• Anasayfa
  • Blog
  • Sık Karşılaşılan Bulut Güvenliği Zafiyetleri
Sık Karşılaşılan Bulut Güvenliği Zafiyetleri

Sık Karşılaşılan Bulut Güvenliği Zafiyetleri

Eki 09, 2022 / Kron

İş dünyasının dijital dönüşümün önemli bir parçası haline gelmesinin çıktılarından biri de bulut ortam kullanımındaki artış olarak dikkat çekiyor. Kuruluşlar hem iş akışlarının kesintisiz şekilde devam edebilmesi hem de depolama hizmetleri için bulut bilişim hizmetlerinden yararlanıyor. Bulut bilişim hizmetlerine artan ilgi, saldırı istatistiklerindeki artışı ve güvenlik açığı riskini de beraberinde getiriyor.

Bulut güvenliği zafiyeti, iş dünyasının yeni iş modellerini çalışma hayatına entegre etmesi ile en sık karşılaşılan bilgi işlem sorunlarından birine dönüştü. 2021’de yapılan bir araştırma, resmi kurumlar tarafından verilen para cezaları da dahil olmak üzere bulut zafiyeti sebebiyle ortaya çıkan veri ihlali vakalarının kurtarma maliyetinin 4,84 milyon Amerikan doları olduğunu ortaya koyuyor. Bu sebeple kuruluşların bulut güvenliğini tehdit edebilecek unsurları doğru tespit etmesi ve başarılı bir müdahale planı oluşturması gerekiyor.

Temel Bulut Güvenliği Zafiyetleri

Yanlış Bulut Ortam Yapılandırması

Yanlış bulut ortam yapılandırması, kuruluşların en sık karşılaştığı siber güvenlik zafiyetlerinin başında geliyor. Temelde iki farklı şekilde karşılaşılan yanlış yapılandırma, genellikle BT ekibinin ağa tanımlı uygulamalar konusundaki bilgi eksikliğinden ya da DevOps ve altyapı ekiplerinin benzer vakaları incelemeleri sırasında yaptığı hatalardan kaynaklanıyor.

Kimlik ve Erişim Yönetimi

Yanlış bulut yapılandırmasının olmazsa olmazı kimlik ve erişim yönetiminde yapılan hatalardır. BT altyapısındaki bir kullanıcının erişmemesi gereken bir kaynağa eriştiğinde, bir başka deyişle yetkisiz erişim ile yetki alanı dışındaki bir kaynağa erişim sağladığında ortaya çıkan ilgili sorunu çözmek için yapılması gereken sıfır güven ve en az ayrıcalık ilkelerini uygulamaktır. Her iki ilkeyi de yetkili erişim için temel siber güvenlik prosedürü olarak belirlemek, kimlik yönetimi taramaları yapabilen üçüncü taraf bir uygulama kullanmak ve erişim gereksinimlerini sık sık gözden geçirmek erişim güvenliği sağlamanızı kolaylaştıracaktır.

Genel Veri Depolama

Genel veri depolamaya ilişkin veri açığı, S3 kovası ya da bir SQL veritabanının tamamen halka açılması ve salt okunur olarak erişime de elverişli konuma gelmesi sonucunda ortaya çıkmaktadır. Bir kaynak yanlış yapılandırıldığında karşılaşılan bu sorunu çözmek için genel veri depolamayı yanlış yapılandırma riskini en aza indirmek bir hayli önemli. Bunun için de BT altyapısını tarayacak ve güvenlik açıklarını hızlı şekilde tespit edecek üçüncü taraf araçlar kullanmak, veri depolama alanınızı daima varsayılan olarak ayarlamak, Terraform veya farklı bir IaC çerçevesi kullanırken altyapı dosyalarının kod dizininin DevOps ekibinin üyeleri tarafından incelenmesini sağlamak yararlı olabilir.

Bunlara ek olarak aşağıdaki öneriler de yanlış bulut ortam yapılandırmasının önüne geçmeyi kolaylaştırabilir:

  • Daima HTTP yerine HTTPS, FTP yerine ise SFTP kullanmak,
  • BT ağındaki belirli bir makine için özel bir durum söz konusu değilse gelen ve giden bağlantı noktalarını kısıtlamak,
  • API anahtarlarını ve parolalarını güvenli bir gizli anahtar çözümü kullanarak saklamak.

Bulut Zafiyeti ve Veri Güvenliği İlişkisi

Bulut zafiyeti ve veri güvenliği ilişkisindeki temel hususlardan biri de çoklu bulut dağıtımıdır. Farklı iş akışları için optimize edilmiş bulut ortamlarının avantajlarından daha iyi yararlanılmasını mümkün kılan dağıtım ilkesi, bulut altyapılarının karmaşıklığını ve ölçeğini ise bir hayli karmaşık hale getirir. Karmaşıklaşan çoklu bulut ortamları farklı siber tehdit unsurlarına maruz kalınmasına sebep olabilir.

  • Veri koruma ve gizlilik
  • Bulut becerilerine erişim
  • Çözüm entegrasyonu
  • Görünürlük ve kontrol kaybı

Yukarıdaki dört maddenin uygulanmasında yaşanabilecek sorunlar hem veri koruma hem de veri gizliliğinde kuruluşların farklı sorunlarla karşılaşmasına neden olabilir. Nitekim yapılan bir araştırmaya göre kuruluşların %57’si bulut ortamında regülasyonlara uygun şekilde veri korumanın oldukça zor olduğunu düşünüyor.

Şifreleme (Encryption) Eksikliğinden Kaynaklanan Güvenlik Açığı

Gerek aktarım halindeki gerekse hareketsiz verileri şifrelemek son derece önemlidir. Aktarım sırasında şifreleme, siber saldırganların ağda gezerken kritik verilere erişim sağlamasını engeller. HTTPS başta olmak üzere, güvenli protokoller kullanarak inşa edilen aktarım sırasında şifrelemeyi verimli kılabilmek için güvenlik duvarlarından yararlanmak ve BT ağına sadece güvenli protokoller aracılığıyla erişimi mümkün kılmak iyi bir çözüm olabilir.

Hareketsiz şifreleme ise bir depolama ortamında muhafaza edilen verilerin erişim yetkisine sahip olmayan kişilerden korunmasını sağlamaktadır. Özellikle ilgili depolama ortamlarına erişim şansı yüksek muhtemel iç tehdit unsurlarının BT ağındaki dijital varlıklar ve kritik verilere erişiminin engellenmesi gerekmektedir. Bunun için de öncelikle sıfır güven ve en az ayrıcalık ilkeleri ışığında hareket etmek önemlidir.

Gölge BT ve Bulut Güvenlik Açığı

BT ekibinin isteği ve onayı dışında bulut ortamı kullanılması anlamına gelen gölge BT, bulutta yer alan varlıklar konusunda siber güvenlik zafiyeti yaşanmasına sebep olabilir. Genelde çalışanların kurum içi teknolojileri yeterli bulmayıp alternatif çözümlere yönelmesinden kaynaklanan söz konusu sorunu ortadan kaldırmanın en iyi yolu her durumda sağlam bir kontrol mekanizması inşa etmekten geçmektedir. Yeni iş yükleri için personel sayısının minimumda tutulması ve dağıtım sürecinde belirli ilkeler oluşturmak sahte dağıtımların önüne geçilmesini kolaylaştırır.

Güvenli Olmayan API’ların Rolü

Uygulama ve web sitesi yazılımı geliştirmede önemli bir kullanım yoğunluğuna sahip olan API’lar, siber tehditleri azaltmak ve güvenliği sağlamak için oldukça önemlidir. Fakat bunun için güvenli API’lara sahip olmak gerekir. Öte yandan güvenli olmayan API’lar üzerinden sık şekilde yapılan saldırılar şu şekildedir:

  • Kod ve sorgu enjeksiyonu (SQL ve komut enjeksiyonu)
  • Kötü bir erişim kontrolünden yararlanma
  • Eski bir bileşen (yazılım kitaplıkları, veritabanı motoru vb.)

Bu tehditleri en aza indirmek için kod yerleştirme saldırılarını tespit etmeye yardımcı olacak bir web uygulaması güvenlik duvarına (WAF) sahip olmak ve DDoS koruması uygulamak yararlı olabilir.

İç Tehditler ve Erişim Güvenliği Zafiyetleri

Bulut ortamında iç tehditler kaynaklı erişim güvenliği zafiyeti yaşanmasını engellemek için erişim yönetimini doğru yapılandırmak gerekir. Sıfır güven ve en az ayrıcalık ilkelerini benimseyerek sıkı siber güvenlik protokolleri uygulamak ve eski çalışanların hesaplarını sistemden kaldırmak son derece önemlidir. Ayrıca çalışanların kimlik avı saldırıları konusunda eğitim almalarını sağlamak ve güvenli parola uygulamalarına uyulup uyulmadığını denetlemek de iç tehditlerin yaratacağı siber riskleri en aza indirmede kayda değer bir katkı yaratabilir.

İki Faktörlü Kimlik Doğrulama Eksikliği

İki faktörlü kimlik doğrulama, bulut ortamında gelişmiş bir siber güvenlik ağı yaratmak açısından önemlidir. Konum, zaman, telefon ya da e-posta aracılığıyla yeni güvenlik adımları oluşturulmasını olanaklı hale getiren söz konusu sistem, erişim talebinde bulunan kişiden genelde kullanıcı adı ve parolaya ek olarak tek seferlik kod doğrulaması da isteyecek şekilde yapılandırılır.

PAM, Bulut Zafiyetlerini Ortadan Kaldırmaya Yardımcı Oluyor

Ayrıcalıklı Erişim Yönetimi (Privileged Access Management – PAM), çözümleri bulut ortamında karşılaşılabilecek güvenlik zafiyetlerini ortadan kaldırmaya yardımcı olur. Dünyanın en kapsamlı PAM çözümlerinden biri olan ve kapasitesini bağımsız araştırma kuruluşlarının hazırladığı farklı raporlarda birçok kez kanıtlayan Single Connect de modüler yapısının sağladığı faydalar sayesinde bulut ya da on-premise olması fark etmeksizin üst düzey veri ve erişim güvenliği sağlamaktadır.

Altyapı ve veri alanlarınızdaki yetkili erişimlere tam kontrol ve denetleme imkânı sunan Single Connect’in temel bazı faydalarına değinecek olursak:

  • Tam kontrol
  • Tam görünürlük
  • 7/24 denetim
  • Tüm kullanıcı aktivitelerinin kaydedilmesi
  • Hesaplanabilirlik
  • En az ayrıcalık ilkesi
  • Sıfır güven
  • Modüler yapı
  • Kritik sistemlerin izolasyonu
  • Erişim kontrolü
  • Parola kontrolü
  • Veritabanı kontrolü

Siz de PAM çözümümüz Single Connect hakkında merak ettiklerinizi sormak ve Single Connect ürün ailesini BT altyapınıza nasıl entegre edeceğinizi öğrenmek için ekip arkadaşlarımızla iletişime geçebilirsiniz.

Öne Çıkanlar

Ayrıcalıklı Erişim Yönetimi (PAM) Nedir?

Ayrıcalıklı Erişim Yönetimi (PAM) Nedir?

Oca 17, 2021
Ağ İzleme (Network Monitoring) Nedir? Neden Önemlidir?

Ağ İzleme (Network Monitoring) Nedir? Neden Önemlidir?

May 30, 2021
Ayrıcalıklı Hesap Güvenliğine Neden Öncelik Vermelisiniz?

Ayrıcalıklı Hesap Güvenliğine Neden Öncelik Vermelisiniz?

Kas 14, 2021
Log4j Güvenlik Açığı Nedir? Nasıl Korunabilirsiniz?

Log4j Güvenlik Açığı Nedir? Nasıl Korunabilirsiniz?

Ara 26, 2021

Diğer Bloglar

Blog
Şirketler İçin Veri Güvenliği Planı Nasıl Oluşturulur?

Şirketler İçin Veri Güvenliği Planı Nasıl Oluşturulur?

Şub 07, 2021 Devamını Oku

Blog
Gartner, Ayrıcalıklı Erişim Yönetimi’nin CISO’lar için Öncelik Olması Gerektiğini Söyledi

Gartner, Ayrıcalıklı Erişim Yönetimi’nin CISO’lar için Öncelik Olması Gerektiğini Söyledi

Eki 25, 2018 Devamını Oku

Blog
Ağ İzleme (Network Monitoring) Nedir? Neden Önemlidir?

Ağ İzleme (Network Monitoring) Nedir? Neden Önemlidir?

May 30, 2021 Devamını Oku

Blog
Ağ Performans İzleme Nedir? Nasıl Çalışır?

Ağ Performans İzleme Nedir? Nasıl Çalışır?

Devamını Oku

Blog
Lojistik Sektöründe Siber Güvenlik

Lojistik Sektöründe Siber Güvenlik

May 15, 2022 Devamını Oku

Blog
Kron’un Omdia Universe’deki Konumu ve Rapor İncelemesi

Kron’un Omdia Universe’deki Konumu ve Rapor İncelemesi

Kas 07, 2021 Devamını Oku

Bize Ulaşın

Kron Teknoloji'nin telekom ve siber güvenlik ürünleri hakkında bilgi almak için bize ulaşın.