Sıfır güven, tarihsel olarak yüklü bir terimdir – yanlış anlaşılır ve yanlış kullanılır. Birçok satıcı, sıfır güvenin tamamen kimlik ve erişim yönetimi ile ilgili olduğunu iddia ediyor. Bu kesinlikle bir yapı taşı olsa da, buluta geçiş yapan kuruluşlar kendilerini “çevreyi” savunmanın ötesinde daha büyük zorluklarla karşı karşıya buldukça bu tanım giderek daha da darlaşıyor.
Klasikten bulutta yerel uygulama geliştirmeye dönüşen geliştirme ekipleri, neredeyse her zaman güvenliği geride bırakır. Sıfır güven nasıl yardımcı olur? Başlangıç olarak, kuruluşların bulut dönüşümlerine uyan stratejik bir siber güvenlik yaklaşımına ihtiyaçları vardır.
Geliştirme ve DevOps ekipleri, sanal makineler, kapsayıcılar ve sunucusuz işlevler dahil olmak üzere bulutta yerel geliştirme iş akışları ve modern mimarilerle uygulamalarını modernize etti. Bu arada, siber güvenlik ekipleri, her yeni güvenlik riski vurgulandığında yeni araçlar ve teknolojiler uygulamak için mücadele eder. Sıfır güvenin yardımcı olabileceği yer burasıdır – bulutta yerel çağ için güvenliği modernize etmek ve yeniden oluşturmak için bir fırsattır.
Sıfır güven işletmesi, tüm dijital etkileşimlerden tüm örtük güveni ortadan kaldıran bir stratejidir. Bulutta yerel ortamlar bağlamında, şirketler tüm bulut kimliklerinin, iş yüklerinin, erişim ve veri işlemlerinin bütünlüğünü sürekli olarak doğrulamalıdır. Bulut iş yükü koruma gereksinimleri, DevOps, bulutta yerel mimariler ve sıfır güven mimarilerinin kesişim noktasında benzersiz bir şekilde konumlandırılmıştır. Kuruluşlar bulut iş yükünü benimsemeye devam ederken modern bir siber güvenlik stratejisi ararlar ve sıfır güven mimarisi, güvenliği doğru şekilde oluşturmak için bir fırsattır.
Bulut İş Yüklerinin ve Güvenliğin Durumu
Günümüz işletmeleri buluta geçmeye ve gelişmekte olan bulutta yerel mimarilerden yararlanmaya devam ediyor. “2022 Bulut Yerel Güvenlik Durumu Raporu” Kuruluşların iş yüklerinin %68’ini iki yıl içinde bulutta barındırmayı beklediklerini tespit etti.
Yeni ve genişleyen bulut iş yükü benimsemeleri, yeni zorluklar ve risklerle birlikte gelir. A Bulut Yerel Bilgi İşlem Vakfı (CNCF) anketi Üretimde ortaya çıkan konteynerler, yanıtlayanlar tarafından paylaşılan en önemli üç zorluktan ikisini temsil eden karmaşıklık ve güvenlik ile bugün norm haline geldi. Bulutta yerel mimarilerin yaygınlaşmasıyla birlikte güvenlik, altyapı ve DevOps ekipleri, güvenlik açıklarını ele almak, uyumluluğu yönetmek ve çalışma zamanı korumasını etkinleştirmek için bulutta yerel mimarilerin sürekliliği genelinde görünürlük ve koruma sağlamak için merkezi bir çözüme ihtiyaç duyuyor.
Eski güvenliği değiştirmek çok önemlidir ve bazen – bulut ve uzak iş gücü programlarınız tarafından tetiklenmediyse – gerçekleşmesi için sert bir uyandırma çağrısı gerektirir. Log4Shell gibi bir güvenlik açığıyla, güvenlik ekipleri, uygulamalarını tehdit ve saldırılardan korurken aynı zamanda savunmasız uygulamaları hızlı bir şekilde belirlemek isteyecektir. Örneğin, fidye yazılımı saldırıları artıyor ve hedeflenen kuruluşlar için daha maliyetli hale geliyor. Buna göre Ünite 42 tehdit araştırması, ABD, Kanada ve Avrupa’daki kuruluşların ödediği ortalama fidye, 2019’da 115.123 ABD Dolarından 2020’de 312.493 ABD Dolarına yükseldi – yıldan yıla %171 artış. Bulut, sıfır güven programınız için gözden kaçırılmaması gereken yeni bir fırsatı temsil eder.
Bulutta yerel mimariler, gelişmiş ölçeklenebilirlik, kullanılabilirlik ve daha kısa devreye alma süresinin açık avantajlarını sağlar. Sıfır güven modeline geçiş, uygulama kontrolünü zorlamak, saldırıları önlemek ve adli verileri yakalamak için çalışma zamanı koruması tarafından yönlendirilir. DevOps ekipleri, kapsamlı ilke oluşturma ve uygulama gerektirir. Uzlaşma göstergelerini sürekli olarak izleyerek ve bunlara yanıt vererek politika ihlal edilirse uyarı verme ve kodun yürütülmesini engelleme esnekliği dahil.
Sıfır Güvenle İş Yüklerini Koruma
Uygulamayla ilgili güvenlik riskleri artıyor. Ve güvenliğin en önemli öncelik haline gelmesiyle, güvenliği uygulama yaşam döngüsünün ilk aşamalarına entegre etmek için daha fazla baskı var. Günümüzün DevOps ekipleri, uygulama geliştirmeyi yönlendirmek için sürekli entegrasyon ve sürekli teslim (CI/CD) iş akışlarını kullanıyor. Güvenlik ekipleri, geliştirmenin başlarında bulut altyapısını ve uygulamalarını güvence altına almak için araçlara ve otomasyona ihtiyaç duyar.
DevOps ortamlarında hem dikey hem de yatay yönde sistematik riskler artar. Dikey olarak, daha geleneksel ortamlara kıyasla dikkate alınması gereken çok daha fazla risk vardır. Yatay olarak, SolarWinds gibi durumlarda görüldüğü gibi, tek bir zehirli paketin etkisi çok büyük olabilir.
Sıfır güven, örtük güveni ortadan kaldırarak ve dijital etkileşimin her aşamasını sürekli olarak doğrulayarak bir organizasyonu güvence altına alan stratejik bir siber güvenlik yaklaşımıdır. DevOps ve bulut yolculuğunuzun başında sıfır güven oluşturma fırsatınızı boşa harcamayın.
yazar hakkında
Ivan Melia, Palo Alto Networks’te Bulut İş Yükü Koruması için ürün pazarlamasını yönetiyor. İş, pazarlama ve teknoloji konusunda tutkulu, ürün lansmanlarına, satış öncesi ve ürün benimsemeye odaklanıyor. Daha önce Cisco’da ürün yönetimi ve iş geliştirme görevlerinde bulundu.