contact us

Genel bulut platformuna güvenli dijital geçiş
Kamu bulutuna geçiş, kuruluşların yıllardır inşa ettikleri geleneksel siber güvenlik modellerini bozuyor. Yeni uygulamalar ve analitik kaynaklar geliştirmek, çalışanların verilerini, teknolojilerini ve mevcut iş yükünü bulut platformlarına taşımak anlamına gelir. Kısacası, giderek daha fazla çalışan dizüstü bilgisayarlarında evden çalışırken, sistemlerinin güvenliği, tesislerde bulunan ofislerin güvenliğine kıyasla savunmasızdır.

Learning Center

Öğrenme hedefleri

Bu makaleyi okuduktan sonra şunları yapabileceksiniz:

  • 1. Bulut odaklı Siber Güvenlik modeli
  • 2. Tüm siber güvenlik kontrollerini yeniden tasarlama.
  • Решения по управлению идентификацией и доступом (IAM)
  • Данные
  • Периметр
  • 3. Внутренние обязанности по сравнению с CSP (поставщиком киберуслуг)
  • 4. Применение DevOps для обеспечения кибербезопасности
Genel bulut platformuna güvenli dijital geçiş

Çeşitli sektörlerdeki kuruluşlar sistemlerini genel buluta ölçeklendirdikçe, veri ve uygulamaların korunmasına duyulan ihtiyaç, CISO'ların (Bilgi güvenliği hizmetleri yöneticileri) en önemli endişesi haline gelmektedir. Pandemiden sonra kuruluşlar, çalışma altyapısına uzaktan erişim nedeniyle gerekli olan dijital dönüşüm ihtiyacını hızlandırdılar. Kısacası, giderek daha fazla çalışan dizüstü bilgisayarlarında evden çalışırken, sistemlerinin güvenliği, tesislerde bulunan ofislerin güvenliğine kıyasla savunmasızdır.

Kamu bulutuna geçiş, kuruluşların yıllardır inşa ettikleri geleneksel siber güvenlik modellerini bozuyor. Yeni uygulamalar ve analitik kaynaklar geliştirmek, çalışanların verilerini, teknolojilerini ve mevcut iş yükünü bulut platformlarına taşımak anlamına gelir. Dijital dönüşüm bir sorun değildir, ancak ağ sisteminin güvenliği de yeni bulut uygulamalarına yükseltilmeli ve uyarlanmalıdır. Bulut tabanlı BT platformlarının birçok avantajı vardır, ancak bilgisayar korsanlarının sanal makine sunucularına daha önce şirket içi sunuculardan daha kolay erişebilmeleri nedeniyle siber saldırı riski de aynı derecede artmaktadır.

Burada, bir kuruluşun IT altyapısının dijital dönüşümünü güvence altına almak için gereken dört kritik yönteme bakacağız:

1. Bulut odaklı Siber Güvenlik modeli

2. Tüm siber güvenlik kontrollerinin geri dönüşümü

3. CSP'YE karşı iç sorumluluklar (Siber hizmetler sağlayıcısı)

4. Devops'un siber güvenlikte uygulanması.

1. Bulut odaklı Siber Güvenlik modeli

Büyük ve küçük şirketlerin ortak bir bulut stratejisini önceden seçmeleri gerekir. Bu, yeni mimarinin bulut platformundaki yetkilendirmeleri yönetmek için sanal sınırları içereceği anlamına gelir. Ayrıca, yeni uygulamaların izin verilen risklere ve mevcut kaynaklara uygun güncellenmiş BT mimarisine nasıl uyacağını da belirlemeniz gerekir.

Birçok kuruluş, mevcut yerel kontrolü yeni bir kamu bulut modelinde kullanmaya cazip geliyor. Bu verimsiz bir şekilde çalışır ve birçok alanda güvenlik açıklarına yol açabilir.

En etkili yaklaşım, siber güvenlik modelini iki yön açısından yeniden tanımlamaktır. Birincisi, ağın sınırının veya çevresinin nasıl belirlendiği ve bulut platformu için mevcut uygulama mimarilerinin değiştirilip değiştirilmeyeceği. İkincisi, güvenlik kontrollerini uygulama mimarisine dahil etmek mümkün mü?

2. Tüm siber güvenlik kontrollerini yeniden tasarlama.

Tüm işlemler yerinde fiziksel yönetimden bulut tabanlı sanal yönetime geçtiğinde, kuruluşların tüm şirket için yeni bir kontrol setine sahip olmaları gerekir. Bu, her kullanıcı için bireysel kontrol ve rol tabanlı bir yetkilendirme matrisi gerektirecektir.

Siber güvenlik kontrolleri temel olarak IAM, Veri ve çevre olarak kategorize edilebilir.

Решения по управлению идентификацией и доступом (IAM) критически важны для облачных приложений, а данные постепенно перемещаются в облако. Здесь роль CSP очень важна, поскольку они предоставляют услуги идентификации и создают автоматизированный процесс авторизации. Это устраняет человеческий фактор при предоставлении и отмене контроля доступа для отдельных пользователей.

Помимо автоматизации, аналитика обеспечивает мониторинг поведения сотрудников на основе данных мониторинга, которыми управляет CSP. Это позволяет организации определить, кому следует предоставить доступ к критически важной информации организации. Этот процесс уже сделал пароли устаревшими, а многофакторную аутентификацию – шагом назад. Именно поведение пользователя будет определять безопасность системы.

Данные – шифрование данных, будь то в состоянии покоя или в движении в облаке, является обязательным условием. CISO работают над механизмом, при котором шифрование данных станет более практичным и простым. Это включает в себя способ управления ключами шифрования. Ключи в идеале должны управляться соответствующим образом в зависимости от внутренних обязанностей и CSP.

Периметр – по мере того, как бизнес переходит к виртуальным границам, будет происходить и перемещение сетевого трафика. Почти 40% трафика направляется через локальные системы управления. Гибридная модель "локальный компьютер – облако" означает прямое соединение между локальными и публичными облачными рабочими нагрузками для доступа к приложениям или данным на публичных облачных платформах. Сторонние эксперты по кибербезопасности помогают управлять периметром, обеспечивающим адекватную безопасность веб-шлюза, брандмауэров для веб-приложений и мониторинга сети.

3. Внутренние обязанности по сравнению с CSP (поставщиком киберуслуг)

Публичное облако требует разделения ответственности между организацией, ее отделом и поставщиками облачных услуг (CSP).  Модель совместной безопасности требует ответственности за конкретные функции. Когда предприятие переносит приложения и данные в облако, нет необходимости передавать весь контроль CSP. Компании и CSP должны четко понимать, какой контроль может обеспечить CSP. Компании могут попросить CSP предоставить полную презентацию своих операционных моделей безопасности и своевременно обновлять информацию по мере изменения этих моделей.

Компании получают значительные преимущества при сотрудничестве с CSP в рамках полного жизненного цикла кибербезопасности, т.е. от разработки до внедрения и текущей эксплуатации. Однако это зависит от следующих условий:

  • Полная прозрачность контроля и процедур CSP, включая отчеты о любых инцидентах. Также важно, чтобы CSP проводили аудиты безопасности и тестирование на проникновение.
  • CSP должен обеспечивать соответствие нормативным требованиям бизнеса, постоянно обновлять информацию о нормативных изменениях в отрасли и соответствующим образом обновлять свои механизмы соответствия.
  • CSP также должен постоянно предоставлять руководству оповещения об угрозах.
  • Обеспечение многофакторной аутентификации и управление паролями как часть IAM или IdaaS (identity as a service).

4. Применение DevOps для обеспечения кибербезопасности

Согласование разработчиков приложений с командой безопасности для более быстрого подписания документов имеет большое значение.  Если новые приложения задерживаются на утверждении командой безопасности, это снижает эффективность публичного облака. Предоставление разработчикам автоматизированных сервисов безопасности через API повышает гибкость систем.

DevOps преобладает в организации, когда новые функции программного обеспечения внедряются в операционную инфраструктуру.  Поэтому безопасный DevOps очень важен, поскольку он интегрирует функции безопасности для облака.  Разработчикам также требуется дополнительное обучение по вопросам безопасности, чтобы обеспечить адекватную поддержку во время и после перехода в публичное облако. Обучение очень важно, поскольку оно помогает разработчикам понять функции безопасности инструментов, которые они разрабатывают, они могут обеспечить лучшую безопасность API.

Заключение

Описанные выше четыре практики могут помочь организациям структурировать и внедрить программу кибербезопасности публичного облака для укрепления кибербезопасности в облаке. Такой подход крайне важен, поскольку программа цифровой трансформации может быть сложной задачей. Компаниям приходится учитывать множество облачных рабочих нагрузок, возможности локальных и частных облаков, местоположение, нормативные требования, CSP и общие требования безопасности.