Yeni rapor, bulut bilişimin tuzaklarını gösteriyor: Bulut bilişim, son yıllarda birçok alanda zaten standart haline geldi. Ancak bulutu kullanmak ne kadar pratikse, güvenlik de ihmal edilmemelidir.
Bulut bilişim kullanımı son iki yılda önemli ölçüde hızlandı ve öngörülebilir gelecekte veri ve program barındırma için baskın model haline gelmesi muhtemeldir. Birçok alanda, örneğin farklı lokasyon ve departmanlardaki belgeler ve veritabanları üzerinde birlikte çalışırken zaten vazgeçilmezdir. Uzmanlar, uygulama yazılımı, altyapı yazılımı, iş süreci hizmetleri ve sistem altyapısı için bulut bilişim kullanımının geleneksel şirket içi teknolojiyi geride bırakacağı noktaya yakında ulaşılacağını tahmin ediyor.
Bulutu kullanmanın faydaları
Klasik yerinde çözümlere kıyasla bulut kullanımının birçok avantajı göz önüne alındığında, bu şaşırtıcı değil. Hizmet Olarak Yazılım (SaaS) alanı şirketler için özellikle ilgi çekicidir, çünkü bir yandan sunucular gibi altyapılar hakkında endişelenmenize gerek kalmadan herhangi bir zamanda ek kapasiteler rezerve edilebilir. Öte yandan, güvenlik güncellemeleri ve güncellemeleri ile karmaşık bakım ve yönetim, SaaS sağlayıcısının sorumluluğundadır. Dolayısıyla bulut bilgi işlem, özellikle kendi BT departmanı olmayan şirketler için - en azından yazılımın çalışması söz konusu olduğunda - gelişmiş güvenlik sunar.
700 sektör uzmanı bulut siber güvenliğini eleştiriyor
Ancak bu ek güvenliğin bir bedeli vardır ve ayrıca kuruluşların dikkate alması gereken başka sorunları da beraberinde getirir. Bulut endüstrisindeki güvenlik sorunları hakkında 700 sektör uzmanıyla yapılan bir ankete göre, ayrıcalıklı hesaplar için yetersiz kimlik, izinler, erişim ve anahtar yönetimi, en önemli bulut siber güvenlik endişelerinden biri olarak gösterildi. Anket, en iyi bulut bilgi işlem uygulamalarını desteklemeye adanmış kar amacı gütmeyen bir kuruluş olan Cloud Security Alliance tarafından gerçekleştirildi. Giderek daha fazla çalışan uygulamalarına artık ofisten değil, harici cihazlardan giriş yaptığından, hem programlara hem de dosyalara erişim izinlerini yönetmek siber güvenliğin en önemli ve hassas görevlerinden biridir.
Zayıf erişim izinleri tehlikelidir
Özellikle, bir kullanıcı adı ve parola ile bulut araçlarına kolayca erişebilme yeteneği, birçok çalışan ve işveren için gerçek bir avantajdır, ancak aynı zamanda siber suçlulara yeni saldırı yolları da sunar. Bilgisayar korsanları kullanıcı adını ve parolayı kırarsa, kullanıcıyla aynı erişime sahip olurlar ve gerçek bir hesapla, bu da şüpheli etkinliğin o kadar hızlı tespit edilemeyebileceği anlamına gelir. Ek olarak, erişim hakları genellikle aşırı derecede cömert bir şekilde ele alınır: kullanıcılara, işleri için hiç ihtiyaç duymadıkları dosyalara ve programlara erişim verilir. Bu, saldırganların sistemde daha da kolay yayılabileceği anlamına gelir. İçerideki kötü niyetli kişiler de bu şekilde veri elde edebilir ve bunları daha sonra rakiplerine veya karanlık ağ aracılığıyla satabilirler.
Bulutta korumasız olarak saklanan dosyalar
Ancak rapor, bulut bilgi işlemle ilgili başka bir sorunu ortaya çıkarıyor. Çoğu zaman, saldırganların hassas verilere ulaşmak için kullanıcı hesaplarını ele geçirmekle uğraşmasına bile gerek kalmaz. Nedeni? Bulutta korumasız olarak saklanan dosyalar, nereye bakacağını bilen herkes tarafından ücretsiz olarak erişilebilir. Diğer güvenlik açıkları da güvenli olmayan arabirimler ve API'lerden, yanlış yapılandırmalardan ve ayarları değiştirirken veya güvenli olmayan yazılımlarda kontrol eksikliğinden kaynaklanır. Güvenlik mimarisi ve stratejisi eksikliği de sıklıkla karşılaşılan hatalar arasındadır. Bunun sebepleri genellikle bilgi eksikliği ve bulutu kurarken çok fazla acele edilmesidir.
Erişim yönetimi olarak sıfır güven modeli
Peki şirketler herhangi bir güvenlik riski almadan bulutun imkanlarını kullanmak istiyorsa nelere dikkat etmeli? Kimlik ve erişim yönetimini iyileştirmek için rapor, kullanıcının bulut ortamında attığı her adımda yeniden doğrulama gerektiren sıfır güven modeli önerir. Bu, saldırganların yalnızca bir kimlik bilgisi seti ile büyük miktarda veriye erişmesini engeller. Ayrıca, zayıf parolalardan kaçınılmalı ve mümkün olan her yerde çok faktörlü kimlik doğrulama kullanılmalıdır.
Daha fazlası 8com.de'de
8com hakkında 8com Siber Savunma Merkezi, 8com müşterilerinin dijital altyapılarını siber saldırılara karşı etkin bir şekilde koruyor. Güvenlik bilgileri ve olay yönetimi (SIEM), güvenlik açığı yönetimi ve profesyonel sızma testleri içerir. Ayrıca, ortak standartlara göre belgelendirme de dahil olmak üzere bir Bilgi Güvenliği Yönetim Sisteminin (BGYS) geliştirilmesini ve entegrasyonunu sunar. Farkındalık önlemleri, güvenlik eğitimi ve olay müdahale yönetimi teklifi tamamlar.