Uzmanlar bulut güvenliğinin nereye doğru yol aldığına ilişkin farklı görüşler sunuyor.
Daha önceleri genel bulut adaptasyonunda en büyük engel güvenlik kaygılarıydı. Ancak 2017’de böyle olmayacak. Evident.io CEO’su Tim Prendergast, genel bulut güvenliğinin güçlü olduğunun kabul edildiğine inanıyor. “Kuruluşlar bulutta gerçekleşen hızlı değişim sürecinde uyumluluğu sürdürebildiklerini gösterebilmeli.” diyen Prendergast bu sorunu çözmek için güvenlik önlemleri, ölçme ve raporlama kolaylığı sağlayan otomasyon çözümlerine başvurmaları gerektiğini de sözlerine ekliyor.
ProtectWise‘ın CEO’su ve kurucularından Scott Chasin‘e göre bulut sayesinde güvenlik faydaya dönüşüyor. Chasin, “2017’de analizlerin daha uzun süreli tutulması ve sürekli olarak işlenmesiyle daha iyi görünürlük sağlamak için bulutu kullanan daha fazla kurumsal güvenlik kuruluşu göreceğiz” diyor.
Chasin ayrıca şirket güvenliğini bulut aracılığıyla sunmanın, güvenlik altyapısının maliyetini ve karmaşıklığını azaltmaya başlayacağını çünkü eski sistemlerin çevik modeller ile değiştirildiğini söylüyor.
Güvenliğin öngörülebilir temel bir araç olarak ele alınması yönünde artan bir çağrı var. Depolama seçenekleriyle, ölçeklenebilirlik ve dağıtım kolaylığı gibi avantajlarla bunu sağlamanın anahtarı ise bulut teknolojileri.
Bluelock CTO’su Pat O’Day, donanım yenilemesi ile karşı karşıya kalındığında daha fazla şirketin buluta geçeceğini öngörüyor.
“Sanallaştırmadan dolayı donanım alanında çok fazla sorun var. Şirketler beş yılda bir BT sistemlerini yeni donanımlarla değiştirmek zorunda olmaktan bıkmış durumda. İnsanlar daha çok mobil olmayı istiyor ve bunun en güzel yolu da buluttan geçiyor. Bunun yanında hızlı teknoloji inovasyonu da artan rekabeti tetikliyor.” diyen O’Day yapay zekanın yükselmesini buna örnek gösteriyor.
Bu sebeplerden dolayı, gittikçe daha fazla sayıdaki işletme, kendilerine zamandan tasarruf sağlayan ve sürekli olarak en son teknolojiye sahip olmalarına olanak tanıyan bir modeli tercih ediyor. Bulutla birlikte, artık en küçük şirketler bile teknoloji cephesinde rekabet edebiliyor.
IaaS istismar edilebilir
Watchguard’un CTO’su Corey Nachreiner, hacker’ların saldırı platformu ve saldırı alanı olarak IaaS altyapı servisini kullanabileceği konusunda uyarıyor.
Gerek Office 365, Salesforce ve Dropbox gibi yazılım hizmetleri (SaaS) olsun gerekse Amazon’un AWS ve Microsoft Azure gibi kamuya açık altyapı servis platformları olsun, her ölçekteki işletme son beş yılda en az bir kaç bulut hizmetine adapte oldu.
Genel IaaS, küçük işletmeler arasında bile hızla büyüyor. Ve elbette daha fazla işletme bu platformları benimsediğinden, hackerlar için de daha büyük bir hedef haline gelmiş oluyorlar.
Nachreiner, ” Geçmişte tehdit aktörlerinin hem kamu bulut hizmetlerinde çalışan sunucuları etkilediğini hem de son zamanlarda saldırı altyapısını oluşturmak için bu sağlam sanallaştırma plattformlarından yararlandığını gördük.” diyor. 2017’de saldırganların hem potansiyel saldırı alanı hem de kötü amaçlı yazılımların saldırı ağlarını oluşturmak için güçlü bir platform olarak genel IaaS’yi daha fazla kullanacaklarını düşünen Nachreiner, “ Gelecek bir IaaS hizmetinden başlatılan veya onun hedeflendiği siber saldırılar olacağını düşünüyorum” öngörüsünü paylaşıyor.
BigPanda’nın güvenlik çalışanları ise bu düşünceyi desteklemiyor ve şu ifadeyi ortaya koyuyor: Müşteriler, AWS, Azure ve Google gibi bulut sağlayıcılarının arkasındaki güvenlik konusunda endişelenmemeli. Çünkü bu sağlayıcılar çoğu şirketin dahili kaynağından daha iyi güvenlik uygulamalarına sahip.
Citrix CSO’su Stan Black, veri ve erişim yönetimindeki süreçten emin olmak için şirketlere bulut sağlayıcı sözleşmelerini dikkatlice gözden geçirmeyi tavsiye ediyor. Örneğin, sağlayıcı ya da başka bir yüklenici ile iş yapığınızda, muhatabınıza, “ Yüklenicinin veriye erişimi ne olur?”, “Erişimi nasıl yönetiyorsunuz?” veya “Verilerimi nasıl teslim ediyorsunuz ve nasıl depolanıyor” gibi sorular sorular sorabilirsiniz.
“2017 var olan kurumsal veri merkezlerinin kurum içi ve bulut tabanlı ortamların çeşitli kombinasyonlarla olgunlaşacağı bir yıl olacak.” diyen Equinix CIO’su Milind Wagle, bunun küresel müşteri ve çalışan tabanını desteklemek için coğrafi olarak dağılmış bir altyapıya duyulan ihtiyacın artmasıyla daha da karmaşık hale geleceğini söylüyor. Wagle, “ Bu eğilime yanıt olarak, CIO’lar ve CSO’lar yalnızca doğru çoklu bulut mimarisini oluşturmakla kalmayıp, aynı zamanda onu sürekli olarak dağıtma, şekillendirme, hizmet etme ve güvence altına almayla ilgilenecek.” diyor. En iyi bulut ve müşteri tecrübesine ulaşmanın yolunun ise doğru stratejiyle birden fazla bulut servisiyle bağlantı kurmak olduğunu söylüyor.
Appirio’nun global servisler kurucu ortaklarından olan Glenn Weinstein, “2017, bir risk azaltma stratejisi olarak hızla artan bulut göçünü göreceğimiz bir yıl olacak” diyor. Sanayileşme gücünü, Amazon ve Google gibi büyük bulut sağlayıcılarına devretmek, kurumsal ağ çevre savunmasına yatırım yapmaya devam etmekten daha güvenli ve daha ölçeklenebilir görülecektir.
EnSilo’nun kurucularından Roy Katmor, kurumsal ağ güvenliğinin buluta kayacağını öngörüyor. Şirketler, bulut tabanlı ağ güvenliği hizmetlerinin politikalarını uygulayacakları ve yönetebilecekleri şekilde dağıtılmış ağ güvenlik yükünü konsolide etmekten çekinmeyecek. Buluta taşınan diğer hizmetler gibi ağ güvenliği bir hizmet olarak birden fazla fiziksel güvenlik duvarında satın alma ve bakım masraflarını düşürecek.
Yedekleme çözümleri
Weinstein, CISO’ların depolama aygıtlarına olan bağımlılığı azaltarak masaüstü ve dizüstü bilgisayarların güvenlik risklerini en aza indirgemek için önlemler uygulayacağını söylüyor. İş akışları, kullanıcıların veriyi bulutta sabit disklerine göre daha kolay kaydetmelerini sağlayacak şekilde tasarlanacak.
Zerto Başkanı Paul Zeiter, yedekleme ve felaket kurtarmayı (Disaster Recovery – DR) konsolide edeceğini öngörüyor. “Müşteriler, DR çözümlerinden uzun vadeli arşivleme alabilecek ve bu da bazı yedekleme çözümlerini gereksiz hale getirebilir.” diyen Zeiter, şöyle devam ediyor, “ Örneğin, birçok DR çözümü, yedekleme benzeri özelliklere sahip; belirli zamanlı kurtarma da dahildir; bunlar, geleneksel yedekleme seçeneklerinden daha ayrıntılı olabilir ve birkaç saat önce değil, saniyeler içerisinde kurtarabilir. Saldırıdan saniyeler önce veri kurtarabiliyorsanız, neden 12 saat eski bir yedeklemeyi ertelersiniz?”
“Tehdit, kötü niyetli, kaza eseri veya işin doğasında artarken veri koruması iş sürekliliğinde mutlak bir zorunluluktur. 2017’de, SLA’lar arttıkça, DR çözümlerinin yeteneklerini daha fazla ve daha da yedekleme alanına taşıyacağını tahmin ediyoruz “dedi.
