Genel

Siber Güvenlik Bilgi | Bulut Güvenlik Açıklarını Azaltma

nsamitigatingcloud

Ülkemizde geçmişte Başbakanlık seviyesinde açıklanan Bulut Teknolojileri hakkında teknolojinin küresel mimarları tarafından hazırlanmış olan Cybersecurity Information | Mitigating Cloud Vulnerabilities isimli çalışmanın, özellikle siber güvenliğe gönül verenlerin bulut teknolojileri ve siber güvenlik süreçlerinde teorik ve pratik anlamda çalışmalarına katkı sağlamasını temenni ediyorum.

Bulut Zayıflıklarını Giderme

Bulutun dikkatli bir şekilde benimsenmesi bir kuruluşun güvenliğini artırabilirken, bulut hizmetleri kuruluşların hem tedarik sürecinde hem de bulutta çalışırken anlaması ve ele alması gereken riskler getirebilir. Kaynakları buluta kaydırırken güvenlik koşullarını tam olarak değerlendirmek, kaynakların sürekliliğini sağlamaya ve hassas bilgilerin çalınma riskini azaltmaya yardımcı olacaktır. Riski azaltmak için kuruluşlar, şirket içi bir ortamda olduğu gibi bulut kaynaklarına yönelik siber riskleri de göz önünde bulundurmalıdır.

Bu belge, bulut güvenlik açıklarını bilinen güvenlik açıklarının büyük çoğunluğunu kapsayan dört sınıfa (yanlış yapılandırma, zayıf erişim denetimi, paylaşılan barındırma güvenlik açıkları ve tedarik zinciri güvenlik açıkları) ayırır. Bulut müşterileri, yanlış yapılandırmayı ve zayıf erişim kontrolünü azaltmada kritik bir role sahiptir, ancak bulut kaynaklarını paylaşılan barındırma ve tedarik zinciri güvenlik açıklarından yararlanmak için önlem alabilirler. Kuruluşların bulut kaynaklarını kilitlemelerine yardımcı olmak için her güvenlik açığı sınıfının açıklamaları ve en etkili azaltıcı önlemler sunulmaktadır. Buluta geçişe risk temelli bir yaklaşımla, kuruluşlar bulutun kapsamlı özelliklerinden güvenli bir şekilde yararlanabilir.

Bu kılavuz, hem yöneticiler hem de teknik personel tarafından kullanılmak üzere tasarlanmıştır. Yöneticiler, bulut güvenlik ilkeleri hakkında perspektif kazanmak için Bulut Bileşenleri bölümüne, Bulut Tehdit Aktörleri bölümüne ve Bulut Güvenlik Açıkları ve Azaltıcı Önlemlere  bakabilir. Teknik ve güvenlik uzmanları belgeyi, bulut hizmeti alımı sırasında ve sonrasında bulut güvenliği ile ilgili hususları ele almak için kullanabilirler.

Bulut Bileşenleri

Bulut mimarileri standart değildir ve her bir Bulut Servis Sağlayıcısı (CSP) temel bulut hizmetlerini farklı şekilde uygular. CSP’nin bulut uygulamasını anlamak, müşterinin bulut hizmeti alımı sırasındaki risk kararının bir parçası olmalıdır. Dört bulut mimari hizmeti çoğu bulut için ortaktır:

Kimlik ve Erişim Yönetimi (IdAM): IdAM, müşterilerin kaynaklarına erişimi korumak için uygulanan denetimlerin yanı sıra CSP’nin arka uç bulut kaynaklarına erişimi korumak için kullandığı denetimleri ifade eder. Güvenli müşteri ve bulut arka uç IdAM, hem uygulama hem de denetim, bulut müşteri kaynaklarını korumak için çok önemlidir.

Hesaplama: Bulutlar, müşteri hesaplama iş yüklerini yönetmek ve izole etmek için genellikle sanallaştırma ve kapsayıcılığa güvenir. Sunucusuz bilgi işlem, bulut bilgi işlem kaynaklarının müşteri kodunu çalıştırmak için dinamik olarak ayrılması, bulut hizmetine bağlı olarak sanallaştırma veya kapsayıcılık üzerine kuruludur.

Sanallaştırma, yalnızca müşteri iş yükleri için değil, aynı zamanda bulut mimarisinin kendisi için bir bulut omurgası teknolojisidir. Sanallaştırma, hem depolama hem de ağ iletişimi için bulutta yalıtım sağlayan etkin bir teknolojidir. Sanallaştırma genellikle dahili bulut düğümlerini uygular ve güvenlik altına alır.

Konteynerizasyon, müşteri iş yüklerini yönetmek ve izole etmek için bulutlarda yaygın olarak kullanılan daha hafif bir teknolojidir. Konteynerizasyon, paylaşılan çekirdek özellikleri nedeniyle bir izolasyon teknolojisinden sanallaştırmaya göre daha az güvenlidir, ancak CSP’ler konteynerizasyon güvenliği dezavantajlarının giderilmesine yardımcı olan teknolojiler sunar.

Ağ oluşturma: Müşteri ağlarının yalıtımı, bulutun kritik bir güvenlik işlevidir. Ayrıca, bulut ağ iletişimi, müşteri bulut kaynaklarını içerden gelen tehditlere karşı korumak için bulut mimarisi genelinde kontroller uygulamalıdır. Yazılım Tanımlı Ağ, bulutta yaygın olarak hem müşteri ağlarını mantıksal olarak ayırmak hem de bulut için omurga ağını uygulamak için kullanılır.

Depolama (Nesneler, Bloklar ve Veri tabanı Kayıtları): Müşteri verileri, mantıksal olarak bulut noktası diğer müşteri verilerinden ayrılır. Müşteri verilerinin diğer müşterilere sızmamasını ve müşteri verilerinin içeriden gelen tehditlere karşı korunmasını sağlamak için güvenlik mekanizmaları bulunmalıdır.

Bulut Şifrelemesi ve Anahtar Yönetimi

Bulut mimarilerinin temel bir bileşeni olmasa da, şifreleme ve anahtar yönetimi (KM), buluttaki bilgileri korumanın kritik bir unsurunu oluşturur. CSP, müşteri verilerinin bazı yönlerini diğer müşterilerden ve CSP çalışanlarından korumak için şifreleme (diğer denetimlerin yanı sıra) kullanırken, bulut müşterileri verilerini daha fazla korumak için sahip oldukları seçenekleri anlamalıdır. Bulut duyarlılığı ve anahtar yönetimi stratejisi oluşturmak için veri duyarlılığı gereksinimlerini anlamak çok önemlidir.

Müşteriler CSP tarafından sağlanan şifreleme ve KM hizmetlerinden yararlanabilir. Bulut tabanlı KM hizmetleri, buluttaki verileri korumak ve işlemek için gereken müşteri geliştirme miktarını azaltarak diğer bulut hizmetleriyle entegre olacak şekilde tasarlanmıştır. Bulut tabanlı KM hizmetleri, müşterilere anahtar oluşturma, imha ve kullanım hakkında denetim bilgileri sağlayabilir. Yazılım tabanlı çözümlere ek olarak, birçok CSP buluttaki müşteri anahtarlarını korumak için bir Donanım Güvenlik Modülü (HSM) hizmeti sunar. Müşteriler ayrıca bulutta şifrelemede kullanmak için harici olarak oluşturulmuş anahtarlar sağlamayı da seçebilirler (Kendi Anahtarınızı Getirin). CSP tarafından sağlanan bazı şifreleme ve KM çözümleri, hassas ancak sınıflandırılmamış DoD bilgilerini korumak için akredite edilmiştir.

Müşteriler ayrıca, müşteri veya üçüncü taraf araçlarını kullanarak bulut dışında şifreleme ve KM gerçekleştirebilir. Şifreleme ve KM’yi bulut dışında tutmak, müşteri verilerinin hiçbir zaman bulut yöneticilerine maruz kalmamasını sağlar. Ayrıca, CSP’nin çoklu kiracılık denetimlerinde bir hata olması durumunda önceden şifrelenmiş veriler diğer müşterilere maruz kalmaktan korunur. Bu çözümün sonuçları şöyledir: (1) müşteriler veya üçüncü taraf satıcılar, sistemlerinin uygulama veya veri yönetimi katmanlarına şifreleme oluşturmalı ve önemli uzmanlık ve çaba gerektiren KM’den sorumlu olmalıdır; ve (2) çözüm, müşterinin harici uygulamalarını veya hizmetlerini buluta entegre etmesini gerektiren ve görselleştirme, yapay zeka ve diğer veri katmanı hizmetlerinin benimsenmesini sınırlayan diğer CSP hizmetleriyle iyi entegre olmuyor. Örneğin, önceden şifrelenmiş veriler genellikle bulutta aranamaz veya çalıştırılamaz.

Bulut Güvenlik Sorumluluklarını Paylaşma

CSP’ler ve bulut müşterileri, genel bulutlarda depolanan hizmetlerin ve hassas verilerin güvenliğini sağlamak için benzersiz ve çakışan sorumlulukları paylaşır. CSP’ler, bulut altyapısının güvenliğinden ve ayrıca müşteri verilerini ayırmak için mantıksal denetimler uygulamaktan sorumludur. Kuruluş yöneticileri genellikle uygulama düzeyinde güvenliği yapılandırmaktan sorumludur (örneğin, veri yetkilendirmesi için erişim denetimleri). Birçok CSP, bulut güvenlik yapılandırma araçları ve izleme sistemleri sağlar, ancak bulut müşterileri, hizmeti kurumsal güvenlik gereksinimlerine göre yapılandırmaktan sorumludur.

Paylaşılan sorumluluk, yama yönetimi gibi rutin işlemleri ve güvenlik olayı yanıtı gibi istisnai olayları etkiler. Özel sorumluluklar CSP’ye, bulut hizmeti türüne (ör. Hizmet Olarak Altyapı [IaaS] ve Hizmet Olarak Platform [PaaS]) ve belirli ürün tekliflerine (ör. Yönetilen ve yönetilmeyen sanal makineler) göre değişir. Şekil 1, bu sorumlulukların ortak bir haritasını göstermektedir.

Şekil 1: Bulut Paylaşımlı Sorumluluk Modeli

Paylaşılan sorumluluk hususları şunları içerir:

Tehdit Tespiti: CSP’ler genellikle temel bulut platformuna yönelik tehditleri tespit etmekten sorumlu olsa da, müşteriler kendi bulut kaynaklarına yönelik tehditleri tespit etme sorumluluğunu üstlenirler. CSP’ler ve üçüncü taraflar, tehdit tespitinde müşterilere yardımcı olabilecek bulut tabanlı araçlar sunabilir.

Olay Müdahalesi: CSP’ler, bulut altyapısı içindeki olaylara yanıt verecek ve bunun sorumluluğunu üstlenecek şekilde konumlandırılmıştır. Müşteri bulut ortamlarının içindeki olaylar genellikle müşterinin sorumluluğundadır, ancak CSP’ler olay müdahale ekiplerine destek sağlayabilir.

Düzeltme / Güncelleme: CSP’ler, bulut tekliflerinin güvenli ve hızlı bir şekilde yazılımlarını yamaları dahilinde olmasını sağlamaktan sorumludur, ancak genellikle müşteri tarafından yönetilen yazılımı (örneğin, IaaS tekliflerindeki işletim sistemleri) yamalamamaktadır. Bu nedenle, müşteriler buluttaki yazılım güvenlik açıklarını azaltmak için yamaları dikkatle dağıtmalıdır. Bazı durumlarda CSP’ler, işletim sistemi yamalarını da uyguladıkları yönetilen çözümler sunar.

Bulut Tehdit Aktörleri

Tehdit aktörleri, hem bulut hem de geleneksel sistem mimarilerinde aynı tür zayıflıkları hedefleyebilir. Bu bölüm buluta özgü etkinliklere odaklanmaktadır, ancak yöneticiler geleneksel taktiklerin hala geçerli olduğunun farkında olmalıdır. Örneğin, buluttaki işlenmemiş bir web uygulaması, şirket içi bir ağdan sunulanla aynı uzlaşma riskini taşır. Aşağıdaki tehdit aktörleri bulut bilişim ile ilgilidir:

Kötü Amaçlı CSP Yöneticileri

  • Platform Bulut platformunda depolanan bilgilere erişmek, bunları değiştirmek veya yok etmek için ayrıcalıklı kimlik bilgilerinden veya konumlardan yararlanılır;
  • Bulut kaynaklarına bağlı veya bu kaynakları kullanan ağlara erişim elde etmek için bulut platformunu değiştirmek için ayrıcalıklı kimlik bilgilerinden veya konumdan yararlanılır;

Kötü Amaçlı Müşteri Bulutu Yöneticileri

  • Bulut platformunda depolanan bilgilere erişmek, bunları değiştirmek veya yok etmek için ayrıcalıklı kimlik bilgilerinden yararlanılır;

Siber Suçlular ve / veya Ulus Devlet Sponsorlu Aktörler

  • Hassas veriler elde etmek veya hedefin sahip olduğu bulut kaynaklarını kullanmak için bulut mimarisinde veya yapılandırmasındaki bir zayıflıktan yararlanılır;
  • Kullanıcı kimlik bilgilerini (ör. Password sprey saldırıları) elde etmek için zayıf bulut tabanlı kimlik doğrulama mekanizmalarından yararlanılır;
  • Bulut kaynaklarına erişmek için güvenliği ihlal edilmiş kimlik bilgilerinden veya yanlış erişim ayrıcalıklarından yararlanılır;
  • Barındırma kaynaklarını kullanmak için bulut ortamına ayrıcalıklı erişim elde edilir;
  • Bulutlardan korumalı ağlara veya tam tersine korumalı ağlardan bulutlara geçiş için kuruluşun güvenli ağları ve bulut kaynakları arasındaki güven ilişkisinden yararlanılır;

Eğitimsiz veya İhmal Eden Müşteri Bulutu Yöneticileri 

Hassas verileri veya bulut kaynaklarını istemeden, yanlışlıka ortaya çıkarırlar.

Bulut Güvenlik Açıkları ve Bunları Azaltıcı Önlemler

Bulut güvenlik açıkları geleneksel mimarilerdekine benzer, ancak paylaşılan barınma ve potansiyel olarak her yerden erişimin bulutun riskini artırabilir. Aşağıda listelenen güvenlik açığı sınıfları, güvenlik açıklarını bulmak ve bu güvenlik açıklarından yararlanmak için yaygınlık ve saldırganın gücü bakımından farklılık gösterir. Aşağıdaki her bölüm bir bulut güvenlik açığı sınıfından gerçek örnekler sunar, güvenlik açığı yaygınlığını tahmin eder, saldırganın gücünü değerlendirir ve önlemleri tartışır.

Şekil 2: Bulut Güvenlik Açığı – Saldırının Gücüne Karşı Yaygınlık

Bulut güvenlik açıklarını azaltmak CSP ile müşteri kuruluşu arasında paylaşılan bir sorumluluktur. Bir kuruluşun hem buluta geçiş hem de bulut kaynaklarını koruma konusundaki başarısı için kritik olan, doğru yönetişim, bütçe ve gözetim sağlayan bilinçli liderlikten gelen destektir. Bu destek sayesinde, yöneticiler bulut kaynakları için etkili önlemleri etkinleştirebilirler. Bulut teknolojisi hızla gelişerek gözetimi karmaşık bir görev haline gelmiştir. Kuruluşlar, bulutta yeterli korumayı sağlamak için kuruluşun büyüklüğü ile orantılı özel kaynaklara ihtiyaç duyar. Ayrıca, müşteriler, tedarikçiye özgü mevcut önlemleri ve risk üzerindeki etkilerini anlamak için CSP’leriyle birlikte çalışmalıdır.

Yanlış Yapılandırma

Yaygınlık: yaygın; Saldırgan gücü: düşük

CSP’ler genellikle bulut yapılandırmasını yönetmeye yardımcı olacak araçlar sağlarken, bulut kaynaklarının yanlış yapılandırılması en yaygın bulut güvenlik açığı olmaya devam ediyor, bu açık bulut verilerine ve hizmetlerine erişmek için kullanılabilir. Genellikle bulut hizmeti politikası hatalarından veya paylaşılan sorumluluğu yanlış anlamaktan kaynaklanan yanlış yapılandırmanın, hizmet reddi duyarlılığından hesap uzlaşmasına kadar değişen bir etkisi vardır. CSP yenilikçiliğinin hızla artması yeni işlevler yaratır, ancak aynı zamanda bir kuruluşun bulut kaynaklarını güvenli bir şekilde yapılandırmasını da karmaşıklaştırır.

Kötüye kullanılan yanlış yapılandırmalara örnekleri:

  • 2017 Mayıs 2017’de büyük bir savunma yüklenicisi, halka açık erişilebilir bulut depolamasında hassas NGA verilerini ve kimlik doğrulama bilgilerini açıkladı [1];
  • 2017 Eylül 2017’de bir güvenlik araştırmacısı herkese açık bulut kullanıcılarının erişebileceği CENTCOM verilerini açıkladı [2];
  • 2019 Eylül 2019’da bir araştırma ekibi, halka açık bir Elasticsearch veritabanında bulunan DoD personelinin hassas seyahat detaylarını açıkladı[3].

 

Uygun bulut yapılandırması altyapı tasarımı ve otomasyonu ile başlar. İlk tasarım ve planlama sırasında en az ayrıcalık ve derinlemesine savunma gibi güvenlik ilkeleri uygulanmalıdır. İyi organize edilmiş bulut yönetişimi savunulabilir bir ortamın anahtarıdır. Bu ilkeleri uygulamak için teknik kontroller CSP’ye göre değişir, ancak genellikle bulut hizmeti politikaları, şifreleme, Erişim Kontrol Listeleri (ACL’ler), uygulama ağ geçitleri, İzinsiz Giriş Algılama Sistemleri (IDS’ler), Web Uygulaması Güvenlik Duvarları (WAF’ler) ve Sanal Özel Ağlar (VPN’ler) içerir. İyi tasarlanmış ve iyi uygulanmış bir bulut mimarisi, yanlış yapılandırmaları önleyen kontrolleri içerecek veya yöneticileri yanlış yapılandırmalara karşı uyaracaktır. DoD kuruluşları için DoD Cloud Computing Güvenlik Gereksinimleri Kılavuzu (CCSRG) [4], veri hassasiyetine dayanan gereksinimler kümesi sağlar. Kuruluşlar, belirli kullanım durumları için uyarlanmış ek denetimler uygulama konusunda proaktif olmalı ve güvenliği izlemek ve uygulamak için bulut tabanlı otomasyondan tam olarak yararlanmalıdır. Son olarak, bu kontroller ve yapılandırmalar statik ayarlar değildir, ancak kuruluşun bulut geçişi ve risk yönetimiyle birlikte gelişmelidir.

Kuruluşların en az yetkiyi uygulayabilmeleri için yöneticiler:

  • Kullanıcıların görevleri doğrulanmış bir rol olmadan herkese açık olarak veri paylaşmasını önlemek için bulut hizmeti politikalarını kullanın;
  • Bulut hizmeti ilkelerindeki yanlış yapılandırmaları algılamak için bulut veya üçüncü taraf araçlar kullanın;
  • Sıfır Güven modeli1 olacak şekilde bulut kaynaklarına erişimi ve bu kaynakların arasındaki erişimi sınırlandırın;
  • Kaynakların özel olarak varsayılan olmasını sağlamak için bulut hizmeti ilkelerini kullanın;
  • Açığa çıkan verileri tanımlamak için otomatik araçlarla erişim kayıtlarını denetleyin;
  • Hassas verileri onaylı depolamayla sınırlayın ve bu kısıtlamaları uygulamak için Veri Kaybını Önleme çözümlerini kullanın.

Ayrıca, derinlemesine savunmayı etkinleştirmek için yöneticiler şunları yapmalı,

  • Bulut hizmeti politikaları oluşturan veya değiştiren bireyler için CSP’ye özel eğitimin sağlanması;
  • Güçlü şifreleme yöntemleri ve düzgün yapılandırılmış, yönetilen ve izlenen anahtar yönetim sistemleri ile hareketsiz ve aktarılan verilerin şifrelenmesini sağlamak;
  • Geçerli standartlara uyunluk (örn. CSP kılavuzu, Internet Güvenlik Deneyleri Merkezi, DoD CCSRG);
  • Bulut sistemlerindeki yazılımı otomatik olarak güncellenecek şekilde yapılandırma;
  • Güçlendirilmiş yapı gerektirecek ve öngörülebilir siber savunmayı mümkün kılacak sanal makine seçimini denetleme;
  • Bulut hizmeti politikalarını ve IdAM değişikliklerini denetleyin
  • Ortamın, özellikle geçici kaynakların gerçekliğini yakalamak için tüm düzeylerde (ör. Kullanıcı platformu etkinliği, ağ akış günlükleri, SaaS / PaaS etkinliği) log tutmanın etkinleştirildiğinden ve logların sabit olarak saklandığından emin olun;
  • Mümkün olduğunda geleneksel güvenlik uygulamalarını buluta uygulayın (örn. Bulut tabanlı uç noktalar için Uç Nokta Algılama ve Yanıt [EDR] ‘yi etkinleştirin);
  • Tehditleri tespit etmek için benzersiz bir şekilde konumlandırıldıklarından CSP’den ortaya çıkan güvenlik özelliklerinden yararlanın;
  • Ayrıcalıklı hesapların kötüye kullanılmasını önlemek için en iyi uygulamaları takip edin (örneğin, görevler ayrılığı, iki kişi kontrolü);
  • Yapılandırma değişiklikleri ve güvenlik olayları için otomatik sürekli izleme oluşturun;
  • Logları karma veya çoklu bulut ortamlarından ilişkilendirin;
  • Yedeklilik, kullanılabilirlik, performans, veri sahipliği / egemenlik, fiziksel güvenlik, olay yönetimi ve bulut altyapısı şeffaflığı için kurumsal ihtiyaçları karşılayan bir sözleşme oluşturmak;
  • Bulut hizmeti politikalarını ve IdAM değişikliklerini denetleyin
  • Bir kuruluşun kontrollerini bozan Shadow IT2‘’yi tespit edin ve ortadan kaldırın.

Son olarak, buluta iyi organize olmuş şekilde geçişi sağlamak için yöneticiler:

  • Eski sistemleri “kaldır ve değiştir” yerine CSP hizmetlerini modernleştirmeyi ve bunlardan faydalanmayı seçin;
  • Geçişlerin doğru tanımlanmasını, finanse edilmesini, gözden geçirilmesini ve doğru yönetilmesini sağlayın;
  • Değişiklikleri anlayarak yeni riskleri dahil etmek için mimari ve süreçler geliştirin;
  • Verilerinizi ve bu verilerin çeşitli sistemlerde nasıl aktığını anlayın;
  • Bulut dağıtımlarında geleneksel BT işletim veya altyapı silolarının birleştirilebileceği alanları değerlendirin;
  • Yanlış yapılandırma riskini azaltmak için Kod Olarak Altyapı (tructure as Code) gibi CSP araçlarını veya tekniklerini kullanın.
  1. Sıfır Güven, hem iç hem de dış kaynakların potansiyel olarak kötü amaçlı olarak değerlendirildiği ve böylece her sistemin tüm erişimi doğruladığı bir modeldir.
  2. Gölge BT, bir kuruluşun verilerini barındıran veya işleyen, genellikle bulut tabanlı yönetilmeyen Bilgi Teknolojisini ifade eder.

Kötü Erişim Kontrolü

Yaygınlık: yaygın; Saldırgan Gücü: orta

Bulut kaynakları zayıf kimlik doğrulama / yetkilendirme yöntemleri kullandığında veya bu yöntemleri atlayan güvenlik açıkları içerdiğinde zayıf erişim denetimi oluşur. Erişim kontrol mekanizmalarındaki zayıflıklar, bir saldırganın ayrıcalıkları yükseltmesine izin verebilir ve bu da bulut kaynaklarının tehlikeye girmesine neden olabilir.

Kötü erişim kontrolü yüzünden oluşan kötüye kullanımlar,

2019 Ekim 2019’da bir CSP, çok faktörlü kimlik doğrulama kullanan bulut hesaplarının tek faktörlü kimlik doğrulama e-posta hesaplarına gönderilen şifre sıfırlama iletileriyle ele geçirildiği siber saldırıları bildirdi [5];

2018 Mart 2018’de FBI, İran tabanlı Mabna grubu hakkında, bulut tabanlı bir e-posta hizmeti için alternatif tek faktörlü protokoller kullanarak çok faktörlü kimlik doğrulamasını atladığını bildirdi [6].

Kötü kimlik denetimi, güçlü kimlik doğrulama ve yetkilendirme protokolleri uygulanarak azaltılabilir.

Aşağıdaki listede güçlü erişim kontrolü sağlamak için bazı öneriler vurgulanmaktadır:

  • Güçlü faktörlerle çok faktörlü kimlik doğrulamayı kullanın ve düzenli olarak yeniden kimlik doğrulaması isteyin,
  • Zayıf kimlik doğrulaması kullanarak protokolleri devre dışı bırakın;
  • İstenen durum bir Sıfır Güven modeli olacak şekilde bulut kaynaklarına ve bu kaynakların arasındaki erişimi sınırlandırın;
  • Mümkünse, bulut kaynakları üzerinde bulut tabanlı erişim denetimleri kullanın (örn. Sanal makineler arasında CSP tarafından yönetilen kimlik doğrulaması);
  • Güvenlik kaygıları için erişim günlüklerini denetlemek üzere otomatik araçlar kullanın;
  • Mümkünse, parola sıfırlamaları için çok faktörlü kimlik doğrulamayı zorunlu kılın;
  • Saldırganların sızabilecekleri yazılım sürüm kontrol sistemlerine API anahtarları eklemeyin.

Paylaşılan Barındırmada  Güvenlik Açıkları

Yaygınlık: nadir; Saldırgan gücü: yüksek

Bulut platformları birden çok yazılım ve donanım bileşeninden oluşur. Bir bulut mimarisinde kullanılan yazılım veya donanımı belirleyebilen rakipler, buluttaki yetkilerini artırmak için güvenlik açıklarından yararlanabilir. Bulut hipervizörlerindeki (yani sanallaştırmayı sağlayan yazılım / donanım) veya konteyner platformlarındaki güvenlik açıkları, bu teknolojilerin bulut mimarilerini güvence altına alma ve müşteri iş yüklerini izole etmede oynadığı kritik rol nedeniyle özellikle önemlidir.

Hipervizör güvenlik açıklarının keşfedilmesi ve kullanılması zor ve pahalıdır, bu da gelişmiş saldırganlar tarafından yapılmasına neden olur. Önde gelen CSP’ler, güvenlik açıkları için hiper yönetici kodunu sürekli olarak tarar ve güvenlik açıklarını belirlemek ve gidermek için hiper yöneticilerini fuzz testine gönderir. CSP’ler ayrıca sistem kayıtlarını hiper yönetici kötüye kullanımına dair herhangi bir kanıt için tarar.

Konteynerleştirme, performans ve taşınabilirlik için cazip bir teknoloji olmakla birlikte, çok kiracılı (paylaşımlı) bir ortamda konuşlandırılmadan önce dikkatle düşünülmelidir. Kapsayıcılar, sanallaştırmanın sağladığı soyutlama katmanı olmadan paylaşılan bir çekirdek üzerinde çalışır. Bulut gibi çok kiracılı bir ortamda, kapsayıcı platformundaki bir güvenlik açığı, bir saldırganın aynı ana bilgisayardaki diğer kiracıların konteynerlarını da  tehlikeye atmasına neden olabilir.

Herhangi bir büyük bulut platformunda bildirilmiş hiçbir izolasyon sorun yaşamadıysa da,  güvenlik araştırmacıları hem hipervizör hem de konteyner kesintilerini gösterdiler:

2017 Pwn2Own bilgisayar korsanlığı yarışmasında iki ekip, ana bilgisayar işletim sisteminde saldırgan tarafından denetlenen yürütmeye izin veren hipervizör koparma saldırılarını başarıyla gösterdi; [7]

US 2019 USENIX Saldırı Teknolojileri Çalıştayı’nda (WOOT), araştırmacılar çıplak bir metal (Tip 1) hipervizörde konuk ortamından çıkmak ve ev sahibi sisteme erişmek için bir istismar zinciri sundular; [8]

2019 yılında, bir kapsayıcı (container) platformunda, bir saldırganın kapsayıcı çalışma zamanının üzerine yazmasına ve aynı platformda çalışan diğer kapsayıcılara erişmek için bu yetenekten yararlanmasına izin veren bir güvenlik açığı buldu. [9]

İşlemcilerdeki donanım açıklarının bulut güvenliği üzerinde de büyük etkisi olabilir. Yonga tasarımındaki kusurlar, yan kanal saldırıları yoluyla buluttaki kiracı bilgilerinin tehlikeye girmesine neden olabilir [10]. Bu veya diğer donanım açıklarını kullanan belgelenmiş bir saldırı olmamıştır; ancak, bulutta paylaşılan donanım kullanımı gelecekteki güvenlik açıklarının etkisini artıracaktır. Buna karşı çıkmak için CSP’ler, ortamlarını diğer ortamlardan daha büyük ölçekte ve daha hızlı bir şekilde donanım güvenlik açıklarını azaltma avantajına sahiptir.

Paylaşılan kiracılık güvenlik açıklarına yönelik önlemler, kurumsal kaynakların CSP tarafından sağlanan mekanizmaları kullanarak diğer bulut kiracılarından ayrılmasını içerir. Önerilen önlemler:

  • Güçlü şifreleme yöntemleri ve uygun şekilde yapılandırılmış, yönetilen ve izlenen anahtar yönetim sistemleri ile hareketsiz ve hareketli verilerin şifrelenmesini zorunlu kılmak;
  • DoD kuruluşları için DoD CCSRG akredite bulut hizmetlerini kullanın
  • Özellikle hassas iş yükleri için, kaynaklarınıza erişim elde etmek için bir hiper yönetici güvenlik açığı riskini azaltarak dedike, tüm birim veya bare metal örnekleri kullanın;
  • Hassas iş yükleri için, varsa kapsayıcılık yerine yalıtım için sanallaştırmayı kullanın;
  • Bir bulut hizmetinin (örneğin, sunucusuz bilgi işlem) kullanımını düşünürken, temeldeki yalıtım teknolojisini (örn. Sanallaştırma, kapsayıcılaştırma) ve kullanım amacı için riski azaltıp azaltmadığını anlayın;
  • Kritik bileşenleri Ulusal Bilgi Güvencesi Ortaklığı (NIAP) Koruma Profilleri’ne (PP), özellikle NIAP Sunucu Sanallaştırma PP’sine göre değerlendirilen hipervizörlere göre değerlendirilmiş bulut tekliflerini seçin.

 

Tedarik Zinciri Güvenlik Açıkları

Yaygınlık: nadir; Saldırgan gücü: yüksek

Buluttaki Tedarik Zinciri güvenlik açıkları, iç saldırganların ve donanım ve yazılımda kasıtlı olarak arka odaların varlığını içerir. CSP’ler dünyanın her yerinden donanım ve yazılım tedarik eder ve birçok milletten geliştirici istihdam eder. Üçüncü taraf yazılım bulut bileşenleri, uygulamanın güvenliğini aşmak için geliştirici tarafından bilerek eklenen güvenlik açıkları içerebilir. Bulut tedarik zincirine tedarikçi, yönetici veya geliştirici olarak bir ajan eklemek, ulus devlet saldırganlarının bulut ortamlarında faaliyet göstermesine etkili bir araç olabilir.

Bulut ortamına özgü olmasa da, tedarik zinciri saldırılarının bazı örnekleri şunlardır:

  • ShadowHammer işleminde, canlı güncelleme sunucularından indirmeler kötü niyetli işlevler eklemek için değiştirildi. Yazılımın analizi, saldırganın amacının MAC adreslerini hedefleyerek belirli ana bilgisayarlara saldırmak olduğunu göstermesine rağmen, yazılımı yarım milyon kullanıcı indirdi. [11]
  • 2019 Aralık 2019’da, geliştiricilerin farkında olmadan kurdukları sistemlerden kimlik bilgilerini çalmak için iki kötü amaçlı Python Paket Dizini (PyPI) kütüphanesi bulundu. [12]

Bulut platformuna yönelik tedarik zinciri saldırılarını hafifletmek temel olarak CSP’nin sorumluluğundadır. Bulut satıcıları tedarik zinciri risklerinin farkındadır ve yazılım testi ve donanım doğrulaması yoluyla arka kapıların göstergelerini arar. CSP’ler, rol ayrımı, özellikle hassas işlemler için iki kişinin bütünlüğü ve şüpheli yönetici etkinliklerine karşı uyarı gibi denetimlerle iç saldırganların riskini azaltır.

Bir kuruluşun tedarik zinciri saldırılarına karşı savunmasını güçlendirmek için yöneticiler:

 

  • Güçlü şifreleme yöntemleri ve uygun şekilde yapılandırılmış, yönetilen ve izlenen anahtar yönetim sistemleri ile hareketsiz ve geçişte verilerin şifrelenmesini zorunlu kılmak;
  • Geçerli akreditasyon süreçleri (örn. DoD bileşenleri için CCSRG) uyarınca bulut kaynaklarını uyarlayın;
  • Kritik bileşenleri Ulusal Bilgi Güvencesi Ortaklığı (NIAP) Koruma Profilleri’ne (PP’ler) göre değerlendirilmiş bulut tekliflerini seçin; NIAP değerlendirmeleri bileşenlerde arka kapıları açığa çıkarabilir;
  • Geliştirme ve aktarım sözleşmelerinin, iç standartlara veya tedarik zinciri riskini azaltmak için eşdeğer süreçlere uyumunun şart koşmasını sağlamak;
  • Kötü amaçlı bulut pazar teklifleri gibi güvenilmez üçüncü taraf ürünlerinin kullanımını önlemek için sanal makine görüntülerinin seçimini kontrol edin;
  • Risk kararları almak için tedarikçinize özgü önlemleri CSP’nizle tartışın;
  • Geçerli standartlara uyun, güvenli kodlama uygulamalarından yararlanın ve kurumsal uygulamaların güvenliği, bütünlüğü ve esnekliğinde sürekli iyileştirme uygulayın.

Sonuç

Buluttaki riski yönetmek, müşterilerin yalnızca satın alma sırasında değil aynı zamanda devam eden bir süreç olarak tehditlere ve güvenlik açıklarına maruz kalmayı tam olarak düşünmelerini gerektirir. Bulutlar, tehdit ve savunma da dahil olmak üzere güvenlikle ilgili süreçleri tamamen otomatikleştirme yeteneği gibi geleneksel, şirket içi teknolojiye göre bir dizi güvenlik avantajı sağlayabilir. Dikkatli uygulama ve yönetim sayesinde bulut yetenekleri, bulutun benimsenmesiyle ilişkili riskleri en aza indirebilir ve müşterilerin bulut güvenliği geliştirmelerinden faydalanmalarını sağlayabilir. Müşteriler, bulutun korunmasında CSP ile sahip oldukları ortak sorumluluğu anlamalıdır. CSP’ler müşterilerin bulut kaynaklarını daha güvenli hale getirmeye yardımcı olmak için özel karşı önlemler sunabilir. Buluttaki güvenlik sürekli bir süreçtir ve müşteriler bulut kaynaklarını sürekli olarak izlemeli ve güvenliklerini iyileştirmek için çalışmalıdır.

CSP: Müşteri Güvenlik Programı

KM: Şifreleme ve anahtar yönetimi


Alıntılanan Çalışmalar:

 

 

[1] Fazzini, K. (2019), A Technical Slip-up Exposes Cloud Collaboration Risks. [Online] Available at: https://www.wsj.com/articles/a-technical-slip-up-exposes-cloud-collaboration-risks-1497353313 [Accessed Jan. 9, 2020]

[2] Larson, S. (2017), Pentagon exposed some of its data on Amazon server. [Online] Available at: https://money.cnn.com/2017/11/17/technology/centcom-data-exposed/index.html [Accessed Jan. 9, 2020]

[3] Clanburn, T. (2019), Messed Western: Vuln hunters say hotel giant’s Autoclerk code exposed US soldiers’ info, travel plans, passwords… [Online] Available at: https://theregister.co.uk/2019/10/22/autoclerk_army_data/ [Accessed Jan. 9, 2020]

[4] Defense Information Systems Agency (2017), DoD Cloud Computing Security Requirements Guide. [Online] Available at: https://public.cyber.mil/dccs-documents/ [Accessed Jan. 9, 2020]

[5] Burt, T. (2019), Recent cyberattacks require us all to be vigilant. [Online] Available at: https://blogs.microsoft.com/on-the-issues/2019/10/04/recent-cyberattacks-require-us-all-to-be-vigilant/ [Accessed Jan. 9, 2020]

[6] Federal Bureau of Investigation (2018), ME-000092-TT FBI Flash: Malicious Cyber Activity of Iran-based Mabna Institute

[7] Christopher, K. (2017), The Security Landscape: Pwn2Own 2017. [Online] Available at: https://blogs.vmware.com/security/2017/03/security-landscape-pwn2own-2017.html [Accessed Jan. 9, 2020]

[8] Zhao, H et al. (2019), Breaking Turtles All the Way Down: An Exploitation Chain to Break out of VMware ESXi. [Online] Available at: https://usenix.org/system/files/woot19-paper_zhao.pdf [Accessed Jan. 9, 2020]

[9] Avrahami, Y. (2019) Breaking out of Docker via runC – Explaining CVE-2019-5736. [Online] Available at: https://unit42.paloaltonetworks.com/breaking-docker-via-runc-explaining-cve-2019-5736 [Accessed Jan. 9, 2019]

[10] Graz University of Technology (2018), Meltdown and Spectre. [Online] Available at: https://meltdownattack.com [Accessed Jan. 9, 2020]

[11] O’Flaherty, K. (2019), Hackers Used Malicious Update to Target 1 Million Asus Devices. [Online] Available at: https://forbes.com/sites/kateoflahertyuk/2019/03/25/hackers-used-a-backdoor-to-infect-asus-users-find-out-whos-affected/ [Accessed Jan. 9, 2020]

[12] Bradbury, D. (2019), Machine-raiding Python libraries squashed by community. [Online] Available at: https://nakedsecurity.sophos.com/2019/12/05/machine-raiding-python-libraries-squashed-by-community/ [Accessed Jan. 9, 2020]

Cybersecurity Information | Mitigating Cloud Vulnerabilities

U/OO/106445-20 PP-20-0025 22 JANUARY 2020

https://media.defense.gov/2020/Jan/22/2002237484/-1/-1/0/CSI-MITIGATING-CLOUD-VULNERABILITIES_20200121.PDF

Çeviri ve düzenleme:  Burak Bozkurtlar

 

Tags : bulut güvenliğiCybersecurity Information | Mitigating Cloud Vulnerabilitiessiber güvenlik
Burak Bozkurtlar

The author Burak Bozkurtlar

Siber Güvenilir Türkiye

Leave a Response