İş Güvenliği
Bu hataları ve kör noktaları ortadan kaldırarak kuruluşunuz, kendisini siber riske maruz bırakmadan bulut kullanımını optimize etme yolunda büyük adımlar atabilir.
Ocak 16 2024
•
,
5 dk. okuman
Bulut bilişim günümüzün dijital ortamının önemli bir bileşenidir. BT altyapısının, platformlarının ve yazılımlarının bugün geleneksel şirket içi yapılandırmaya kıyasla bir hizmet olarak (bu nedenle sırasıyla IaaS, PaaS ve SaaS kısaltmaları) sunulma olasılığı daha yüksektir. Bu da çoğundan çok küçük ve orta ölçekli işletmelere (KOBİ'ler) hitap ediyor.
Bulut, daha büyük rakiplerle oyun alanını eşitleme fırsatı sunarak bütçenizi zorlamadan daha fazla iş çevikliği ve hızlı ölçeklendirme sağlar. Bir ankete katılan küresel KOBİ'lerin %53'ünün nedeni bu olabilir. son rapor buluta yılda 1.2 milyon dolardan fazla para harcadıklarını söylüyorlar; geçen yılki oran %38'di.
Ancak dijital dönüşümle birlikte risk de beraberinde geliyor. Güvenlik (%72) ve uyumluluk (%71), KOBİ'lere yanıt verenler için en sık dile getirilen ikinci ve üçüncü bulut zorluklarıdır. Bu zorluklarla başa çıkmanın ilk adımı, küçük işletmelerin bulut dağıtımlarında yaptıkları ana hataları anlamaktır.
KOBİ'lerin yaptığı en önemli yedi bulut güvenliği hatası
Açık olalım, aşağıdakiler yalnızca KOBİ'lerin bulutta yaptığı hatalar değildir. En büyük ve en iyi kaynaklara sahip şirketler bile bazen temelleri unutmaktan suçlu olabiliyor. Ancak bu kör noktaları ortadan kaldırarak kuruluşunuz, kendisini potansiyel olarak ciddi mali veya itibar riskine maruz bırakmadan bulut kullanımını optimize etme yolunda büyük adımlar atabilir.
1. Çok faktörlü kimlik doğrulama (MFA) yok
Statik şifreler doğası gereği güvensizdir ve her işletme bir statik şifreye bağlı kalmaz. sağlam şifre oluşturma politikası. Şifreler olabilir çeşitli şekillerde çalındıKimlik avı, kaba kuvvet yöntemleri veya basitçe tahmin yoluyla. Bu nedenle, MFA'nın üzerine ekstra bir kimlik doğrulama katmanı eklemeniz gerekir; bu, saldırganların kullanıcılarınızın SaaS, IaaS veya PaaS hesap uygulamalarına erişmesini çok daha zorlaştıracak ve böylece fidye yazılımı, veri hırsızlığı ve diğer olası sonuçların riskini azaltacaktır. Diğer bir seçenek ise, mümkün olduğu durumlarda, aşağıdaki gibi alternatif kimlik doğrulama yöntemlerine geçmeyi içerir: şifresiz kimlik doğrulama.
2. Bulut sağlayıcısına (CSP) çok fazla güvenmek
Birçok BT lideri, buluta yatırım yapmanın etkili bir şekilde her şeyi güvenilir bir üçüncü tarafa yaptırmak anlamına geldiğine inanıyor. Bu yalnızca kısmen doğrudur. Aslında bir şey var paylaşılan sorumluluk modeli Bulutun güvenliğini sağlamak için CSP ile müşteri arasında bölünür. Dikkat etmeniz gerekenler, bulut hizmetinin türüne (SaaS, IaaS veya PaaS) ve CSP'ye bağlı olacaktır. Sorumluluğun büyük kısmı sağlayıcıya ait olsa bile (örneğin, SaaS'ta), ek üçüncü taraf kontrollerine yatırım yapmak faydalı olabilir.
3. Yedekleme başarısız
Yukarıdakilere göre asla bulut sağlayıcınızın (örneğin, dosya paylaşımı/depolama hizmetleri için) arkanızda olduğunu düşünmeyin. Her zaman en kötü senaryoya göre plan yapmak faydalıdır; bu senaryo büyük olasılıkla bir sistem arızası veya siber saldırı olacaktır. Kuruluşunuzu etkileyecek olan yalnızca kayıp veriler değil, aynı zamanda bir olayın ardından oluşabilecek kesinti ve üretkenlik kaybıdır.
4. Düzenli olarak yama yapamamak
Yama uygulamazsanız bulut sistemlerinizi güvenlik açıklarından yararlanmaya maruz bırakırsınız. Bu da kötü amaçlı yazılım bulaşmasına, veri ihlallerine ve daha fazlasına neden olabilir. Yama yönetimi, şirket içinde olduğu kadar bulutta da geçerli olan temel bir güvenlik en iyi uygulamasıdır.
5. Bulutun yanlış yapılandırılması
CSP'ler yenilikçi bir gruptur. Ancak müşteri geri bildirimlerine yanıt olarak piyasaya sürdükleri çok sayıda yeni özellik ve yetenek, birçok KOBİ için inanılmaz derecede karmaşık bir bulut ortamı yaratılmasına neden olabilir. Hangi yapılandırmanın en güvenli olduğunu bilmek çok daha zorlaşır. Yaygın hatalar şunları içerir: bulut depolamayı yapılandırma böylece herhangi bir üçüncü taraf buna erişebilir ve açık bağlantı noktalarını engelleyemez.
6. Bulut trafiği izlenmiyor
Sık karşılaşılan bir nakarat, günümüzde bulut (IaaS/PaaS) ortamınızın ihlal edilmesinin "eğer" değil "ne zaman" olduğudur. Bu, işaretleri erken tespit etmek ve bir saldırıyı kuruluşu etkileme şansına sahip olmadan kontrol altına almak istiyorsanız hızlı tespit ve müdahaleyi kritik hale getirir. Bu da sürekli izlemeyi zorunlu hale getiriyor.
7. Kurumsal taç mücevherlerini şifrelemede başarısız olmak
Hiçbir ortam %100 ihlale dayanıklı değildir. Peki, kötü niyetli bir taraf en hassas dahili verilerinize veya sıkı denetime tabi çalışan/müşteri kişisel bilgilerinize erişmeyi başarırsa ne olur? Kullanılmadığı ve aktarıldığı sırada şifreleyerek, elde edilse bile kullanılamayacağını garanti altına almış olursunuz.
Bulut güvenliğini doğru şekilde sağlamak
Bu bulut güvenliği riskleriyle başa çıkmanın ilk adımı, sorumluluklarınızın nerede olduğunu ve CSP'nin hangi alanları ele alacağını anlamaktır. Daha sonra, CSP'nin bulut yerel güvenlik kontrollerine güvenip güvenmediğinize veya bunları ek üçüncü taraf ürünlerle geliştirmek isteyip istemediğinize dair bir karar vermeniz gerekir. Aşağıdakileri göz önünde bulundur:
- Yatırım üçüncü taraf güvenlik çözümleri Bulut güvenliğinizi ve e-posta, depolama ve işbirliği uygulamalarınız için korumayı, dünyanın önde gelen bulut sağlayıcıları tarafından sunulan bulut hizmetlerinde yerleşik güvenlik özelliklerine ek olarak geliştirmek için
- Olaylara hızlı yanıt verilmesini ve ihlallerin kontrol altına alınmasını/iyileştirilmesini sağlamak için genişletilmiş veya yönetilen algılama ve yanıt (XDR/MDR) araçları ekleyin
- Güçlü varlık yönetimine dayanan sürekli bir risk tabanlı yama programı geliştirin ve dağıtın (ör. hangi bulut varlıklarına sahip olduğunuzu öğrenin ve ardından bunların her zaman güncel olduğundan emin olun)
- Kötü adamlar ele geçirse bile korunduğundan emin olmak için, beklemedeki (veritabanı düzeyinde) ve aktarım halindeki verileri şifreleyin. Bu aynı zamanda etkili ve sürekli veri keşfi ve sınıflandırmasını da gerektirecektir.
- Açık bir erişim kontrol politikası tanımlayın; Güçlü şifreleri, MFA'yı, en az ayrıcalık ilkelerini ve belirli IP'ler için IP tabanlı kısıtlamaları/izin verilenler listesini zorunlu kılma
- Bir evlat edinmeyi düşünün Sıfır Güven yaklaşımıAğ bölümleme ve diğer kontrollerin yanı sıra yukarıdaki öğelerin çoğunu (MFA, XDR, şifreleme) içerecektir
Yukarıdaki önlemlerin çoğu, şirket içinde dağıtılması beklenebilecek en iyi uygulamalarla aynıdır. Ve ayrıntılar farklı olsa da yüksek düzeydedirler. En önemlisi, bulut güvenliğinin yalnızca sağlayıcının sorumluluğunda olmadığını unutmayın. Siber riski daha iyi yönetmek için kontrolü bugün elinize alın.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.welivesecurity.com/en/business-security/7-deadly-cloud-security-sins-smb/
