BULUT BİLİŞİM GÜVENLİĞİ STRATEJİLERİ

Giriş

Önceki yazılarımızda bulut bilişimin, işletmelerin ve bireylerin verimliliklerini artırmaları için sunduğu benzersiz fırsatları birlikte gördük. Ayrıca, bulut ortamlarında güvenliği sağlamanın ne kadar karmaşık ve zorlu bir süreç olduğunu nedenleri ve örnekleriyle inceledik. Bu yazımızda ise bulut güvenliğinde izlenmesi gereken yolları ve çözüm stratejilerini detaylı bir şekilde ele alacağız.

Öncelikle bulut bilişim pazarında bulunan aktörlerin(şirketlerin, yöneticilerin, uygulayıcıların, araştırmacıların, yatırımcıların ve ticari satıcıların), bu alandaki mevcut eğilimleri, sorunları ve pazar fırsatlarını daha iyi anlamaları gerekmektedir. Bunun içinde bulut teknolojilerinde ele alınması gereken bazı alanlar mevcuttur. Bu konuyu ele alırken TAG Insights raporuna başvurmak faydalı olacaktır[1].

• Bulut Veri Parçalanması (Cloud Data Fragmentation – CDF)

CDF, siber güvenlik alanında ortaya çıkan yeni bir kavramdır ve bulutta veri depolamanın giderek merkezsizleşmesinin yarattığı zorlukları ele almaktadır. Kuruluşlar faaliyetlerinin daha büyük bir kısmını bulut ortamlarına taşıdıkça, genellikle birden fazla bulut hizmeti kullanmakta ve bu durum verilerin çeşitli platformlara ve konumlara dağılmasına neden olmaktadır. Bu parçalanma siber güvenlik açısından hem zorluklar hem de fırsatlar yaratabilir. CDF ise hassas verileri birden fazla bulut ortamına dağıtarak kurumsal siber güvenliği güçlendirir ve bunlar kısmen tehlikeye girse bile tüm veri setinin bütünlüğünün ve gizliliğinin bozulmamasını sağlar. Bu durum, yetkisiz kişilerin bir araya getirmekte zorlanacağı karmaşık bir yapboz görevi görerek tam bir veri ihlali riskini önemli ölçüde azaltır. 

• Bulut Altyapı Yerleşim Yönetimi (Cloud Infrastructure Entitlement Management – CIEM)

CIEM, bulut bilişim çağında siber güvenliğin çok önemli bir yönüdür. Kurumlara bulut altyapılarında kimin neye erişimi olduğuna dair ayrıntılı bir gözetim sağlayarak kimliklerin ve erişim haklarının kapsamlı bir şekilde yönetilmesine olanak tanır. CIEM, izinleri düzenli olarak analiz ederek ve en az ayrıcalık(least privilege) ilkesine bağlı kalmalarını sağlayarak, içeriden tehdit riskini, hassas sistemlere ve verilere yetkisiz erişim riskini en aza indirir.

• Bulut Güvenliği Duruş Yönetimi (Cloud Security Posture Management – CSPM)

CSPM, bulut bilişim ortamı için uyarlanmış temel bir siber güvenlik yaklaşımıdır. Kuruluşlar faaliyetlerini giderek daha fazla buluta kaydırdıkça, bulut altyapılarının güvenliğini sağlamak çok önemli hale gelmektedir. CSPM araçları, bulut altyapılarındaki risklerin tanımlanmasını ve giderilmesini otomatikleştirerek kurumlara sürekli uyumluluk izleme ve güvenlik yönetişimi sağlar. Bu dikkat, güvenlik yapılandırmalarının yalnızca başlangıçtan itibaren doğru şekilde kurulmasını değil, aynı zamanda bulut ortamı geliştikçe ve yeni tehditler ortaya çıktıkça zaman içinde korunmasını da sağlar.

• Bulut İş Yükü Koruma Platformu (Cloud Workload Protection Platform – CWPP)

CWPP, bulut iş yüklerinin benzersiz gereksinimlerine göre uyarlanmış kapsamlı koruma sunarak kurumsal bulut ortamlarını korur. Tehditleri gerçek zamanlı olarak algılar ve önler, bulutta çalışan uygulama ve hizmetlerin verileri tehlikeye atabilecek veya iş faaliyetlerini aksatabilecek güvenlik açıklarından ve saldırılardan korunmasını sağlar.

• Mikro Segmentasyon (Microsegmentation)

Bulut ağını bireysel iş yükü seviyesine kadar farklı güvenlik segmentlerine bölerek kurumsal siber güvenliği sağlar. Bu strateji, bir ihlal durumunda, tehdit aktörlerinin yanal hareketinin sınırlandırılmasını, böylece saldırının boyutunun sınırlandırılmasını ve kritik varlıkların yetkisiz erişime karşı korunmasını sağlar.

Yukarıda belirtilen bütün hususları göz önünde bulundurursak, bulut ortamlarında güvenliği sağlamak için bütünsel bir bakış açısı ve kapsamlı bir yol izlenmesi gerektiğini söyleyebiliriz. Bunu sağlamak için de belirli stratejiler ve yöntemler izlenmelidir.

1. Güvenlik Politikaları ve Prosedürleri Oluşturma

1.1 Güvenlik Politikalarının Tanımlanması

• Kurumsal Güvenlik Politikaları: Kurumun genel güvenlik duruşunu belirleyen politikalar oluşturulmalıdır. Örneğin, bir e-ticaret firması PCI-DSS uyumlu politikalar oluşturmalıdır.
• Bulut Güvenliği Standartları: Bulut hizmetleri için özel güvenlik standartları belirlenmelidir. Örneğin, sektördeki herhangi bir firma, bir bulut sağlayıcısı seçiminde ISO/IEC 27017 standardına uygunluğu göz önünde bulundurmalıdır.

Yukarıda belirtilen hussuları sağlıklı bir şekilde oluşturabilmek için kuruluşların aşağıdaki durumları göz önünde bulundurmasında fayda vardır:

• Buluttan bağımsız bir güvenlik anlayışı vurgusu önemlidir. Fortinet raporunda kuruluşların %78’i hibrit veya çoklu bulut ortamları kullandığından, bu ortamların kendine özgü zorluklarını ele alan stratejiler geliştirmek ve tutarlı güvenlik politikaları ve uygulamaları sağlamak çok önemlidir[2].
• CSPM sistemleri önceliklendirilip bir yapılandırma(configuration) yönetimi geliştirilmelidir. Bu durum bulut kaynak yapılandırmalarıyla ilişkili riskleri tanımlamaya ve azaltmaya çalışılmalıdır. Bulut ortamlarının karmaşıklığı ve ölçeği arttıkça, güvenlik ihlallerine yol açabilecek yanlış yapılandırma olasılığı da artar. CSPM araçları, bu tür durumları en iyi güvenlik uygulamaları ve düzenleyici standartlarla birlikte sentezleyerek, uyumsuzlukları tespit etme sürecini otomatikleştirir. Bu otomatik izleme, manuel gözetimin çok zor olduğu dinamik bulut ortamlarında güçlü bir güvenlik duruşu sağlamak için çok önemlidir[3].
• Bulut ağını bireysel iş yükü seviyesine kadar farklı güvenlik segmentlerine bölerek mikro segmentasyon sağlanmalıdır. Bu strateji, bir ihlal durumunda tehdit aktörlerinin yanal hareketinin azaltıp saldırının boyutunun sınırlandırılmasını ve kritik varlıkların yetkisiz erişime karşı korunmasını sağlar.
• Birleştirilmiş çözüm örnekleri (CNAPP, CWPP, vs.) ile güvenliği sola kaydırma gibi farklı yaklaşımların benimsenmesi, DevOps gibi işlem hattının daha erken aşamalarında güvenlik kontrollerinin ve denetimlerinin önemli olduğu süreçlerde sistemin entegre edilmesine yardımcı olur. Aynı zamanda kapsamlı bir bulut yerel iş yükü izleme ve koruması da sağlayabilir. Bu arada, saldırı yolu analizi, özellikle bulut güvenlik duruşunu yönetmek için ilk savunma hattı olarak kullanıldığında, kuruluşların daha proaktif bir güvenlik durumuna ulaşmasını sağlar[4]. Bu sayede, bulut ortamlarında güvenlik politikalarını otomatikleştiren, kolaylaştıran ve yasal gereklilikleri tutarlı bir şekilde karşılayan sistemler geliştirilmiş olur.

1.2 Eğitim ve Farkındalık

• Çalışan Eğitimi: Çalışanların bulut güvenliği konusunda eğitilmesi, insan hatasından kaynaklanan güvenlik ihlallerini azaltır. Thales’in raporunda katılımcıların %58’i bulut yerel uygulama platformu koruması (CNAPP) gibi bulut güvenlik çözümleri kullandıklarını ve %51’i bulut verilerini korumak için veri şifreleme kullandıklarını belirtirken, katılımcılar mevcut araçların etkinliği konusunda daha fazla bilgi sahibi olmaları gerektiğini ifade etmişlerdir. Hangi araçların ihlallere karşı etkili olduğu sorulduğunda, çalışanların almış oldukları eğitimlerin fayda sağladığı görülmüştür[5].
• Sürekli Farkındalık Programları: Düzenli eğitim ve farkındalık programları ile güncel tehditler hakkında bilgi paylaşımı yapılmalıdır. Örnek olarak, sektördeki firmalar çalışanlarına her ay düzenli olarak oltalama(phishing) simülasyonları ve eğitim oturumları düzenleyebilir.

Bu konu hakkında daha fazla bilgi edinmek isteyenler ikinci yazımızı inceleyebilirler.

2. Erişim Kontrolü ve Kimlik Yönetimi

Teknoloji sektöründe faaliyet gösteren kuruluşlar, üçüncü taraf ilişkilerinin istismarına karşı benzersiz bir risk altındadır. 2023 yılında, neredeyse her güvenilir ilişki ihlali, ticari yazılım sağlayan bir teknoloji sektörü kuruluşundaki izinsiz girişin bir parçası olarak ortaya çıkmıştır[6].

Bu durumda yapılması gereken Sıfır Güven (Zero Trust) ilkelerini göz önünde bulundurarak yetkisiz erişim riskini azaltmak için sıkı kimlik ve erişim yönetimi kullanmaktır.

2.1 Kimlik ve Erişim Yönetimi (IAM)

• Çok Faktörlü Kimlik Doğrulama (MFA): Hesaplara erişimi korumak için MFA kullanımı zorunlu hale getirilmelidir.
• Rol Tabanlı Erişim Kontrolü (RBAC): Kullanıcılara görevlerine uygun erişim hakları verilmelidir. Firmalar ayrıca tedarikçi erişimini de RBAC ile sınırlamalıdır.

2.2 Güvenli Kimlik Yönetimi

• Güçlü Şifre Politikaları: Güçlü ve karmaşık şifreler kullanımı teşvik edilmelidir.
• Düzenli Şifre Değişimi: Şifrelerin düzenli olarak değiştirilmesi sağlanmalıdır.

Burada daha öne bahsettiğimiz CIEM araçları kullanılabilir. CIEM’in siber güvenlik alanındaki en önemli faydalarından biri de “izin şişmesi” olarak adlandırılan aşırı izinlerin azaltılmasıdır. Birçok bulut ortamında, kullanıcılara ve hizmetlere rolleri veya işlevleri için gerekenden daha fazla izin verilir. Erişim haklarının bu şekilde aşırı sağlanması, potansiyel istismarcılar için saldırı yüzeyini artırdığından önemli güvenlik riskleri oluşturabilir. CIEM, bu izinlerin haklara göre düzenlenmesine yardımcı olarak en az ayrıcalık ilkesine bağlı kalarak çalışanların yalnızca görevlerini yerine getirmek için ihtiyaç duydukları erişime sahip olmalarını sağlar[7] [8].

Ayrıca kuruluşlarda büyük oranda mikrosegmentasyon sağlanmış olması da büyük bir avantajdır. Zira geleneksel ağ güvenliği modelleri güvenilir bir iç ağ çevresi prensibine göre çalışır ve bu da çevre savunmasını aşan saldırganların yanal hareketlerine karşı savunmasız kalabilir. Mikro segmentler, her segmente sıkı erişim kontrolleri ve politikaları uygulayarak bu sorunu çözer, böylece saldırganların ağ üzerinde yanal olarak hareket etme potansiyelini sınırlar.

3. Veri Koruma ve Şifreleme

Son birkaç senedir yayınlanan hemen hemen raporların hepsinde bulut güvenliğine ilişkin hassasiyetlerin başında veri koruması ve şifrelemesi gelmektedir. Bu duruma ait birçok detayı geçen yazımızda paylaşmıştık.

3.1 Veri Şifreleme

• Aktif Veri Şifreleme: Verilerin buluta aktarılırken şifrelenmesi gereklidir. Örneğin, bir finans müşterisi verilerini buluta taşırken AES-256 şifreleme kullanabilir.
• Dinamik Veri Şifreleme: Bulutta depolanan verilerin şifreli tutulması sağlanmalıdır. Örneğin, bir medya kuruluşu dijital arşivlerini korumak için benzer şifreleme teknikleri kullanabilir.

3.2 Veri Yedekleme ve Kurtarma

• Düzenli Yedekleme: Verilerin düzenli olarak yedeklenmesi ve güvenli bir şekilde saklanması gereklidir. Örneğin, firmaların her gece tüm verilerini otomatik olarak yedeklemesi, haftalık yedekleme yapması ve verilerini farklı bir coğrafi bölgede saklaması gerekebilir.
• Kurtarma Planları: Veri kaybı durumunda hızlı ve etkin bir şekilde geri yükleme planları oluşturulmalıdır. Örneğin kuruluşlar yıllık olarak felaket kurtarma tatbikatları düzenleyerek veri kurtarma süreçlerini test edebilir.

Bir veri saklama stratejisi oluştururken daha önce bahsettiğimiz yaklaşım olan CDF göz önünde bulundurulabilir. Çünkü CDF, farklı bulut hizmetleri arasında veri üzerinde görünürlük ve kontrol sağlayan bulut erişim güvenliği aracılarını (CASB’ler) ve verileri aktarım sırasında ve beklemede korumak için gelişmiş şifreleme tekniklerini içerebilir[9].

Mikrosegmentasyon her durumda olduğu gibi burada da getirdiği sınırlama ile yaygın veri ihlallerini önleyebileceğinden, özellikle hassas veya düzenlemeye tabi verilerin işlendiği ortamlarda çok önemlidir.

Bulut kaynaklarında veri tasnifi(data classification) önem arz etmektedir. Örneğin, bulut ortamında gereksiz depolama konteynırlarını kaldırmak için, her bir depolama konteynerinin amacını belirlenerek etiketlenme sağlanabilir.

Son olarak kuruluşların çok katmanlı bir yaklaşım benimseyerek veri güvenliklerini güçlendirmelidir. Bu, kuruluşların veri güvenliklerinde daha proaktif olmalarını sağlarken aynı zamanda verileri korur ve verilerin tüm yaşam döngüsü boyunca veri uyumluluğunu yönetir[10].

4. Güvenlik İzleme ve Tehdit Algılama

Tehditleri gerçek zamanlı olarak tespit etmek ve azaltmak için gelişmiş analitik ve otomatik müdahale özellikleri olan çözümlerden faydalanmak gerekir.

4.1 Sürekli İzleme

• Güvenlik Olayı ve Bilgi Yönetimi (SIEM): Bulut ortamlarının sürekli izlenmesi ve olası tehditlerin tespiti için SIEM araçları kullanılmalıdır.
• Anormallik Tespiti: Trafik ve kullanıcı davranışlarındaki anormalliklerin tespiti için gelişmiş analiz araçları kullanılmalıdır.

4.2 Tehdit İstihbaratı ve Yanıt

• Tehdit İstihbaratı: Güncel tehditler hakkında bilgi toplama ve analiz etme süreçleri geliştirilmelidir.
• Hızlı Yanıt ve Müdahale: Tespit edilen tehditlere hızlı ve etkili bir şekilde müdahale edilmelidir.

Burada CSPM araçlarının temel faydalarından biri olan birden fazla bulut ortamındaki güvenlik durumunun kapsamlı bir görünümünü sağlama yeteneğinden bahsedilebilir. Bu bütüncül bakış açısı, saldırganlar tarafından istismar edilebilecek kör noktaların ve güvenlik açıklarının tespit edilmesine yardımcı olduğundan, hibrit veya çoklu bulut stratejileri kullanan kuruluşlar için hayati önem taşır. CSPM, bulut altyapısının görünürlüğünü merkezileştirerek güvenlik ekiplerinin bulut kaynaklarını daha etkin bir şekilde yönetmesini ve güvence altına almasını sağlar. Ayrıca CSPM, Bulut Erişim Güvenlik Aracıları (CASB’ler) ve Güvenlik Bilgi ve SIEM gibi diğer güvenlik sistemleriyle entegre olarak güvenliğin geliştirilmesine katkıda bulunur. Bu entegrasyon, bulut güvenliğine daha koordineli ve proaktif bir yaklaşım sağlayarak olası tehditlere ve güvenlik açıklarına hızlı bir şekilde yanıt verilmesine olanak tanır.

Buna ek olarak CWPP yaklaşımının sağladığı faydalardan bahsedilebilir. CWPP’nin birincil işlevi; sanal makineler, konteynerler(containers) ve sunucusuz(serverless) işlevler dahil olmak üzere çeşitli iş yüklerini genel, özel ve hibrit bulut ortamlarında korumaktır. Bunu tehditleri, güvenlik açıklarını ve yanlış yapılandırmaları sürekli izleyerek yapar. Bu sürekli izleme, iş yüklerinin sık sık oluşturulduğu, değiştirildiği ve taşındığı bulut ortamlarında çok önemlidir.

Yanlış yapılandırmalar, bulut ortamlarındaki veri ihlallerinin yaygın bir nedenidir. Buna örnek olarak Microsoft’un raporunda  2023 senesinde gerçekleşen buluttaki veri ihlallerinin %90’ının yanlış yapılandırılmış API’ler nedeniyle  olduğunu verebiliriz[11]. Bu gibi risklerinin tespit edilmesi ve önlenmesinde CIEM önemli bir rol oynar. CIEM çözümleri bu tür yanlış yapılandırmalar için bulut altyapılarını sürekli olarak izleyebilir ve güvenlik ekiplerini uyarabilir veya bu sorunları otomatik olarak düzeltebilir. Böylece genel güvenlik duruşunu geliştirebilir[12].

Son olarak  mikro segmentasyonun büyük oranda sağlandığı ağlarda trafik görünürlüğünün arttığını belirtebiliriz. Daha tanımlı segmentler sayesinde güvenlik ekiplerinin trafik modellerini izlemesi ve anlaması, anormallikleri tanımlaması ve potansiyel tehditleri tespit etmesi kolaylaşır. Bu gelişmiş görünürlük, tehditlerin zamanında tespit edilmesi ve müdahale edilmesi için çok önemlidir.

5. Uyum ve Yasal Gereksinimler

Bulut bilişimin kendi yapısından kaynaklı getirdiği zorluklardan birinin de uyumluluk ve yasal gereklilik olduğunu belirtmiştik. Üreticiler arasında da bunun büyük bir rekabet olduğu bilinmektedir. Zira işletmeler bu hususa göre bulut tercihlerine karar vermektedir. SANS’ın raporunda buna dair açıklayıcı veriler bulunmaktadır[13].

5.1 Yasal Düzenlemeler ve Standartlar

• Mevzuata Uyum: Bulut hizmetlerinin ilgili yasal düzenlemeler ve endüstri standartlarına uyumlu olması sağlanmalıdır. Örneğin, sağlık sektöründeki bir firma, HIPAA ve GDPR uyumluluğunu sürekli olarak denetler.
• Denetim ve Raporlama: Düzenli denetimler ve uyumluluk raporları ile güvenlik durumunun değerlendirilmesi gereklidir. Örneğin, enerji sektöründeki bir firma, iç ve dış denetimlerle NERC CIP uyumluluğunu sağlar.

Ek olarak burada da CSPM, CIEM ve CWWP’nin rollerinden bahsedilebilir. 

Birçok sektör, veri erişimi ve gizlilikle ilgili katı yasal gerekliliklere tabidir. CIEM, kimin hangi verilere erişimi olduğu, bu erişimin nasıl kullanıldığı ve uyumluluk standartlarıyla uyumlu olup olmadığı hakkında net bilgiler sağlayarak kurumların bulut ortamlarının bu düzenlemelere uygun olmasını sağlamalarına yardımcı olur. CSPM araçları, bulut altyapılarındaki risklerin tanımlanmasını ve giderilmesini otomatikleştirerek kurumlara sürekli uyumluluk izleme ve güvenlik yönetişimi sağlar. Bu dikkat, güvenlik yapılandırmalarının yalnızca başlangıçtan itibaren doğru şekilde kurulmasını değil, aynı zamanda bulut ortamı geliştikçe ve yeni tehditler ortaya çıktıkça zaman içinde korunmasını da sağlar. CWPP’ler, uyumluluk izleme ve raporlama araçları sağlayarak kuruluşların bulut iş yüklerinin bu düzenlemelere uygun olmasını sağlamalarına yardımcı olur[14].

Son olarak mikro segmentasyonun bir diğer avantajı da uyumluluk ve mevzuata bağlılıktaki rolüdür. Kuruluşlar, hassas verileri işleyen ağ segmentlerini ayırarak, bu segmentlerde belirli düzenleyici standartların karşılanmasını sağlayabilir ve uyumluluk çabalarını basitleştirebilir. Bu, sağlık ve finans gibi sıkı veri koruma düzenlemelerine tabi sektörler için özellikle önemlidir.

Sonuç

Bulut güvenliği, sürekli gelişen bir alandır ve bu alanda başarılı olmak için proaktif ve stratejik yaklaşımlar gerekmektedir. Yukarıda belirtilen yollar ve çözüm stratejileri, bulut ortamlarının güvenliğini sağlamak için kritik öneme sahiptir. İşletmelerin, bulut güvenliğini sağlamaya yönelik bu stratejileri benimsemeleri, hem veri güvenliğini artıracak hem de operasyonel verimliliği destekleyecektir. Bir sonraki yazımızda ise bulut bilişimdeki genel bütçe trendlerinden ve geleceğine dair öngörülerden bahsedeceğiz.

Yazıyla ve bulut bilişim stratejileriyle ilgili yorumlarınızla katkılarınızı bekliyoruz..

Kaynaklar

[1] TAG – Insights Report 2024: Overview of the Cloud Security Commercial Market

[2] Fortinet & Cybersecurity Insiders – Cloud Security Report 2024

[3] TAG – Insights Report 2024: Overview of the Cloud Security Commercial Market

[4] Microsoft – State of Multicloud Security Report 2024

[5] Thales – Cloud Security Study Global Edition 2024

[6] Crowdstrike – Global Threat Report 2024

[7] TAG – Insights Report 2024: Overview of the Cloud Security Commercial Market

[8] Microsoft – State of Multicloud Security Report 2024

[9] TAG – Insights Report 2024: Overview of the Cloud Security Commercial Market

[10] Microsoft – State of Multicloud Security Report 2024

[11] Microsoft – State of Multicloud Security Report 2024

[12] TAG – Insights Report 2024: Overview of the Cloud Security Commercial Market

[13] SANS – 2023 Multicloud Survey: Navigating the Complexities of Multiple Clouds

[14] TAG – Insights Report 2024: Overview of the Cloud Security Commercial Market