2022’de Takip Edilmesi Gereken 6 Bulut Güvenliği Trendi

Bir an durup bulut teknolojilerinin son yirmi yılda nasıl geliştiğini hatırlamak gerçekten etkileyici olacaktır. Bu süre zarfında sunucusuz teknolojilerdeki artıştan (firmaların platformları daha önce hiç görülmemiş hızlarda ölçeklendirmesine ve oluşturmasına olanak tanır) bulut otomasyon güvenliğinin evrimine kadar, yeni bir teknoloji dalgasını ateşleyen pek çok yeniliğe şahit olduk.

Bu yenilikler, kurumların daha çevik çalışmasını sağlarken, aynı zamanda maliyetlerin de düşmesi konusunda çok yardımcı oldu. Ancak bir IDC raporuna göre geçtiğimiz 1,5 yıllık süreçte dünya genelinde kurumların yüzde 98’i en az bir bulut güvenliği ihlali ile karşılaştılar. Bu bize bulut güvenliğinin giderek daha önemli hale geleceğini gösteriyor. Bu yazıda 2022’de takip etmeniz gereken 6 bulut güvenliği trendini sıraladık.

1- Sunucusuz mimari büyümeye devam edecek

Günümüzde gittikçe daha fazla kurumun platformlarında sunucusuz bir mimari benimsediğini görüyoruz. Bu, yalnızca bulut hizmeti sağlayıcılarının FaaS (Hizmet Olarak İşlev) hizmetlerinden faydalanmak anlamına gelmiyor, aynı zamanda piyasadaki yeni sunucusuz tekliflere açık olmayı sağlıyor. Bununla birlikte üç ayda bir sunulan yeni sunucusuz tekliflerle, ortaya çıkabilecek potansiyel riskleri anlamak çok önemlidir.

Sunucusuz mimari, sayısız entegrasyon seçeneği ve özelliği ile uygulama geliştiricilerin ve bulut ile ilgili BT ekibinin güvenlik yapılandırmasının nasıl görüneceğini ve bu araçlarla ilişkili potansiyel riskleri anlamasını da sağlar.

Ayrıca, birden fazla CSP’de FaaS mimarileri üzerinde daha fazla kontrole sahip olmak için kullanılan “dağıtımsız” mimariler de görüyoruz. Bu tür mimarilerin daha fazla uygulanması ise kurumlara siber güvenlik hakkında düşünmenin yeni bir yolu gibi geliyor. Tüm sektör aslında bu mimarilere odaklanmış durumda ve daha fazla sunucusuz hizmet kullanılırken güvenlik hakkında nasıl bir yol izleneceği düşünülüyor. Bu yıl için, bir yandan verimliliği artırırken ve riskleri azaltırken, diğer yandan da sunucusuz mimariyi ve güvenliğini nasıl sağlayacağımız konusu, kurumların fazlasıyla gündeminde olacak.

2- DevSecOps’a dikkat

Giderek daha fazla şirket tamamen otonom bulut tabanlı ortamlar oluşturmak için Kod Olarak Altyapıyı (IaC) benimsemeye başlıyor. Güvenlik açısından, koddan üretime kadar olan tedarik zincirinin korunmasını ve izlenmesini sağlamak, kurumlar için artan bir endişe haline geliyor. Bu alandaki araçların olgunlaşmaya başladığını ve yeni stratejiler uygulandığını görüyoruz. Örneğin, yapılandırmaların ve mimarinin ön doğrulaması gibi uygulamalar yapabilir, mimarinizin ve kodunuzun üretime geçmeden önce uyumlu ve güvenli olmasını sağlayabilirsiniz. Önümüzdeki yıl, genel tedarik zincirini daha iyi desteklemek için daha fazla üçüncü taraf aracının ve yerel bulut tabanlı hizmetlerin tanıtıldığını görmeyi umuyoruz.

3- Daha fazla çoklu bulut

Çoklu bulut stratejileri kalıcı olmaya devam ediyor ve birçok kurum, platformları için en uygun teknolojilerin seçimi sırasında birden fazla bulut hizmeti sağlayıcısı kullanan esnek mimariler de oluşturuyor. Yakında bu modelinin çoklu bulut güvenlik uygulamaları ve araçlarıyla birlikte olgunlaştığını göreceğiz. Ayrıca uç bilgi işlemi çevreleyen çoklu bulutun büyük iş yerleri yanında küçük ofislerde ve özel veri merkezlerinde de yaygınlaştığına şahit olacağız. Tüm bunlarla birlikte kurumlar çoklu bulut stratejisini benimsemek için yeni yollar aramaya devam edecekler.

4- Uygulama yapısı öne çıkıyor

Uygulama geliştiricisi ile altyapı mühendisi arasındaki çizgiler çok bulanık hale geldi ve aralarında neredeyse fark kalmadı gibi. Geliştiriciler, kullanmaya çalıştıkları hizmetlere dayalı olarak bulut mimarileri veya kod tabanlarından yeni altyapılar oluşturuyor. Bu noktada ekipler, güvenliğin bu yeni düşünme biçiminde nasıl bir rol oynadığını düşünmek için birlikte çalışmaya başlıyor. Müşterilerin etkiyi anlamasına yardımcı olan potansiyel yeni saldırı vektörleri ve güvenlik yapılandırmaları keşfediliyor. Bu eğilimin devam edeceğini söyleyebiliriz.

5- SaaS güvenliğiniz ne durumda?

Geçen yıl, SaaS platformlarına ciddi bir ilgi ve talep oldu. Bu alanlardan biri de SaaS Güvenlik Duruş Yönetimi (SSPM) araçlarıdır. SSPM’ler, kurumların güvenliğe kafa yormadan SaaS portföylerine odaklanmalarına destek oluyor. 2021’de bu SSPM’lerin birçok platformu benimsediğini gördük, ancak 2022’de bu araçlar tarafından desteklenen SaaS platformlarının sayısında önemli bir artış göreceğiz. Kurumlar, bulut tabanlı tedarikçilerin işe alınması ve doğrulanmasından ekosistemlerindeki SaaS satıcılarının izlenmesine ve uyarılmasına kadar tüm portföylerini kapsayabilecek daha güçlü bir SaaS güvenlik programı oluşturmaya odaklanacak.

6- Özniteliğe dayalı erişim denetimi (ABAC) ile dinamik erişim ilkeleri

ABAC, erişim izinlerini dinamik olarak belirlemek için etiketlerden yararlanır. Örneğin, bir “proje” etiketiniz varsa, ana öğedeki “proje” etiketinin değeri hedef kaynak veya ortamdaki aynı “proje” etiketinin değeriyle eşleşirse bir politika oluşturabilirsiniz. Bu, daha ölçeklenebilir ve yeniden kullanılabilir politikalara, yönetimi basitleştirmeye ve izin ayrımını iyileştirmeye olanak tanır. Pek çok bulut hizmeti sağlayıcısı, bu yeni yaklaşımı tüm hizmetlerde henüz uygulamamış olsa da (faydasını en aza indirerek), bu yaklaşımın önümüzdeki 2022’de daha fazla benimseneceğini öngörmek mümkün.

Hibrit çalışmanın yaygınlaştığı ve bu bağlamda iş yüklerinin ve verilerin buluta taşındığı bir ortamda kurumların bulut güvenliğini öncelik haline getirmesi büyük önem taşıyor. Bulut teknolojileri, iş üretkenliğini mümkün kılıyor evet, ancak aynı zamanda üretkenliği artırırken riski en aza indirmek için güvenlik uygulamaları ile beraber kullanılmaları gerekiyor.

Okuma Önerisi: Daha güvenli bulut için 4 tavsiye