Bulut Güvenliği 2021: Önemli Araçlara ve En İyi Yöntemlere Dair Bir Kılavuz

Bulut bilişim hizmetleri birçok şirket için kritik araçlar haline dönüştü. Zoom, Microsoft 365 ve Workspace gibi hizmetlerin iş birliği ve üretkenlik alanında sunduğu araçlar ile bulut tabanlı hizmetlerin önemi daha fazla arttı.

Her ne kadar bulut bilişim hizmetleri şirketlerin işlerini uzaktan yürütmelerine izin verse de, beraberinde getirdiği siber güvenlik riskleri de söz konusu. Evden çalışmanın yaygın olmadığı dönemde şirket ağına erişim sağlayan çalışanlar, bunu dört duvar arasında ve belli güvenlik bariyerlerinin kapsamı içerisinde yapıyordu. Bulut hizmetlerinin yayılması ile çalışanlar şirket uygulamalarına, belgelerine ve hizmetlerine her türlü noktadan (örneğin evlerinin salonundan) bağlanmaya başladı. Haliyle, yeni güvenlik araçlarının sahneye çıkması için vakit geldi de geçiyor bile…

Bulut bilişime yönelik güvenlik tehditleri 

Uzaktan çalışma, siber korsanların bulut bilişim güvenliğini ‘yeterli seviyeye taşımayan şirketlere’ saldırmaları için bazı yeni olanaklar sunuyor. Şirket VPN‘leri (sanal özel ağlar) ve bulut tabanlı uygulama paketleri siber korsanlar için ana hedefler haline geldi. Eğer biri iyi korunmazsa, siber korsanlar tüm şirket bilgisayar ağına sızma imkânı elde edebilir. Siber korsanların bu aşamada yapması gereken tek şey bir oltalama ya da brute force saldırısı ile hesap bilgilerine ve şifresine ulaşmak olarak beliriyor.

Hesap bilgisi ve şifresi ele geçirildikten sonra siber korsanlar, sistemlere söz konusu hesaplara sahip kişiler gibi giriş yaptıkları için tespit edilmeleri de bir hayli zor oluyor. Ek olarak evden çalışma sisteminde birçok kişinin esnek saatlerde çalışması, siber korsanların işine geliyor.

Siber korsanların bir bilgisayar ağında tespit edilmeden haftalar, hatta aylarca kalması büyük zararlara yol açıyor. Bazen şirketlerle ilgili hassas bilgiler çalıyorlar, kimi zaman fidye yazılım saldırısı düzenlemek için gerekli ön çalışmayı yapma imkanı yakalıyorlar. Böylece hem veri çalıyor hem de kötü amaçlı yazılımları sisteme yükleyebiliyorlar. Bu sebeple şirketlerin, her biri için gerekli güvenlik önlemlerini alıp doğru bulut uygulamaları ve araçlarını kullanmaları büyük önem taşıyor.

Hesapları çok faktörlü doğrulama ile koruyun

Bulut hesaplarına erişim aşamasında güçlü bir kontrol sistemi uygulanması gerek. Bir sanal özel ağ (VPN), uzaktan masaüstü protokolü (RDP) hizmeti ya da bir ofis uygulama paketi olsun, çalışanların kullanıcı adı ve şifrelerinden daha fazlası lazım.

Kullanıcıların akıllı telefonlarında bildiri kullanmasını esas alan yazılım veya USB anahtarı gerektiren bir donanım tabanlı çözüm olsun, çok faktörlü doğrulama (MFA), hesaplara izinsiz girişlere karşı kritik bir önlem durumunda. Çarpıcı bir veri olarak teknoloji şirketi Microsoft’a göre, MFA hesaplara izinsiz erişim girişimlerinin %99,9’unu önlüyor.

Sadece otomatik olarak hesaplara girilmesini engellemesi değil, aynı zamanda uyarı bildirisi göndermesi ile MFA şüpheli faaliyetlerin tespit edilmesini de mümkün kılıyor. Böylelikle bir şirket siber korsanlar tarafından hedef alındığını anlayabiliyor.

Şifreleme kullanın

Bulut hizmetlerinin büyük avantajlarından bir tanesi kolayca veri transferi ve depolama yapılabilmesine imkân tanıması. Ancak şirketler buluta veri yükledikten sonra bunu yaptığını unutup geçmemeli. Bu noktada ilgili verilerin korunması adına atılması gereken önemli bir adım da şifre kullanmak.

PC veya sunucularda saklanıyor olsun şifreleme, verilerin okunamaz hale getirilmesi ve kötü amaçlı kullanıcılara erişimin durdurulması demek. Bazı bulut hizmetleri bunu otomatik olarak sağlayıp uçtan-uca koruma sunuyor. Aynı zamanda bilginin çalınması ve manipüle edilmesi engelleniyor.

Güvenlik yamalarını olabildiğince hızlı yapın 

Diğer uygulamalar gibi bulut uygulamaları da yazılım güncellemelerini geliştiriciler sundukça yapmak durumunda. Böylece ürün daha iyi çalıştığı gibi güncellemeler ile gelen yamalar güvenlik zafiyetlerini ortadan kaldırıyor. Yine de bir bulut sağlayıcısı tarafından sunulması, bir hizmetin siber tehditlere karşı tamamen dokunulmaz hale geldiğini göstermiyor.

VPN ve RDP uygulamaları için sunulan güvenlik yamaları, şirketleri ciddi siber saldırı risklerine karşı koruyor. Eğer yamalara dikkat edilmezse, siber korsanlar yamaların olmadığı boşluklardan güvenlik bariyerlerini aşarak çeşitli ölçülerde zararlara yol açabilir.

Ağınızda ne olduğunu gösteren araçlar kullanın 

Şirketler bulut hizmetlerini giderek daha fazla kullansa da tüm uygulamaları ve sunucuları takip etmek hiç de kolay bir iş değil. Bulut bilişim hizmetlerinin kullanımına gereken dikkatin verilmemesi ise verilerin riske atılması demek. Veriler, şirket farkına bile varmadan ele geçirilebilir. Güvenliği bulunmayan (ya da yeterli seviyede olmayan) kamuya açık sunucular siber korsanlar tarafından tespit edilebilir.

Bu aşamada, bulut güvenliği yönetimi (CSPM) araçlarını devreye almak gerekiyor. Bu araçlar şirketlerin bulut içerisindeki olası güvenlik risklerini ve ayarlarla ilgili sorunları tespit etmesini sağlıyor. Böylece siber korsanların faydalanabileceği saldırı zemini daralıyor, olası güvenlik ihlallerinin riski azalıyor.

CSPM otomatik bir prosedürü temsil ederken güvenlik ekiplerinin tehditler ve diğer gelişmelerden haberdar olmasını sağlıyor. Bulut altyapıları çok geniş kapsamlı olduğu için herhangi bir sorunu insan gözüyle tespit etmeye çalışmak çok yorucu ve zaman alıcı. Özellikle, bir ağ içerisinde farklı bulut hizmetleri söz konusu ise. Otomasyon süreçleri böylece bulut sistemlerini güvenli tutabiliyor.

Sürekli değişen bir ortamda 100 farklı aracı kontrol edecek kadar insan gücü çoğu şirkette mevcut değil. Bu yüzden büyük sorunları tespit edebilen ve otomasyon ile çalışan platformların kullanılması oldukça mantıklı bir seçim.

İdareci/yönetici ve kullanıcı hesaplarının ayrı olduğundan emin olun 

Bulut hizmetleri karmaşık olabilir ve bilişim teknolojileri (IT) ekibindeki bazı çalışanlar bulutu yönetmek için daha yüksek erişim ayrıcalığı bulundurabilir. Siber korsanların üst düzey bir yöneticinin hesap bilgilerini ele geçirmesi, bilgisayar sisteminde geniş kapsamlı kontrol sağlamasına yol açabilir ve bu durum şirket için çok büyük güvenlik riskleri doğuracaktır. Bu sebeple üst düzey hesaplara erişimi bulunan çalışanların hesaplarını çok faktörlü doğrulama ile koruması ve sadece yetkili kişilerin bunlara erişimi olduğunu kesinleştirmek büyük önem taşıyor.

Belirli çalışanların belli güvenlik seviyelerine erişimini sağlamak, siber korsanların herhangi bir çalışanın hesabını ele geçirerek tüm bilgisayar ağını tehdit etmesini de önleyecektir.

Yedekleme ile beklenmedik durumlara hazırlıklı olun

Her ne kadar bulut hizmetleri şirketlere büyük faydalar sağlasa da, sundukları güvenlik önlemlerine güvenmek tam anlamıyla mümkün değil. Çok faktörlü doğrulama ve otomatik alarmlar, ağları korumak için güçlü işlevler sunsa da şunu unutmamak gerekiyor; erişimi imkansız olan bir ağ bulunmuyor. Eğer gerekli güvenlik önlemleri alınmamışsa, bu risk daha da artıyor.

İşte bu sebeple iyi bir bulut güvenliği stratejisi verileri yedekleme ve çevrimdışı ortamda saklamayı gerektiriyor. Böylelikle bulut hizmetlerinin kullanılamayacağı bir durum yaşandığında bile şirketler operasyonlarına devam edebiliyor.

Bulut güvenliğini sağlamak için atılabilecek bir diğer adım, çalışanlara en başından doğru araçları sunmak.

Bulut uygulama paketleri herkesin iş birliğini artıracağı gibi erişilebilir ve anlaşılabilir olmaları da gerekiyor. Aksi takdirde çalışanlar bulut hizmetlerini kullanmaya belirli seviyelerde direnç gösterebiliyor.

Şirketler kendilerine en uygun güvenli bulut hizmet paketini devreye almayı başaramazsa, çalışanlar kamuya açık bulut araçlarını kullanmaya yönelebilir. Bu durum şirket bilgilerinin kişisel hesaplarda saklanması anlamına gelecektir ve iki adımlı doğrulama gibi önlemlerin kullanılmaması büyük riskler doğurur. Kişisel bir hesaptan çalınan bilgiler, şirket ağına yönelik bir saldırıya ve kötü niyetli kimselerin daha fazla sayıda hassas bilgiye ulaşılmasına yol açabilir.

Bu sebeple şirketler sadece çok faktörlü doğrulama, şifreleme ve çevrimdışı yedekleme yapmakla yetinmemeli, iyi bir bulut güvenliği stratejisine sahip olmak için çalışanların bulut güvenliğine destek olmalarını sağlayacak araçları kullandıklarından emin olmalılar.