Bulut tabanlı BT sistemleri, hemen hemen her modern endüstride önemli işlevleri yerine getirir. Şirketler, kar amacı gütmeyen kuruluşlar, hükümetler ve hatta eğitim kurumları, bulutu pazar erişimini genişletmek, performansı analiz etmek, insan kaynaklarını yönetmek ve gelişmiş hizmetler sunmak için kullanıyor. Doğal olarak, etkili bulut güvenliği yönetişimi, dağıtılmış BT'nin avantajlarından yararlanmak isteyen herhangi bir varlık için esastır.
Her BT alanı gibi, bulut bilişimin de benzersiz güvenlik endişeleri vardır. Verileri bulutta güvenli tutma fikri uzun zamandır imkansız bir çelişki olarak görülse de, yaygın endüstri uygulamaları etkili bulut güvenliği sağlayan sayısız teknik ortaya koymaktadır. Amazon AWS gibi ticari bulut sağlayıcıların FedRAMP uyumluluğunu koruyarak gösterdikleri gibi, etkili bulut güvenliği gerçek dünyada hem ulaşılabilir hem de pratiktir.
$config[code] not foundEtkili Bir Güvenlik Yol Haritası Oluşturma
Hiçbir BT güvenlik projesi sağlam bir plan olmadan çalışamaz. Bulutu içeren uygulamalar, korumak istedikleri alanlara ve uygulamalara göre değişmelidir.
Örneğin, yerel bir devlet kurumunun kendi cihazınızı ya da BYOD politikasını getirdiğini varsayalım. Çalışanlarının kişisel akıllı telefonlarını, dizüstü bilgisayarlarını ve tabletlerini kullanarak örgütsel ağa erişmelerini basit bir şekilde engellerse, denetleyebileceğinden farklı gözetim kontrolleri gerçekleştirmesi gerekebilir. Aynı şekilde, verilerini bulutta saklayarak yetkili kullanıcılar için daha erişilebilir hale getirmek isteyen bir şirketin, kendi veritabanlarını ve fiziksel sunucularını koruduysa erişimi izlemek için muhtemelen farklı adımlar atması gerekecektir.
Bu, bazılarının önerdiği gibi, bulutu güvenli bir şekilde güvenli tutmanın özel bir LAN'da güvenliği sağlamaktan daha az olası olduğunu söyleyemez. Deneyimler, farklı bulut güvenlik önlemlerinin etkinliğinin kanıtlanmış belirli metodolojilere ne kadar iyi uyduklarına bağlı olduğunu göstermiştir. Devlet verilerini ve varlıklarını kullanan bulut ürünleri ve hizmetleri için, bu en iyi uygulamalar Federal Risk ve Yetki Yönetimi Yönetim Programının veya FedRAMP'in bir parçası olarak tanımlanır.
Federal Risk ve Yetkilendirme Yönetimi Programı Nedir?
Federal Risk ve Yetki Yönetimi Programı, federal kurumların bulut bilişim hizmetleri ve ürünlerinin etkinliğini değerlendirmek için kullandıkları resmi bir süreçtir. Özünde Ulusal Standartlar ve Teknoloji Enstitüsü veya NIST tarafından çeşitli Özel Yayınlarda veya SP'de ve Federal Bilgi İşleme Standardı veya FIPS belgelerinde tanımlanan standartlar yer almaktadır. Bu standartlar etkili bulut tabanlı korumaya odaklanmaktadır.
Program, birçok yaygın bulut güvenliği görevi için yönergeler sağlar. Bunlar, olayları uygun şekilde ele almayı, ihlalleri araştırmak için adli teknikleri kullanmak, kaynakların mevcudiyetini korumak için beklenmedik durumları planlamak ve riskleri yönetmeyi içerir. Program ayrıca, Bulut Uygulamalarını duruma göre değerlendiren Üçüncü Taraf Akreditasyon Kuruluşları veya 3PAO'ların akreditasyon protokollerini de içermektedir. 3PAO onaylı uyumluluğun korunması, bilgiyi bulutta güvende tutmak için bir BT entegratörünün veya sağlayıcısının hazır olduğuna dair kesin bir işarettir.
Etkili Güvenlik Uygulamaları
Peki şirketler ticari bulut sağlayıcılarıyla verileri nasıl güvende tutarlar? Sayısız önemli teknik olmasına rağmen, burada birkaçı belirtilmeye değer:
Sağlayıcı Doğrulama
Güçlü çalışma ilişkileri güven üzerine kuruludur, ancak bu iyi niyetin bir yerden kaynaklanması gerekir. Bir bulut sağlayıcı ne kadar iyi kurulmuş olursa olsun, kullanıcıların uyumluluk ve yönetişim uygulamalarını doğrulamaları önemlidir.
Devlet BT güvenlik standartları tipik olarak denetim ve puanlama stratejilerini içerir. Bulut sağlayıcınızın geçmiş performansını kontrol etmek, gelecekteki işinize layık olup olmadıklarını keşfetmenin iyi bir yoludur..Gov ve.mil e-posta adreslerini elinde bulunduran kişiler, uyumluluk iddialarını doğrulamak için farklı sağlayıcılarla ilişkili FedRAMP Güvenlik Paketlerine de erişebilirler.
Proaktif Bir Rol Var
Amazon AWS ve Microsoft Azure gibi hizmetler, belirlenmiş standartlara bağlılıklarını açıklasa da, kapsamlı bulut güvenliği birden fazla kişiyi alıyor. Satın aldığınız bulut hizmeti paketine bağlı olarak, sağlayıcınızın belirli temel özellikleri uygulamalarını yönlendirmeniz veya belirli güvenlik prosedürlerini izlemeleri gerektiğini bildirmeniz gerekebilir.
Örneğin, bir tıbbi cihaz üreticisiyseniz, Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası veya HIPAA gibi yasalar, tüketici sağlığı verilerini korumak için ek adımlar atmanızı zorunlu kılabilir. Bu gereksinimler genellikle, sağlayıcınızın Federal Risk ve Yetki Yönetimi Yönetim Sertifikasını almak için yapması gerekenlerden bağımsız olarak mevcuttur.
Çıplak asgari düzeyde, bulut sistemleriyle kurumsal etkileşiminizi kapsayan güvenlik uygulamalarını sürdürmekten yalnızca siz sorumlu olacaksınız. Örneğin, çalışanlarınız ve müşterileriniz için güvenli şifre politikaları oluşturmalısınız. Topu ucunuza düşürmek, en etkili bulut güvenliği uygulamasından bile ödün vermeyebilir, bu nedenle şimdi sorumluluk alın.
Bulut hizmetlerinizle yaptıklarınız sonuçta güvenlik özelliklerinin etkinliğini etkiler. Çalışanlarınız, kolaylık nedenleriyle Skype veya Gmail aracılığıyla belge paylaşımı gibi gölge BT uygulamalarına katılabilir, ancak bu görünüşte zararsız olan davranışlar, dikkatlice yerleştirilmiş bulut koruma planlarınızı engelleyebilir. Yetkili servislerin nasıl doğru bir şekilde kullanılacağı konusunda eğitim ekibine ek olarak, onlara resmi olmayan veri akışlarını içeren tuzaklardan nasıl kaçınılacağını da öğretmelisiniz.
Risk Kontrol Etmek İçin Bulut Hizmetinizin Şartlarını Anlayın
Verilerinizi bulutta barındırmanız, size kendiliğinden depolama alanıyla sahip olduğunuz aynı ödenekleri sağlamanız gerekmez. Bazı sağlayıcılar, içeriğinizde reklam yayınlama veya ürünlerini kullanımınızı analiz edebilmeleri için dolaşma hakkını saklı tutar. Başkalarının teknik destek sağlama sürecinde bilgilerinize erişmesi gerekebilir.
Bazı durumlarda, verilerin gösterilmesi çok büyük bir problem değildir. Bununla birlikte, kişisel olarak tanımlanabilir tüketici bilgileri veya ödeme verileriyle uğraşırken, üçüncü taraf erişiminin felakete nasıl yol açabileceğini görmek kolaydır.
Uzak bir sisteme veya veritabanına tüm erişimi tamamen engellemek mümkün olmayabilir. Bununla birlikte, denetim kayıtlarını serbest bırakan sağlayıcılarla ve sisteme giriş günlükleriyle çalışmak, verilerinizin güvenli bir şekilde korunup korunmadığı konusunda sizi bilgilendirir. Bu bilgi, varlıkların gerçekleşen her türlü ihlalin olumsuz etkilerini hafifletmeye yardımcı olma yolunda uzun bir yol kat etmektedir.
Asla Güvenliğin Bir Zamanlar Mesele Olduğunu Varma
Çoğu akıllı insan kişisel şifrelerini düzenli aralıklarla değiştirir. Bulut tabanlı BT güvenliği konusunda bu kadar çalışkan olmamalı mıydınız?
Sağlayıcınızın uyum stratejisinin ne sıklıkta kendi kendini denetlemeleri gerektiğini belirttiğine bakılmaksızın, rutin değerlendirmeler için kendi standart kümenizi tanımlamanız veya benimsemeniz gerekir. Aynı zamanda uyumluluk gerekliliklerine de bağlıysanız, bulut sağlayıcınız tutarlı bir şekilde yapmasa bile yükümlülüklerinizi yerine getirmenizi sağlayan katı bir rejim kabul etmenizi sağlar.
İşe Yarayan Bulut Güvenliği Uygulamaları Oluşturma
Etkili bulut güvenliği, sonsuza dek ufukta uzanacak mistik bir şehir değildir. İyi kurulmuş bir süreç olarak, hangi standartlara uyup uymadıklarına bakılmaksızın çoğu BT hizmeti kullanıcısı ve sağlayıcısının ulaşabileceği bir yerdedir.
Bu makalede açıklanan uygulamaları amaçlarınıza uyarlayarak, operasyonel yükü büyük ölçüde artırmadan verilerinizi güvende tutan güvenlik standartlarına ulaşmak ve bunları korumak mümkündür.
Görüntü: SpinSys
1 Yorum yap ▼