Curriculum
- 4 Sections
- 10 Lessons
- 12 Hours
- KOBİ'ler İçin Bulut Sistemleri Kullanmanın Faydaları4
- Bulut Sistemlerinin Kullanımıyla İlişkili Risklerin Belirlenmesi ve Azaltılması3
- Bulut Sistemlerinin Kullanımında Avrupa ve Ulusal Standartlarla Uyumlu İşbirliği4
- Ek Okumalar2
Curriculum
Teorik Temeller
Bu dijital çağda, daha fazla işletme çalışanlarını evden çalışmaya teşvik ediyor veya bunu zorunlu kılıyor.
Çalışanların kişisel cihazlarını şirket ağına erişmek için kullanmalarına izin vermekle birlikte, bulut bilişim, uygun maliyetli olması ve hızla genişlemesi nedeniyle giderek daha popüler hale geliyor. Ancak, bulut güvenliğiyle ilgili riskleri azaltmak için kuruluşların doğru azaltma tekniklerini kullanmaları gerekmektedir. Burada, en önemli güvenlik tehditlerinden bazıları ve bunları ele almak için kullanılabilecek uygun azaltma teknikleri açıklanmıştır.
Ancak, bu şirketlerin hepsi bulut güvenliğiyle ilgili risklere hazır değildir. Bulut sağlayıcıları genellikle belirli koruyucu özelliklere sahip olsalar da, ana görevleri hizmet sürekliliğini sağlamaktır. Güçlü bir bulut siber güvenlik planı oluşturmak sizin sorumluluğunuzdadır. Veri ihlalleri, bulut güvenliği ile ilgili başlıca tehlikelerden biridir. Bu riski azaltmak için kuruluşlar, çok faktörlü kimlik doğrulama, sık erişim izleme, sıkı erişim kontrolleri ve hassas verilerin şifrelenmesi gibi önlemler uygulamalıdır. Güvensiz API’lere karşı riski azaltmak için, işletmeler ayrıca API erişimi için uygun yetkilendirme ve kimlik doğrulama prosedürleri uygulamalıdır.
Global istihbarat firması IDC tarafından yapılan ve bulut erişim riski koruma sağlayıcısı Ermetic tarafından yayınlanan bir rapora göre, ankete katılan kuruluşların neredeyse %80’i son 18 ay içinde en az bir bulut veri ihlali yaşamış ve %43’ü on veya daha fazla ihlal yaşamıştır.
Sonuç olarak, şirketlerin bulut bilişimle ilişkili başlıca güvenlik risklerini ve bu riskleri nasıl azaltabileceklerini anlamaları gerekmektedir. Bulut tehditleri, riskin kaynağı, bağlamı ve amacı doğrultusunda farklılık gösterebilir. Bunlara örnek olarak şunlar verilebilir: yönetim arayüzü hatası, sanal makine (VM) seviyesinde saldırılar, uyumluluk sorunları veya riskleri, kötü niyetli içeriden gelen tehditler, hizmet arızası, hizmet sonlandırılması, şifreleme anahtarlarının kaybı, zayıf kimlik doğrulama, ağ arızası, lisanslama riskleri, donanım arızası, ayrıcalık yükseltme, yetersiz altyapı tasarımı, bilinmeyen risk profili, bulut hizmet sağlayıcısının kapatılması.
Coğrafi Dayanıklılık
Bulut hizmetleri sağlayıcısını seçerken, verilerinizi korumak için yeterli güvenlik hizmetleri sunduğundan emin olmanız gerekir. Ayrıca, sağlayıcının veri merkezlerinin konumları hakkında sorular sormalısınız. Yangın, deprem veya sel gibi herhangi bir olay durumunda bulut hizmet sağlayıcısının coğrafi dayanıklılık sağlayabildiğinden emin olmalısınız. Küresel bir varlığa sahip olan ve verileri birden fazla veri merkezine çoğaltan bir hizmet sağlayıcısını tercih etmek daha iyidir
Veri Yalıtımı
Kötü amaçlı yazılımlar, özellikle fidye yazılımları, hızla yayılmaktadır. Tıpkı yerinde sunucular veya sistemler gibi, bulut tabanlı sistemler de bu tür tehditlerden etkilenebilir. Bu nedenle, bulut hizmet sağlayıcısının veri yalıtımı uygulamalarını takip ettiğinden, yani verilerin çevrimdışı bir kopyasını da sakladığından emin olmanız gerekir.
Şifreleme
Şifreleme olmadan, dinlenme halindeki veya aktarım halindeki veriler savunmasız kalır. Şifreleme kullanılmazsa, veri kaybı veya gizli verilerin bir saldırgana maruz kalma riski oldukça yüksektir. Verilerin buluta giderken, buluttan çıkarken veya iki bulut arasında taşınırken şifrelendiğinden emin olmanız gerekir.
Ağ Bölümlendirme
Çoğu bulut hizmet sağlayıcısı, çoklu kiracılı ortamlar (multi-tenant environments) kullanır. Bir bulut hizmeti seçerken, bulut hizmet sağlayıcısının kullandığı bölümlendirme türünü ve verilerinizin aynı çoklu kiracılı ortamda bulunan diğer müşterilerden nasıl ayrılacağını değerlendirmeniz gerekir.
Aşağıda, KOBİ’lerin bulut sistemlerini kullanırken karşılaşabilecekleri başlıca risklerden bazılarını bulacaksınız:
Veri İhlalleri
Veri ihlalleri, yetkisiz erişim, kötü amaçlı yazılım enfeksiyonları ve yanlış yapılandırılmış güvenlik ayarlarından kaynaklanan önemli bir siber güvenlik tehdidi oluşturur. Bu riskleri azaltmak için güçlü erişim kontrolleri, şifreleme ve çok faktörlü kimlik doğrulama kritik öneme sahiptir. Düzenli güvenlik denetimleri ve uyumluluk değerlendirmeleri, potansiyel sorunları belirleyip ele alabilir. Bulut güvenliği için çok katmanlı bir yaklaşım şarttır.
İçerideki Tehditler
Bulut bilişim, içeriden gelen tehditlerden kaynaklanan siber güvenlik zorluklarıyla karşı karşıyadır. Etkilerini azaltmak ve güvenlik kültürünü geliştirmek için güçlü erişim kontrolleri, izleme, denetim ve çalışan eğitimi gereklidir.
Veri Kaybı
Veri kaybı, donanım arızaları, yazılım hataları veya kötü niyetli saldırılar nedeniyle meydana gelebilir. Önemli kayıpları önlemek için kuruluşlar güvenilir yedekleme ve kurtarma sistemleri uygulamalıdır, bu sistemler şifreleme ve erişim kontrollerini de içermelidir.
Hesap Ele Geçirme
Hesap ele geçirme, yetkisiz kişilerin kimlik avı saldırıları ve çalınmış kimlik bilgileri yoluyla kullanıcı hesaplarına erişmesiyle gerçekleşir. İhlalleri önlemek için kuruluşlar, çok faktörlü kimlik doğrulama, parola politikaları ve kullanıcı eğitim programları uygulamalı ve hesap faaliyetlerini düzenli olarak izlemelidir.
Verilerinizi korumak için…
Verilerinizi korumak için katı kimlik ve erişim yönetimi politikaları uygulamak önemlidir. Erişim kontrol listelerinin sıkı veri erişimini uygulaması sağlanmalıdır. Bulut tabanlı verilerle çalışırken rol tabanlı ayrıcalıklar öncelikli olmalı, bu tür erişim kontrolleri yetkisiz veri erişimine karşı önemli bir önleyici tedbir haline gelmelidir. Tüm veri erişimlerinin izlenmesi ve takip edilmesi, kapsamlı bir güvenlik stratejisinin temel bileşenleridir.
- Süreci İzlemek: Uygulamaları ve verileri buluta taşıdıktan sonra, kullanıcı işlemlerinin etkili bir şekilde izlenmesi hayati önem taşır. Şüpheli davranışları tespit etmek ve hızlı bir şekilde yanıt vermek için kullanıcı etkinliklerinin sürekli izlenmesi gereklidir.
- Bir Yanıt Planı Sahibi Olmak: Olası sorunları hızlı bir şekilde ele almak için iyi tanımlanmış bir olay müdahale planı esastır. Bulut hizmet sağlayıcısının güvenlik olaylarını tespit etme ve yanıt verme yeteneğine sahip olması, sağlam bir güvenlik duruşu için temeldir. Tehditlerin evrimine uyum sağlamak için olay müdahale planının düzenli olarak gözden geçirilmesi ve revize edilmesi önerilir.
- Zayıflık Değerlendirmesi: Bulut hizmet sağlayıcıları genellikle zayıflık yönetimi gerçekleştirir ve raporlarını incelemek önemlidir. Ancak, bulutta dağıtılan özel web uygulamaları için zayıflık değerlendirmesi yapmak, potansiyel güvenlik açıklarını belirlemek ve ele almak için gereklidir.
- Paylaşılan Sorumluluk: Yama yönetimi, bulut hizmet sağlayıcılarının standart güncellemeleri yönetmesiyle paylaşılan bir sorumluluktur. Ancak, özel uygulamalar için en son yamaların zamanında uygulanmasını sağlamak, güvenlik açıklarını etkili bir şekilde ele almak açısından kritik öneme sahiptir.
- Parola Politikaları: Bulut ortamında güçlü parola politikalarının uygulanması, güvenliğin güçlendirilmesi açısından kritik bir adımdır. Bulut hizmet sağlayıcılarında parola politikalarının yapılandırılması, zayıf parolaların kullanımını önlemeye yardımcı olur ve periyodik parola değişikliklerinin zorunlu hale getirilmesi ek bir koruma katmanı sağlar. Potansiyel güvenlik risklerini azaltmak için hesap kilitleme politikaları da uygulanmalıdır. Gerekli önlemler alındığı sürece, her şirket bulut sistemlerini güvenli bir şekilde kullanabilecektir.
Bulut güvenliği hakkındaki bilginizi artırmak için bu videoyu izleyebilirsiniz