Bulut ve Bulut Güvenliği

Bulut bilişim, maliyet tasarrufu, ölçeklenebilirlik ve esneklik gibi çeşitli avantajlar sunar ve bu da her büyüklükteki kuruluş tarafından yaygın olarak benimsenmesine katkıda bulunur.

 

Genel bulutlar, özel bulutlar, hibrit bulutlar, topluluk bulutları ve çoklu bulutlar dahil olmak üzere çeşitli bulut türleri vardır.

 

Genel bulutlar: Amazon Web Services (AWS), Microsoft Azure ve Google Cloud gibi üçüncü taraf sağlayıcılara aittir ve bunlar tarafından işletilir ve internet üzerinden erişilir. Kullanıcılar kullandıkları kaynaklar için kullanım başına ödeme esasına göre ödeme yaparlar.

 

Özel bulutlar: Tek bir kuruluşa adanmıştır ve şirket içinde veya üçüncü taraf bir sağlayıcı tarafından barındırılabilir. Genel buluta göre daha fazla kontrol ve güvenlik sunar, ancak genellikle daha pahalıdır.

 

Hibrit bulutlar: Kuruluşların iş yükleri için en uygun bulut kaynaklarını kullanmalarını sağlamak amacıyla güvenli bir ağ ile birbirine bağlanan genel ve özel bulutları birleştirir.

 

Topluluk bulutları: Mevzuata uygunluk veya güvenlik gibi benzer gereksinimleri olan bir grup kuruluş tarafından paylaşılır.

 

Çoklu bulutlar: Farklı iş yükleri için ya da yedekleme ve yedeklilik için birden fazla bulut hizmeti sağlayıcısı kullanır.

 

Bulut bilişim ayrıca Hizmet Olarak Altyapı (IaaS), Hizmet Olarak Platform (PaaS) ve Hizmet Olarak Yazılım (SaaS) dahil olmak üzere bir dizi teslimat modeli sunar.

 

Hizmet Olarak Altyapı (IaaS): Sunucular, depolama ve ağ gibi altyapı kaynaklarını internet üzerinden sağlar. Kullanıcılar bu kaynaklara kullanım başına ödeme esasına göre erişebilir ve kullanabilir.

 

Hizmet Olarak Platform (PaaS): İşletim sistemi, ara katman yazılımı ve geliştirme araçları dahil olmak üzere uygulamaları geliştirmek, test etmek ve dağıtmak için bir platform sağlar. Kullanıcılar platforma kullanım başına ödeme esasına göre erişebilir ve kullanabilir.

 

Hizmet Olarak Yazılım (SaaS): Müşteri ilişkileri yönetimi (CRM) yazılımı ve kurumsal kaynak planlama (ERP) yazılımı gibi kullanıcıların internet üzerinden erişip kullanabileceği bulut tabanlı uygulamalar sunar.

 

 

Bulut bilişim sistemlerinde karşılaşılabilecek saldırıların türleri;

 

Veri İhlalleri

 

Veriler bulutta depolandığında, bir bulut hizmeti sağlayıcısından herhangi biri içeriğe yasa dışı olarak erişebilir. Çoğu bulut hizmeti sağlayıcısı bireysel verilere erişimleri olmadığı konusunda ısrar etse de onlara her zaman %100 güvenmek zordur. Ayrıca, insan hataları buluttaki verileri olası tehditlere maruz bırakabilir.

 

Bulut Kötü Amaçlı Yazılım Enjeksiyonu

 

Saldırgan kötü amaçlı bir uygulama oluşturacak ve bunu SaaS, PaaS ve IaaS'a enjekte edecektir. Kötü amaçlı yazılım bulut yazılımına enjekte edildikten sonra bulut kullanıcısının isteklerini bilgisayar korsanının modülüne yönlendirecek ve kötü amaçlı kodun yürütülmesine neden olacaktır. Böylece bilgisayar korsanları artık içeriği gözetleyebilir, verileri manipüle edebilir ve bilgi çalabilir.

 

SQL Enjeksiyonu

 

Bulut altyapısındaki SQL sunucularını hedef alır. Savunmasız veri tabanı uygulamaları olduğunda, saldırgan bunu istismar edecek ve kötü amaçlı kod enjekte edecektir. Ardından, oturum açma kimlik bilgilerini ve yetkisiz erişimi elde edebilirler.

 

Siteler Arası Komut Dosyası Oluşturma

 

Bilgisayar korsanlarının kurbanın web tarayıcısına erişim sağlaması için, siber saldırgan zafiyetli bir web sayfasına kötü amaçlı komut dosyaları enjekte eder. Ardından siber saldırgan, kurbanın hesabına erişim sağlamak için yetkilendirme için kullanılan oturum çerezini alabilir veya kurbanı kötü amaçlı bir bağlantıya tıklaması için kandırabilir.

 

Hizmet Reddi Saldırıları (DoS)

 

Bir DoS saldırısı sistemi ve sunucuyu aşırı yük altında bırakarak işlevsiz hale getirir. Dolayısıyla sunucu kullanıcı için kullanılamaz hale gelir. DoS saldırılarının sorunu, sadece tek bir bulut sunucusunu doldurarak birden fazla kullanıcıyı etkilemesidir. Bulut sistemine aşırı yüklendiğinde, ihtiyaç duyulan kapasiteyi sağlamak için daha fazla sanal makine ve hizmet ekler, bu da hizmet alan tarafa maddi şekilde zarar verici olabilir. Kısa süre sonra bulut altyapısı yavaşlar ve bu da kullanıcının sunucuya erişimini kaybetmesine neden olur. Bilgisayar korsanları saldırılarını sürdürür ya da daha fazla zombi makine kullanırsa, daha fazla zarara neden olabilir.

 

Yanlış Yapılandırma

 

Bulut bilişim altyapısı, uyum ve erişilebilirlikten daha fazlasını sağlar. Belgelerin depolandığı yer de burasıdır. Bulutun yanlış yapılandırılması şirketlere çok fazla zarar verebilir. Bilgisayar korsanları tarafından tespit edildiğinde, bir güvenlik ihlaline yol açabilir.

 

Bulutun yanlış yapılandırılması, kullanıcının bulut altyapısında verilerini açığa çıkaran bir hata veya boşluk anlamına gelir. En yaygın bulut güvenliği tehditlerinden biridir. Erişim kısıtlamasının olmaması bir yanlış yapılandırma kaynağı olabilir. Şirketler herhangi birine buluta erişim izni verirse, bu yetkisiz erişime yol açacaktır. Saldırganlar buluttaki bilgileri kolayca çalabilir veya manipüle edebilir.

 

Güvensiz API'ler

 

Cloud API, bulut bilişim hizmetlerini birbirine bağlamayı amaçlayan bir yazılım arayüzüdür. Bir programın verilerini ve işlevlerini başka bir programla paylaşmasını sağlar. Şirketlerin birden fazla yazılım kullanarak çalışması gerektiğinden ve veri paylaşımı bu süreçte çok önemli olduğundan hayati önem taşır. Ancak API'ler güvenliksiz bırakılırsa saldırganların faydalanabileceği bir güvenlik açığı kaynağı olabilirler. Saldırganların bu güvensizliği kullanabileceği çeşitli yollar vardır.

 

Bir API'nin yetersiz kimlik doğrulama özelliğini kullanabilirler. Çevrimiçi olarak kolayca erişilebilir olduğundan, saldırganlar bulut altyapısındaki her türlü veriye erişebilir. Bazen saldırganlar, geliştiricilerin genellikle gözden kaçırdığı bir API'nin arka ucunu kullanırlar. Uygun yetkilendirme kontrolü olmadan, bilgisayar korsanları bunu manipüle edebilir.

 

Son Kullanıcıların Kontrol Edilemeyen Eylemleri

 

Şirketler, çalışanlarının bulut altyapısına erişiminin kontrolünü kaybettiğinde, içeriden tehditlere ve ihlallere yol açabilir.

 

İçeriden gelen tehditlerin, başlangıçta erişimleri olduğu için ihtiyaç duydukları verileri veya bilgileri çalmaları kolay olacaktır. DDoS saldırıları düzenlemeye, güvenlik duvarlarını aşmaya ya da herhangi bir şekilde erişim sağlamaya gerek yoktur. Aslında, bu saldırgan açısından daha kolay olacaktır.

 

Bazen çalışanlarınızın eylemleriyle başa çıkmak zordur. Veri kaybı ya da ihmali nedeniyle çalışanları suçlamak zor olduğu için son kullanıcıların eylemlerini kontrol etmek oldukça karmaşıktır. Ancak çalışanlarınızı izlemek, araştırmak ve kontrol etmek için kurallar belirlemek gerekir.

 

Buluttaki Adam (MitC)

 

MitC bilgisayar korsanları, senkronizasyon token sistemindeki zayıflıklardan yararlanarak bulut hizmetlerini ele geçirir ve değiştirir. Token, saldırganlara bulutla bir sonraki senkronizasyon için erişim sağlayan yeni bir tokenla değiştirilir. Bir saldırgan herhangi bir noktada önceki senkronizasyon tokenlarına geri dönebileceğinden, kullanıcılar hesaplarının saldırıya uğradığını asla fark etmeyebilir.

 

Uygunsuz Erişim Yönetimi

 

Kontrollü erişim, bireylerin yalnızca ihtiyaç duydukları bilgileri veya görevleri yönetebilmelerini sağlar. Yönetici, kimin neyi kontrol edebileceği konusunda yetki verebilir. Ancak günümüzde çoğu çalışanın bir şirket içindeki her şeye erişimi vardır. Erişimin dağıtılması bir işletme için zorluk ve risk oluşturabilir. Bir çalışan yanlışlıkla oturum açma kimlik bilgilerini verirse, bu bir kuruluşa zarar verebilir.

 

İşletmeler faaliyetlerinin ve verilerinin çoğunu buluta taşıdıkça bulut bilişim saldırıları da artmaya devam edecektir. Yaşadığımız dijital dönüşüm pek çok sektör için faydalıdır. Bu teknolojik ilerleme bir işletmeye pek çok fayda ve başarı getirebilir. Ancak bu durum çevrimiçi tehdit ve saldırıları da beraberinde getiriyor. Saldırıların yaygınlığı arttıkça, işletmeler ancak hazırlıklı olarak mücadele edebilirler. Veri bulut depolamanıza ve altyapınıza yaklaşımınızda proaktif olmak, bir saldırının etkisini azaltmanın en iyi yoludur.

 

 

Kuruluşların buluttaki verilerini ve uygulamalarını güvence altına almak için atabilecekleri birkaç adım vardır:

 

Saygın bir bulut hizmeti sağlayıcısı kullanın: Bir bulut hizmet sağlayıcısı seçmeden önce güvenlik önlemlerini ve politikalarını dikkatlice değerlendirmek önemlidir. Güvenlik ve uyumluluk konusunda geçmişi olan ve çeşitli güvenlik özellikleri ve hizmetleri sunan sağlayıcıları arayın.

 

Çok faktörlü kimlik doğrulamayı etkinleştirin: Çok faktörlü kimlik doğrulama (MFA), kullanıcıların hesaplarına erişmeden önce parola ve telefonlarına gönderilen tek seferlik bir kod gibi birden fazla kimlik doğrulama biçimi sağlamalarını gerektirir. Bu, hesabın ele geçirilmesini önlemeye yardımcı olabilir.

 

Şifreleme kullanın: Verilerin aktarılırken ve beklerken şifrelenmesi, yetkisiz erişime karşı korunmasına yardımcı olabilir. Şifreleme seçenekleri sunan bulut hizmeti sağlayıcılarını arayın ve verileriniz için şifrelemeyi etkinleştirdiğinizden emin olun.

 

Bir Bulut Erişim Güvenliği Aracısı (CASB) kullanın: CASB, bulut ortamınız ile şirket içi ağınız arasında yer alan bir güvenlik çözümüdür. Bulut kaynaklarına erişimi izler ve kontrol eder, veri ihlallerine ve diğer tehditlere karşı korunmaya yardımcı olabilir.

 

Erişim kontrolleri uygulayın: Yalnızca yetkili kullanıcıların hassas verilere ve kaynaklara erişebilmesini sağlamak için rol tabanlı erişim ve en az ayrıcalık gibi erişim kontrollerini kullanın.

 

Tehditleri izleyin ve tespit edin: Tehditleri gerçek zamanlı olarak belirlemeye ve bunlara yanıt vermeye yardımcı olmak için güvenlik bilgileri ve olay yönetimi (SIEM) sistemleri gibi izleme ve tespit araçları uygulayın.

 

Çalışanlarınızı eğitin: Çalışanlarını siber güvenlik için en iyi uygulamalar konusunda eğitebilir ve içeriden tehdit riskini en aza indirmek için politika ve prosedürler uygulayabilirler.

 

Bir güvenlik olayı müdahale planı oluşturun: Güvenlik olaylarına müdahale için bir plana sahip olmak, kuruluşların herhangi bir güvenlik ihlalini veya tehdidini hızlı ve etkili bir şekilde ele almasına yardımcı olabilir.

 

 

Bunların yanında iş sürekliliği (BC) ve felaket kurtarma (DR), bulut bilişime güvenen işletmeler ve kuruluşlar için önemli hususlardır. İşte bir bulut bilişim ortamında BC ve DR uygulamaya yönelik bazı en iyi uygulamalar:

 

Birden fazla bulut sağlayıcısı kullanın: Birden fazla bulut sağlayıcısı kullanmak, bir sağlayıcının kesintiye uğraması veya başka bir aksaklık yaşanması durumunda kuruluşun kaynaklara erişebilmesini sağlamaya yardımcı olabilir.

 

Birden fazla bölge kullanın: Tek bir bulut sağlayıcısı veya birden fazla bulut sağlayıcısı içinde birden fazla bölge kullanmak, bir kuruluşun bölgesel bir felaket veya kesinti durumunda kaynaklara erişebilmesini sağlamaya yardımcı olabilir.

 

Birden fazla kullanılabilirlik bölgesi kullanın: Tek bir bölge içinde birden fazla kullanılabilirlik bölgesinin kullanılması, yerel bir felaket veya kesinti durumunda kuruluşun kaynaklara erişebilmesini sağlamaya yardımcı olabilir.

 

Yedekleme ve felaket kurtarma hizmetlerini kullanın: Birçok bulut sağlayıcısı, kuruluşların bir kesinti veya felaket durumunda verilerini ve uygulamalarını korumalarına yardımcı olabilecek yedekleme ve felaket kurtarma hizmetleri sunar.

 

BC ve DR süreçlerini test edin ve doğrulayın: Bir felaket veya kesinti durumunda etkili olduklarından ve başarıyla uygulanabildiklerinden emin olmak için BC ve DR süreçlerini düzenli olarak test etmek ve doğrulamak önemlidir.

 

Kuruluşlar bu en iyi uygulamaları uygulayarak bulut bilişim ortamında bir kesinti veya felaket durumunda iş operasyonlarının sürekliliğini sağlamaya yardımcı olabilirler.

 

Bulut bilişim teknolojisi, işletmelerin işlerine yaklaşım biçimlerini dönüştürmektedir. Birçok alanda yeni fırsatlar oluşturarak, şirketlerin karşılaştığı önemli bir boşluğu doldurmuştur. Bununla birlikte kötü niyetli aktörlerin istenmeyen saldırılarını önlemek için her zaman güvenli tutulma ihtiyacı vardır.

 

Bulut bilişim hizmetlerini kullanan şirketler, verilerini korumak için uygulamalar hayata geçirmelidir. Güvenlik politikaları uygulamalı, engelleyici/önleyici sistemler kullanmalı ve bulut altyapısını kontrol altında tutmak için profesyonelleri işe almalıdırlar.

 

Kaynakça;

https://aws.amazon.com/security/

https://www.kaspersky.com/resource-center/definitions/what-is-cloud-security

https://cloudsecurityalliance.org/

https://www.triskelelabs.com/blog/cloud-cyber-attacks-the-latest-cloud-computing-security-issues

https://www.vectra.ai/learning/cloud-security-threats

https://www.computer.org/publications/tech-news/trends/prevent-cloud-computing-attacks

https://azure.microsoft.com/en-us/resources/cloud-computing-dictionary/what-is-cloud-computing/