Bulut Bilişim Güvenliği ve Riskleri
18 Haziran 2020
İş yüklerin büyük
bölümünün 3 yıl içerisinde güncellenmesi
öngörülmektedir
Bulut güvenliğine ilişkin fark analizi ve yol haritası çalışmaları
gerçekleştirecektir.
Bulut servisi üzerinden veri kaybı sorunları en az bir defa tecrübe edilecektir.
Tüm verilerini bulut
servisine taşıyacaklardır. Bulut güvenliği konusunda tecrübesi bulunan CISO’ları bünyesinde bulunduracak ya da bulundurmayı
Bulut üzerindeki hesap ve şifreleri oltalama saldırıları ile karşılacaktır.
Güvenlik kontrollerinde yapay zeka göz önünde bulundurulacaktır.
Bulut servisinin veri merkezlerinden daha güvenli olduğunu değerlendirilecektir.
Evdeki güvenlikten daha fazla kurumsal güvenliğin önemi dikkate alınacaktır.
Organizasyonların hizmet aldığı ve birbirleri ile etkin bir şekilde uyumu sağlanmamış bulut servisleri nedeniyle veri kayıpları yaşanabilecektir.
© 2017 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All 3
rights reserved.
Bulut bilişim nedir?
* Kaynak: “Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) BulutBilişimin Tanımı (NIST Özel Yayını 800-145), Eylül 2011
Temel Özellikler
Hizmet Modelleri
Uygulama Modelleri Müşterilerin çoğu zaman ürün ve hizmetlerinin “bulutta” olmasına ilişkin kafaları karışabilmektedir. Bulut bilişim, temel özelliklere
sahip, açıkça tanımlanmış bir bilişim modelidir:
• Yapılandırılabilir programlama kaynaklarının bir paylaşılan havuzda kullanışlı, ulaşılabilir, isteğe bağlı, ölçülen, «kullandıkça öde» ağ erişimi
• Oyunun kurallarını değiştiren bir teknoloji modeli ve paradigması
• Majör teknoloji (maliyet azaltma ve yenilik)
• İş ekosisteminin tüm öğelerini etkileyen yeni riskler, güvenlik ve gizlilik endişeleri ve fırsatları göz önünde bulundurma
Altyapı Hizmeti (IaaS) Platform Hizmeti
(PaaS) Yazılım Hizmeti (SaaS) İş Süreçleri (BPaaS)
Bulut servisleri güvenlik risklerini de ortaya çıkarmaktadır
Tehdit hedefi Tehdit oyuncusu
Yeni modeller, mimariler ve ilişkiler Yeni ve mevcut tehditler
— Finansal kazanç
— Kurumsal casusluk
— Finansal kazanç
— Rekabet avantajı
Devletler
— Ekonomik avantaj
— Finansal kazanç
— Zeka
Bilgisayar korsanı — Ün
— Kötü şöhret
— Mahcubiyet
— Finansal kazanç Bulut
Genel, Özel, Hibrit
SaaS, PaaS, IaaS
Çoklu bulut bağımlılıkları
Mimari ve
deployment Yazılım tanımı
Veri Koruma Güvenli Uygulama
Programı Ara yüzü (API) geliştirme Veri çıkarma
(data) decommis-
sioning)
Tedarikçi yönetimi
Rakip
Bulut teknolojileri kuruluşlara güçlü araçlar sağlamasına ve BT maliyetlerini azaltma yeteneğine sahip olmalarına rağmen, kuruluş için potansiyel riskleri ve tehditleri arttırmıştır. Kuruluşlar, bulutun geniş çapta benimsenmesini üstlenirken bu riskleri ele almalıdır.
Organize suç
Zorluklar & Riskler
© 2017 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All 5
rights reserved.
Kaynak: Microsoft what does shared responsibility in the cloud mean https://blogs.msdn.microsoft.com/azure
security/2016/04/18/what-does-shared-responsibility-in-the-cloud-mean/
1. Bulutun benimsenmesi güvenlik için ortak bir sorumluluk modeli getirmektedir 2. Tüketiciler IaaS ile en fazla ve SaaS ile
en az sorumluluğa sahiptir
3. Bu paylaşılan sorumluluk modeli, doğru anlaşılmadığı ve ele alınmadığı takdirde bulut tüketicileri için karışıklık ve risk maruziyetleri yaratabilir
Kuruluşlar, bulut güvenlik rollerini ve sorumluluklarını açıkça tanımlamalı ve bulut tedarikçi sözleşmelerinin, bulut tedarikçi uygulamalarının ve kontrol işlemlerinin
boşlukları adreslemesini sağlamalıdır.
Risklerin bir kısmı paylaşılan sorumluluk modelinden kaynaklanmaktadır; geleneksel dış kaynak kullanımına benzerdir ancak önemli hususlar bulunmaktadır.
Zorluklar & Riskler
Öne Çıkan 8 Bulut Güvenlik Riski
Açıklama Güvenlik Kontrol Alanları Tech
Kontrolü?
Süreç / Yönetişim Kontrolü?
Veri Kesintisi Verilerin ve süreçlerin bir sağlayıcıdan
diğerine taşınamaması • İş Sürekliliği Yönetimi &
Operasyonel Dayanıklılık Evet Evet
Yönetişim Kaybı Verilerinizi ve ortamınızı kontrol etmek ve izlemek için sağlayıcı araçlarına erişim eksikliği. Örneğin, verileri yedekleme ve kaldırma yeteneği
• Güvenlik Olay Yönetimi, e-Keşif, &
Bulut F
• Yönetişim & Risk Yönetimi
• Denetim Güvencesi & Uyum
Hayır Evet
İzolasyon Hatası Temeldeki paylaşılan kaynağın tehlikeye
atılması • Şifreleme & Anahtar Yönetimi Evet Evet
Uyum Riskleri Bulut ortamlarında uyumluluk gösterememe (örn. PCI, HIPAA, GDPR, vb.)
• Değişiklik Kontrolü & Konfigürasyon
• Denetim Güvencesi & Uyum
Hayır Evet
Yönetim Ayayüz
Güvenliği Bulut yönetsel ve yönetim konsollarına her
yerden ve çoğu cihazdan erişilebilme • Uygulama & ArayüzGüvenliği
• Kimlik &Erişim Yönetimi Evet Evet
Veri Koruması Verilerinizin nerede olduğunu, nasıl paylaşıldığını ve kullanıldığını, kimlerin erişebildiğini ve kimlerin eriştiğini bilememe
• Veri Güvenliği & Bilgi Yaşam Döngüsü Yönetimi
• Kimlik &Erişim Yönetimi
• Şifreleme & Anahtar Yönetimi
Evet Evet
Güvensiz veya Eksik Veri Silme
Verilerin düzgün bir şekilde silinmemesi veya
kaldırılmaması riski • Veri Güvenliği & Bilgi Yaşam Döngüsü Yönetimi
Hayır Evet
Kötü Niyetli Üye Hassas bilgilere yetkisiz veya uygunsuz erişim sağlayan ve / veya başka şekilde değiştiren veya kullanılamaz hale getiren iç insan kaynakları
• Kimlik &Erişim Yönetimi
• Şifreleme & Anahtar Yönetimi
• Uygulama & ArayüzGüvenliği
Evet Evet
Örnek bulut güvenliği riskleri, ilgili güvenlik alanları ve kontrol türleri
* ENISA 2016
Zorluklar & Riskler
© 2017 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All 7
rights reserved.
Eski yatırımlar yeterli olmayıp;
bulut için Agile, API güdümlü ve amaca yönelik çözümler gereklidir (ör.
hizmet olarak güvenlik) Eski güvenlik
düşünce yapıları yerine güvenlik, bulut mimarisi ve operasyonlarını anlayarak etkin bir iş riski danışma zihniyeti ile çalışmalıdır
İş riskini azaltmak için güvenlik bulunmaktadır;
bulut güvenliği, riskleri kabul edilebilir seviyelere indirmek ve azaltmak için çözümler sunmalı ve etkinleştirilmeleri sağlanmalıdır.
Bulut güvenliği mimarisi ve çözümleri, birçok bulut güvenliği ve kullanım örneklerini (IaaS, PaaS, SaaS, vb.) adreslemelidir.
Bulut Güvenliği için Yol Gösterici Prensipler
Yol Gösterici Prensipler
Risk odaklı Hibrit ve çoklu bulutu koruma
Akıllı yatırım yapma İş & paydaş
odaklı 2 3 5
1
Güvenlik esasları hala geçerli olmakla birlikte, güvenlik teknolojisi, süreç, insanlar ve dağıtım modelleri bulutun
benimsenmesini ve operasyonlarını sağlamak için adaptasyon sağlamalıdır
Çevik, isteğe bağlı &, kesintisiz 6
Siber ve gizliliğin uygun çerçevelere ve düzenlemelere uygunluğunu göstermek ve uygulamak için bulut güvenlik yetenekleri tanımlanmalı, uygulanmalı ve işletilmelidir.
Siber ve gizlilik uyumu 4