Bulut Güvenliği Zorlukları, Tehditleri ve Sorunları Nelerdir?
“Bulut” terimi, günümüz işletmelerinde seçkin hale geldi. Bulut(Cloud) teknolojisi ekonomik ve esnektir ve kullanıcıların verilere her yerden erişmesini sağlar. Bireylerin yanı sıra küçük, orta ve büyük ölçekli işletmeler tarafından kullanılır. Temel olarak aşağıdakileri içeren üç tür bulut hizmeti vardır:
- Hizmet Olarak Altyapı (IaaS)
- Hizmet Olarak Yazılım (SaaS)
- Hizmet Olarak Platform (PaaS).
Bulut teknolojisinin pek çok avantajı olsa da, güvenlik zorlukları ve risklerinden de payına düşeni alıyor. Gerçek kullanıcılar ve işletmeler arasında olduğu kadar bilgisayar korsanları ve saldırganlar arasında da aynı derecede popülerdir. Uygun güvenlik önlemlerinin ve mekanizmalarının olmaması, bulut hizmetlerini kişinin işine zarar verebilecek birden çok tehdide maruz bırakır. Bu yazıda, bulut bilişimi işletmenize dahil ederken ele alınması ve dikkat edilmesi gereken güvenlik tehditleri ve sorunları tartışacağım.
Bulut Güvenliği Zorlukları(Security Challenges) , Tehditleri(Threats) ve Sorunları Nelerdir?
Bulut bilişim hizmetleriyle ilgili ana riskler şunlardır:
- DoS ve DDoS saldırıları
- Hesap Ele Geçirme
- Veri ihlalleri
- Güvenli olmayan API'ler
- Bulut Kötü Amaçlı Yazılım Enjeksiyonu
- Yan Kanal Saldırıları
- Veri kaybı
- Görünürlük veya Kontrol Eksikliği
1] DoS ve DDoS saldırıları
Hizmet Reddi(Denial of Service) (DoS) ve Dağıtılmış Hizmet Reddi(Distributed Denial of Service)(Distributed Denial of Service) ( DDoS ) saldırıları, herhangi bir bulut hizmetindeki en büyük güvenlik risklerinden biridir. Bu saldırılarda, saldırganlar bir ağı istenmeyen isteklerle o kadar çok boğar ki, ağ gerçek kullanıcılara yanıt veremez hale gelir. Bu tür saldırılar, bir kuruluşun daha az gelir elde etmesine, marka değerini ve müşteri güvenini kaybetmesine vb. neden olabilir.
Kuruluşların bulut teknolojisi ile DDoS koruma hizmetlerini(DDoS protection services) kullanmaları önerilir . Bu tür saldırılara karşı savunma yapmak aslında bir saatin ihtiyacı haline geldi.
İlgili okuma: (Related read:) Google Project Shield ile web siteniz için ücretsiz DDoS koruması
2] Hesap Ele Geçirme
Hesapların(Hijacking) ele geçirilmesi, herkesin bilmesi gereken başka bir siber suçtur. Bulut hizmetlerinde işler daha da zorlaşıyor. Bir şirketin üyeleri zayıf şifreler kullanmışsa veya şifrelerini diğer hesaplardan yeniden kullanmışsa, düşmanların hesapları hacklemesi ve hesaplarına ve verilerine yetkisiz erişim sağlaması daha kolay hale gelir.
Bulut tabanlı altyapıya güvenen kuruluşlar, bu sorunu çalışanlarıyla birlikte ele almalıdır. Çünkü hassas bilgilerinin sızmasına neden olabilir. Bu nedenle, çalışanlara güçlü parolaların(strong passwords) önemini öğretin, parolalarını başka bir yerden yeniden kullanmamalarını isteyin , kimlik avı saldırılarına karşı(beware of phishing attacks) dikkatli olun ve genel olarak daha dikkatli olun. Bu, kuruluşların hesap ele geçirmesinden kaçınmasına yardımcı olabilir.
Okuyun(Read) : Ağ Güvenliği Tehditleri(Network Security Threats) .
3] Veri İhlalleri
Veri İhlali , siber güvenlik alanında yeni bir terim değildir. Geleneksel altyapılarda, BT personeli veriler üzerinde iyi bir kontrole sahiptir. Ancak, bulut tabanlı altyapılara sahip işletmeler, veri ihlallerine karşı oldukça savunmasızdır. Çeşitli raporlarda Man-In-The-Cloud ( MITC ) adlı bir saldırı tespit edildi. Buluta yapılan bu tür saldırıda, bilgisayar korsanları belgelerinize ve çevrimiçi olarak depolanan diğer verilere yetkisiz erişim sağlar ve verilerinizi çalar. Bulut güvenlik ayarlarının yanlış yapılandırılmasından kaynaklanabilir.
Bulutu kullanan kuruluşlar, katmanlı savunma mekanizmalarını dahil ederek bu tür saldırılar için proaktif bir şekilde planlama yapmalıdır. Bu tür yaklaşımlar, gelecekte veri ihlallerinden kaçınmalarına yardımcı olabilir.
4] Güvenli Olmayan API'ler
Bulut(Cloud) hizmeti sağlayıcıları , kolay kullanılabilirlik için müşterilere API'ler(APIs) ( Uygulama Programlama Arayüzleri ) sunar. (Application Programming Interfaces)Kuruluşlar , yazılım platformlarına erişim için iş ortakları ve diğer bireylerle birlikte API'leri kullanır. (APIs)Ancak, yeterince güvenli olmayan API'ler(APIs) hassas verilerin kaybolmasına neden olabilir. API'ler kimlik doğrulama olmadan(APIs) oluşturulursa, arayüz savunmasız hale gelir ve internetteki bir saldırgan, kuruluşun gizli verilerine erişebilir.
Savunması için API'ler(APIs) güçlü kimlik doğrulama, şifreleme ve güvenlikle oluşturulmalıdır. Ayrıca, güvenlik açısından tasarlanmış API standartlarını kullanın ve (APIs)API'lerle(APIs) ilgili güvenlik risklerini analiz etmek için Ağ Algılama(Network Detection) gibi çözümlerden yararlanın .
5] Bulut Kötü Amaçlı Yazılım Enjeksiyonu
Kötü amaçlı yazılım(Malware) enjeksiyonu, bir kullanıcıyı kötü amaçlı bir sunucuya yönlendirmek ve buluttaki bilgilerini kontrol etmek için kullanılan bir tekniktir. SaaS , PaaS veya IaaS hizmetine kötü amaçlı bir uygulama enjekte edilerek ve bir kullanıcıyı bir bilgisayar korsanının sunucusuna yönlendirmek üzere kandırılarak gerçekleştirilebilir. Kötü Amaçlı Yazılım Enjeksiyonu(Malware Injection) saldırılarına bazı örnekler arasında Siteler Arası Komut Dosyası Çalıştırma Saldırıları( Cross-site Scripting Attacks) , SQL enjeksiyon saldırıları(SQL injection attacks) ve Sarma saldırıları(Wrapping attacks) yer alır .
6] Yan Kanal Saldırıları
Yan kanal saldırılarında, düşman, kurbanın fiziksel makinesiyle aynı ana bilgisayarda kötü niyetli bir sanal makine kullanır ve ardından hedef makineden gizli bilgileri çıkarır. Bu, sanal güvenlik duvarı, rastgele şifreleme-şifre çözme kullanımı vb. gibi güçlü güvenlik mekanizmaları kullanılarak önlenebilir.
7] Veri Kaybı
Yanlışlıkla(Accidental) veri silme, kötü niyetli kurcalama veya bulut hizmetinin kapalı olması işletmeler için ciddi veri kaybına neden olabilir. Bu zorluğun üstesinden gelmek için kuruluşların bir bulut felaket kurtarma planı, ağ katmanı koruması ve diğer azaltma planları ile hazırlanması gerekir.
8] Görünürlük veya Kontrol Eksikliği
Bulut tabanlı kaynakları izlemek, kuruluşlar için zorlu bir iştir. Bu kaynaklar kuruluşun kendilerine ait olmadığından, kaynakları siber saldırılara karşı izleme ve koruma yeteneklerini sınırlar.
İşletmeler bulut teknolojisinden birçok avantaj elde ediyor. Ancak, beraberinde getirdiği doğal güvenlik zorluklarını ihmal edemezler. Bulut tabanlı altyapıyı uygulamadan önce uygun güvenlik önlemleri alınmazsa, işletmeler çok fazla zarar görebilir. Umarım bu makale, bulut hizmetlerinin karşılaştığı güvenlik zorluklarını öğrenmenize yardımcı olur. Riskleri ele alın, güçlü bulut güvenliği planları uygulayın ve bulut teknolojisinden en iyi şekilde yararlanın.
Şimdi okuyun: (Now read:) Çevrimiçi Gizliliğe Yönelik Kapsamlı Bir Kılavuz.(A Comprehensive Guide to Online Privacy.)
Related posts
Kaspersky Security Cloud Free Antivirus Review - Koru Windows 10
Crystal Security ücretsiz bir Cloud tabanlı bir Malware Detection Tool PC içindir
Bulut Bilişimin Güvenlik Riskleri Nelerdir?
Admins farkında olması gerektiğini Lesser bilinen Network Security Threats
Biometric Security Threats and Countermeasure
Microsoft Authenticator app Android & iPhone'da Cloud Backup'i açın
Blob, Queue, Table storage Windows Azure'de anlama
Google Drive vs Dropbox: Özellikler, Software, Storage Planları Comparision
, Windows 365 Cloud PC Details, Price, Release Date, FAQ
Nasıl Oyunları için Steam Cloud Saves Kullanılır
Public Cloud vs Private Cloud: Definition and difference
Dropbox Cloud Service olarak Microsoft Office'e nasıl eklenir?
Windows Fresh Start vs Refresh vs Reset vs Clean Install & More
Cloud bilgisayar ve Grid hesaplama arasındaki fark
HyperX Cloud Flight'ı inceleyin: Yüksek kaliteli kablosuz oyun kulaklığı!
OneDrive and Dropbox tarafından kullanılan bant genişliğini sınırlamak için nasıl
PCloud İnceleme: İyi bir alternatif mi cloud storage service mi?
Tüm Fotoğraflarınızı ve Videolarınızı Bulutta Nasıl Saklarsınız?
Daha iyi Cloud Service olduğunu - Google Drive vs onedrive?
Cloud Clipboard (Ctrl+V) Windows 10'te çalışmıyor veya senkronize etme