CloudTalk Time Dergi İndir
Dergi İndir

CloudTalk Time

Bulut Uyumluluğu Nedir? Bulut Uyumluluğunu İyileştirmeye Yönelik En İyi 8...

bulut uyumluluğu nedir

Bulut, Bulut Bilişim Makaleleri, Güvenlik

Bulut Uyumluluğu Nedir? Bulut Uyumluluğunu İyileştirmeye Yönelik En İyi 8 Uygulama

Ermetic tarafından hazırlanan bir rapora göre, son 18 ayda şirketlerin %79’u en az bir veri ihlali yaşadı. Aynı rapor, şirketlerin %84’ünün bulut altyapılarını güvence altına almak için sadece temel yeteneklere sahip olduğunu da gösterdi.

Peki işletmenizi ihlale yol açabilecek maliyetli bir bulut güvenlik açığından korumak için bulut uyumluluğu gereksinimlerini anlamak ve bunlara uymak size ne kazandırır?

Bu sorunun cevabına geçmeden önce bulut uyumluluğu nedir sorusunun cevabı ile başlayalım.

Bulut Uyumluluğu Nedir?

Bulut uyumluluğu, bulut kullanımına ilişkin düzenleyici standartların yanı sıra yerel, ulusal ve uluslararası yasalara uyum sürecidir.

Başka bir deyişle, bulut uyumlu olmak için işletmenizin bulut bilişim hizmetleri aşağıdakiler dahil tüm gereksinimleri karşılamalıdır:

  • Kişisel Verilerin Korunması Kanunu
  • Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS) gibi sektör standartları
  • AB’nin Genel Veri Koruma Yönetmeliği (GDPR) gibi yasalar
  • Bir işletmenin amaç ve hedeflerine ulaşmak için oluşturduğu herhangi bir iç yönetişim politikası

Bulut Uyumluluğu Bileşenleri

Bulut uyumluluğu gereksinimleri, sektörünüze ve işinize yön veren düzenlemelere göre değişiklik gösterse de, genel bulut uyumluluğunu şekillendiren bileşenler aşağıdaki şekildedir:

1. Standartlar

Belirli endüstriler, verileri bulut içinde düzgün bir şekilde işlemek için belirli talimatları ana hatlarıyla belirtir. Bunlar, bulut güvenliği uyumluluk standartları olarak bilinir.

Örneğin, ISO ve ISO 27017 içinde buluta özel güvenlik kontrol düzenlemeleri vardır. Bu, bulut ortamınızın yapılandırmasıyla ilgili belirli güvenlik kontrollerinin uygulanması anlamına gelir.

Ayrıca HIPAA, kapsam dahilindeki bir işletmenin ve bulut hizmeti sağlayıcının (CSP), HIPAA kurallarına uyumdan sorumlu tutulacağı bir iş ortağı sözleşmesi yapması gerektiğini belirtir.

2. Kanunlar ve yönetmelikler

Küresel, ulusal ve yerel düzeyindeki yasalar ve düzenlemeler de bulut uyumluluğu gereksinimlerinin şekillenmesine yardımcı olur. Bu yüzden veri gizliliği, veri koruma ve yerelleştirme ve siber güvenlikle ilgili ülkenizdeki yasaları ve düzenlemeleri anlamanız gerekir.

Birkaç yaygın düzenleme HIPAA, PCI DSS ve SOX’u içerir.

3. Yönetim

Bulut yönetişim kontrolleri, bir işletmenin bulut içindeki verilerini yönetmeye yardımcı olur ve bulutun nasıl kullanılacağına (ve nasıl kullanılmayacağına) ilişkin net güvenlik politikaları sağlar.

Bu noktada işletmeler, bulutla ilgili bilgileri organize etme, paylaşma ve izleme ve bulut kullanımını genişletme konusunda yönergelere sahip olmalıdır. Bu politikalar ayrıca bulut stratejisinin sahipliğini ve sorumluluğunu da kapsamalıdır.

Bulut Uyumluluğu Neden Önemlidir?

2022 itibariyle, tüm kurumsal verilerin yüzde 60’ından fazlası bulutta depolanmaktadır. Bu, 2015 yılında bulutta depolanan miktarın neredeyse iki katıdır.

Bulutta bu kadar çok veri depolanırken, bir işletme öncelikle bu verileri güvende tutmak için kendi rolünü ve sorumluluğunu anlamalıdır. Çünkü bulut gereksinimlerine uyulmaması, maliyetli veri ihlallerine neden olabilir. IBM’in yıllık Veri İhlali Maliyeti Raporuna göre, 2022’de bir veri ihlalinin ortalama maliyeti 4,35 milyon dolar ile rekor seviyeye ulaşmıştır.

Bulut uyumluluğu, güçlü bir güvenlik duruşunu korurken, maliyet etkinliği, verilerin yedeklenmesi ve kurtarılması, ölçeklenebilirlik gibi bulut bilişimin avantajlarından yararlanmanıza yardımcı olabilir.

Bulut Uyumluluğunun Zorlukları

Bulut çözümleri çeşitli avantajlar sunarken, aynı zamanda benzersiz bir dizi zorlukla birlikte gelir.

Örneğin 2021 Azure Cosmos DB güvenlik açığını ele alalım. Mercedes-Benz ve Mars, Incorporated gibi markalar tarafından kullanılan veri tabanı, bir kullanıcının başka birinin erişim anahtarını çalmasını mümkün kılan büyük bir güvenlik açığı yaşadı ve bu güvenlik açığı iki yıl boyunca tespit edilemedi.

Bu noktada iyi bilinen bir CSP ile çalışmak, şirketlere yanlış bir veri güvenliği duygusu verebilir. Fakat diğer iyi bilinen CSP’ler gibi Microsoft Azure da çok sayıda uyumluluk sertifikasına sahip olsa da, günün sonunda güvenlik açıkları yaşayabilir. Bu nedenle, CSP’leri kullanan işletmelerin kendi güvenlik yönetimlerine ve uyumluluk izlemesine yüksek bir öncelik vermesi gerekir.

Daha İyi Bulut Uyumluluğu İçin 8 İpucu

Bulut uyumluluğu ile uygulamalarınızı nasıl geliştirebileceğinizi merak ediyorsanız, aşağıdaki sekiz ipucunu uygulayabilirsiniz:

1. Düzenlemeleri ve yönergeleri belirleyin.

Bulut uyumluluğunu sağlamanın ilk adımı, işletmenizin uyması gereken düzenlemelere ve sektör standartlarına karar vermektir.

Ortak bulut uyumluluğu çerçeveleri aşağıdaki gibidir:

  • ISO 27001
  • SOC 2
  • NIST
  • HIPAA
  • PCI DSS
  • Sarbanes-Oxley Act (SOX)
  • FedRAMP
  • Cloud Controls Matrix

2. Sorumluluğuzu anlayın

Amazon Web Services (AWS) gibi birçok bulut sağlayıcı, belirli bulut kullanım sorumluluklarını özetler. AWS, AWS ile müşteri arasında bölen paylaşılan sorumluluk modelini kullanır.

Bu modelde AWS, AWS Bulut’taki tüm hizmetleri çalıştıran altyapının güvenliğinden sorumludur. Müşteri ise, kullanılan bulut hizmetlerinin güvenli yapılandırılmasından ve tüm müşteri verilerinden sorumludur.

AWS paylaşılan sorumluluk modeli, birçok işletmenin yanlışlıkla tüm uyumluluk sorumluluğunun AWS’ye ait olduğunu düşünmesine yol açsa da, durum böyle değildir. Buluta koymayı seçtiğiniz verilerden ve kullanımda olan hizmetlerin güvenli yapılandırılmasından siz sorumlu olduğunuz için uyumluluk yükü işletmenizdedir.

3. Bulut ortamınızın benzersiz gereksinimlerini anlayın

Paylaşılan güvenlik sorumluluğuna ek olarak, bir bulut ortamının hizmet ve dağıtım modeli de, güvenlik gereksinimlerini kimin karşıladığını etkiler. En yaygın hizmetler Hizmet Olarak Altyapı (IaaS), Hizmet Olarak Platform (PaaS) ve Hizmet Olarak Yazılım’dır (SaaS). En yaygın dağıtım modelleri genel, özel ve hibrit buluttur.

Örneğin, bir PaaS ortamında, uygulamalardan yönetici sorumluyken, CSP fiziksel sunuculardan, fiziksel ağdan, hiper yöneticiden ve işletim sistemlerinden sorumludur. Donanım varlıklarının envanterini ve kontrolünü kimin yürüttüğü, hibrit ve genel bulut ortamları için farklılık gösterecektir.

Bu noktada güvenlik ve uyumlulukla ilgili en iyi uygulamaları takip ettiğinizden emin olmak için bulut ortamınızın benzersiz risklerini ve gereksinimlerini anlamanız gerekir.

4. Uygun erişim kontrolünü sağlayın

İşletmelerin yeni işe aldıkları kişilerle veya satıcılar ile erişim kontrolünü paylaşma süreci olduğu gibi bulut güvenliği söz konusu olduğunda da benzer bir şeye ihtiyacı vardır. Bu yüzden işletmeler bulut ortamlarına ve içinde depolanan verilere erişimi sınırlamak ya da erişim vermek için bir politika oluşturmalıdır.

Ayrıca, kimin ne kadar süreyle erişime sahip olduğunu takip etmenize yardımcı olmak için ihtiyaç tabanlı erişim kuralları ve sona erme tarihleri de tanımlayabilirsiniz.

5. Verilerinizi sınıflandırın

Bulutta veri depolamak söz konusu olduğunda, sunucu konumlarının nerede olduğunu bilmeniz önemlidir, çünkü birçok düzenleme sunucuların ülke sınırları içinde bulunmasını gerektirir.

Bir bulut sağlayıcı seçtikten sonra, bulutta taşımak istediğiniz veri türlerini belirlemeniz gerekir. Bunu verilerinizi sınıflandırarak yapabilirsiniz.

Veri sınıflandırma, verileri farklı kategorilere ayırma işlemidir. Bu, işletmelerin verilerini daha kolay yönetmesine, güvenliğini sağlamasına ve depolamasına yardımcı olur.

Genel bir en iyi uygulama olarak, son derece gizli veya hassas veriler buluta taşımak yerine dahili bir ağda tutabilirsiniz.

6. Bulutta bulunan tüm hassas verileri şifreleyin

2021 Thales Global Cloud Security Study‘e göre, işletmelerin büyük çoğunluğu (%83), geçen yıl bir bulut ihlaliyle uğraştıklarını, %40’ı ortaya çıkarmasına rağmen bulutta depoladıkları hassas verilerin yarısını hala şifreleyemediklerini dile getirdi.

Bu noktada şifreleme, bulutta bulunması gereken hassas verileri korumanın anahtarıdır diyebiliriz. Çünkü verileri şifrelemek, PCI DSS ve GDPR gibi uyumluluk gereksinimlerinin çoğunu karşılamanıza yardımcı olur.

Bu noktada bulut sağlayıcınız şifreleme hizmetleri sunabilir, ancak verileri taşınırken ve depolanırken korumanın yine de işletmenin sorumluluğunda olduğunu unutmamanız gerekir.

7. Düzenli iç denetimler yapmak

Güvenlik açıklarını ortaya çıkarmanın en iyi yollarından biri, düzenli iç güvenlik denetimleri yapmaktır. Bu yüzden mevzuat gereksinimleriyle uyumlu olduğundan emin olmak için bulut uyumluluğunuzu yeniden incelemeniz gerekir. Düzenlemeleri proaktif bir şekilde yapabilmeniz için düzenleyici gereksinimlerdeki güncellemeleri takip etmeniz bu noktada iyi bir uygulama olacaktır.

8. Hizmet düzeyi sözleşmenizi ve yasal sözleşmenizi anlayın

Basitçe söylemek gerekirse, hizmet düzeyi anlaşmaları (SLA’lar), bir işletmenin verilerini emanet etmeyi seçtikleri bulut hizmeti sağlayıcısı için sahip olduğu temel kuralları ve beklentileri belirtir.

Bir SLA, roller ve sorumluluklar, olay müdahalesinin yürütülmesi ve veri ihlali düzeltmesi konusunda çok net olmalıdır. SLA’daki her şey işinizi yöneten düzenlemelere uygun olmalıdır.

SLA’nız ayrıca, hem beklenen hem de beklenmeyen sorunların nasıl ele alınacağı konusunda bir rehber olmalıdır.

Yasal bir sözleşme, bulut güvenliğinizin bir diğer önemli parçasıdır. Sorumluluğun yanı sıra ihlal ifşası ve olay müdahale zaman çerçevelerine odaklanmalıdır.

CloudTalk Time

Yazar

0 Comments

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Giriş Yap

Captcha!
Forgot password?

Şifremi Unuttum

Back to
Giriş Yap