Bilgi Güvenliğini Buluta Taşımak
Kuruluşlar, maliyetleri azaltmak ve esneklik ile çevikliği artırmak amacıyla bulut teknolojilerine yönelmektedir. Bulut depolama teknolojilerine geçişin en büyük zorluğunun bulut yeteneklerinin benimsenmesi ve mevcut bilgi teknolojisi ortamlarıyla entegrasyonunun zorluğu olduğu bildirilmektedir. Bulut güvenliğinin tahsisi artık düzenli işlemlerin bir parçası olarak kabul edilmektedir. 2020’den bu yana siber saldırıların sayısı sürekli olarak artmaktadır ve özellikle dolandırıcılık saldırıları en yaygın olaylar arasındadır. Kuruluşlar, siber güvenlik bütçelerinin daha büyük bir kısmını bulut güvenliğine tahsis etmektedir, bu durumun ana nedeni veri ihlalleri ve saldırıların güvenlik açıklarını gidermek için planlanmamış masraflar nedeniyle daha maliyetli hale gelmesidir.
Araştırma, bulut benimseme için ilk iki hedefin maliyetleri azaltmak ve güvenliği artırmak olduğunu bulmuştur. Uzaktan çalışanları destekleme üçüncü sıradadır, bu da pandeminin bulut benimsemeyi hızlandırmış olabileceğini ancak maliyet etkinliği ve güvenliğin en önemli itici faktörler olduğunu göstermektedir. Ortalama olarak, kuruluşlar iş yüklerinin %41’inin zaten bulutta olduğunu bildirmektedir ve bu payın 2023 sonuna kadar %54’e çıkmasını beklemektedirler.
Dijital Dönüşüm Ofisi Bulut Depolama Teknolojisi ve Düzenlemeler Raporu’na Göre;
57 kurum içerisindeki 43 kurumun yanıtlarına dayanarak, Dijital Dönüşüm Ofisi Bulut Depolama Teknolojisi ve Düzenlemeler Raporu, birkaç önemli bulguyu vurgulamaktadır:Kurumların en az %25’inde uygulamalarının kamu buluta geçişi beklenmektedir ve bu kurumların %50’si için küçük modernizasyonlarla kamu/özel buluta geçiş anlamında önlerinde kritik engeller bulunmamaktadır.Verimsiz kaynak tüketimi, uygulamalar arası hizmet entegrasyonu için izole katmanların eksikliği, düzenli arşivleme, yedekleme ve silme süreçlerinin yönetilememesi bulut hizmetlerinin engelleri olarak görülmektedir.Bulut depolama hizmetlerinde önceliğin, erişilebilirliği sağlama, ardından gizliliği ve bütünlüğü sağlama üzerinedir.Araştırma sonuçları, kuruluşların geliştirdiği kritik ve stratejik öneme sahip uygulamaları incelediğinde, bu uygulamaların genel bir bulut depolama modeline öncelikle konumlandırılabileceğini, daha sonra özel/iç bulut depolama modeline geçişin düşünülebileceğini göstermektedir.Bulut hizmeti gereksinimleri öncelikle erişilebilirlik tarafından şekillendirilmektedir, ardından gizlilik ve bütünlük gereksinimleri gelmektedir.Stratejik uygulamalar incelendiğinde, bunların genellikle kamuya açık bir bulut barındırma modeli için uygun olduğu, ardından özel iç bulut barındırma modeli için uygun olduğu görülmektedir.Seçilen stratejik uygulamalar için buluta geçiş seçenekleri değerlendirildiğinde, tekrar barındırmaya kıyasla Buluta Geçişte Yeniden Tasarım, Yeniden Satın Alma ve Yeniden Platforma Geçiş gibi seçenekler daha baskın görünmektedir.Yaklaşık olarak kurumların %69,8’i açısından siber güvenlik açısından bir risk oluşturan bir konumdadır. IT operasyonlarında kaynak kullanımının genellikle ortalama seviyede olduğu göz önüne alındığında, siber güvenliğin geçiş stratejilerinde önemli bir rol oynayacağı çıkarılabilir. (Rapor’daki Tablo 3, İstatistiksel Değerler)
Seçilen stratejik uygulamalar için buluta geçiş seçeneklerini değerlendirirken:Yeniden Tasarım (Rearchitect) , Yeniden Satın Alma(Repurchase) ve Yeniden Platforma (Replatform) Geçiş gibi seçenekler, bulut teknolojilerine geçiş için daha baskın tercihler gibi görünmektedir, bu seçeneklerin ardından en çok tercih barındırmadır.(Rehost)Yaklaşık olarak organizasyonların %70’i siber güvenlik açısından riskli kabul edildiğinden, siber güvenliğin geçiş stratejilerinde önemli bir rol oynayacakları sonucu çıkarılabilir.
Tavsiyelerden:Kullanıcıların aldığı hizmetteki veri miktarının az olduğu ancak sunucu düzeyindeki verinin büyük olduğu durumlarda, web sunucularının kamuya açık bulutta barındırılması önerilmektedir.Veritabanı veya ara yazılım katmanının özel bulut teknolojilerinde konumlandırılması ve veritabanı okuma-yazma işlemleri için geniş bant kullanılması, hem kamusal hem de özel bulut kullanımının bir arada yönetildiği hibrit çözümlere olanak tanımak için önerilmektedir.
2022 Yılında ISC2 Tarafından Yayınlanan Bulut Güvenliği Raporuna Göre;
2022’de ISC2 tarafından yayınlanan Bulut Güvenliği raporuna göre, dünya genelinde bulut teknolojileri ve benimseme konusunda bazı küresel istatistikler şunlardır:Küresel olarak, şirketlerin %39’dan fazlası iş yüklerinin yarısından fazlasını bulutta depolamakta ve %58’i bu değişikliği önümüzdeki 12-18 ay içinde yapmayı planlamaktadır.Şirketlerin %76’sından fazlası iki veya daha fazla bulut teknolojisi kullanmaktadır. Çoğu organizasyon (%72), hibrit veya çoklu bulut dağıtım stratejilerine sahiptir.Ek olarak, şirketlerin %78’i geleneksel güvenlik çözümlerinin bulut ortamlarında etkili çalışmadığını veya sınırlı işlevselliğe sahip olduğunu iddia etmektedir.
Raporda, ISC2 tarafından yapılan araştırmaya katılan şirketlerin IT yöneticilerinin %93’ünün nitelikli siber güvenlik uzmanlarının önemli bir yetenek eksikliğinden endişe duyduğu gözlemlenmektedir.
Ayrıca:Şirketlerin %53’ü bulut tabanlı güvenlik çözümlerine geçişin ana engelinin bulut güvenliği uzmanlarının eksikliği olduğunu görürken, %38’i bu eksikliğin bulut uygunluğu ve geçiş süreçlerini daha zor hale getirdiğini belirtmektedir.Yaklaşık olarak organizasyonların %40’ının Bulut Güvenliği teknolojilerinde uzmanlık eksikliği yaşadığı görülmektedir. İyi haber ise şirketlerin %83’ünün ekiplerinin bulut güvenliği eğitimi ve/veya sertifikasyonundan fayda göreceğine inanması ve %56’sının bulut güvenliği becerilerini organizasyonlarının en kritik uzmanlık alanı olarak değerlendirmesidir.
Barikat Güvenli Bilişim Teknolojisi Birimi’nin Sağlayabileceği Katkılar düşünüldüğünde ise;
1. **Eğitim Yoluyla Farkındalık Oluşturma:** *Gartner’ın bir çalışması, küresel iş operasyonlarının %70’inin genel bulut teknolojilerini benimsediğini ve işletmelerin %50’sinin 2025 yılına kadar çoklu bulut teknolojilerini benimsemeyi planladığını göstermektedir. Bu nedenle, web seminerleri, etkili ürün kullanımı eğitimi ve danışmanlık hizmetleri gibi eğitim programlarıyla farkındalık oluşturmak son derece önemlidir.
Güvenli Bilgi Teknolojisi Birimi, organizasyon içinde bulut teknolojileri hakkında farkındalık yaratmak için eğitim programları, web seminerleri, ürün kullanımı atölyeleri ve danışmanlık hizmetleri düzenleyebilir.
2. **Bulut Göç/Modernizasyon için İş İhtiyaçlarının Belirlenmesi:** Bulut teknolojilerine geçiş senaryoları ile ilgili belirli iş gereksinimlerini tespit etmek önemlidir. Bu, değişiklik yönetimi, faaliyete geçiş süreçleri, sorun yönetimi, yazılım geliştirme, yedekleme/arşivleme süreçleri ve dijital altyapının bağımlılıklarını belirlemeyi içerir.
Bu, hangi uygulamaların ve süreçlerin buluta taşınacağını netleştirmeye yardımcı olur.
3. **Otomasyon, Modernizasyon ve Yazılım Geliştirme Desteği:** Bulut ortamlarının kod gibi yapılandırılabileceğini kabul ederek, birim otomasyonu teşvik edebilir ve yazılım geliştirme ortamlarının bu yeteneğe sahip olmasını sağlayabilir. Bu, dönüşümü hızlandırır ve analiz ve sorun giderme yoluyla güvenlik açıklarını değerlendirmede önemli bir rol oynar.
4. **Bulut Teknoloji Modelleriyle Uyum:** İstatistikler farklı bir resmi gösterse de, özellikle düşük güvenlik hassasiyetine sahip uygulamalar için bulut hizmet sağlayıcılarına modernize etme ve taşıma eğilimi önemli bir trenddir. Birim, organizasyonların ihtiyaçlarına göre SaaS, PaaS veya diğer bulut teknoloji modelleri ile uyum sağlamalarına yardımcı olabilir.
5. **İşbirliği Çalışma Yöntemlerinin Teşviki:** Yazılım geliştirme süreçlerinde etkili bulut kullanımını uygulamak için tercihin, DevOps, DevSecOps gibi işbirliği yöntemlerinin uygulanması gerektiği açıktır (%86 gibi). Bu, Güvenli Bilgi Teknolojisi Danışmanlığı, Kod Güvenliği ve SAST/DAST SCA Analizi gibi hizmetlerin yazılım geliştirme yaşam döngüsünde etkili bir şekilde konumlandırılmasının gerekliliğini vurgular.
Özetle, Güvenli Bilgi Teknolojisi Birimi, farkındalığı artırma, iş ihtiyaçlarını belirleme, otomasyonu ve yazılım geliştirmeyi destekleme, bulut teknoloji modelleri ile uyum sağlama ve işbirliği çalışma yöntemlerini teşvik ederek başarılı bir bulut teknolojilerine geçişi kolaylaştırmak için katkı sağlayabilir.
Güvenli Bilgi Teknolojisi Birimi, bulut teknolojilerine başarılı ve güvenli bir şekilde geçişte yardımcı olabilir, işletmelerin bu dönüşümü etkili bir şekilde gerçekleştirmelerine yardımcı olabilir.
Bir bakışta bulut ortamlarının gerçekliğine baktığımızda, tıpkı yazılımın kod olduğu gibi, ağ ve sistem altyapısının tümünün bir yapılandırma dosyası gibi şekillenebileceğini görüyoruz. Gerektiğinde manuel müdahale ile hatalar en aza indirilebilir. Ayrıca, bu yeteneğe sahip yazılım geliştirme ortamlarına sahip olmak dönüşümü hızlandırır. Bağımsız ürün yönetimi ve özellikle otomasyon desteği, güvenlik açıklarının değerlendirilmesi ve analiz ile sorun gidermeyi içeren önemli bir rol oynar.
İstatistikler farklı bir resmi gösterse de, uygulamaların %25’inin SaaS modelini benimsemesi ve %12’sinin PaaS modelini tercih etmesi gibi belirgin bir eğilim bulunmaktadır. Ayrıca, uygulamaların yüksek güvenlik hassasiyetine sahip olmadığı ve maliyet etkili çözümler olduğu sürece, %81,5 gibi güçlü bir eğilim, tüm uygulamaları bulut hizmet sağlayıcılarına modernize etme yönündedir.
Hangi bulut teknoloji modelini tercih edecekleri sorulduğunda, çoğunluk, yazılım geliştirme süreçlerinde DevOps ve DevSecOps gibi işbirliği çalışma yöntemlerini uygulama gerekliliğini vurgular biçimde %86 gibi bir oranla işbirliği çalışma yöntemlerini tercih eder. Bu, hizmetlerin yazılım geliştirme yaşam döngüsünde etkili bir şekilde konumlandırılmasının önemini vurgular.
Şirketlerde veri ve bilgi güvenliğini sağlayan veya denetleyen güvenlik ekipleri yaygın bir şekilde bulunur ve bu ekiplerin %93’lük bir önemli bir oranını oluşturur.
Bu nedenle, Güvenli IT’nin tanımı, bu ekiplerle işbirliği yapmayı içermeli ve gereksinimleri aşağıdaki gibi belirlenebilir:Altyapı ihtiyaçları (veritabanı, sanallaştırma, SDWAN/VLAN, sanal ağ vb.)Uygulama ihtiyaçları (modernizasyon, uygulama hizmeti, .net core geçişi vb.), ve organizasyonların %81,4’ü yazılım geliştirme yaşam döngüsünü ayrı bir ekip tarafından yönetir.Platform gereksinimleri, VMware/HyperV sanallaştırmadan konteyner/mikroservis mimarilerine geçiş için hizmetlerin tasarlanması.
Bulut hizmetlerinin geçiş ve işletme süreçlerinde:Değer ekleyen hizmetler (örneğin, bulut dönüşümü, EDR [Endpoint Detection and Response], Güvenli Web Ağı, SASE [Güvenli Erişim Hizmetleri], API Güvenliği vb. gibi) sağlayarak SOC mekanizmalarını geliştirme ( %79,1).IoT (Nesnelerin İnterneti) ve endüstriyel hizmetlerin bulutta kesişim kümelerini değerlendirme.Blok zinciri, konteyner uygulamaları, otomatik test, API ağı, Tek Oturum Açma (SSO), dijital kimlik ve erişim yönetimi dahil yeni teknoloji kullanımlarını araştırma.Güvenlik hizmetleri ve yönetilen hizmetlerin (örneğin, DDoS koruması, IPS, Duvar, WAF, CDN, SASE, CSPM, CNAPP, Kubernetes Konteyner Güvenliği, Antivirüs, APT tespiti, İçerik Filtreleme vb.) güvenlik hizmet sağlayıcılarından temin edilerek güvenlik hizmet kalitesini artırma ve hem satın alınan hem de BYOL (Kendi Lisansını Getir) lisansları dahil olmak üzere lisansların kullanımını optimize etme.En önemlisi, bulut hizmet sağlayıcılarının güvenliği sağlamak için uymaları gereken standartları, bunları nasıl uygulayacaklarını ve yasal çerçeve, düzenlemeler ve alınması gereken sertifikasyonları anlama.
Bu adımlar, bulut hizmetlerinin benimsenmesi ve işletilmesinde güvenliği ve uyumu sürdürmek için önemlidir.