siber güvenlik manzara sismik bir değişime uğradı. İşletmeler çoklu bulut mimarilerini, konteynerli uygulamaları ve yapay zekayı benimsemek için yarışırken, güvenliğe yönelik geleneksel çevre tabanlı yaklaşımın tehlikeli derecede modası geçmiş olduğu ortaya çıkıyor.
Eskiden korunan bir veri merkezindeki dahili trafik, artık genellikle yeterli görünürlük veya kontrol olmaksızın kamu altyapısı üzerinden hareket ediyor. Bu yeni gerçeklikte kuruluşlar, kendi bulut ortamlarındaki güvenlik açıklarına karşı giderek daha fazla körleşiyor.
İcra Kurulu Başkanı, Aviatrix.
Birçok şirket entegrasyon konusunda zorluk yaşıyor bulut güvenlik duvarları daha geniş güvenlik stratejilerine dahil ederler. Ve çok daha fazlası doğu-batı trafiğini (verilerin bulutta yerel uygulamalar arasında yanal hareketi) izlemek ve güvence altına almak için çabalıyor ve saldırganların yararlanabileceği önemli boşluklar bırakıyor.
Belki de en endişe verici olanı: Pek çok işletmenin çıkış trafiği üzerinde neredeyse hiçbir kontrolü yoktur; saldırganların içeriye girdikten sonra komuta ve kontrol iletişimi kurmak için sıklıkla kullandıkları kanaldır ve veri hırsızlığı amacıyla kötüye kullanılır.
Genişleyen Saldırı Yüzeyi
Bu boşluklar, riskin şu anda nerede olduğuna dair temel bir yanlış anlamadan kaynaklanıyor. Kökleri hâlâ sertleştirilmiş dış kabuk fikrine dayanan güvenlik modelleri, günümüzün atomize, dinamik ve merkezi olmayan ortamlarını hesaba katmakta başarısız oluyor.
Her sanal özel bulut (VPC), Kubernetes kümesi, geçici konteyner ve API uç noktası artık potansiyel bir giriş noktası görevi görüyor.
Mini çevrelerdeki bu patlama, bir zamanlar tek bir saldırı yüzeyini oluşturan şeyin artık binlerce, hatta yüzbinlerce potansiyel güvenlik açığına bölündüğü anlamına geliyor.
Kod Olarak Altyapı (IaC), yapay zeka ve konteynerleştirme gibi teknolojilerin benimsenmesi, kurumsal ortamlara hız ve ölçeklenebilirlik kazandırdı. Ancak aynı zamanda birçok güvenlik ekibinin dağıtımları etkili bir şekilde izleme ve yönetme becerisini de geride bıraktı.
Genellikle resmi BT yönetişiminin dışında uygulanan, çalışanların liderliğindeki yapay zeka girişimlerinin hızlı yükselişi, geleneksel kontrollerden kaçan veri yolları oluşturarak işleri daha da karmaşık hale getiriyor.
Buna paralel olarak çoklu bulut stratejileri mimari karmaşıklığı da beraberinde getirir. Her biri bulut sağlayıcı Benzersiz araçlara, politikalara ve yapılandırmalara sahip olması, güvenlik ekiplerini ortamlar arasında tutarsız çerçeveler arasında denge kurmaya zorluyor.
Bu parçalanma, özellikle farklı bulutlardaki iş yükleri arasındaki iletişim noktalarında, tutarlı politika uygulamasının neredeyse imkansız olduğu kör noktalar yaratıyor.
Bir zamanlar açıkça tanımlanmış bir sınır, denetlenmeyen bağlantılardan oluşan gözenekli bir ağ haline geldi. Saldırılar sırasında yanal hareketi sağlamadaki artan rolüne rağmen, birçok durumda doğu-batı trafiğine hâlâ örtülü olarak güveniliyor.
Ve iş yüklerinin internete giden yol olan çıkış trafiği de varsayılan olarak genellikle tamamen açıktır.
Örneğin, bir VM Azure’da genellikle sınırsız giden internet erişimiyle döner. İnternet erişimi, internet bağlantısı olan herkesin bu iş yükünü bulup iletişim kurabilmesi anlamına gelir.
Bu iş yükleri, saldırganların ortamı sabırla inceleyebilecekleri, ek ayrıcalıklar kazanabilecekleri ve yanlara doğru hareket ederek sonunda tehlikeli kötü amaçlı yazılımları yerleştirebilecekleri veya verileri sessizce dışarı çekebilecekleri bir yere yerleşme fırsatlarını temsil eder.
Bulut Güvenlik Dokusunu Yeniden Düşünmek
Geleneksel yaklaşım internet güvenliğiuçta duvarlar inşa etmek kurumsal bulut ortamları için geçerli değildir. Bunun yerine kuruluşların güvenliği doğrudan bulutun ağ dokusuna yerleştiren bir modeli benimsemesi gerekiyor.
Bu içten dışa yaklaşım, aşılması giderek daha kolay hale gelen efsanevi bulut çevre savunmaları yerine, iş yükleri arasındaki gerçek iletişim yollarına odaklanır.
Aviatrix’in öncülüğünü yaptığı ve bulut yerel güvenlik dokusu (CNSF) olarak adlandırdığı bu yeni ortaya çıkan konsept, güvenliği, iş yükleriyle birlikte seyahat eden ve topolojideki değişikliklere gerçek zamanlı olarak uyum sağlayan dağıtılmış bir uygulama katmanı olarak yeniden tasavvur ediyor.
Daha da önemlisi, kurumsal ortamlarda genellikle mevcut olan çok farklı iş yükü nesillerine aynı şekilde hitap eder: Kaldırılan ve buluta aktarılan “VM bağlı” monolitik uygulamaların yanı sıra çok daha verimli ve geçici Kubernetes ve sunucusuz yaklaşımlar kullanılarak oluşturulan modernleştirilmiş uygulamalar.
Bu yaklaşımın temel ilkeleri şunları içerir:
Yerleşik Güvenlik: Yaptırım politikaları ve kontrolleri, harici bir ağdan değil, altyapının kendisinde uygulanır.
Dinamik Segmentasyon: Güvenlik politikaları, amaca dayalı politikalarla iş yüklerinin hızı arttıkça, azaldıkça veya konumları değiştikçe uyum sağlar.
Kimliğe Duyarlı Kontroller: Erişim kararları, şifreli iletişimlerde bile iş yükü kimliğine ve bağlamına dayalıdır.
Çıkış Görünürlüğü ve Kontrolü: İnternete giden trafik denetlenir ve yönetilir, böylece veri sızıntısına karşı kritik bir kör nokta kapatılır.
Sürtünmesiz Uygulama: Güvenlik mekanizmaları, geliştirme hızını engellemeden gerçek zamanlı olarak çalışır.
Bu değişim, mevcut güvenlik araçlarından vazgeçmek anlamına gelmiyor; bunun yerine, onların ortamda şu anda kaçırdıkları alanlara erişmelerini sağlamak anlamına geliyor. Uygulamanın bulut dokusuna dahil edilmesiyle, izleme araçlarından elde edilen bilgiler anında, otomatik eyleme dönüştürülebilir ve algılama ile yanıt arasındaki boşluğu kapatabilir.
İleriye Giden Yol
Kurumsal güvenlik ekipleri için bunun sonuçları açık: ya gelişecek ya da daha da geride kalacak. Bulut ortamları, destekledikleri iş yükleri kadar ölçeklenebilir, dinamik ve dağıtılmış güvenlik modelleri gerektirir.
Kuruluşların odak noktalarını kenarları korumaktan hizmetler arasındaki bağ dokusunu korumaya kaydırması gerekiyor.
Bu şu anlama gelir:
– Doğu-batı trafiğinin izlenmesine ve segmentasyonuna öncelik verilmesi.
– Bulut iş yükleri arasındaki örtülü güvenin ortadan kaldırılması.
– Çıkış çevresinde görünürlük ve kontrolün güçlendirilmesi.
– Uygulama yeteneklerini doğrudan bulut altyapısına yerleştirme.
– Güvenliği bir kapı bekçisi olarak değil, hız ve yenilikçiliğin sağlayıcısı olarak ele almak.
Savaş alanı taşındı. En büyük tehditler artık ön kapıda durmuyor; iş yükleri arasında ve saldırganların yararlandığı izlenmeyen giden trafikte gizlidirler.
Modası geçmiş modellere güvenmeye devam eden şirketler de geride kalmıyor; kendilerini en çok etkileyebilecek risklere karşı kördürler.
En iyi BT altyapı yönetimi hizmetlerine ilişkin özelliğimize göz atın.