Aracılığıyla paylaş

Güvenlik ekipleri, roller ve işlevler

  • Makale

Bu makalede, bulut güvenliği için gereken güvenlik rolleri ve bulut altyapısı ve platformlarıyla ilgili olarak gerçekleştirdikleri işlevler açıklanmaktadır. Bu roller, güvenliğin geliştirmeden operasyonlara ve sürekli iyileştirmeye kadar bulut yaşam döngüsünün her aşamasının bir parçası olduğundan emin olmanıza yardımcı olur.

Bulut benimsemeye dahil olan yöntemleri gösteren diyagram. Diyagramda her aşama için kutular bulunur: ekipler ve roller, strateji, plan, hazır, benimseme, idare ve yönetme. Bu makalenin kutusu vurgulanmış.

Not

Azure için Bulut Benimseme Çerçevesi, bulut altyapısına ve birden çok iş yükünü destekleyen platformlara odaklanır. Tek tek iş yükleri için güvenlik yönergeleri için Bkz . Azure İyi Tasarlanmış Çerçeve'deki güvenlik kılavuzu .

Kuruluşunuzun boyutuna ve diğer faktörlere bağlı olarak, bu makalede açıklanan roller ve işlevler tek bir kişi veya ekip yerine birden çok işlev (rol) gerçekleştiren kişiler tarafından karşılanabilir. Kuruluşlar ve büyük kuruluşlar daha özelleştirilmiş rollere sahip daha büyük ekiplere sahip olma eğilimindedirken, küçük kuruluşlar daha az sayıda kişi arasında birden çok rolü ve işlevi birleştirme eğilimindedir. Belirli güvenlik sorumlulukları, kuruluşun kullandığı teknik platformlara ve hizmetlere bağlı olarak da farklılık gösterir.

Bazı güvenlik görevleri doğrudan teknoloji ve bulut ekipleri tarafından gerçekleştirilir. Diğerleri, teknoloji ekipleriyle işbirliği içinde çalışan özel güvenlik ekipleri tarafından gerçekleştirilebilir. Kuruluşunuzun boyutu ve yapısı ne olursa olsun, paydaşların yapılması gereken güvenlik işlerini net bir şekilde anlamaları gerekir. Herkesin, temel gereksinim olarak güvenliği dikkate alan ve dengeleyen bulut hizmetleri hakkında iyi kararlar alabilmesi için, kuruluşun iş gereksinimlerini ve güvenlik risk toleransını da bilmesi gerekir.

Ekiplerin ve rollerin gerçekleştirdiği belirli işlevleri ve farklı ekiplerin bulut güvenliği kuruluşunun tamamını kapsayacak şekilde nasıl etkileşim kurduğunu anlamanıza yardımcı olması için bu makaledeki kılavuzu kullanın.

Güvenlik rollerinin dönüşümü

Güvenlik mimarisi, mühendislik ve operasyon rolleri, sorumlulukları ve süreçlerinde önemli bir dönüşümden geçiyor. (Bu dönüşüm, altyapı ve platform rollerinin bulut tabanlı dönüşümüne benzer.) Bu güvenlik rolü dönüşümü birden çok faktör tarafından yönlendirilmiştir:

  • Güvenlik araçları giderek SaaS tabanlı hale geldikçe, güvenlik aracı altyapılarını tasarlamaya, uygulamaya, test etmeye ve çalıştırmaya daha az ihtiyaç vardır. Bu rollerin güvenlik gereksinimlerini karşıladığından emin olmak için bulut hizmetlerini ve çözümlerini yapılandırmanın (sürekli iyileştirme dahil) tam yaşam döngüsünü desteklemesi gerekir.

  • Güvenliğin herkesin işi olduğunu kabul etmek, güvenlik ve teknoloji ekiplerinin birlikte çalışmasını sağlayan daha işbirliğine dayalı ve olgun bir yaklaşım sağlamaktır:

    • Teknik mühendislik ekipleri, güvenlik önlemlerinin iş yüklerine etkili bir şekilde uygulanmasını sağlamakla sorumlu tutulur. Bu değişiklik, güvenlik ekiplerinin bu yükümlülükleri etkili ve verimli bir şekilde yerine getirme konusunda bağlam ve uzmanlık ihtiyaçlarını artırır.

    • Güvenlik ekipleri, (biraz saldırgan) bir kalite denetimi rolünden teknik ekiplere olanak tanıyan bir role geçiş yapıyor: güvenli yolu en kolay yol haline getiriyor. Güvenlik ekipleri otomasyon, belge, eğitim ve diğer stratejileri kullanarak uyuşma ve engelleri azaltır.

  • Güvenlik ekipleri, birden çok teknoloji ve sistemdeki güvenlik sorunlarına bakma becerilerini giderek daha genişlemektedir. Bunlar dar teknik alanlara (örneğin ağ güvenliği, uç nokta güvenliği, uygulama güvenliği ve bulut güvenliği) odaklanmak yerine tam saldırgan yaşam döngüsünü ele almaktadır. Bulut platformlarının farklı teknolojileri birbirine yakın bir şekilde tümleştirmesi, bu beceri geliştirme gereksinimini güçlendirir.

  • Hem teknoloji hem de güvenlik bulutu hizmetlerinden artan değişiklik oranı, güvenlik süreçlerinin eşitlenmiş durumda tutmak ve riski etkili bir şekilde yönetmek için sürekli olarak güncelleştirilmasını gerektirir.

  • Güvenlik tehditleri artık ağ tabanlı güvenlik denetimlerini güvenilir bir şekilde atlar, bu nedenle güvenlik ekiplerinin kimlik, uygulama güvenliği, uç nokta güvenliği, bulut güvenliği, CI/CD, kullanıcı eğitimi ve diğer denetimleri içeren bir Sıfır Güven yaklaşımı benimsemesi gerekir.

  • DevOps/DevSecOps işlemlerinin benimsenmesi, güvenliğin daha hızlı çözüm geliştirme yaşam döngüsüyle yerel olarak tümleştirilmesi için güvenlik rollerinin daha çevik olmasını gerektirir.

Rollere ve ekiplere genel bakış

Aşağıdaki bölümler, ekiplerin ve rollerin (bu işlevler kuruluşta mevcut olduğunda) genellikle temel bulut güvenliği işlevlerini hangi şekilde gerçekleştirdiği konusunda rehberlik sağlar. Mevcut yaklaşımınızı eşlemeli, boşlukları aramalı ve kuruluşunuzun bu boşlukları gidermek için yatırım yapıp yapmadığını değerlendirmeniz gerekir.

Güvenlik görevlerini gerçekleştiren roller aşağıdaki rolleri içerir.

  • Bulut hizmeti sağlayıcı

  • Altyapı/platform ekipleri (mimari, mühendislik ve operasyonlar)

  • Güvenlik mimarisi, mühendislik ve duruş yönetimi ekipleri:

    • Güvenlik mimarları ve mühendisleri (veri güvenliği, kimlik ve erişim yönetimi (IAM), ağ güvenliği, sunucular ve kapsayıcı güvenliği, uygulama güvenliği ve DevSecOps)

    • Yazılım güvenliği mühendisleri (uygulama güvenliği)

    • Duruş yönetimi (güvenlik açığı yönetimi / saldırı yüzeyi yönetimi)

  • Güvenlik işlemleri (SecOps/SOC):

    • Önceliklendirme analistleri (katman 1)

    • Araştırma analistleri (katman 2)

    • Tehdit avcılığı

    • Tehdit bilgileri

    • Algılama mühendisliği

  • Güvenlik İdaresi, Risk ve Uyumluluk (GRC)

  • Güvenlik eğitimi ve farkındalığı

Herkesin güvenlikteki rolünü ve diğer ekiplerle nasıl çalışıldığını anlamasını sağlamak kritik önem taşır. Bu hedefe ulaşmak için ekipler arası güvenlik süreçlerini ve teknik ekipleriniz için paylaşılan sorumluluk modelini belgeleyebilirsiniz. Bunu yapmak, kapsam boşluklarından ve çakışan çalışmalardan kaynaklanan risk ve israftan kaçınmanıza yardımcı olur. Ayrıca, zayıf kimlik doğrulaması ve şifreleme çözümleri seçen ve hatta kendi kimlik doğrulama çözümlerini oluşturmaya çalışan ekipler gibi yaygın hatalardan (kötü amaçlı yazılımlardan) kaçınmanıza da yardımcı olur.

Not

Paylaşılan sorumluluk modeli Sorumlu, Sorumlu, Sorumlu, Danışılan, Bilgilendirilmiş (RACI) modeline benzer. Paylaşılan sorumluluk modeli, kimin karar aldığı ve ekiplerin belirli öğeler ve sonuçlar için birlikte çalışmak için ne yapması gerektiği konusunda işbirliğine dayalı bir yaklaşım göstermeye yardımcı olur.

Bulut hizmeti sağlayıcı

Bulut hizmeti sağlayıcıları, temel alınan bulut platformu için güvenlik işlevleri ve özellikleri sağlayan sanal ekip üyeleridir. Bazı bulut sağlayıcıları, ekiplerinizin güvenlik duruşunuzu ve olaylarınızı yönetmek için kullanabileceği güvenlik özellikleri ve özellikleri de sağlar. Bulut hizmetleri sağlayıcılarının neler gerçekleştirdiği hakkında daha fazla bilgi için bkz . Bulut paylaşılan sorumluluk modeli.

Birçok bulut hizmeti sağlayıcısı, istek üzerine veya Microsoft hizmet güveni portalı gibi bir portal aracılığıyla güvenlik uygulamaları ve denetimleri hakkında bilgi sağlar.

Altyapı/platform ekipleri (mimari, mühendislik ve operasyonlar)

Altyapı/platform mimarisi, mühendislik ve operasyon ekipleri bulut altyapısı ve platform ortamlarında (sunucular, kapsayıcılar, ağ, kimlik ve diğer teknik bileşenler arasında) bulut güvenliği, gizlilik ve uyumluluk denetimlerini uygular ve tümleştirir.

Mühendislik ve operasyon rolleri öncelikli olarak bulut veya sürekli tümleştirme ve sürekli dağıtım (CI/CD) sistemlerine odaklanabilir veya tüm bulut, CI/CD, şirket içi ve diğer altyapılar ve platformlar üzerinde çalışabilir.

Bu ekipler, kuruluşun iş iş yüklerini barındıran bulut hizmetleri için tüm kullanılabilirlik, ölçeklenebilirlik, güvenlik, gizlilik ve diğer gereksinimleri karşılamakla sorumludur. Tüm bu gereksinimleri harmanlayan ve dengeleyen sonuçlar elde etmek için güvenlik, risk, uyumluluk ve gizlilik uzmanlarıyla işbirliği içinde çalışırlar.

Güvenlik mimarisi, mühendislik ve duruş yönetimi ekipleri

Güvenlik ekipleri, güvenlik stratejisini, ilkesini ve standartlarını eyleme dönüştürülebilir mimarilere, çözümlere ve tasarım desenlerine çevirmeye yardımcı olmak için altyapı ve platform rolleriyle (ve diğerleriyle) birlikte çalışır. Bu ekipler, altyapının ve bunu yönetmek için kullanılan süreçlerin ve araçların güvenliğini değerlendirerek ve etkileyerek bulut ekiplerinin güvenlik başarısını etkinleştirmeye odaklanır. Altyapı için güvenlik ekipleri tarafından gerçekleştirilen yaygın görevlerden bazıları şunlardır:

  • Güvenlik mimarları ve mühendisleri , altyapı/platform muadilleriyle işbirliği içinde denetimler tasarlamak ve uygulamak için bulut ortamlarına yönelik güvenlik ilkelerini, standartlarını ve yönergelerini uyarlar. Güvenlik mimarları ve mühendisler, aşağıdakileri içeren çok çeşitli öğelerde yardımcı olabilir:

    • Kiracılar/abonelikler. Güvenlik mimarları ve mühendisleri, bulut sağlayıcıları genelinde bulut kiracıları, abonelikler ve hesaplar için güvenlik yapılandırmaları oluşturmaya yardımcı olmak için altyapı mimarları ve mühendisler ve erişim mimarları (kimlik, ağ, uygulama ve diğerleri) ile birlikte çalışır (güvenlik duruşu yönetim ekipleri tarafından izlenir).

    • IAM. Erişim mimarları (kimlik, ağ, uygulama ve diğerleri), erişim yönetimi çözümleri tasarlamak, uygulamak ve çalıştırmak için kimlik mühendisleri ve operasyonlar ve altyapı/platform ekipleri ile işbirliği gerçekleştirir. Bu çözümler, kuruluşun iş varlıklarının yetkisiz kullanımına karşı koruma sağlarken, yetkili kullanıcıların kuruluş kaynaklarına kolay ve güvenli bir şekilde erişmek için iş süreçlerini izlemesine olanak tanır. Bu ekipler kimlik dizinleri ve çoklu oturum açma (SSO) çözümleri, parolasız ve çok faktörlü kimlik doğrulaması (MFA), risk tabanlı koşullu erişim çözümleri, iş yükü kimlikleri, ayrıcalıklı kimlik/erişim yönetimi (PIM/PAM), bulut altyapısı ve yetkilendirme yönetimi (CIEM) gibi çözümler üzerinde çalışır. Bu ekipler ayrıca güvenlik hizmeti uç (SSE) çözümleri tasarlamak, uygulamak ve çalıştırmak için ağ mühendisleri ve operasyonlarla işbirliği de gerçekleştirir. İş yükü ekipleri, tek tek iş yükü ve uygulama bileşenlerine sorunsuz ve daha güvenli erişim sağlamak için bu özelliklerden yararlanabilir.

    • Veri güvenliği. Güvenlik mimarları ve mühendisleri, altyapı/platform ekiplerinin tüm veriler için temel veri güvenliği özellikleri oluşturmasına ve tek tek iş yüklerindeki verileri sınıflandırmak ve korumak için kullanılabilecek gelişmiş özellikler oluşturmasına yardımcı olmak için verilerle ve yapay zeka mimarlarıyla ve mühendislerle birlikte çalışır. Temel veri güvenliği hakkında daha fazla bilgi için bkz. Microsoft güvenliği Veri Koruması karşılaştırması. Tek tek iş yüklerindeki verileri koruma hakkında daha fazla bilgi için İyi Tasarlanmış Çerçeve kılavuzuna bakın.

    • Ağ güvenliği. Güvenlik mimarları ve mühendisleri, altyapı/platform ekiplerinin buluta bağlantı (özel/kiralanan hatlar), uzaktan erişim stratejileri ve çözümleri, giriş ve çıkış güvenlik duvarları, web uygulaması güvenlik duvarları (WAF'ler) ve ağ segmentasyonu gibi temel ağ güvenlik özellikleri oluşturmasına yardımcı olmak için ağ mimarları ve mühendisleriyle birlikte çalışır. Bu ekipler SSE çözümlerini tasarlamak, uygulamak ve çalıştırmak için kimlik mimarları, mühendisler ve operasyonlarla işbirliği de gerçekleştirir. İş yükü ekipleri, tek tek iş yükü ve uygulama bileşenlerinin ayrı ayrı korunmasını veya yalıtımını sağlamak için bu özelliklerden yararlanabilir.

    • Sunucular ve kapsayıcı güvenliği. Güvenlik mimarları ve mühendisleri altyapı mimarları ve mühendisleriyle işbirliği yaparak altyapı/platform ekiplerinin sunucular, sanal makineler (VM'ler), kapsayıcılar, düzenleme/yönetim, CI/CD ve ilgili sistemler için temel güvenlik özellikleri oluşturmasına yardımcı olur. Bu ekipler bulma ve envanter işlemleri, güvenlik temeli/karşılaştırma yapılandırmaları, bakım ve düzeltme eki uygulama işlemleri, yürütülebilir ikili dosyalar, şablon görüntüleri, yönetim süreçleri ve daha fazlası için izin verilenler listesi oluşturur. İş yükü ekipleri, tek tek iş yükü ve uygulama bileşenleri için sunucular ve kapsayıcılar için güvenlik sağlamak üzere bu temel altyapı özelliklerinden de yararlanabilir.

    • Yazılım güvenliği temelleri (uygulama güvenliği ve DevSecOps için). Güvenlik mimarları ve mühendisleri, altyapı/platform ekiplerinin tek tek iş yükleri, kod tarama, yazılım malzeme listesi (SBOM) araçları, WAF'ler ve uygulama tarama tarafından kullanılabilecek uygulama güvenliği özellikleri oluşturmasına yardımcı olmak için yazılım güvenlik mühendisleriyle birlikte çalışır. Güvenlik geliştirme yaşam döngüsü (SDL) oluşturma hakkında daha fazla bilgi için bkz . DevSecOps denetimleri . İş yükü ekiplerinin bu özellikleri nasıl kullandığı hakkında daha fazla bilgi için, İyi Tasarlanmış Çerçeve'deki güvenlik geliştirme yaşam döngüsü kılavuzuna bakın.

  • Yazılım güvenliği mühendisleri kod olarak altyapı (IaC), CI/CD iş akışları ve diğer özel olarak oluşturulmuş araçlar veya uygulamalar dahil olmak üzere altyapıyı yönetmek için kullanılan kodu, betikleri ve diğer otomatik mantığı değerlendirir. Bu mühendisler derlenmiş uygulamalarda, betiklerde, otomasyon platformlarının yapılandırmalarında ve saldırganların sistemin çalışmasını işlemesine olanak tanıyabilecek diğer yürütülebilir kod veya betik biçimlerinde resmi kodu korumak için çalışmalıdır. Bu değerlendirme yalnızca bir sistemin tehdit modeli analizini gerçekleştirmeyi veya kod gözden geçirme ve güvenlik tarama araçlarını içerebilir. SDL oluşturma hakkında daha fazla bilgi için SDL uygulamaları kılavuzuna bakın.

  • Duruş yönetimi (güvenlik açığı yönetimi / saldırı yüzeyi yönetimi), teknik operasyon ekipleri için güvenlik etkinleştirmesine odaklanan operasyonel güvenlik ekibidir. Duruş yönetimi, bu ekiplerin saldırı tekniklerini engellemek veya azaltmak için denetimleri önceliklendirmesine ve uygulamasına yardımcı olur. Duruş yönetimi ekipleri tüm teknik operasyon ekipleri (bulut ekipleri dahil) genelinde çalışır ve genellikle güvenlik gereksinimlerini, uyumluluk gereksinimlerini ve idare süreçlerini anlamanın birincil aracı olarak görev görür.

    Duruş yönetimi genellikle yazılım mühendislerinin uygulama geliştirme ekipleri için güvenlik CoE'sı olarak hizmet verme şekline benzer şekilde güvenlik altyapısı ekipleri için mükemmellik merkezi (CoE) görevi görür. Bu ekipler için tipik görevler şunlardır.

    • Güvenlik duruşu izleme. Microsoft Güvenlik Açıkları Yönetimi, Microsoft Entra İzin Yönetimi, Microsoft dışı güvenlik açığı ve Dış Saldırı Yüzeyi Yönetimi (EASM) ve CIEM araçları ve özel güvenlik duruşu araçları ve panoları gibi duruş yönetim araçlarını kullanarak tüm teknik sistemleri izleyin. Ayrıca duruş yönetimi aşağıdakilere göre içgörüler sağlamak için analiz gerçekleştirir:

      • Yüksek olasılıkla ve zarar verici saldırı yollarını tahmin etme. Saldırganlar farklı sistemlerde birden çok varlığı ve güvenlik açığını birbirine bağlayarak iş açısından kritik sistemlerin yollarını arar (örneğin, kullanıcı uç noktalarının güvenliğini aşmak, ardından bir yönetici kimlik bilgilerini yakalamak için karma/anahtar kullanın, sonra da iş açısından kritik verilere erişin). Duruş yönetimi ekipleri, her zaman teknik listelerde ve raporlarda görünmeyen bu gizli riskleri keşfetmek ve azaltmak için güvenlik mimarları ve mühendislerle birlikte çalışır.

      • Güvenlik duruşu araçlarından alınan teknik verilerin ötesinde daha ayrıntılı bilgi ve içgörüler elde etmek için sistem yapılandırmalarını ve operasyonel süreçleri gözden geçirmek için güvenlik değerlendirmeleri gerçekleştirme. Bu değerlendirmeler, resmi olmayan keşif konuşmaları veya resmi tehdit modelleme alıştırmaları biçiminde olabilir.

    • Öncelik belirleme konusunda yardımcı olun. Teknik ekiplerin varlıklarını proaktif olarak izlemesine ve güvenlik çalışmalarını önceliklendirmesine yardımcı olun. Duruş yönetimi, güvenlik uyumluluk gereksinimlerine ek olarak güvenlik riski etkisini (deneyim, güvenlik operasyonları olay raporları ve diğer tehdit bilgileri, iş zekası ve diğer kaynaklar tarafından bilgilendirilir) göz önünde bulundurarak risk azaltma çalışmasının bağlam içine alınmasına yardımcı olur.

    • Eğit, akıl hocası ve şampiyon. Eğitim, bireysel rehberlik ve resmi olmayan bilgi aktarımı ile teknik mühendislik ekiplerinin güvenlik bilgi ve becerilerini artırın. Duruş yönetimi rolleri, kurumsal hazırlık / eğitim ve güvenlik eğitimi ile resmi güvenlik eğitimi ve güvenlik konusunda iş ortaklarını güvenlik konusunda eğiten ve eğiten teknik ekipler içinde güvenliği ayarlama konusunda görevlendirme rolleriyle de çalışabilir.

    • Boşlukları belirleyin ve düzeltmeleri önerin. Genel eğilimleri, süreç boşluklarını, araç boşluklarını ve riskler ve risk azaltmalarla ilgili diğer içgörüleri belirleyin. Duruş yönetimi rolleri, çözüm geliştirmek, finansman çözümleri için bir örnek oluşturmak ve düzeltmeleri dağıtmaya yardımcı olmak için güvenlik mimarları ve mühendisleriyle işbirliği yapar ve iletişim kurar.

    • Güvenlik işlemleriyle (SecOps) eşgüdümlü çalışma. Teknik ekiplerin algılama mühendisliği ve tehdit avcılığı ekipleri gibi SecOps rolleriyle çalışmasına yardımcı olun. Tüm operasyonel rollerdeki bu süreklilik, algılamaların yerinde ve doğru şekilde uygulanmasını, güvenlik verilerinin olay araştırması ve tehdit avcılığı için kullanılabilir olmasını, işlemlerin işbirliği için mevcut olmasını ve daha fazlasını sağlamaya yardımcı olur.

    • Raporlar sağlayın. Kurumsal risk süreçlerini güncelleştirmek için üst yönetime ve paydaşlara güvenlik olayları, eğilimler ve performans ölçümleri hakkında zamanında ve doğru raporlar sağlayın.

    Duruş yönetimi ekipleri genellikle Açık Grup Sıfır Güven Başvuru Modeli'nde açıklanan işlevsel, yapılandırma ve işletimsel güvenlik açığı türlerinin tamamını ele almak için mevcut yazılım güvenlik açığı yönetimi rollerinden gelişir. Her güvenlik açığı türü, yetkisiz kullanıcıların (saldırganlar dahil) yazılım veya sistemlerin denetimini ele geçirmesine olanak tanıyarak iş varlıklarına zarar vermelerini sağlayabilir.

    • İşlevsel güvenlik açıkları yazılım tasarımında veya uygulamasında ortaya çıkar. Etkilenen yazılımın yetkisiz denetimine izin verebilirler. Bu güvenlik açıkları, kendi ekiplerinizin geliştirdiği yazılımlardaki kusurlar veya ticari veya açık kaynak yazılımlarda (genellikle Ortak Güvenlik Açıkları ve Etkilenmeler tanımlayıcısı tarafından izlenen) kusurlar olabilir.

    • Yapılandırma güvenlik açıkları , sistem işlevselliğine yetkisiz erişim sağlayan sistemlerin yanlış yapılandırılmalarıdır. Bu güvenlik açıkları, yapılandırma kayılması olarak da bilinen devam eden işlemler sırasında ortaya konabilir. Ayrıca yazılım ve sistemlerin ilk dağıtımı ve yapılandırması sırasında veya bir satıcının zayıf güvenlik varsayılanları tarafından da tanıtılabilir. Bazı yaygın örnekler aşağıdakileri içermektedir:

      • DNS kayıtları ve grup üyeliği gibi öğelere yetkisiz erişim sağlayan yalnız bırakılmış nesneler.

      • Aşırı yönetim rolleri veya kaynaklara yönelik izinler.

      • Bilinen güvenlik sorunları olan daha zayıf bir kimlik doğrulama protokolünün veya şifreleme algoritmasının kullanılması.

      • Zayıf varsayılan yapılandırmalar veya varsayılan parolalar.

    • operasyonel güvenlik açıkları , sistemlerin yetkisiz erişimine veya denetimine izin veren standart işletim süreçlerinde ve uygulamalarında zayıflıklardır. Örnekler şunları içerir:

      • Yöneticiler ayrıcalıklı görevleri gerçekleştirmek için kendi hesapları yerine paylaşılan hesapları kullanıyor.

      • Saldırganlar tarafından kötüye kullanılabilecek ayrıcalık yükseltme yolları oluşturan "göz atma" yapılandırmalarının kullanılması. Bu güvenlik açığı, yüksek ayrıcalıklı yönetim hesapları düşük güvenilir kullanıcı cihazlarında ve iş istasyonlarında (standart kullanıcı iş istasyonları ve kullanıcıya ait cihazlar gibi) oturum açarken, bazen bu riskleri etkili bir şekilde azaltmayan atlama sunucuları aracılığıyla ortaya çıkar. Daha fazla bilgi için bkz. Ayrıcalıklı erişim ve ayrıcalıklı erişim cihazlarının güvenliğini sağlama.

Güvenlik işlemleri (SecOps/SOC)

SecOps ekibi bazen Güvenlik İşlemleri Merkezi (SOC) olarak adlandırılır. SecOps ekibi, kuruluşun varlıklarına yönelik saldırgan erişimi hızla bulmaya ve kaldırmaya odaklanır. Teknoloji operasyonları ve mühendislik ekipleri ile yakın ortaklık içinde çalışırlar. SecOps rolleri geleneksel BT, operasyonel teknoloji (OT) ve Nesnelerin İnterneti (IoT) dahil olmak üzere kuruluştaki tüm teknolojilerde çalışabilir. Aşağıda, bulut ekipleriyle en sık etkileşim kuran SecOps rolleri bulunur:

  • Önceliklendirme analistleri (katman 1). İyi bilinen saldırı teknikleri için olay algılamalarına yanıt verir ve bunları hızlı bir şekilde çözmek (veya bunları uygun şekilde araştırma analistlerine ilerletmek) için belgelenmiş yordamları izler. SecOps kapsamına ve olgunluk düzeyine bağlı olarak, bu e-posta, uç nokta kötü amaçlı yazılımdan koruma çözümleri, bulut hizmetleri, ağ algılamaları veya diğer teknik sistemlerden gelen algılamaları ve uyarıları içerebilir.

  • Araştırma analistleri (katman 2). Daha fazla deneyim ve uzmanlık gerektiren (iyi belgelenmiş çözüm yordamlarının ötesinde) daha yüksek karmaşıklığa ve daha yüksek önem derecesine sahip olay araştırmalarına yanıt verir. Bu ekip genellikle canlı insan saldırganları tarafından gerçekleştirilen saldırıları ve birden çok sistemi etkileyen saldırıları araştırır. Olayları araştırmak ve çözmek için teknoloji operasyonları ve mühendislik ekipleri ile yakın işbirliği içinde çalışır.

  • Tehdit avcılığı. Standart algılama mekanizmalarından kurtulan teknik varlıklardaki gizli tehditleri proaktif olarak arar. Bu rol, gelişmiş analiz ve hipotez temelli araştırmalardan faydalanıyor.

  • Tehdit bilgisi. Saldırganlar ve tehditler hakkında iş, teknoloji ve güvenlik dahil olmak üzere tüm paydaşlara bilgi toplar ve dağıtır. Tehdit bilgileri ekipleri araştırma yapar, bulgularını paylaşır (resmi veya resmi olmayan şekilde) ve bunları bulut güvenlik ekibi de dahil olmak üzere çeşitli paydaşlara dağıtır. Bu güvenlik bağlamı, bu ekiplerin tasarım, uygulama, test ve operasyonda gerçek dünya saldırı bilgilerini kullanmaları ve sürekli geliştirmeleri nedeniyle bulut hizmetlerini saldırılara karşı daha dayanıklı hale getirmelerine yardımcı olur.

  • Algılama mühendisliği. Özel saldırı algılamaları oluşturur ve satıcılar ve daha geniş bir topluluk tarafından sağlanan saldırı algılamalarını özelleştirir. Bu özel saldırı algılamaları, genişletilmiş algılama ve yanıt (XDR) araçlarında ve bazı güvenlik bilgileri ve olay yönetimi (SIEM) araçlarında yaygın olarak bulunan yaygın saldırılar için satıcı tarafından sağlanan algılamaları destekler. Algılama mühendisleri, algılamaları tasarlama ve uygulama fırsatlarını, bunları desteklemek için gereken verileri ve algılamalara yönelik yanıt/kurtarma yordamlarını belirlemek için bulut güvenlik ekipleriyle birlikte çalışır.

Güvenlik İdaresi, Risk ve Uyumluluk

Güvenlik İdaresi, Risk ve Uyumluluk (GRC), güvenlik ekiplerinin teknik çalışmalarını kuruluş hedefleri ve beklentileriyle tümleştiren birbiriyle ilişkili bir disiplin kümesidir. Bu roller ve takımlar iki veya daha fazla uzmanlık alanının karması olabileceği gibi ayrık roller de olabilir. Bulut ekipleri, bulut teknolojisi yaşam döngüsü boyunca bu uzmanlık alanlarının her biriyle etkileşim kurar:

  • İdare uzmanlık alanı, kuruluşun güvenliğin tüm yönlerini tutarlı bir şekilde uyguladığından emin olmak için odaklanan temel bir özelliktir. İdare ekipleri, ekipleri bağlayan ve yönlendiren karar haklarına (hangi kararları kimin aldığına) ve süreç çerçevelerine odaklanır. Etkili idare olmadan, doğru denetimlere, ilkelere ve teknolojiye sahip bir kuruluş, hedeflenen savunmaların iyi, tamamen veya hiç uygulanmadığı alanları bulan saldırganlar tarafından ihlal edilmeye devam edebilir.

  • Risk yönetimi uzmanlık alanı, kuruluşun riski etkili bir şekilde değerlendirip anlayıp azaltmasını sağlamaya odaklanır. Risk yönetimi rolleri, kuruluşun riskinin net bir gösterimini oluşturmak ve güncel tutmak için kuruluş genelinde birçok ekiple birlikte çalışır. Birçok kritik iş hizmeti bulut altyapısında ve platformlarında barındırılabildiğinden, bulut ve risk ekiplerinin bu kurumsal riski değerlendirmek ve yönetmek için işbirliğine ihtiyacı vardır. Ayrıca tedarik zinciri güvenliği dış satıcılar, açık kaynak bileşenleri ve iş ortakları ile ilişkili risklere odaklanır.

  • Uyumluluk uzmanlık alanı, sistemlerin ve süreçlerin mevzuat gereksinimleri ve iç ilkelerle uyumlu olmasını sağlar. Bu disiplin olmadan, kuruluş dış yükümlülüklere uyumsuzluk (para cezaları, sorumluluk, bazı pazarlarda faaliyet gösterememesinden kaynaklanan gelir kaybı ve daha fazlası) ile ilgili risklere maruz kalabilir. Uyumluluk gereksinimleri genellikle saldırganların evrim hızına ayak uyduramaz, ancak yine de önemli bir gereksinim kaynağıdır.

Bu uzmanlık alanlarının üçü de tüm ekipler genelinde kurumsal sonuçlar elde etmek için tüm teknoloji ve sistemlerde çalışır. Üçü de birbirlerinden aldıkları bağlama dayanır ve tehditler, iş ve teknoloji ortamıyla ilgili güncel yüksek aslına uygun verilerden önemli ölçüde yararlanırlar. Bu disiplinler, uygulanabilecek eyleme dönüştürülebilir bir vizyon ve güvenlik eğitimi ile ilkeyi ifade etmek için mimariye de güvenir ve günlük birçok kararda ekiplere yol gösterir.

Bulut mühendisliği ve operasyon ekipleri, GRC konularında duruş yönetimi rolleri, uyumluluk ve denetim ekipleri, güvenlik mimarisi ve mühendisliği veya bilgi güvenliği sorumlusu (CISO) rolleri ile çalışabilir.

Güvenlik eğitimi ve ilkesi

Kuruluşlar, tüm rollerin temel güvenlik okuryazarlığı ve güvenlikle ilgili olarak yapılması beklenenler ve bunu nasıl yapacakları konusunda yönergelere sahip olduğundan emin olmalıdır. Bu hedefe ulaşmak için yazılı politika ve eğitimin bir birleşimine ihtiyacınız vardır. Bulut ekipleri için eğitim doğrudan kendileriyle çalışan güvenlik uzmanları tarafından resmi olmayan rehberlik olabilir veya belgelenmiş müfredat ve belirlenmiş güvenlik şampiyonlarına sahip resmi bir program olabilir.

Daha büyük bir kuruluşta, güvenlik ekipleri kurumsal hazırlık / eğitim ve güvenlik eğitimi ile resmi güvenlik eğitimi ve görevlendirme rolleriyle çalışır ve teknik ekipler içinde güvenlik şampiyonlarını ayarlayarak iş ortaklarını güvenlik konusunda eğitebilir ve eğitebilir.

Güvenlik eğitimi ve ilkesi her rolün şunu anlamasına yardımcı olmalıdır:

  • Neden. Güvenliğin kendileri ve hedefleri için rol sorumlulukları bağlamında neden önemli olduğunu her rolü gösterin. İnsanlar güvenliğin kendileri için neden önemli olduğunu net bir şekilde anlayamazlarsa, önemsiz olduğu için yargılarlar ve başka bir şeye geçerler.

  • Ne. Zaten anladıkları dilde yapması gereken güvenlik görevlerini özetleyin. İnsanlar ne yapmalarının istendiğini bilmiyorsa, güvenliğin kendileri için önemli veya ilgili olmadığını varsayar ve başka bir şeye geçerler.

  • Nasıl. Her rolün kendi rollerine güvenlik kılavuzu uygulama hakkında net yönergeleri olduğundan emin olun. İnsanlar, istendikleri şeyi gerçekten nasıl yapacaklarını bilmiyorsa (örneğin, sunuculara yama uygulama, bağlantının kimlik avı bağlantısı olup olmadığını belirleme, iletiyi düzgün bildirme, kodu gözden geçirme veya tehdit modeli gerçekleştirme) başarısız olur ve başka bir şeye geçerler.

Örnek senaryo: Ekipler arasında tipik birlikte çalışabilirlik

Bir kuruluş WAF'yi dağıtıp kullanıma hazır hale getirdiğinde, çeşitli güvenlik ekiplerinin mevcut güvenlik altyapısına etkili dağıtım, yönetim ve tümleştirme sağlamak için işbirliği yapması gerekir. Ekipler arasındaki birlikte çalışabilirlik, kurumsal bir güvenlik kuruluşunda şu şekilde görünebilir:

  1. Planlama ve tasarım
    1. İdare ekibi gelişmiş web uygulaması güvenliği gereksinimini tanımlar ve waf için bütçe ayırır.
    2. Ağ güvenlik mimarı WAF dağıtım stratejisini tasarlayarak mevcut güvenlik denetimleriyle sorunsuz bir şekilde tümleştirilmesini ve kuruluşun güvenlik mimarisiyle uyumlu olmasını sağlar.
  2. Uygulama
    1. Ağ güvenlik mühendisi WAF'yi mimarın tasarımına göre dağıtarak belirli web uygulamalarını koruyacak şekilde yapılandırır ve izlemeyi etkinleştirir.
    2. IAM mühendisi erişim denetimlerini ayarlayarak WAF'yi yalnızca yetkili personelin yönetebilmesini sağlar.
  3. İzleme ve yönetim
    1. Duruş yönetimi ekibi, SOC'ye WAF için izleme ve uyarı yapılandırma ve WAF etkinliğini izlemek için panolar ayarlama yönergeleri sağlar.
    2. Tehdit bilgileri ve algılama mühendisliği ekipleri , WAF'yi içeren olaylar için yanıt planları geliştirmeye ve bu planları test etmek için simülasyonlar gerçekleştirmeye yardımcı olur.
  4. Uyumluluk ve risk yönetimi
    1. Uyumluluk ve risk yönetimi yetkilisi, yasal gereksinimleri karşıladığından ve düzenli denetimler yürüttüğünden emin olmak için WAF dağıtımını inceler.
    2. Veri güvenliği mühendisi WAF'nin günlük ve veri koruma önlemlerinin veri gizliliği düzenlemelerine uygun olmasını sağlar.
  5. Sürekli iyileştirme ve eğitim
    1. DevSecOps mühendisi, GÜNCELLEŞTIRMElerin ve yapılandırmaların otomatik ve tutarlı olmasını sağlayarak WAF yönetimini CI/CD işlem hattıyla tümleştirir.
    2. Güvenlik eğitimi ve görevlendirmesi uzmanı , tüm ilgili personelin WAF'yi etkili bir şekilde kullanmayı ve yönetmeyi anlamasını sağlamak için eğitim programları geliştirir ve sunar.
    3. Bulut idaresi ekibi üyesi waf dağıtım ve yönetim süreçlerini gözden geçirerek kuruluş ilkeleri ve standartlarıyla uyumlu olduğundan emin olur.

Bu roller etkili bir şekilde işbirliği yaparak WAF'nin doğru dağıtılmasını ve ayrıca kuruluşun web uygulamalarını gelişen tehditlere karşı korumak için sürekli olarak izlenmesini, yönetilmesini ve geliştirilmesini sağlar.

Sonraki adım

Güvenliği bulut benimseme stratejinizle tümleştirme