İçindekiler:
Video: Yapay zeka ve bulut yolculuğunda yeni bir dönem başlıyor 2024
Hibrid bir bulut ortamında birçok güvenlik riskini azaltmak için düşünceli bir güvenlik yaklaşımı başarılı olabilir. Güvenli bir karma ortamı geliştirmek için güvenlik stratejinizin mevcut durumunu ve bulut sağlayıcınızın sunduğu güvenlik stratejisini değerlendirmeniz gerekir.
Mevcut güvenlik durumunuzu değerlendirin
Karma bir ortamda güvenlik, mevcut durumunuzu değerlendirerek başlar. Güvenlik stratejinize yaklaşımınızı şekillendirmenize yardımcı olabilecek bir dizi soruya cevap yazarak başlayabilirsiniz. Göz önüne alınması gereken önemli sorular şunlardır:
-
Yakın geçmişte kendi geleneksel güvenlik altyapınızı değerlendirdiniz mi?
-
Hem şirketinizdeki hem de güvenlik duvarınız dışındaki uygulamalar ve ağlara yönelik erişim haklarını nasıl kontrol ediyorsunuz? BT kaynaklarına kimlerin erişimi hakkı var? Başvurularınıza ve bilgilerinize yalnızca doğru kimliklerin erişimini nasıl sağlıyorsunuz?
-
Web uygulaması güvenlik açıklarını ve riskleri belirleyebilir ve daha sonra herhangi bir zayıf yönünü düzeltebilir misiniz?
-
Zaman içerisinde güvenlik riskinizi izleyebileceğiniz bir yolunuz var mı, böylece güncellenmiş bilgileri kolayca ihtiyaç duyan kişilerle paylaşabilirsiniz?
-
Sunucu ortamlarınız her zaman dış güvenlik tehditlerine karşı korunuyor mu?
-
Şifreleme kullanıyorsanız, kendi anahtarınızı koruduğunuz veya güvenilir, güvenilir bir sağlayıcıdan aldınız mı? Standart algoritmalar kullanıyor musunuz?
-
Güvenlik risklerini gerçek zamanlı olarak izleyebilir ve ölçebilir misin?
-
Güvenlik politikalarını her tür kurum içi ve bulut mimarisinde tutarlı bir şekilde uygulayabilir misiniz?
-
Nerede saklanırsa düzenlesin, tüm verilerinizi nasıl koruyorsunuz?
-
Buluttaki veriler için denetim ve raporlama gereksinimlerini tatmin eder misiniz?
-
Sektörünüzün uyumluluk gerekliliklerini karşılıyor musunuz?
-
Uygulama güvenlik programınız nedir?
-
Felaketleriniz ve kurtarma planlarınız nedir? Hizmet sürekliliğini nasıl sağlıyorsunuz?
Bulut satıcınızın güvenliğini değerlendirin
Hibrit bulut ortamı, güvenlik ve yönetişim konusunda özel bir zorluklar ortaya koyuyor. Melez bulutlar kendi altyapınızı ve servis sağlayıcınızın kendi altyapısını kullanır. Örneğin veriler yerinde depolanabilir ancak bulutta işlenebilir. Bu, kurum içi altyapınızın, ihtiyaç duyduğunuz güvenlik denetimlerini etkileyecek daha genel bir buluta bağlanabileceği anlamına gelir.
Sınır güvenlik, erişim, veri bütünlüğü, kötü amaçlı yazılım ve benzerleri için denetimler yalnızca bulunduğunuz yerde değil, bulut sağlayıcınızla da uyumlu olmalıdır.Bulut servis sağlayıcıların her biri kendi güvenlik yönetim yöntemlerine sahiptir. Kuruluşunuzun uyumluluk ve genel güvenlik planıyla uyumlu veya olmayabilirler. Şirketinizin bulut sağlayıcısının güvenlik kapsamına girdiğini varsayarak kafasını kuma gömmek kesinlikle kesinlikle elzemdir.
Bulut sağlayıcınızın dahili olarak talep ettiğiniz düzeydeki güvenlik düzeyini (veya genel güvenlik stratejinizi iyileştirmek istiyorsanız üstün bir seviyeyi) doğruladığınızı doğrulamanız gerekir. Şirketinizin güvenlik ve yönetişim stratejisinin sağlayıcınızla entegre olabileceğini garanti etmek için çok fazla soru sormalısınız.
Başlamanız için bazı ipuçları ve güvenlik stratejinizi değerlendirmede de yararlı olabilir:
-
Bulut sağlayıcısına hangi tür firmaların hizmette bulunduklarını sorun. Ayrıca, çok kiracılığın nasıl ele alındığı hakkında daha fazla bilgi edinmek için sistem mimarisi hakkında sorular sorun.
-
Fiziksel güvenlik önlemlerinin ne olduğunu anlamak için habersiz tesisini ziyaret edin. CSA'ya göre, bu, tüm alanları dolaşmak, resepsiyon alanından jeneratör odasına gitmek ve hatta yakıt tanklarını kontrol etmek anlamına geliyor. Ayrıca, çevre güvenliğini kontrol etmeniz (örneğin, insanların binaya nasıl eriştiğini kontrol edin) ve operatörün bir kriz için hazır olup olmadığını kontrol etmeniz gerekir (örneğin, yangın söndürücüler, alarmlar ve benzeri şeyler).
-
Bulut sağlayıcının bulunduğu yeri kontrol edin. Örneğin, yüksek suç alanlarında mı yoksa depremler veya sel gibi doğal felaketlere eğilimli bir alan mı?
-
Bulut sağlayıcısı ne tür güncel belgeler hazırlamıştır? Olayla ilgili yanıt planları var mı? Acil müdahale planları Yedekleme planları? Restorasyon planları Güvenlik görevlilerinin ve diğer personelin geçmiş muayeneleri?
-
Sağlayıcı hangi sertifikaları alıyor? Bulut güvenlik personelinin CISSP, CISA ve ITIL gibi sertifikaları var mı?
-
Verilerinizin nerede saklanacağını öğrenin. Şirketinizde uyumluluk düzenlemeleri bulunuyorsa, yabancı ülkelerde ikamet eden verilerle ilgili olmalıdır, bu bilmek önemlidir.
-
Verilerinize kimin erişebileceğini öğrenin. Ayrıca, verilerin nasıl korunacağını da kontrol edin.
-
Sağlayıcıya ait veri yedekleme ve saklama planları hakkında daha fazla bilgi edinin. Verilerinizin diğer verilerle karıştırılıp karıştırılmadığını öğrenmek isteyeceksiniz. Sözleşmenizi feshettiğinizde verilerinizi geri almak isterseniz bu sorunlar önemli olabilir.
-
Sağlayıcınız hizmet reddini (DoS) saldırılarını nasıl engelliyor?
-
Sağlayıcınız ekipmanı için hangi bakım sözleşmelerine sahipsiniz?
-
Bulut sağlayıcınız operasyonlarını sürekli olarak izliyor mu? Bu izleme yeteneği hakkında görüş bildirebilir misiniz?
-
Olaylar nasıl tespit edilir? Bilgi günlüğe nasıl yazılır?
-
Olaylar nasıl işlenir? Bir olayın tanımı nedir? Servis sağlayıcınıza başvurmanızın nedeni kimdir? Ekip üyelerinin rolleri ve sorumlulukları nelerdir?
-
Sağlayıcınız uygulama güvenliği ve veri güvenliğini nasıl ele alıyor?
-
Bulut sağlayıcınız, uygulamanın güvende kalmasını sağlamak için hangi ölçütleri izliyor?
Bulut ortamında güvenliğin önemi göz önüne alındığında, büyük bir bulut hizmet sağlayıcısının müşterileri için kapsamlı bir hizmet düzeyi anlaşmaları seti olacağını varsayabilirsiniz. Aslında, standart sözleşmelerin çoğunun müşteriyi değil servis sağlayıcısını koruması amaçlanmıştır. Dolayısıyla, şirketiniz sözleşmeyi ve bulut sağlayıcınızın elindeki altyapı, süreç ve sertifikaları anlamalıdır.
Bulut güvenlik gereksinimlerinizi ve yönetişim stratejinizi net bir şekilde ifade etmeli ve hesap verebilirliği belirlemelisiniz. Bulut sağlayıcınız bu öğeler hakkında konuşmak istemiyorsa, muhtemelen farklı bir bulut sağlayıcısı düşünmelisiniz. Öte yandan, bulut sağlayıcınızın kendi güvenliğinizi artırabilecek bazı hilelere sahip olabilirsiniz!