Bulut altyapısı güvenlik sağlayıcısı Accurics, mevcut zayıf güvenlik uygulamalarının, bulut ihlallerinden dolayı yalnızca son iki yılda 30 milyardan fazla kaydın ortaya çıktığını söylüyor. Rapor, mevcut bulut güvenliği yaklaşımlarının derinlemesine analizini yapıyor ve kuruluşların bu kritik disipline yaklaşımlarını yeniden değerlendirirken dikkate almaları gereken en iyi uygulamaları özetliyor.
Accurics raporuna göre tam bulut yerel yığını üzerindeki bulut yerel teknolojilerinin yanlış yapılandırılması, saldırı yüzeyini artırıyor ve kötü niyetli aktörler tarafından kullanılıyor. Öte yandan kod yoluyla bulut altyapısının sağlanması ve yönetilmesine yönelik önemli bir değişim de söz konusudur. Bu değişim, kuruluşlara güvenliği DevOps yaşam döngüsüne daha erken yerleştirme fırsatı sunuyor. Bununla birlikte, kısmen bütünsel koruma sağlayabilecek araçların bulunmaması nedeniyle kod olarak altyapı yeterince güvenli olmuyor. Kod olarak altyapının gerçekte yönetildiği senaryolarda bile, ayrıcalıklı kullanıcıların altyapı sağlandıktan sonra doğrudan buluta değişiklik yapma konusunda sürekli problemler bulunuyor. Bu sorunlar, kod yoluyla oluşturulan güvenli taban çizgisinden sapmaya neden oluyor.
Accurics’in araştırması, üretimde bulut altyapısının güvenliğinin yeterli olmadığını da gösteriyor. Araştırmacılar, üretimde bildirilen sorunların sadece %4’ünün ele alındığını belirtiyor.
Araştırmada ortaya çıkan olumlu bir eğilim ise çeviklik ve güvenilirlik elde etmek için kod yoluyla bulut altyapısının sağlanması ve yönetilmesi yönünde önemli bir değişim söz konusu olmasıdır. Popüler teknolojiler arasında ise Terraform, Kubernetes, Docker ve OpenFaaS bulunuyor.
Accurics araştırması, bu teknolojilerin çoğunun nispeten yeni olduğu gerçeği göz önüne alındığında, yapılandırma değişikliklerinin %24’ünün kodla yapıldığını gösteriyor. Kod olarak altyapı kuruluşlara güvenliği geliştirme yaşam döngüsünün daha erken aşamalarında yerleştirme fırsatı sunuyor. Ancak araştırmalar, kuruluşların kodlar arasında temel güvenlik ve uyum hijyenini sağlamadığını ortaya koyuyor. Sorunların %67’sini açık güvenlik grupları, aşırı izin veren IAM rolleri ve açıkta kalan bulut depolama hizmetleri gibi yüksek önem dereceli riskler oluşturuyor. Bu tür riskler, çok sayıda yüksek profilli bulut ihlallerinin merkezinde yer alması açısından özellikle endişe verici olarak görülüyor.
Çalışma ayrıca, altyapı genelinde politika korkulukları ve güvenlik değerlendirmeleri kod olarak uygulasalar bile kuruluşların %90’ının, ayrıcalıklı kullanıcıların dağıtıldıktan sonra doğrudan bulut altyapısında yapılandırma değişiklikleri yapmasına izin verdiğini gösteriyor. Bu da bulut duruşunun geliştirme sırasında belirlenen güvenli taban çizgisinden kaymasına neden oluyor.
