Öğrendiğimiz her bulut tabanlı veri ihlalinde, yanlış yapılandırma hataları merkezi bir rol oynadı. Bu yanlış yapılandırma "haydut dalgaları", yakın zamanda Twitch ve ondan önce de Uber, Imperva ve Capital One gibi en büyük ve en gelişmiş bulut müşterilerinden bazılarını vurdu. Bu saldırıların tümü, bulut sağlayıcı API kontrol düzlemlerine yönelik karmaşık bir açıklardan yararlanma zincirini içeriyordu.
Güvenlik endişeleri artık bulutun benimsenmesine engel teşkil etmiyor ancak mükemmel bir bulut riski fırtınası geldi. Bu mükemmel fırtınayı ve onun üç etkenini inceleyelim ve fırtınada güvenli bir şekilde ilerlemek için bir strateji oluşturalım.
1. Bulutun Karmaşıklığı Artıyor
Başta Amazon Web Services (AWS), Microsoft Azure ve Google Cloud olmak üzere büyük bulut sağlayıcıları, yeni hizmetler sunmak için bir inovasyon yarışına kilitlenmiş durumda. AWS tek başına 200'den fazla altyapı hizmeti sunmaktadır ve her biri benzersiz yapılandırma seçenekleri ve güvenlik hususlarıyla birlikte gelir. Stratejik seçim, satın almalar veya tesadüfen olsun, çoğu kuruluş artık çoklu bulut güvenlik stratejisi gerektiren çoklu bulut ayak izine sahip.
Tipik kurumsal bulut ortamı, birden fazla bulut hesabını ve iş birimini kapsayan yüz binlerce birbiriyle ilişkili kaynağı içerebilir. Her kullanım durumu farklı güvenlik gereksinimleri getirir ve yerel politikaların yanı sıra küresel kurumsal güvenlik ve düzenleme politikalarına göre yönetilmelidir. Bu politikalar, manuel denetimler sırasında insanların farklı yorumlarına tabidir.
Bulut sağlayıcıları daha fazla güvenlik aracı sunmaya devam etse de bu yeterli değil. Bulut güvenliği uzmanı Scott Piper olarak koymak, “[P]insanlar bulut ortamlarını istedikleri kadar anlamıyorlar. … [T]şapkanın birçok yanlış yapılandırmanın devreye girdiği yer olduğunu düşünüyorum.” Birçok kuruluşun tercihi, hızlı hareket edip ek riskler üstlenmek veya dağıtımı yavaşlatıp dağıtımdan önce her şeyin güvenli ve uyumlu olduğunu onaylamaktır.
2. Bilgisayar Korsanları Artık Bulut Güvenliği Uzmanı
Bulut ortamları daha karmaşık hale geldikçe bilgisayar korsanları hatalarımızdan yararlanma konusunda gerçekten ustalaştı. Dağıtımdan birkaç dakika sonra buluttaki güvenlik açıklarını tespit etmek için interneti tarayan otomasyonu benimsediler.
Bilgisayar korsanları, ortamınıza girdikten sonra herhangi bir başlangıçtaki güvenlik açığının patlama yarıçapını genişletmek için bulut mimarisi kusurlarından (kendileri de bir tür yanlış yapılandırma) nasıl yararlanacaklarını bilirler. Bu kusurlar genellikle kimlik ve erişim yönetimi (IAM) kaynaklarının ortam hakkında daha fazla şey keşfetmesine, yanal hareket etmesine ve verileri çalmasına olanak tanır. Twitch ihlali başlangıçta yanlış yapılandırılmış bir sunucuyu içeriyordu, ancak saldırgan sonuçta yalnızca Twitch'in değil aynı zamanda ana şirketi Amazon'un müşteri verilerini ve hassas kaynak kodunu çalmak için bir dizi güvenlik açığından yararlandı.
Bulut API kontrol düzlemine yönelik bir saldırı başlatıldığında, bunu durdurmak için artık çok geç. Çoğu zaman, bulut müşterileri, verileri Dark Web'de görünene kadar (Twitch'in durumunda) veya bilgisayar korsanı çevrimiçi olarak bununla övünene kadar saldırıya uğradıklarının farkında olmazlar (Capital One ihlali). Bulut ekonomisti Corey Quinn'in de dediği gibi Bulut'a bağırmak podcast: “Peki, ihlal tespitinde öncelikli yönteminiz nedir? Ve dürüstçe cevap şu: 'New York Times'ın ön sayfası.'”
3. Bulut Mühendisliği Yeteneği Savaşı
Bulut mühendisliği yeteneklerine olan talep hızla artıyor ve bu da ücretlere yansıyor. İşverenlere göre Wall Street Journal'dan alıntı, "Bulut becerisine sahip insanlar genellikle iki veya üç güçlü teklif alıyor; bunlar genellikle yüzbinlerce dolar değerinde paketlerin yanı sıra hisse senedi opsiyonlarını da içeriyor."
Bulutta faaliyet gösteren her şirket, halihazırda ekibinde olanlar da dahil olmak üzere, bulut mühendisleri konusunda teknoloji devleriyle rekabet ediyor. Bu şirketlerin çoğu, teknoloji devlerinin sahip olduğu geniş ceplere ve cazip hisse senedi opsiyonlarına sahip değil. Ve Gartner'dan Lydia Leong olarak şuraya, “Bu yalnızca büyük teknoloji değil. Gezegendeki her SI ve MSP her yerde teknik insanları kovalıyor."
Fırtınayı Atlatma Stratejileri
1. Ortamınız ve güvenlik durumunuz hakkında tam bir farkındalık oluşturun. Bulut ihlalleri, güvenlik ekiplerinin karmaşık bir bulut kaynağı grafiğindeki güvenlik açıklarını tespit etmek için ihtiyaç duydukları görünürlüğe sahip olmaması nedeniyle meydana gelir. Yöneticiler, bulut ortamlarının tüm yapılandırma durumunu ve güvenlik durumunu ayrıntılı olarak açıklayan bir rapor istemeli ve güvenlik ekipleri de istedikleri zaman bir rapor oluşturabilmelidir.
2. Güvenli mimari oluşturmaya ve yanlış yapılandırmayı önlemeye odaklanın. Bulut güvenliği bir mimari ve süreç meselesidir ve her yanlış yapılandırma, tasarım veya süreçteki bir başarısızlıktır. DevOps mühendislerine altyapılarındaki hataları kod olarak işaretleyen araçlar verin ve bunları nasıl düzelteceklerini açıklayın. Yanlış yapılandırma güvenlik açıklarının dağıtılmasını önlemek için CI/CD işlem hatlarınıza güvenlik korkulukları yerleştirin.
3. Politikayı kod odaklı otomasyon olarak kullanarak ölçeklenebilir bulut güvenliği oluşturun. Kod olarak politika, birden fazla iş birimini ve bunların sayısız kullanım örneklerini ve yerel politika gerekliliklerini, onları yavaşlatmadan etkili bir şekilde desteklemenin tek yoludur. Başlamak için iyi bir yer Açık İlke Aracısı, Bulut Yerel Bilgi İşlem Vakfı T-Mobile, Goldman Sachs ve Netflix gibi büyük kuruluşların kullandığı proje.
Yazılım mühendislerinin güvenli bulut altyapısı geliştirmesine yardımcı olan, dağıtım sırasında yanlış yapılandırmayı önleyen ve kod olarak tutarlı ve ölçeklenebilir bir politika temeli üzerine inşa edilen bütünsel bir bulut güvenliği yaklaşımıyla işletmeler, bulut kullanımlarını güvenli bir şekilde ölçeklendirebilir ve tehlikelerden uzak durabilir. Bu durum aslında karmaşık kurumsal bulut müşterilerinin başına gelmiştir.
Kaynak: https://www.darkreading.com/cloud/enterprises-are-sailing-into-a-perfect-storm-of-cloud-risk
