Bulut Güvenlik Öğeleri

Bulut güvenlik öğeleri genel olarak iki ana kategoriye ayrılabilir: yönetişim ve operasyonlar . Bulut güvenliği yönetişimi, stratejik sorunları çözmeyi ve bulutta etkili güvenlik yönetimini ve operasyonları geliştirmeyi amaçlayan bir yönetim modelidir. Aksine, bulut güvenlik operasyonları, kimlik ve erişim yönetimi, izleme, ağ oluşturma, günlük kaydı ve bunların bulut ortamında uygulanması gibi daha pratik konular ve kaygılarla ilgilenir.

Bulut güvenliği yönetişimi

Bulut güvenliği yönetişiminin temel hedefleri arasında stratejik uyum, değer sağlama, risk azaltma, kaynakların etkin kullanımı ve performans ölçümü yer alır. Temel unsurları şunlardır:

  • Risk değerlendirmesi ve yönetimi . Kaynak değerlendirmesi, güvenlik açıkları ve tehdit analizi, hassas veri koruma sorumluluğu, güvenlik olayları için yasal öncelik vb. gibi stratejik faaliyetlerden oluşur.

  • Yasal sorunlar. Bu konu, GDPR düzenlemesi dahil olmak üzere bilgi sistemleri için bazı koruma gereksinimlerini içerir; güvenlik ihlali ve kişisel veri açıklama yasaları; gizlilik gereklilikleri, uluslararası yasalar, yetki alanı sorunları vb.

  • Uyumluluk ve denetim yönetimi. Güvenlik önlemlerinin önceden tanımlanmış güvenlik politikasına ve çeşitli uyumluluk gereksinimlerine uyup uymadığını ve ne ölçüde uyduğunu kontrol etmek amacıyla buluttaki etkinliklerin denetimini içerir.

  • Bilgi yönetişimi. Veri kontrolü, gizlilik, bütünlük ve kullanılabilirlik gibi faaliyetleri içerir; verileri buluta aktarırken ve verilerle çalışırken veri kaybını önleme ve kontrol önlemleri; yanı sıra bu yönetişim için sorumluluklar gibi konular.

Bulut güvenlik işlemleri

Bulut güvenlik operasyonları, yönetişim tarafından ana hatları çizilen stratejik yönergelere göre daha pratik güvenlik bakımı sorunlarıyla ilgilenmeyi amaçlar. Temel unsurları şunlardır:

  • Altyapı Güvenliği . Ağ oluşturma, iş yükü güvenliği ve hibrit bulut hususları gibi altyapı güvenliği temellerinin yanı sıra özel bulut güvenlik sorunlarını içerir.

  • Sanallaştırma ve Konteynerler. Hipervizörler, kapsayıcılar ve Yazılım Tanımlı Ağlar (SDN) için güvenliği kapsar. Son terim, ağda k daha fazla otomasyon ve programlanabilirlik sağlayan, ağ kontrol işlevlerinin iletme işlevlerinden ayrılması anlamına gelir .

  • Olay Müdahalesi, Bildirim ve Düzeltme. Hem hizmet sağlayıcıdan hem de son kullanıcıdan izinsiz giriş ve dolandırıcılık tespiti, müdahale, bildirim ve yeterli karşı önlemleri içerir. Her kuruluş, uygun bir olay işleme programı ve adli tıp geliştirmeli ve takip etmelidir.

  • Uygulama Güvenliği. Bulutta çalışan veya geliştirilmekte olan uygulamaların güvenliğini içerir, örneğin uygulama için bulut hizmetinin kullanılması uygun mudur, öyleyse hangi modelin seçilmesi en iyisidir (SaaS, PaaS veya IaaS), vb.

  • Veri güvenliği ve şifreleme. Bu işlem, başta şifreleme ve anahtar yönetimi ve dağıtımı olmak üzere veri güvenliği mekanizmalarını içerir.

  • Kimlik, Yetkilendirme ve Erişim Yönetimi. Bu işlem, sistemdeki tanımlama, kimlik doğrulama ve erişim kontrol mekanizmalarını içerir.

Hizmet Olarak Güvenlik. Üçüncü taraf kaynakları kullanarak ve kullanıcılara erişim sağlayarak, örneğin siber güvenlik hizmetlerini dışarıdan temin ederek güvenlik güvencesini bütünleştirir.