21 Nis 2021
5 dk okuma süresi
Bulut platformları, altyapıyı ve kaynakları çok sayıda müşteri arasında paylaştıran çok kiracılı (multi-tenant) ortamlardır. Bulut sistemleri kurumları sunucu barındırma ve yönetimi, sunucuların güvenliğini sağlama gibi birçok BT yükünden kurtarır. Ancak bulutun, iş yüklerini ve verileri; saldırı, hırsızlık ve diğer suistimallerden otomatik olarak koruyacağını varsaymak, hata olacaktır. Güvenlik açıklarının ve zafiyetlerin ortaya çıkma potansiyeli, bulutta da mevcuttur.
Kuruluşlar, bulut ortamlarındaki güvenlik zafiyetleri ve kusurlar nedeniyle, tıpkı sistemleri on-premise, yani kurum bünyesinde tuttukları gibi zarar görebilirler. Bu sebeple, siber güvenlik stratejisine bulutun da dahil edilmesi ve siber saldırganlardan önce savunmasız noktaların tespit edilerek önlem alınması gerekir.
Bulut hizmetleri sağlayıcısı ise, paylaşılan altyapısının bütünlüğünü korumak için özenle çalışmalıdır. Aynı zamanda, bulut bir self-servis platformdur ve her müşteri, iş yüklerinin ve kaynaklarının her biri için özel kontrolleri dikkatlice tanımlamalıdır.
Bulut güvenliğindeki tehlike türleri
Bulut güvenliği sağlamadaki zorlukları ve bunlara karşı nasıl önlemler alınabileceğini incelemeden önce, kurumlara yönelik tehlikeleri detaylandırmakta fayda var. Bunlar tehditler, güvenlik açıkları ve riskler olmak üzere üçe ayrılır. Bu terimler genellikle birbirinin yerine kullanılır, ancak BT güvenlik uzmanları için birbirlerinden farklı anlamlar taşır.
Tehdit: Bir hizmet reddi (DoS) saldırısı, insan hatası veya doğal afet tehdit kapsamında değerlendirilir. Tehdit karşısında kuruluşun savunması gereken, fiilen gerçekleşen bir eylem veya davranıştır.
Açık: Güvenlik açığı, güvenlik yaklaşımındaki bir gözetim boşluğu, zafiyet veya başka bir kusur olabilir. Güvenlik açıkları içerisinde yanlış yapılandırılmış bir güvenlik duvarı, yamalanmamış bir işletim sistemi veya şifrelenmemiş veriler de sayılabilir.
Risk: Güvenlik açıklarına karşı potansiyel tehditlerin dikkatli bir şekilde değerlendirilmesidir. Örneğin, birisi şifrelenmemiş verileri açık bulutta depoladığında, verilere erişilmesine veya onların değiştirilmesine sebep olabilir. Bu, kurum için ele alınması gereken önemli bir risk olarak algılanabilir.
Kullanıcılar açık buluttaki güvenlik açıklarını anladıklarında, potansiyel güvenlik açıklarını ve yaygın hataları belirlemeleri kolaylaşır. Bir BT ekibinin, sistemlerine sızılmasını önlemek için her tehlike türünü tanıması ve dikkatle ele alması gerekir.
En önemli bulut güvenlik tehditleri, açıkları ve riskleri
Günümüzde BT ekiplerinin en yaygın şekilde odaklandıkları tehditleri, açıkları ve riskleri aşağıda görebilirsiniz.
Yanlış yapılandırmalar
Sistem ve cihaz konfigürasyonlarından kullanıcılar sorumludur. Bu nedenle BT ekibinizin çeşitli ayarlar ve seçeneklere öncelik vermesi gerekir. Bulut kaynakları, hangi kullanıcıların uygulamalara ve verilere erişebileceğini ayrıntılandıran bir dizi yapılandırma ayarıyla korunur. Yapılandırma hataları ve göz ardı edilen ayarlar, verileri açığa çıkarabilir, verilerin kötüye kullanılmasına veya değiştirilmesine sebep olabilir.
Her bulut sağlayıcısı, farklı yapılandırma seçenekleri ve parametreleri kullanır. İş yüklerini barındıran platformların bu ayarları nasıl uyguladıklarını öğrenmek ve anlamak ise kullanıcıların sorumluluğundadır.
BT ekipleri, yapılandırma hatalarını çeşitli şekillerde azaltabilir:
Belirli iş veya uygulama görevleri için istisnai erişim yapılandırmaları gerekmedikçe, tüm bulut kaynaklarına ve hizmetlerine erişimi engellemek için en az ayrıcalık veya sıfır güven (Zero Trust) politikalarını uygulayın.Kaynakların varsayılan olarak özel olmasını sağlamak için bulut hizmeti politikalarından faydalanın.
Bulut kaynakları ve hizmetleri için gerekli yapılandırma ayarlarını ana hatlarıyla açıklayan net iş politikaları ve yönergeler oluşturun.
Bulut sağlayıcısının yapılandırma ve güvenlik ayarlarını öğrenin. Sağlayıcıya özgü eğitimlere katılıp, sertifika alabilirsiniz.
Mümkün olan yerlerde, hareketsiz ve hareket halindeyken verileri korumak için şifrelemeyi varsayılan olarak kullanın.
Yapılandırma hatalarını kontrol etmek ve günlükleri denetlemek için Intruder ve Open Raven gibi araçlar kullanın.
Zayıf erişim kontrolü
Yetkisiz kullanıcılar, zayıf ve eksik kimlik doğrulama veya yetkilendirme yöntemlerini aşmak için zayıf erişim kontrolünden faydalanır.
Örneğin, kötü niyetli kişiler, kimlik bilgilerini tahmin etmek için zayıf parolalardan yararlanır. Güçlü erişim kontrolleri için, parolalar için asgari uzunluk belirlenip, büyük ve küçük harflerin, noktalama işaretlerinin ve simgelerin kullanıldığı parolalar tercih edilebilir. Ayrıca sistemlerin kullanıcıları belirli periyotlarla parola değişikliğine zorlaması gibi ek gereksinimler faydalı olacaktır.
Erişim kontrol güvenliği birkaç yaygın taktikle geliştirilebilir:
Güçlü parolalar uygulayın ve düzenli aralıklarla sıfırlanmalarını zorunlu kılın.
2FA gibi çok faktörlü kimlik doğrulama tekniklerini kullanın.
Kullanıcılar için düzenli olarak yeniden kimlik doğrulamaları gerektirin.
En az ayrıcalık veya sıfır güven (Zero Trust) güvenlik politikalarını benimseyin.
Üçüncü taraf erişim kontrollerinin kullanımından kaçının. Bulut içindeki hizmetler ve kaynaklar için bulut tabanlı erişim kontrolleri kullanın.
Gölge BT (Shadow IT)
Herkes hizmet sağlamak ve iş yükleri ile verileri taşımak için bir açık bulut hesabı oluşturabilir. Ancak güvenlik standartları konusunda bilgili olmayanlar, genellikle güvenlik seçeneklerini yanlış yapılandırarak bulut güvenlik zafiyetleri ortaya çıkmasına sebep olabilirler. Çoğu durumda, bu tür "gölge BT" (çalışanların şirketin kullandığı program yerine kendi tercihi muadilini kullanması ve iş arkadaşlarına önermesi) dağıtımları, açıkları hiçbir zaman tanımayabilir veya raporlamayabilir. Bu da işletmenin, uzun süre boyunca sorunu hafifletme fırsatını ortadan kaldırır.
Kurumların standart yapılandırmaları ve uygulamaları kullanması tavsiye edilir. İş kullanıcıları, departmanlar ve diğer kurumsal varlıklar, güvenlik açıklarıyla mücadele etmek ve kuruluşu güvende tutmak için işletmenin belirlenen standartlarına uymalıdır.
Güvenli olmayan API'ler
İlişkili olmayan yazılımların iletişim kurması ve birlikte çalışabilmeleri için API'lerden faydalanılır. API'ler genellikle hassas iş verilerine ihtiyaç duyar ve bunlara erişim sağlar. Birçok API, benimsenmesi hızlandırılsın diye halka açık hale getirilir; diğer geliştiricilerin ve iş ortaklarının kuruluşun hizmetlerine ve verilerine erişmesine olanak tanır.
API'ler bazen yeterli kimlik doğrulama ve yetkilendirme olmadan kullanım izni verirler. Herkese açık hale gelen API’lerde internet bağlantısı olan herkes verilere erişebilir ve onları potansiyel olarak tehlikeye atabilir. Bu nedenle güvenli olmayan API'ler, bilgisayar korsanları ve diğer kötü niyetli kişiler için hızla büyük bir saldırı vektörü haline dönüşmektedir.
Güvenli API gereksinimleri nelerdir?
İster bir bulut sağlayıcısının API'lerini kullanın ister bulutta dağıtılan iş API'leri oluşturun; API'leri geliştirip kullanırken aşağıdaki özelliklerin bulunması önem taşır:
Güçlü kimlik doğrulama
Veri şifreleme
Etkinlik izleme ve günlüğe kaydetme
Erişim kontrolleri
API'leri geliştiren ve kullanan işletmeler, API'leri hassas kod olarak ele almalı ve sızma testi (pentest) dahil olmak üzere kapsamlı güvenlik incelemelerine tabi tutmalıdır. Bulut ve diğer dış API'ler de ayrı bir incelemeye tabi olmalıdır. Yerleşik güvenlik yönergelerini karşılamayan dış API'lerden ise kaçınılmalıdır.
İhlaller
Bulut bilişimde, bulutun güvenliğinden servis sağlayıcı sorumluyken, buluttaki verilerin ve uygulamaların güvenliğinden müşterinin kendisi sorumludur. Bu paylaşılan sorumluluk modelinde; sağlayıcı, altyapının bütünlüğünü korur, müşteri kaynakları ile verilerinin ayrılmasını kontrol eder. Erişim kontrolleri gibi uygulama ve veri güvenliğinin yapılandırılmasındansa müşteri sorumludur.
Bir tehdit, bir güvenlik açığından faydalanıp verilere eriştiğinde, bu ihlalden ve sonraki sonuçlarından ise yalnızca işletme sorumludur. Bunun birkaç örneğini ele alalım:
Hassas müşteri verileri çalınır, bu işletmenin geçerli yasal yükümlülüklerini ihlal eder ve itibarına zarar verir.
Önemli veriler çalınır, bu da fikri mülkiyet kaybına neden olur. Kuruluşun rekabet konumunu ve yatırımını tehlikeye atar.
Dahili iş verileri değiştirilir veya silinir, bu da üretim ve operasyonda bazı sorunlar ortaya çıkartabilir.
İhlaller, belirli yasal ve idari cezalara sebebiyet verebilir. Örneğin, düzenleme yükümlülüklerini ihlal eden durumlar, kişisel verilerin çalınması gibi durumlarda kurumlar cezalar ve yaptırımlarla karşılaşabileceği gibi, marka itibarları da zarar görebilir.
Kesintiler
Bulut altyapıları büyük ve güçlüdür, ancak yine de arızalar meydana gelebilir. Bu tür kesintiler genellikle geleneksel veri merkezlerini de etkileyen donanım sorunları ve yapılandırma denetimlerinden kaynaklanır.
Bir bulut, dağıtılmış hizmet reddi (DDoS) ya da bulut kaynaklarının ve hizmetlerinin kullanılabilirliğini zayıflatmayı amaçlayan diğer kötü amaçlı mekanizmalar yoluyla da kesintiye uğratılabilir. Siber saldırganlar herhangi bir açık bulut kaynağını veya hizmetini kullanılamaz hale getirebilirse, bu durum söz konusu kaynakları ve hizmetleri kullanan her işletmeyi veya bulut kullanıcısını etkileyecektir. Bulut sağlayıcıları ise bu tip saldırıları yönetme konusunda deneyimlidir ve destek ekipleri, belirli iş yükleri saldırıya uğradığında erişimi yedek sunuculara yöneltebilir ve müşterilerine anında yardımcı olabilir.
Açık bulutların geniş doğası göz önüne alındığında, felaket kurtarma operasyonları, yüksek kullanılabilirliğe odaklanan mimariler aracılığıyla ele alınabilir. Yine de bu tür mekanizmalar otomatik değildir ve işin mümkün olduğunca etkilenmemesini sağlamak için dikkatlice tasarlanmalı ve düzenli olarak test edilmelidir.
İlgili Postlar
Güçlü Şifre Nasıl Oluşturulur?
17 Eki 2022
Güvenlik