Bulut Bilişim Güvenliği

Bulut Bilişim Güvenlik Mekanizmaları

Güvenli veri iletimi: Kurum ağı ve bulut arasındaki tüm iletişim güvenli bir kanal üzerinden gerçekleştirilmeli ve açık anahtar altyapısını sunan SSL/TLS standartları ile yüksek güvenlik sağlanmalıdır.  İnternet trafiğinin korunması için geliştirilmiş olan verilerin şifrelenmesini ve kimlik doğrulamasını sağlayan IPsec protokolü bir diğer uygulanması gereken güvenlik mekanizmasıdır.

Güvenli yazılım ara yüzleri: Bulut teknolojisinin güvenliğinin arttırılması için dikkat edilmesi gereken hususlardan bir diğeri ise yazılım ara yüzleri ve API’lerin doğru seçilmesidir. Kullanılan ara yüzlerin ve API’lerin zafiyetli olanlardan seçilmesi durumunda kurum gizlilik, bütünlük, erişilebilirlik ve inkar edememezlik gibi güvenlik ilkelerinin gereği gibi uygulanmamasından dolayı sorunlarla karşı karşıya kalacaktır.

Güvenli veri depolama: Verilerin kullanımdayken ve depolanırken korunması ve aynı zamanda bilgilerin silinmesi işleminin güvenli bir şekilde gerçekleştirilmesi önemli güvenlik kurallarındandır.

Kullanıcı erişim kontrolü: Kurum buluta yüklenecek olan verilerin hassaslığını göz önünde bulundurmalı ve aynı zamanda bulut sağlayıcısından veriyi yönetecek olan kişiler ve bu kişilerin veriye erişim düzeyleri gibi önemli konularda bilgi alınması gerekmektedir.

Veri bölümlendirme(Data Compartmentalization): Bulut bilişim teknolojisinde sağlayıcının donanımı üzerinde her bir müşteri için ayrı bir sanal konteyner oluşturmaya yarayan hypervisor yazılımları kullanılmaktadır. Ancak bulut bilişim üzerinde çalışan servisler sunucular ve diğer altyapı bileşenleri ile kaynak paylaşımı yaptığı için konteynerleştirme tekniğinin veri şifreleme ve sanal bölümlemeye diğer kullanıcılar tarafından erişilmesini önleme gibi kritik mekanizmaları kontrol edilmelidir.

Bulut Bilişim Güvenlik Tehditleri ve Önlemler

Veri sızıntısı: Hem bulut sağlayıcıların hem de kurumların bulut üzerindeki verileri sızıntılara karşı yüksek güvenlikli yöntemlerle korumaları gerekmektedir. Bunun için kurumların çok faktörlü kimlik doğrulama sistemi ve uygun şifreleme algoritmalarını kullanmaları gerekmektedir.

Ele geçirilen kimlik bilgileri ve kırık kimlik doğrulama: Zayıf parola yönetimi, süresi bitmiş ya da üçüncü parti sertifika kullanımı gibi yanlış uygulamalar veri sızıntısı ataklarının gerçekleşmesine neden olan zafiyetlerin başında gelmektedir. Önlem olarak tek kullanımlık şifre ve akıllı kart kullanımı gibi çok faktörlü kimlik doğrulama yöntemleri uygulanabilir. Ayrıca buluttaki uygulamaların OWASP gibi standartlara göre penetrasyon testinden geçirilmesi de etkili bir koruma sağlayacaktır.

Saldırıya uğramış ara yüzler ve API’ler: API’ler şifre geçerliliğini kontrol etme ve şifreleme anahtarları oluşturma gibi kritik işlemleri gerçekleştirdikleri için güvenilir API ve arayüz kullanımı büyük önem arz etmektedir. Kuruma ait bilgilerin sızdırılmasına yol açacak üçüncü parti API ve ara yüzlerin kullanımı ise risk seviyesini daha da arttıracaktır. Buna çözüm olarak güçlü güvenlik mekanizmasına sahip ara yüzler ve API’lerin kullanımı gizlilik, bütünlük ve erişilebilirlik gibi önemli güvenlik ilkelerinin uygulanmasını kolaylaştıracaktır.

İstismar edilmiş sistem açıklıkları: Bulut üzerinde çalışan sistem ve programların barındırdığı açıklıkların istismarı durumunda kurumun hizmetlerinin kesintiye uğraması ve kurumun itibarının sarsılması gibi riskler ortaya çıkmaktadır. Buna önlem olarak atılabilecek adımlar; zafiyet değerlendirmesi, etkili yama yönetimi ve sistemleri aynı zamanda kaynakları da tehditlere karşı düzenli olarak izleme işlemleridir.

Hesapların çalınması: Oltalama, istismar kodları, iletişim kanallarını dinleme, veri ve işlemlerin değiştirilmesi gibi saldırı yöntemleri hala etkili olmaktadır. Ayrıca bir uygulamada bulunan açıklığı istismar ederek diğer bir uygulamaya sıçramaya olanak sağlayan yanal hareket tekniği ise saldırganların daha geniş alana sahip olmasına neden olmaktadır. Buna önlem olarak kurumlar, hesap bilgilerinin kullanıcılar ve servisler arasında paylaşılmasını engellemeli ve çok faktörlü kimlik doğrulama sistemi uygulamalıdır. Her bir işlemin bot kullanıcılar tarafından gerçekleştirilmediğini kontrol etmek adına tüm hesaplar izlenmelidir.

Kötü niyetli çalışanlar: İçerden gelen tehdit aktörü; eski veya mevcut bir çalışan, sistem yöneticisi veya bir iş ortağı olabilir. İçerdeki bir çalışanın kuruma karşı siber saldırı gerçekleştirmesinin ardındaki motivasyon bilgi çalma veya intikam olarak ifade edilebilir. İçerden gelen bir saldırı tüm bir altyapının çökmesine veya verinin manipüle edilmesine neden olabilir. Güvenlik özellikle şifreleme konusunda tamamıyla bulut sağlayıcısına bağımlı olan sistemler en çok risk altında olan sistemlerdir. Buna çözüm olarak kurumların şifreleme ve anahtar oluşturma sürecini kontrol etmeleri, görev ayrımı ve erişimlerin kısıtlanması gibi güvenlik kurallarını uygulaması gerekmektedir. Periyodik olarak loglama, izleme ve denetleme işlemleri gerçekleştirilmelidir.

APT saldırıları: APT’ler sızdıkları sistemleri tutunma noktası olarak kullanarak uzun süre boyunca verileri gizlice çekme işlemini gerçekleştirirler. APT’ler ağ içerisinde genel olarak yanal hareket yöntemiyle ilerledikleri ve normal trafiğe karıştıkları için tespit edilmeleri zorlaşmaktadır. Bulut sağlayıcıların APT’lerin altyapılarına bulaşmasını engellemek için gelişmiş teknikler uygulamaları gerekmektedir. Aynı zamanda bulut hizmeti alan kurum da APT’lerin bulut servislerine bulaşmasını engelleme konusunda kurum içi sistemler için uyguladıkları etkili yöntemleri aynı şekilde bulut hesaplarını korumak içinde uygulamalıdırlar.

Kalıcı veri kaybı: Kalıcı veri kaybı hem bulut sağlayıcısından kaynaklanan hatalardan hem de siber suçluların işletmelere zarar vermek için bulut verilerini kalıcı olarak silmesinden ileri gelir. Ek bir koruma olarak verileri ve uygulamaları çeşitli bölgelere dağıtmak, gerekli yedekleri almak, iş sürekliliği ve felaket kurtarma planını en iyi şekilde oluşturmak, günlük veri yedekleme ve kurum dışında veri depolama gibi önlemler bulut tabanlı işler için büyük önem taşımaktadır.

Yetersiz inceleme: Kurumlar bulut servisleri ile çalıştıklarında ne tür risklerle karşılaşacaklarını saptamak için kapsamlı bir durum tespiti çalışması yapmalıdırlar.

Bulut servislerinin kötüye kullanılması: Müşterilere bulut ortamlarının beklendiği şekilde çalışıp çalışmadığını kontrol etmeleri için olanak sunmak ve bulut servislerini istismar eden DDoS gibi hizmet engelleyici saldırıları gerçekleşmeden önce tespit etmek bulut sağlayıcısının görevleri arasındadır. Bulut sağlayıcısı aynı zamanda servislerin kötüye kullanımı konusunda raporlama hizmeti sunmalıdır.

Paylaşılan teknolojiler: Bulut servis sağlayıcılarının sahip olduğu altyapıların ve uygulamaların barındırdığı açıklıklar müşterilere sunulacak hizmetlerin güvenliğini de kötü yönde etkileyecektir. Tüm bilgisayarlar için çok faktörlü kimlik doğrulama, host tabanlı ve ağ tabanlı saldırı tespit sistemi, en düşük seviyeli kullanıcı izinleri, ağ bölümlendirme ve paylaşılan servislerin yamalanması gibi derinlemesine savunma teknikleri uygulanmalıdır.

Kaynakça:

  1. https://downloads.cloudsecurityalliance.org/assets/research/top-threats/treacherous-12-top-threats.pdf
  2. https://worldinformatixcs.com/cloud-computing-security/

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir