Bulud hesablama bir çox unikal təhlükəsizlik problemləri təqdim edir. Buludda məlumatlar üçüncü tərəf provayderində saxlanılır və internet vasitəsilə əldə edilir. Bu o deməkdir ki, həmin data üzərində görünmə (visibility) və nəzarət məhduddur. Bu, həm də onun düzgün şəkildə necə təmin oluna biləcəyi sualını doğurur. Hər kəsin öz rolunu və bulud hesablamalarına xas olan təhlükəsizlik məsələlərini başa düşməsi vacibdir.
Bulud xidməti təminatçıları bulud təhlükəsizliyi məsələlərini və risklərini ortaq məsuliyyət kimi qəbul edirlər. Bu modeldə bulud xidməti təminatçısı buludun özünün təhlükəsizliyini, müştəri isə ona qoyduğu şeylərin təhlükəsizliyini əhatə edir. Microsoft Office 365 kimi xidmət kimi proqramdan (SaaS) tutmuş Amazon Web Services (AWS) kimi infrastruktura (IaaS) kimi hər bulud xidmətində bulud hesablama müştərisi həmişə öz məlumatlarının təhlükəsizlik təhdidlərindən və ona girişə nəzarətdən qorunmasına cavabdehdir.
(https://www.mcafee.com/enterprise/en-us/img/screenshots/shared-responsibility-model.gif)
Bulud hesablama təhlükəsizliyi risklərinin əksəriyyəti bulud məlumatlarının təhlükəsizliyi ilə bağlıdır. Məlumatın görünməməsi, verilənlərə nəzarət edə bilməmək və ya buludda məlumatların oğurlanması, əksər məsələlər müştərilərin buludda yerləşdirdiyi məlumatlara qayıdır. SaaS, IaaS və şəxsi buludda əsas bulud təhlükəsizliyi məsələlərinin təhlili üçün aşağıda oxuyun. Dünya üzrə müəssisə təşkilatları tərəfindən nə qədər tez-tez qarşılaşdıqlarına görə sıralanmışdır.
Top SaaS Bulud Təhlükəsizliyi Problemləri
• Bulud proqramlarında hansı məlumatların olduğunun görünməməsi
• Zərərli aktyor tərəfindən bulud proqramından məlumatların oğurlanması
• Həssas məlumatlara kimin daxil ola biləcəyinə nəzarətin tam olmaması
• Bulud proqramlarına və bulud proqramlarına keçid zamanı məlumatlara nəzarət etmək mümkün deyil
• Bulud proqramları üçün təhlükəsizliyi idarə etmək bacarığı olan kadrların olmaması
• Zərərli insider oğurluğunun və ya məlumatların sui-istifadəsinin qarşısını ala bilməmək
• Bulud proqram təminatçısına qarşı qabaqcıl təhdidlər və hücumlar
• Bulud proqram təminatçısının əməliyyatlarının təhlükəsizliyini qiymətləndirmək mümkün deyil
• Tənzimləmə uyğunluğunu qoruya bilməmək
SaaS bulud təhlükəsizliyi məsələləri təbii olaraq data və access ətrafında cəmlənir, çünki paylaşılan təhlükəsizlik məsuliyyəti modellərinin əksəriyyəti bu ikisini SaaS müştəriləri üçün yeganə məsuliyyət kimi qoyur. Buludda hansı məlumatları yerləşdirdiklərini, ona kimin daxil ola biləcəyini və onların (və bulud provayderinin) hansı səviyyədə qorunma tətbiq etdiyini anlamaq hər bir təşkilatın məsuliyyətidir.
SaaS provayderinin təşkilatın məlumatlarına və proseslərinə potensial giriş nöqtəsi kimi rolunu nəzərə almaq da vacibdir. XcodeGhost və GoldenEye ransomware-in yüksəlişi kimi inkişaflar vurğulayır ki, təcavüzkarlar proqram təminatının və bulud provayderlərinin dəyərini daha böyük aktivlərə hücum vektoru kimi tanıyırlar. Nəticədə, təcavüzkarlar bu potensial zəifliyə diqqətlərini artırırlar. Təşkilatınızı və onun məlumatlarını qorumaq üçün bulud provayderinizin təhlükəsizlik proqramlarını diqqətlə yoxladığınızdan əmin olun. Paylaşılan hesabatlarla proqnozlaşdırıla bilən üçüncü tərəf auditinə sahib olmaq üçün gözlənti qurun və texnoloji həlləri tamamlamaq üçün hesabat şərtlərinin pozulmasında israr edin.
Top IaaS Bulud Təhlükəsizliyi Problemləri
• Həssas məlumatlara kimin daxil ola biləcəyinə nəzarətin tam olmaması
• Zərərli aktyor tərəfindən bulud infrastrukturunda yerləşdirilən məlumatların oğurlanması
• Bulud infrastrukturunun təhlükəsizliyini təmin etmək bacarığına malik kadr çatışmazlığı
• Buludda hansı məlumatların olduğunun görünməməsi
• Zərərli insider oğurluğunun və ya məlumatların sui-istifadəsinin qarşısını ala bilməmək
• Multi-cloud və on-premises mühitlər üzərində ardıcıl təhlükəsizlik nəzarətinin olmaması
• Bulud infrastrukturuna qarşı qabaqcıl təhdidlər və hücumlar
• Hücumun bir cloud workload-dan digərinə lateral (yan) yayılması
IaaS-də məlumatların qorunması vacibdir. Müştəri məsuliyyəti tətbiqlərə, şəbəkə trafikinə və əməliyyat sistemlərinə şamil edildiyi üçün əlavə təhlükələr də təqdim olunur. Təşkilatlar məlumatlardan kənara çıxan hücumlarda son təkamülü IaaS riskinin mərkəzi kimi nəzərdən keçirməlidirlər. Zərərli aktorlar kriptovalyuta əldə etmək üçün hesablama resurslarını düşməncəsinə ələ keçirir və onlar bu resurslardan müəssisə infrastrukturunun digər elementlərinə və üçüncü tərəflərə qarşı hücum vektoru kimi yenidən istifadə edirlər.
Buludda infrastruktur qurarkən, oğurluğun qarşısını almaq və girişə nəzarət etmək qabiliyyətinizi qiymətləndirmək vacibdir. Buluda kimin məlumat daxil edə biləcəyini müəyyən etmək, anormal davranışları müəyyən etmək üçün resurs modifikasiyalarını izləmək, şəbəkə trafikinin analizini əlavə etmək tez bir zamanda standart tədbirlərə çevrilir.
Top 5 Private Bulud Təhlükəsizlik Problemləri
• Ənənəvi server və virtuallaşdırılmış şəxsi bulud infrastrukturlarını əhatə edən ardıcıl təhlükəsizlik nəzarətlərinin olmaması
• İnfrastrukturun artan mürəkkəbliyi həyata keçirmə və təminat üçün daha çox vaxt/səy ilə nəticələnir
• Proqram təminatı ilə müəyyən edilmiş məlumat mərkəzi (məsələn, virtual hesablama, şəbəkə, saxlama) üçün təhlükəsizliyi idarə etmək bacarığı olan işçilərin olmaması
• Proqram təminatı ilə müəyyən edilmiş məlumat mərkəzi üçün təhlükəsizlik üzrə natamam visibility (görünmə) (məsələn, virtual hesablama, şəbəkə, yaddaş)
• Qabaqcıl təhdidlər və hücumlar
Resursları public və private bulud arasında bölüşdürmək üçün qərar qəbul etmə prosesində mühüm amil private bulud mühitlərində mövcud olan dəqiq tənzimlənmiş idarəetmədir. Private buludlarda əlavə nəzarət səviyyələri və əlavə mühafizə özəl bulud yerləşdirmələrinin digər məhdudiyyətlərini kompensasiya edə bilər.
Ümumi Bulud Hesablama Təhlükəsizliyi Problemlərini Necə Azaltmaq olar?
Bulud xidmətləri informasiya texnologiyaları (İT) üçün əsas strategiya olmasa belə, təşkilatlar bulud xidmətlərindən istifadə edir. Bulud hesablamalarının təhlükəsizlik risklərini azaltmaq üçün bütün təşkilatların üzərində işləməli olduğu üç BEST PRACTİCE var:
1. DevSecOps prosesləri — DevOps və DevSecOps kodun keyfiyyətini yaxşılaşdırmaq, istismar və zəiflikləri azaltmaq, proqramların işlənib hazırlanması və funksiyaların yerləşdirilməsi sürətini artırmaq üçün tətbiq olunur. Fərdi təhlükəsizlik yoxlama qrupuna etibar etmək əvəzinə, iş bölməsi və ya proqram komandası daxilində inkişaf, keyfiyyət keyfiyyəti və təhlükəsizlik proseslərinin inteqrasiyası bugünkü biznes mühitinin tələbləri ilə işləmək üçün çox vacibdir.
2. Automated application deployment and management tools — Təhlükəsizlik bacarıqlarının çatışmazlığı, artan həcm və təhlükəsizlik təhdidlərinin sürəti ilə birlikdə, hətta ən təcrübəli təhlükəsizlik mütəxəssisinin belə ayaqlaşa bilməyəcəyi deməkdir. Dünyəvi vəzifələri aradan qaldıran və maşın üstünlükləri ilə insan üstünlüklərini artıran avtomatlaşdırma müasir İT əməliyyatlarının əsas komponentidir.
3. Bütün xidmətlər və provayderlər arasında mərkəzləşdirilmiş idarəetmə ilə vahid təhlükəsizlik — Heç bir məhsul və ya satıcı hər şeyi çatdıra bilməz, lakin çoxsaylı idarəetmə alətləri nəyinsə keçməsini çox asanlaşdırır. Açıq inteqrasiya quruluşuna malik vahid idarəetmə sistemi hissələri bir araya gətirərək və iş axınlarını sadələşdirərək mürəkkəbliyi azaldır.
Nəhayət, güzəştli qərarlar qəbul edilməli olduqda, daha yaxşı visibility (görünmə) 1 nömrəli prioritet olmalıdır, daha çox nəzarət deyil. Buludda hər şeyi görə bilmək, onun natamam bir hissəsini idarə etməyə cəhd etməkdən daha yaxşıdır.
Əla, maraqlı yazı üçün təşəkkür!