Bir şirket dijital olarak ne kadar olgunlaşırsa, bulut hizmetlerinde o kadar derinleşir ve işletim ortamlarına karmaşıklık getirir. Kuruluşlar büyüyen dijital ağları ve bulut hizmetlerini yönetmeye çalışırken, sorumlulukları birbirinden ayıran çizgi giderek bulanıklaşıyor. Daha büyük kuruluşlarda, çeşitli iş kolları kendi bulut bütçelerini ve geliştirme kaynaklarını yönettikçe bu karmaşıklık daha da artıyor.
Bu, kendi dijital ortaklıklarını yönetmekten yararlanan departmanlar için iyi sonuç verebilirken, güvenlik söz konusu olduğunda bir zorluk teşkil eder. İlgili farklı taraflar arasında – BT, iş kolları veya bulut sağlayıcı – güvenliğin çeşitli yönlerinden kim sorumludur?
Uçtan uca görünürlük olmadan BT yöneticileri, merkezi bir güvenlik stratejisi ve tutarlı güvenlik politikaları uygulamakta zorlanır. Sonuç olarak, önemli veriler giderek daha fazla risk altına giriyor.
Paylaşılan Sorumluluk Modeli Gri Alanlar Yaratır
Paylaşılan sorumluluk modelindeki gri alanlar güvenlik açıklarına yol açmaktadır. Bu, özellikle bulut pazarında elde edilen araçlardan yararlanılırken karmaşıktır.
Bulut sağlayıcıları, bulut pazarları aracılığıyla bir dizi çözüm, eklenti ve güvenlik çözümü sunar. Bulut sağlayıcısı aracılığıyla satın alınan bu araçlar kendi sorumluluklarına giriyor gibi görünse de, gerçek şu ki, müşteri bu araçları yapılandırdığında, güvenliklerinin sorumluluğunu almayı kabul ediyor. Ne yazık ki, sorumluluğu kabul etmek her zaman neyin gerekli olduğunu anlamakla bağlantılı değildir.
Bir güvenlik olayından (satıcı, sağlayıcı veya müşteri) kimin sorumlu olduğunu belirlemenin en iyi çözümü, kök neden analizini (RCA) kullanmaktır. RCA, herhangi bir potansiyel tehdidi belirleyecek, olayın temel nedenini belirleyecek ve ardından bir eylem planı çizecektir. Bu genellikle kilit paydaşları bilgilendirmeyi, tehdit analizini başlatmayı, yanıtları ve kaynakları tüm taraflar arasında düzenlemek için süreçler oluşturmayı ve ayrıntıları ilgili bulut teknolojileriyle dijitalleştirmeyi / eşlemeyi içerir.
Güvenlik Sorumluluğunun Belirlenmesi
İlk eylem şekli kimin neyden sorumlu olduğunu tam olarak ayrıştırmaksa (satıcılar, sağlayıcılar ve müşteriler arasında), sonraki adım yakınlaştırmak ve kuruluş içinde kimin sorumlu olduğuna karar vermektir.
Sorumluluk organizasyon içinde ise, yöneticiler alışık olmayabilecekleri bir ayrıntı düzeyine girmek zorunda kalacaklardır. Zorluğun bir kısmı, birçok kuruluşun bulut geliştirme stratejilerine geçici bir yaklaşım benimsemiş olmasıdır. Günümüz kurumları genellikle dinamik bulut ortamlarına sahiptir ve bunların her biri, merkezi BT ekibinin müdahalesinin performansa zarar verebileceğinden endişelenen farklı bir dahili departmana ait olabilir.
Bu ekipler, onları ilk etapta bulut hizmetlerine geçmeye ikna eden avantajları kaybetmekten korkuyor: hız, esneklik ve kontrol. Buna bir örnek, iş açısından kritik uygulamaları sağlamak için hız ve verimliliğin çok önemli olduğu DevOps’tur . Hızı engelleyen herhangi bir güvenlik uygulaması, birincil hedeflerini tehdit olarak görülecektir.
Geleneksel BT ekipleri ve DevOps ekipleri burada genellikle anlaşmazlık içindedir. BT, DevOps’un darboğazlara neden olarak gördüğü ve birincil hedeflerine ters düşen güvenlik araçlarının kullanılmasını önerecektir. Ancak DevOps, uygulamaları geliştirmede oldukça yetkin olsa da, bunu güvenli bir şekilde yapacak uzmanlıktan genellikle yoksundurlar.
DevSecOps ile Güvenlik ve Performansa Ulaşmak
Kendini bu düzeltmede bulan kuruluşlar için işe yarayan bir çözüm, bir “DevSecOps” ekibi oluşturmak için her DevOps grubuna bir siber güvenlik uzmanı eklemektir. Bu DevOps güvenlik uzmanı (veya uzmanlar ekibi), uygulama geliştiricilere paylaşılan sorumluluk modeli aracılığıyla rehberlik ederek hem geliştirme hem de güvenlik gereksinimlerini takip etmelerine yardımcı olabilir. Ayrıca, DevOps’un yüksek performansa ulaşma misyonunu korurken, tüm bulut örnekleri genelinde ve arasında tutarlı güvenlik politikaları için stratejiler sağlamak için oradalar.
Bir DevSecOps oluşturulduktan sonra, bu ekipler, hem hız hem de güvenlik hedeflerini karşılamak için kendilerini daha iyi donatacak araçları etkin bir şekilde seçebilir, dağıtabilir ve yönetebilir. Örneğin, bir hizmet olarak sunulan güvenlik çözümlerinin (SaaS) kullanımını ele alalım. Örneğin, bulut tabanlı web uygulama güvenlik duvarları kendi kendine ölçeklenebilir. Bu, web uygulamalarının güvenlikten ödün vermeden gerektiğinde büyümesine olanak tanır. Doğru araçlar aynı zamanda minimum çabayla devreye alınabilir. Hatta bazılarının, dağıtım, bakım, ölçeklendirme ve devam eden kullanım ve geliştirme boyunca gerçekleştirilmesi gereken tüm ince ayar işlemleri sırasında güvenliği kapsayan yerleşik işlevler bile vardır.
Otomasyon da önemli bir rol oynar. Düzgün bir şekilde kurulduğunda, otomatikleştirilmiş süreçler yapılandırmaları kontrol edebilir ve kötü amaçlı yazılımları tarayabilir – bu iki işlem, bunları manuel olarak gerçekleştirmek için gereken zaman ve kaynaklar nedeniyle genellikle arka plana atılır. DevSecOps ekibi, tüm doğru güvenlik temellerini kapsayan doğru otomatik bulut güvenlik çözümlerinin seçilmesine ve tasarlanmasına yardımcı olabilir :
- Genel buluttaki güvenlik açıklarını otomatik olarak tarama
- Araç yapılandırmalarını otomatik olarak değerlendirme
- Depolanan verileri dinamik olarak koruma
- Yanlış yapılandırmaları tespit etme
- Dosyaları bulutta tarama
- Yetkisiz indirmeleri önleyerek hassas bilgilerin korunması
Yönetici Desteği Temel İçeriktir
Dijitalleşme, günümüz piyasasında önemli bir farklılaştırıcı haline geldikçe, web uygulamalarının (ve bunların nasıl yönetildiğinin) başarılı bir iş stratejisinin kritik bir bileşeni olduğu liderler için daha açıktır. Sonuç olarak DevOps hedefleri, C paketine taşındı ve artık yönetim kurulu düzeyindeki tartışmalarda ortak bir gündem maddesi haline geldi.
Bununla birlikte, yöneticiler dijital dönüşüm girişimlerini hızlandırmaya çalıştıkça, bulut benimseme ve geçici uygulama geliştirmenin agresif hızının güvenlik konularını nasıl karmaşık hale getirebileceğini gözden kaçırdıkça güvenlik riskleri artıyor.
DevOps’tan DevSecOps’a geçiş, güvenliğin artık yeni bir bulut ortamının her bir örneğinin ilk gününden itibaren bir öncelik olabileceği anlamına geliyor. DevSecOps ekibi ayrıca gerekli RCA bulut güvenliği başucu kitaplarını geliştirebilir ve bu yönergelere uyulmasını sağlayabilir. Ayrıca, mantıksız risklerin ortama girmesini önlerken, şirketin büyüyen dijital kaynaklarını korumak için tasarlanmış güvenlik çözümlerinin seçilmesine de yardımcı olacaklar. DevSecOps, düzenleme gereksinimlerine ve bunlarla birlikte gelen ücret ve cezalara karşı ihlalleri önlemeye yardımcı olduğunda, kar hanesini doğrudan bile etkileyebilir.
Bu DevSecOps avantajlarından herhangi biri, yönetici paydaşların farkına varması ve ileriye dönük tam destek sunması için yeterli neden olmalıdır.
Bu, Fortinet’in Bulut Güvenliği Ürün ve Çözümler Kıdemli Müdürü Lior Cohen tarafından DevOps.com için yazılmış bir makalenin özetidir. Makalenin tamamına buradan erişilebilir .
Fortinet’in dinamik bulut güvenlik çözümlerinin kuruluşlara herhangi bir bulut altyapısında herhangi bir uygulamayı devreye alma konusunda nasıl güven verdiği hakkında daha fazla bilgi edinin .
Cuebiq ve Steelcase’in veri merkezinden buluta güvenli bağlantı için Fortinet’in dinamik bulut güvenlik çözümlerini nasıl uyguladığını görmek için bu müşteri vaka çalışmalarını okuyun .