Bulut güvenliği için temel gereksinimlerin belirlenmesi

Bulut operasyonları artık hem standart hem de kritik hizmetler olarak her türlü kuruluşa entegre edilmiştir. Yine de bu her yerde bulunan hizmet tüketimi seçeneği, pek çok makul ve rasyonel güvenlik endişesini de beraberinde getiriyor ve sorumlu kuruluşların bunları etkili bir şekilde halletmek için önlerine çıkması gerekiyor.

Ama nasıl? Küresel olarak tanınan bir bulut bilişim düşünce lideri ve (ISC)2 Sertifikalı Bulut Güvenliği Uzmanı eğitmeni olan CC Globalnet’in CEO’su Kevin L. Jackson, verileri bulutta güvende tutmaya yönelik eylemleri inceliyor. Bulut veri güvenliğini sağlamanın temel öğesi, belki de bulut dağıtımını güvenli tutmanın tek sırrı, kuruluşun genel bulut güvenliği gereksinimlerini açıkça belgelemektir.

Kevin, “Başlangıç ​​olarak, bulut güvenliği, hem tek bulut hem de çoklu bulut olmak üzere bulutun tüm yönlerine bakmanızı gerektirir” diyor.

Bulut güvenliği gereksinimlerinin örgülü sorunlarını, tümü bir kuruluşun doğrudan eylemde bulunmak için kullanabileceği dört ayrı konuya ayırıyor:

1. Uyumluluk için bulut hizmeti sağlayıcısının, kuruluşun ve kuruluşun verilerine erişimi olan herhangi bir üçüncü tarafın rollerini ve sorumluluklarını inceleyin.

Kevin, “Temel sürücü, iş veri yönetimi politikalarınız olmalıdır” diyor. Sonuçta, bir şirket belirli bir CSP ile ortak olmayı (ve ona güvenmeyi) seçtiğinde, kuruluş nihai olarak kendi verilerini o CSP’nin politikalarına ve prosedürlerine göre yönetmeyi kabul eder – kuruluşun kendisinin değil. Kuruluşun bulutta depolanan verilerine erişiyor ve bunları kullanıyorsa, üçüncü taraflar da bu ilkelere tabi olacaktır.

“Bu gerçeği anlamanız ve kabul etmeniz gerekiyor” diyor. “Bu kabul, veri yönetimi güvenlik politikalarının sizinkiyle uyumlu olduğunu onaylamanızı gerektirir.”

2. Seçilen hizmet ve dağıtım modellerinin teknik ve organizasyonel yönlerini değerlendirin.

Bu eylem, tüm hizmet modelleri (altyapı, platform veya SaaS) ve dağıtım modelleri (genel, özel, hibrit veya topluluk bulutu) için geçerlidir. Esasen, bir kuruluş hangi modeli seçerse seçsin, bu modelleri değerlendirme sorumluluğu kuruluşun kendisine aittir.

Kevin, “Ekibiniz mevcut güvenlik kontrollerini ve bunların verilerinizi korumak için nasıl kullanılabileceğini değerlendirmelidir” diyor. “Bu değerlendirme, hizmet sağlayıcının veri güvenliği işlemlerinin hangi yönlerinin kuruluşunuzun performansı ve tüm performans hedeflerini karşılama yeteneği açısından kritik olduğunu belirlemenize yardımcı olacaktır.”

“Tüm performans hedefleri” derken her şeyi kastediyor: gelir elde etme, iş hedefleri, görev gereksinimi, müşteri ihtiyaçları. Kuruluşların ayrıca, sınır ötesi veri akışları dahil olmak üzere yerel, bölgesel ve ulusal ortamlarındaki veri güvenliği ve veri gizliliği gereksinimlerini anlamaları gerekir. CSP platformu sunar, ancak bu platformun kendi sorumluluklarına ve ihtiyaçlarına nasıl ve ne şekilde uyup uymadığından kuruluş sorumludur.

3. Hizmet kullanılabilirliğini ve yönetim seçeneklerini CSP bölgesine göre değerlendirin.

Kendi bölümünü hak ediyor: tüm hizmetler her bölgede mevcut olmayabilir. CSP’nin hizmet kullanılabilirliği ve yönetim seçeneklerinin kuruluşun ortamı ve erişimiyle uyumlu olduğunu doğrulayın.

4. Hizmet düzeyi sözleşmesinin sona erdiğini sorgulayın ve anlayın.

Bu, bulut güvenliği ortaklıklarının genellikle gözden kaçan bir yönüdür. “Bulut hizmeti sağlayıcısı, üzerinde anlaşılan hizmet düzeyi sözleşmesine uygun olarak teslimatta başarısız olursa ne olur?” diye soruyor. “Bu gerçekleşirse kuruluşunuz ne yapardı?”

Bu sorular tavşan deliğine dalmaya değer. Kuruluş bir SLA atlamasını nasıl tespit eder? Böyle bir hizmet hatası müşterileri nasıl etkiler? Hangi tür veya derecedeki SLA ihlali, farklı bir CSP’ye geçmeyi garanti eder?

Bu eylemlerin her birinin sonuçları, bir kuruluşun bulut veri güvenliğinin temelini oluşturacaktır. Kevin, Pluralsight web seminerinde, kuruluşların bulut operasyonlarını güvence altına almak için gerçekleştirebilecekleri beş kritik eylemi aydınlatmak için bu temel üzerine inşa ediyor.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.