlerin, güvenlik politikasına sızmak için hem kötü niyetli hem de kazara yapılan girişimlere karşı koruma sağlamak için tasarlanması gerekir. Güvenli olmayan API'lerin sonuçları, kötüye kullanım veya daha da kötüsü bir veri kümesinin ihlali olabilir.

    Saldırıya uğrayan, açıkta kalan veya bozulan API'ler bir dizi büyük veri ihlaline neden olmuştur. Özünde, şirketlerin bu arayüzlerin tasarımını ve internette sunumunu karakterize eden güvenlik özelliklerini anlamaları zorunlu hale geliyor.

  8. Verimsiz Kontrol Düzlemi

    Veri platformundan bulut ortamına geçiş, yeterli veri depolama ve koruma protokolünün oluşturulması için belirli sorunlar yaratır. Artık kullanıcının verileri kopyalamak, taşımak ve depolamak için yeni süreçler oluşturması önemlidir.

    Kullanıcı Çoklu bulut kullanıyorsa, bu süreç daha da karmaşık hale gelir. Bu problemler bir kontrol düzlemi ile çözülmelidir. Bunun nedeni, verilerin istikrarını ve çalışma zamanını getiren veri düzlemini tamamlayacak bütünlük ve güvenliği sağlamasıdır.

    Verimsiz bir kontrol düzlemi, ister DevOps mühendisi ister sistem mimarı olsun, sorumlu kişinin veri altyapısının doğrulaması, güvenliği ve mantığı üzerinde tam kontrole sahip olmadığını gösterir.

    Bu tür bir durumda, büyük paydaşlar veri akışının, güvenlik yapılandırmasının ve yapısal zayıf noktaların ve kör noktaların konumlarının/alanlarının farkında değildir. Bulut güvenliğindeki bu zorlukların bir sonucu olarak şirket, veri sızıntısı, kullanılamama veya bozulma ile karşılaşabilir.

  9. Uygulama Yapısı ve Üst Yapı Hataları

    Bulut hizmeti sağlayıcıları, sistemlerini başarılı bir şekilde entegre etmek ve korumak için ihtiyaç duyulan süreçleri ve güvenlik protokollerini zaman zaman ortaya koyuyor. Çoğu durumda, bu bilgiler API çağrıları aracılığıyla ifşa edilir ve korumalar CSP'nin meta yapısına entegre edilir.

    Meta yapı, sınır çizgisi olarak da adlandırılan müşteri hattı/CSP olarak kabul edilir. Bu modelde, birkaç seviye hata olasılıkları ile karakterize edilir. Örneğin, CSP tarafından uygun olmayan API entegrasyonu, saldırganların bütünlük, gizlilik ve hizmet kullanılabilirliği kesintisi yoluyla bulut müşterilerini engellemesini kolaylaştırır.

  10. Bulut Kullanımının Kısıtlı Görünürlüğü

    Kısıtlı bulut kullanımı görünürlüğü, bir şirketin kuruluş içinde kullanılan bulut hizmetinin güvenliğini veya kötülüğünü görselleştirememesi ve analiz edememesinin sonucudur. Bu konseptte iki büyük bulut güvenliği sorunu vardır.

    Birincisi, onaylanmamış uygulama kullanımıdır. Bu, çalışanların kurumsal BT ve güvenliğin özel yetkisi olmadan bulut araçlarını ve uygulamalarını kullandığında olur. Bu nedenle, Shadow IT olarak bilinen kendi kendine yardım modeline yol açar.

    Güvenli olmayan bulut hizmetleri etkinliğinin kurumsal yönergelere uygun olmaması, özellikle hassas kurumsal verilerle entegre edilmesi risklidir. Gartner tarafından yapılan tahminlere göre, 2020 yılına kadar işletmelerdeki tüm başarılı güvenlik sızmalarının ⅓'i gölge BT sistemleri ve kaynakları tarafından yönlendirilecek.

    İkincisi, onaylanmış uygulama kötüye kullanımıdır. Şirketlerin, onaylanan uygulamayı kullanan içeriden kişiler tarafından onaylanmış uygulamalardan nasıl yararlanıldığına dair analizler yapması genellikle zordur.

    Çoğu zaman, bu kullanım, kuruluşun özel izni olmadan veya Etki Alanı Adı Sistemi (DNS) saldırıları, Yapılandırılmış Sorgu Dili (SQL) enjeksiyonu, kimlik bilgisi hırsızlığı ve diğerleri gibi yöntemlerle hizmeti hedefleyen dış tehdit aracıları tarafından gerçekleşir.

  11. Bulut Hizmetlerinin Kötüye Kullanımı ve Suçlu Kullanımı

    Kötü niyetli saldırganlar, bulut sağlayıcılarının yanı sıra diğer kullanıcıları veya kuruluşları hedeflemek için bulut bilgi işlem kaynaklarından yararlanabilir. Kötü niyetli aktörlerin bulut hizmetlerinde kötü amaçlı yazılım barındırması da mümkündür.

    Bulut hizmetinde barındırılan kötü amaçlı yazılım, kötü amaçlı yazılım CSP'nin etki alanını kullandığından daha yüksek meşruiyete sahip görünebilir. Ek olarak, bulut tabanlı kötü amaçlı yazılım, kendisini daha fazla yaymak için bir saldırı vektörü gibi bulut paylaşım kaynaklarını kullanabilir.

  12. Hibrit Bulutun Büyümesi, Onu Sürdürme Yeteneğini Aşıyor

    Bir ankete göre, ankete katılanların yaklaşık %60'ı, bulutta iş hizmetlerinin başlatılmasının, bunları zamanında etkin bir şekilde sürdürme yeteneklerinin ötesine geçtiğini tespit ediyor veya kesinlikle bundan emin. Bu rakam rapor edildiğinden beri aynı kaldı. Demek ki bu konuda ilerleme yok. Artan genel bulut benimseme oranıyla, zeminin kaybolduğu sonucuna varmak güvenli.

  13. Hizmet Reddi (DOS) Saldırıları

    DoS saldırılarının birincil amacı, bir sistemi, ağı veya makineyi devre dışı bırakarak hedeflenen kullanıcılar tarafından erişilemez hale getirmektir. Ripple ve Bitcoin gibi kripto para birimlerinin gelişimi ve büyümesi, DoS saldırılarının daha fazla gerçekleşmesini kolaylaştırıyor.

    Kripto para birimini kullanarak, siber suçluların gerekli becerileri edinmeleri veya bir botnet üzerinde kontrol sahibi olmaları artık bir zorunluluk değil. Tek yapmaları gereken, işi kendi adlarına yürütmek için bu finansman seçenekleri aracılığıyla başka bir bilgisayar korsanı kiralamak.

  14. Satıcı Kilidi

    Güvenlik özellikleri açısından “Satıcı Kilidi” bir risk faktörü olarak tanımlanmıştır. Bir bulut hizmeti için yalnızca bir uyumlu güvenlik çözümü seçeneğiyle sınırlı olmak oldukça kısıtlayıcıdır. Bunun etkisi, güvenlik için düşük bir yatırım getirisi olabilir.

    Bunun nedeni, kilitli satıcının diğer satıcılarla rekabet halinde olması gerekmemesidir. Her şeye sıfırdan başlamadan işlevsel bir hizmet istiyorsanız, tek tercihleri ​​olduğunuz için şirketinizin yanındalar.

    Bu nedenle, bulut tabanlı hizmetleri seçerken belirli bir hizmet sağlayıcıdan diğerine geçmenin ne kadar etkili olacağını belirlemeniz gerekir. Satıcıya bağlı kalmamak için (bulut hizmetinizin kendisi veya güvenlik çözümleriniz için) bir bulut bilişim hizmeti seçmeden önce belirli faktörleri göz önünde bulundurmanız önemlidir. Şu faktörleri göz önünde bulundurun:

    • Bulut hizmeti, çeşitli hizmetler ve güvenlik özellikleri için çeşitli arabirimler/entegrasyonlar sunuyor mu?
    • Bulut hizmeti sağlayıcısı, başka bir sisteme geçişe yardımcı olacak dışa aktarma araçları sunuyor mu?
    • Son olarak, verileriniz yeni bir sisteme aktarılması kolay bir biçimde saklandı mı?

  15. Uyarılar ve Bildirimler

    Güvenlik risklerine ilişkin farkındalık ve yeterli iletişim, bulut güvenliğinin yanı sıra ağ güvenliğinin de önemli bir yönüdür. Kapsamlı bir güvenlik çözümü, bir güvenlik tehdidi algıladığı anda ilgili web sitesini veya uygulama yöneticilerini uyarabilmelidir.

    Açık ve hızlı iletişim olmadan, uygun kuruluşlar tehdidi hızla azaltamayacak ve tehdidi en aza indirecek uygun adımları atamayacaklardır.

Son düşünceler

Genel olarak, yukarıda tartışılan konuların tümü bulut güvenliği için bir tehdit oluştursa da, üstesinden gelinemez değildir. Doğru yaklaşım, teknoloji ve ortaklarla işletmeler, bulut güvenliği zorluklarının üstesinden gelebilir ve bulut teknolojisinin bol avantajlarından yararlanmaya başlayabilir.

Diğer Faydalı Kaynaklar:

Bulut Güvenliğini ve Uyumluluğunu Otomatikleştirmenin Faydaları

Bulut Güvenliği Stratejisi Oluşturma Kılavuzu

Güvenlik ve Bulut Risklerini Keşfetme ve Yönetme