İşletmeler Kusursuz Bir Bulut Riski Fırtınasına Giriyor
Bizimle iletişime geçin

Plato Dikey Arama

Siber güvenlik

İşletmeler Kusursuz Bir Bulut Riski Fırtınasına Giriyor

Kod olarak politika ve diğer teknikler, kuruluşların, aksi takdirde karmaşık bulut müşterilerinin başına gelen tehlikelerden uzak durmalarına yardımcı olabilir.

İşletmeler Kusursuz Bir Bulut Riski Fırtınasına Giriyor

Öğrendiğimiz her bulut tabanlı veri ihlalinde, yanlış yapılandırma hataları merkezi bir rol oynadı. Bu yanlış yapılandırma "haydut dalgaları" en büyük ve en gelişmiş bulut müşterilerinden bazılarını vurdu - yakın zamanda Twitch ve ondan önce Uber, Imperva ve Capital One. Tüm bu saldırılar, bulut sağlayıcı API kontrol düzlemlerine karşı karmaşık bir açıklardan yararlanma zincirini içeriyordu.

Güvenlik endişeleri artık bulutun benimsenmesi için bir engel değil, ancak mükemmel bir bulut riski fırtınası geldi. Bu mükemmel fırtınayı ve onun üç sürücüsünü inceleyelim ve içinde güvenle gezinmek için bir strateji oluşturalım.

1. Bulut Karmaşıklığı Artıyor
Başlıca bulut sağlayıcıları - özellikle Amazon Web Servisleri (AWS), Microsoft Azure ve Google Cloud - yeni hizmetler sunmak için bir inovasyon yarışına kilitlendi. AWS tek başına 200'den fazla altyapı hizmeti sunar ve her biri benzersiz yapılandırma seçenekleri ve güvenlik konuları ile birlikte gelir. Ve stratejik seçim, satın almalar veya tesadüfen olsun, çoğu kuruluş artık bir çoklu bulut güvenlik stratejisi gerektiren bir çoklu bulut ayak izine sahip.

Tipik kurumsal bulut ortamı, birden çok bulut hesabını ve iş birimini kapsayan yüz binlerce birbiriyle ilişkili kaynak içerebilir. Her kullanım senaryosu farklı güvenlik gereksinimleri getirir ve yerel olduğu kadar küresel kurumsal güvenlik ve düzenleyici politikalara göre yönetilmelidir. Bu politikalar, manuel denetimler sırasında farklı insan yorumlarına tabidir.

Bulut sağlayıcıları daha fazla güvenlik aracı sunmaya devam ederken, bu yeterli değil. Bulut güvenliği uzmanı Scott Piper olarak koymak, “[P]insanlar bulut ortamlarını istedikleri kadar iyi anlamıyor. … [T]hat, bence birçok yanlış yapılandırmanın devreye girdiği yer.” Birçok kuruluş için seçim, hızlı hareket edip ek riskler üstlenmek veya teslimatı yavaşlatmak ve dağıtımdan önce her şeyin güvenli ve uyumlu olduğunu onaylamaktır.

2. Bilgisayar Korsanları Artık Bulut Güvenliği Uzmanı
Bulut ortamları daha karmaşık hale geldikçe, bilgisayar korsanları hatalarımızdan yararlanma konusunda gerçekten başarılı oldular. Dağıtımdan birkaç dakika sonra bulut güvenlik açıklarını tespit etmek için interneti tarayan otomasyonu benimsediler.

Bilgisayar korsanları, ortamınıza girdikten sonra, herhangi bir ilk güvenlik açığının patlama yarıçapını genişletmek için - kendileri de bir tür yanlış yapılandırma olan - bulut mimarisi kusurlarından nasıl yararlanacaklarını bilirler. Bu kusurlar genellikle kimlik ve erişim yönetimi (IAM) kaynaklarının çevre hakkında daha fazla şey keşfetmesine, yanlamasına hareket etmesine ve verileri çalmasına olanak tanır. Twitch ihlali başlangıçta yanlış yapılandırılmış bir sunucuyu içeriyordu, ancak saldırgan nihayetinde yalnızca Twitch için değil, aynı zamanda ebeveyni Amazon için müşteri verilerini ve hassas kaynak kodunu çalmak için bir dizi güvenlik açığından yararlandı.

Bulut API kontrol düzlemine yönelik bir saldırı başladığında, onu durdurmak için çok geç. Çoğu zaman, bulut müşterileri, verileri Karanlık Web'de (Twitch'in durumunda) görünene veya bilgisayar korsanı çevrimiçi olarak bununla övünene kadar saldırıya uğradıklarının farkında değildir (Capital One ihlali). Bulut ekonomisti Corey Quinn'in de söylediği gibi Bulutta çığlık atmak podcast: “Peki, ihlal tespiti için birincil yönteminiz nedir? Ve dürüstçe cevap, 'New York Times'ın ön sayfası'.

3. Bulut Mühendisliği Yeteneği Savaşı
Bulut mühendisliği yeteneğine olan talep patlama yapıyor ve bu da ücrete yansıyor. İşverenlere göre Wall Street Journal tarafından alıntılanan, "Bulut becerisine sahip kişiler, genellikle yüz binlerce dolarlık paketlerin yanı sıra hisse senedi seçenekleriyle birlikte iki veya üç güçlü teklif alıyorlar."

Bulutta faaliyet gösteren her şirket, halihazırda kendi ekiplerinde bulunanlar da dahil olmak üzere, bulut mühendisleri üzerinden teknoloji devleriyle rekabet ediyor. Bu şirketlerin çoğu, teknoloji devlerinin sahip olduğu derin ceplere ve çekici hisse senedi seçeneklerine sahip değil. Ve Gartner'ın Lydia Leong'u olarak şuraya, “Bu sadece büyük bir teknoloji değil. Gezegendeki her SI ve MSP, her yerde teknik insanları takip ediyor.”

Fırtınada Yönlendirme Stratejileri
1. Ortamınız ve güvenlik durumunuz hakkında tam bir farkındalık oluşturun. Bulut ihlalleri, güvenlik ekiplerinin karmaşık bir bulut kaynağı grafiğindeki güvenlik açıklarını tespit etmek için ihtiyaç duydukları görünürlüğe sahip olmaması nedeniyle meydana gelir. Yöneticiler, bulut ortamlarının tam yapılandırma durumunu ve güvenlik duruşunu ayrıntılandıran bir rapor istemeli ve güvenlik ekipleri istedikleri zaman bir rapor üretebilmelidir.

2. Güvenli mimari oluşturmaya ve yanlış yapılandırmayı önlemeye odaklanın. Bulut güvenliği bir mimari ve süreç sorunudur ve her yanlış yapılandırma, tasarım veya süreç hatasıdır. DevOps mühendislerine altyapılarındaki hataları kod olarak işaretleyen ve bunların nasıl düzeltileceğini açıklayan araçlar verin. Yanlış yapılandırma güvenlik açıklarının dağıtımını önlemek için CI/CD işlem hatlarınıza güvenlik korkulukları yerleştirin.

3. İlkeyi koda dayalı otomasyon olarak kullanarak ölçeklenebilir bulut güvenliği oluşturun. Kod olarak politika, birden fazla iş birimini ve bunların sayısız kullanım senaryosunu ve yerel politika gereksinimlerini, onları yavaşlatmadan etkili bir şekilde desteklemenin tek yoludur. Başlamak için iyi bir yer Açık İlke Aracısı, Bulut Yerel Bilgi İşlem Vakfı T-Mobile, Goldman Sachs ve Netflix gibi büyük şirketler tarafından kullanılan proje.

Yazılım mühendislerinin güvenli bulut altyapısı geliştirmelerine yardımcı olan, dağıtımda yanlış yapılandırmayı önleyen ve kod olarak tutarlı ve ölçeklenebilir bir politika temeli üzerine inşa edilen bulut güvenliğine yönelik bütünsel bir yaklaşımla, kuruluşlar bulut kullanımlarını güvenli bir şekilde ölçeklendirebilir ve tehlikelerden uzak durabilir. aksi takdirde sofistike kurumsal bulut müşterilerinin başına gelenler.

Kaynak: https://www.darkreading.com/cloud/enterprises-are-sailing-into-a-perfect-storm-of-cloud-risk

Tarafından Yazılmıştır

İlgili Akışlar

büyük Veri

Bu makale, Data Science Blogathon'un bir parçası olarak yayınlandı. Databricks'e Giriş Merhaba!, teknisyenler, eminim bu makale size yardımcı olacaktır...

büyük Veri

Bu makale, Data Science Blogathon'un bir parçası olarak yayınlandı. Databricks'e Giriş Merhaba!, teknisyenler, eminim bu makale size yardımcı olacaktır...

büyük Veri

Bu makale, Data Science Blogathon'un bir parçası olarak yayınlandı. Databricks'e Giriş Merhaba!, teknisyenler, eminim bu makale size yardımcı olacaktır...

büyük Veri

Bu makale, Data Science Blogathon'un bir parçası olarak yayınlandı. Databricks'e Giriş Merhaba!, teknisyenler, eminim bu makale size yardımcı olacaktır...