“Bulut” terimi, günümüz işletmelerinde seçkin hale geldi. Bulut^(Cloud) teknolojisi ekonomik ve esnektir ve kullanıcıların verilere her yerden erişmesini sağlar. Bireylerin yanı sıra küçük, orta ve büyük ölçekli işletmeler tarafından kullanılır. Temel olarak aşağıdakileri içeren üç tür bulut hizmeti vardır:

1. Hizmet Olarak Altyapı (IaaS)
2. Hizmet Olarak Yazılım (SaaS)
3. Hizmet Olarak Platform (PaaS).

Bulut teknolojisinin pek çok avantajı olsa da, güvenlik zorlukları ve risklerinden de payına düşeni alıyor. Gerçek kullanıcılar ve işletmeler arasında olduğu kadar bilgisayar korsanları ve saldırganlar arasında da aynı derecede popülerdir. Uygun güvenlik önlemlerinin ve mekanizmalarının olmaması, bulut hizmetlerini kişinin işine zarar verebilecek birden çok tehdide maruz bırakır. Bu yazıda, bulut bilişimi işletmenize dahil ederken ele alınması ve dikkat edilmesi gereken güvenlik tehditleri ve sorunları tartışacağım.

Bulut Güvenliği Zorlukları^{(Security Challenges)} , Tehditleri^(Threats) ve Sorunları Nelerdir?

Bulut bilişim hizmetleriyle ilgili ana riskler şunlardır:

1. DoS ve DDoS saldırıları
2. Hesap Ele Geçirme
3. Veri ihlalleri
4. Güvenli olmayan API'ler
5. Bulut Kötü Amaçlı Yazılım Enjeksiyonu
6. Yan Kanal Saldırıları
7. Veri kaybı
8. Görünürlük veya Kontrol Eksikliği

1] DoS ve DDoS saldırıları

Hizmet Reddi^{(Denial of Service)} (DoS) ve Dağıtılmış Hizmet Reddi^{(Distributed Denial of Service)(Distributed Denial of Service)} ( DDoS ) saldırıları, herhangi bir bulut hizmetindeki en büyük güvenlik risklerinden biridir. Bu saldırılarda, saldırganlar bir ağı istenmeyen isteklerle o kadar çok boğar ki, ağ gerçek kullanıcılara yanıt veremez hale gelir. Bu tür saldırılar, bir kuruluşun daha az gelir elde etmesine, marka değerini ve müşteri güvenini kaybetmesine vb. neden olabilir.

Kuruluşların bulut teknolojisi ile DDoS koruma hizmetlerini^{(DDoS protection services)} kullanmaları önerilir . Bu tür saldırılara karşı savunma yapmak aslında bir saatin ihtiyacı haline geldi.

İlgili okuma: ^{(Related read:)} Google Project Shield ile web siteniz için ücretsiz DDoS koruması

2] Hesap Ele Geçirme

Hesapların^(Hijacking) ele geçirilmesi, herkesin bilmesi gereken başka bir siber suçtur. Bulut hizmetlerinde işler daha da zorlaşıyor. Bir şirketin üyeleri zayıf şifreler kullanmışsa veya şifrelerini diğer hesaplardan yeniden kullanmışsa, düşmanların hesapları hacklemesi ve hesaplarına ve verilerine yetkisiz erişim sağlaması daha kolay hale gelir.

Bulut tabanlı altyapıya güvenen kuruluşlar, bu sorunu çalışanlarıyla birlikte ele almalıdır. Çünkü hassas bilgilerinin sızmasına neden olabilir. Bu nedenle, çalışanlara güçlü parolaların^{(strong passwords)} önemini öğretin, parolalarını başka bir yerden yeniden kullanmamalarını isteyin , kimlik avı saldırılarına karşı^{(beware of phishing attacks)} dikkatli olun ve genel olarak daha dikkatli olun. Bu, kuruluşların hesap ele geçirmesinden kaçınmasına yardımcı olabilir.

Okuyun^(Read) :  Ağ Güvenliği Tehditleri^{(Network Security Threats)} .

3] Veri İhlalleri

Veri İhlali , siber güvenlik alanında yeni bir terim değildir. Geleneksel altyapılarda, BT personeli veriler üzerinde iyi bir kontrole sahiptir. Ancak, bulut tabanlı altyapılara sahip işletmeler, veri ihlallerine karşı oldukça savunmasızdır. Çeşitli raporlarda Man-In-The-Cloud ( MITC ) adlı bir saldırı tespit edildi. Buluta yapılan bu tür saldırıda, bilgisayar korsanları belgelerinize ve çevrimiçi olarak depolanan diğer verilere yetkisiz erişim sağlar ve verilerinizi çalar. Bulut güvenlik ayarlarının yanlış yapılandırılmasından kaynaklanabilir.

Bulutu kullanan kuruluşlar, katmanlı savunma mekanizmalarını dahil ederek bu tür saldırılar için proaktif bir şekilde planlama yapmalıdır. Bu tür yaklaşımlar, gelecekte veri ihlallerinden kaçınmalarına yardımcı olabilir.

4] Güvenli Olmayan API'ler

Bulut^(Cloud) hizmeti sağlayıcıları , kolay kullanılabilirlik için müşterilere API'ler^(APIs) ( Uygulama Programlama Arayüzleri ) sunar. ^{(Application Programming Interfaces)}Kuruluşlar , yazılım platformlarına erişim için iş ortakları ve diğer bireylerle birlikte API'leri kullanır. ^(APIs)Ancak, yeterince güvenli olmayan API'ler^(APIs) hassas verilerin kaybolmasına neden olabilir. API'ler kimlik doğrulama olmadan^(APIs) oluşturulursa, arayüz savunmasız hale gelir ve internetteki bir saldırgan, kuruluşun gizli verilerine erişebilir.

Savunması için API'ler^(APIs) güçlü kimlik doğrulama, şifreleme ve güvenlikle oluşturulmalıdır. Ayrıca, güvenlik açısından tasarlanmış API standartlarını kullanın ve ^(APIs)API'lerle^(APIs) ilgili güvenlik risklerini analiz etmek için Ağ Algılama^{(Network Detection)} gibi çözümlerden yararlanın .

5] Bulut Kötü Amaçlı Yazılım Enjeksiyonu

Kötü amaçlı yazılım^(Malware) enjeksiyonu, bir kullanıcıyı kötü amaçlı bir sunucuya yönlendirmek ve buluttaki bilgilerini kontrol etmek için kullanılan bir tekniktir. SaaS , PaaS veya IaaS hizmetine kötü amaçlı bir uygulama enjekte edilerek ve bir kullanıcıyı bir bilgisayar korsanının sunucusuna yönlendirmek üzere kandırılarak gerçekleştirilebilir. Kötü Amaçlı Yazılım Enjeksiyonu^{(Malware Injection)} saldırılarına bazı örnekler arasında Siteler Arası Komut Dosyası Çalıştırma Saldırıları^{( Cross-site Scripting Attacks)} , SQL enjeksiyon saldırıları^{(SQL injection attacks)} ve Sarma saldırıları^{(Wrapping attacks)} yer alır .

6] Yan Kanal Saldırıları

Yan kanal saldırılarında, düşman, kurbanın fiziksel makinesiyle aynı ana bilgisayarda kötü niyetli bir sanal makine kullanır ve ardından hedef makineden gizli bilgileri çıkarır. Bu, sanal güvenlik duvarı, rastgele şifreleme-şifre çözme kullanımı vb. gibi güçlü güvenlik mekanizmaları kullanılarak önlenebilir.

7] Veri Kaybı

Yanlışlıkla^(Accidental) veri silme, kötü niyetli kurcalama veya bulut hizmetinin kapalı olması işletmeler için ciddi veri kaybına neden olabilir. Bu zorluğun üstesinden gelmek için kuruluşların bir bulut felaket kurtarma planı, ağ katmanı koruması ve diğer azaltma planları ile hazırlanması gerekir.

8] Görünürlük veya Kontrol Eksikliği

Bulut tabanlı kaynakları izlemek, kuruluşlar için zorlu bir iştir. Bu kaynaklar kuruluşun kendilerine ait olmadığından, kaynakları siber saldırılara karşı izleme ve koruma yeteneklerini sınırlar.

İşletmeler bulut teknolojisinden birçok avantaj elde ediyor. Ancak, beraberinde getirdiği doğal güvenlik zorluklarını ihmal edemezler. Bulut tabanlı altyapıyı uygulamadan önce uygun güvenlik önlemleri alınmazsa, işletmeler çok fazla zarar görebilir. Umarım bu makale, bulut hizmetlerinin karşılaştığı güvenlik zorluklarını öğrenmenize yardımcı olur. Riskleri ele alın, güçlü bulut güvenliği planları uygulayın ve bulut teknolojisinden en iyi şekilde yararlanın.

Şimdi okuyun: ^{(Now read:)} Çevrimiçi Gizliliğe Yönelik Kapsamlı Bir Kılavuz.^{(A Comprehensive Guide to Online Privacy.)}

What are Cloud Security Challenges, Threats and Issues

The term “cloud” has become eminent in modern-day businessеs. Cloud technology is econоmical and flexible and it enables users to access data from anywhere. It is used by individuals as well as small, medium, and large size enterprises. There are basically three types of cloud services that include:

1. Infrastructure as a Service (IaaS)
2. Software as a Service (SaaS)
3. Platform as a Service (PaaS).

While there are a lot of advantages to cloud technology, it also has its share of security challenges and risks. It is equally popular amongst hackers and attackers as it is amongst genuine users and businesses. The lack of proper security measures and mechanisms exposes cloud services to multiple threats that can cause damage to one’s business. In this article, I am going to discuss the security threats and issues that need to be addressed and taken care of while incorporating cloud computing in your business.

What are Cloud Security Challenges, Threats, and Issues

The main risks with cloud computing services are:

1. DoS and DDoS attacks
2. Account Hijacking
3. Data Breaches
4. Insecure APIs
5. Cloud Malware Injection
6. Side Channel Attacks
7. Data Loss
8. Lack of Visibility or Control

1] DoS and DDoS attacks

Denial of Service (DoS) and Distributed Denial of Service (DDoS) attacks are one of the major security risks in any cloud service. In these attacks, adversaries overwhelm a network with unwanted requests so much that the network becomes unable to respond to genuine users. Such attacks may cause an organization to suffer less revenue, lose brand value and customer trust, etc.

Enterprises are recommended to employ DDoS protection services with cloud technology. It has actually become a need of the hour to defend against such attacks.

Related read: Free DDoS protection for your website with Google Project Shield

2] Account Hijacking

Hijacking of accounts is another cybercrime that everyone must be aware of. In cloud services, it becomes all the more tricky. If the members of a company have used weak passwords or reused their passwords from other accounts, it becomes easier for adversaries to hack accounts and get unauthorized access to their accounts and data.

Organizations that rely on cloud-based infrastructure must address this issue with their employees. Because it can lead to leak of their sensitive information. So, teach employees the importance of strong passwords, ask them to not reuse their passwords from somewhere else, beware of phishing attacks, and just be more careful on the whole. This may help organizations avoid account hijacking.

Read: Network Security Threats.

3] Data Breaches

Data Breach is no new term in the field of cybersecurity. In traditional infrastructures, IT personnel has good control over the data. However, enterprises with cloud-based infrastructures are highly vulnerable to data breaches. In various reports, an attack titled Man-In-The-Cloud (MITC) was identified. In this type of attack on the cloud, hackers get unauthorized access to your documents and other data stored online and steal your data. It can be caused due to improper configuration of cloud security settings.

Enterprises that utilize the cloud must plan proactively for such attacks by incorporating layered defense mechanisms. Such approaches may help them avoid data breaches in the future.

4] Insecure APIs

Cloud service providers offer APIs (Application Programming Interfaces) to customers for easy usability. Organizations use APIs with their business partners and other individuals for access to their software platforms. However, insufficiently secured APIs can lead to the loss of sensitive data. If APIs are created without authentication, the interface becomes vulnerable and an attacker on the internet can have access to the organization’s confidential data.

To its defense, APIs must be created with strong authentication, encryption, and security. Also, use APIs standards that are designed from a security point of view, and make use of solutions like Network Detection to analyze security risks related to APIs.

5] Cloud Malware Injection

Malware injection is a technique to redirect a user to a malicious server and have control of his/ her information in the cloud. It can be carried out by injecting a malicious application into SaaS, PaaS, or IaaS service and getting tricked into redirecting a user to a hacker’s server. Some examples of Malware Injection attacks include Cross-site Scripting Attacks, SQL injection attacks, and Wrapping attacks.

6] Side Channel Attacks

In side-channel attacks, the adversary uses a malicious virtual machine on the same host as the victim’s physical machine and then extracts confidential information from the target machine. This can be avoided using strong security mechanisms like virtual firewall, use of random encryption-decryption, etc.

7] Data Loss

Accidental data deletion, malicious tampering, or cloud service being down can cause serious data loss to enterprises. To overcome this challenge, organizations must be prepared with a cloud disaster recovery plan, network layer protection, and other mitigation plans.

8] Lack of Visibility or Control

Monitoring cloud-based resources is a challenge for organizations. As these resources are not owned by the organization themselves, it limits their ability to monitor and protect resources against cyberattacks.

Enterprises are gaining a lot of benefits from cloud technology. However, they can’t neglect the inherent security challenges it comes with. If no proper security measures are taken before implementing cloud-based infrastructure, businesses can suffer a lot of damage. Hopefully, this article helps you learning security challenges that are faced by cloud services. Address the risks, implement strong cloud security plans, and make the most out of cloud technology.

Now read: A Comprehensive Guide to Online Privacy.

Related posts

• Kaspersky Security Cloud Free Antivirus Review - Koru Windows 10

• Crystal Security ücretsiz bir Cloud tabanlı bir Malware Detection Tool PC içindir

• Bulut Bilişimin Güvenlik Riskleri Nelerdir?

• Admins farkında olması gerektiğini Lesser bilinen Network Security Threats

• Biometric Security Threats and Countermeasure

• Microsoft Authenticator app Android & iPhone'da Cloud Backup'i açın

• Blob, Queue, Table storage Windows Azure'de anlama

• Google Drive vs Dropbox: Özellikler, Software, Storage Planları Comparision

• , Windows 365 Cloud PC Details, Price, Release Date, FAQ

• Nasıl Oyunları için Steam Cloud Saves Kullanılır

• Public Cloud vs Private Cloud: Definition and difference

• Dropbox Cloud Service olarak Microsoft Office'e nasıl eklenir?

• Windows Fresh Start vs Refresh vs Reset vs Clean Install & More

• Cloud bilgisayar ve Grid hesaplama arasındaki fark

• HyperX Cloud Flight'ı inceleyin: Yüksek kaliteli kablosuz oyun kulaklığı!

• OneDrive and Dropbox tarafından kullanılan bant genişliğini sınırlamak için nasıl

• PCloud İnceleme: İyi bir alternatif mi cloud storage service mi?

• Tüm Fotoğraflarınızı ve Videolarınızı Bulutta Nasıl Saklarsınız?

• Daha iyi Cloud Service olduğunu - Google Drive vs onedrive?

• Cloud Clipboard (Ctrl+V) Windows 10'te çalışmıyor veya senkronize etme