Giderek daha fazla kuruluş, hibrit ve uzak modellerde çalışan dağıtılmış ekipleri desteklemek için dijital dönüşüm çabalarının bir parçası olarak çoklu bulut yaklaşımını benimsiyor. Hibrit çalışma ortamları kalıcı olduğu gibi, çoklu bulut yaklaşımı da benimsendi. Gartner, küresel bulut gelirinin şu seviyeye ulaşacağını öngörüyor: 474 dolar 2022 milyarIle İşletmelerin% 90'i halihazırda çoklu bulut stratejisi üzerinde çalışıyoruz.
Çoklu bulut stratejisi doğru şekilde kullanıldığında birçok süreci daha verimli hale getirebilir. Ayrıca, tek bulut stratejisine göre kesintilere karşı daha fazla dayanıklılık ve satıcı esnekliği sunar. Ek avantajlar şunları içerir:
- Satıcının tek bir bulut sağlayıcıya bağlı kalmasından kaçınma. Küresel ayak izine ve özel verilere sahip bir kuruluş, veri merkezinin konumunu işine en az etki edecek şekilde seçebilir. Örneğin, Microsoft Azure şu anda Orta Doğu'da veri merkezi konumu açısından lider konumdadır.
- Google Cloud'daki benzersiz veritabanı çözümleri veya şirket içi ve bulut kaynaklarınızı Microsoft Azure'da çok daha sorunsuz bir şekilde yönetme yeteneği gibi her bulut satıcısının sunduğu ayırt edici özelliklerden yararlanma yeteneği.
- Belirli hizmetlerin belirli bir satıcı aracılığıyla daha ucuz olması ve hizmet kesintilerine karşı koruma sağlanmasıyla daha iyi maliyetler ve iş esnekliği. Her ikisi de hizmetlerinizi avantajlardan yararlanacak şekilde tasarlamayı gerektirir, ancak kuruluşunuz bir kez kurulduktan sonra yatırımını iki ila üç yıl içinde telafi edebilir ve bu da uzun vadeli maliyet tasarrufu sağlar.
Ancak bu avantajların bir bedeli vardır. Farklı ortamlar birden fazla sağlayıcı tarafından barındırıldığında veri ve bulut altyapısının güvenli olmasını ve yükümlülüklerinize ve kontrollerinize uygun olmasını sağlamak zor olabilir. Bu ortamlardaki veriler, yapılandırma ve güvenlikle ilgili birleşik bir hikaye anlatmak neredeyse imkansız olabilir.
benimseyen CISO’lar çoklu bulut veri yaklaşımı iki ana güvenlik kaygısına odaklanmalıdır: satıcıların ve onların farklı bulut işletim modellerinin oluşturduğu riskleri yönetmek ve çoklu bulut dünyasında işletimin artan maliyetleri karşısında güvenlik kontrollerinin ve stratejilerinin değerini göstermek.
Bulutlar Genelinde Riski Yönetmek
Çoklu bulut stratejilerine artan ilgiye paralel olarak siber saldırıların etkisi ve sıklığı da arttı. Fidye yazılımı saldırıları, veri ihlalleri ve büyük BT kesintileri zirveye ulaştı Allianz Risk Barometresi Bu yıl anket tarihinde yalnızca ikinci kez yapılan ankette yöneticiler bunları tedarik zinciri kesintilerinden, doğal afetlerden ve salgından daha endişe verici olarak sıraladı. Şirketler endişelerini dile getirmekte haklı: Dünya çapında deneyimli kuruluşlar Haftalık %50 daha fazla siber saldırı 2021 yılı ile karşılaştırıldığında 2020 yılı.
İş dünyası liderleri siber saldırıların öneminin farkındadır ancak çoğu, tedarikçi ortaklarının oluşturduğu riskler konusunda yeterince bilgi sahibi değildir. PwC'nin “2022 Küresel Dijital Güven İçgörüleri Araştırması"İş liderlerinin %57'si bulut hizmetlerine yönelik saldırılarda bir artış beklediklerini söyledi ancak yalnızca %37'si bulut risklerini anladıklarını söyledi. Güvenlik yaklaşımı ve işletim modelleri, bulut sağlayıcıları arasında değişiklik gösterir ve riske karşı koruma, kimlik ve erişim yönetimi (IAM) veya sanallaştırılmış sunucular gibi farklı yaklaşımlar kullanan ortak bulut hizmetleri eklendikçe daha da karmaşık hale gelen ortak bir sorumluluktur.
Örneğin, farklı bulut satıcılarının rol tabanlı erişim konusunda kendi yaklaşımları vardır. Amazon Web Services, IAM politikalarını doğrudan bir sanal sunucuya ekleyerek kimliği yönetir ve bu, sunucuya eylem gerçekleştirme yeteneği kazandırır. Google Cloud'un teklifi ise bunun aksine, hizmet hesapları (kullanıcılar) oluşturmaya ve ardından bu hesapları sunucuya ekleyerek başka bir kaynakla etkileşim kurabilmesine odaklanır. Bu küçük farklılıklar kurumsal ölçekte bir araya gelerek her iki bulutta da en az ayrıcalık ve diğer güvenlik gereksinimlerini sağlamak için güvenlik karmaşıklığını artırır.
Bulut hizmetleri rakipleriyle entegre olacak şekilde tasarlanmadığından, her bulut sağlayıcı için güvenlik araçlarının nasıl kullanılacağını öğrenmek yalnızca başlangıçtır. BT ekiplerinin, bulut hizmetlerinin birlikte çalışabilirliğini artırmak için diğer üçüncü taraf araçların yanı sıra güvenlik bilgileri olay yönetimi (SIEM) aracıyla güvenlik izlemelerini merkezileştirmeleri gerekecek. Bu eklenen sistemler, her bulut platformunda uzmanlık sağlamak için ek eğitim ve kaynaklar ve hatta belki ek BT personeli gerektirir. ve bu platformların birlikte nasıl çalıştığı.
Hizmetleri arasındaki bu yerleşik farklılıklara ek olarak çoğu bulut satıcısı, kendi özel olarak uyarlanmış güvenlik tekliflerine öncelik verir. Bu, bulut güvenliğine zarar veren bir dizi komplikasyona yol açıyor. Örneğin, ağınızı korumak için bir bulut Web uygulaması güvenlik duvarı (WAF) kullanılabilir, ancak yalnızca belirli bir bulut hizmeti sağlayıcısıyla çalışır ve birden fazla bulut olanağına genişletilemez. Bu işlevleri farklı sağlayıcılar için çoğaltmak, ya bu temel güvenlik araçlarını desteklemek ve yönetmek için ekiplerin çoğaltılmasını ya da buluttan bağımsız bir hizmet satın alınmasını gerektirir; bu da karışıma bir başka satıcıyı daha ekler.
Genellikle çoklu bulut modelinin devreye alınmasının son aşamalarına kadar fark edilmeyen bu ek risk ve maliyet, zaman çizelgelerini uzatabilir, maliyeti artırabilir ve denetim bulgularını tetikleyebilir. Bu risklerin planlanmaması ve hafifletilmemesi, bir şirketi mali kayıplara, düzenleyici işlemlere, davalara ve itibar kaybına karşı savunmasız bırakabilir.
Risk Ölçümüyle Değerin İletişimi
Gartner'ın tahminine göre 2023 yılına kadar CISO'ların etkinliğinin %30'u değer gösterme yeteneklerine bağlı olacaktır. Çoklu bulut veri stratejileri norm haline geldikçe ve bu strateji içindeki güvenlik kontrollerinin maliyeti arttıkça, risk ölçümü, liderlerin çoklu bulut risk duruşunu net parasal değerlerle ifade ederek değerlerini tutarlı bir şekilde iletmelerine yardımcı olabilir.
PwC'ye göre, veri güveni sonuçlarında en önemli iyileşmeyi bildiren kuruluşların iki ortak noktası vardı: Siber güvenlik harcamalarında bir artış öngördüler ve risk ölçümü de dahil olmak üzere iş zekası ve veri analitiğini operasyonel modellerine dahil ettiler.
Çoklu bulut stratejisinin finansal risklerini değerlendirmek için CISO'ların, her platformun maliyetlerini algılanan risklerle karşılaştırarak hesaba katması gerekir. Bu hususlar, ortak izleme için kullanacağınız buluttan bağımsız araç ve platformların yanı sıra, düşündüğünüz tüm bulut sağlayıcılarının veri yönetimi ve siber güvenlik uygulamalarını içermelidir.
Bu kadar çok faktör söz konusu olduğunda, "düşük, orta, yüksek" ve "kırmızı, sarı, yeşil" gibi kesin olmayan, içgüdüsel ölçüm ölçeklerine güvenmeyi göze alamazsınız. Risk verilerini finansal terimlerle ifade etmek güçlü bir araçtır çünkü değişen risk önceliklerini iletmek, CISO'lar ile yönetim kurulu arasındaki uyumu geliştirmek ve daha bilinçli risk yönetimi kararlarını kolaylaştırmak için ortak bir dil sunar.
İşte bir örnek: Bir CISO, çoklu bulut mimarisinin çeşitli riskleriyle ilişkili finansal değere bakıyor. Bir siber güvenlik olayını hafifletmeye yönelik taktikleri karşılaştırarak, idari ayrıcalıklar üzerindeki daha iyi kontrollerin, olayın finansal maliyetini bir siber güvenlik eğitim programının uygulanmasından çok daha fazla azalttığını buldular. CISO, çoklu bulut mimarisi içindeki siber riskin teknik ayrıntılarını anlarken, C-seviyesinin geri kalanı her bir risk ve azaltma taktiğiyle ilişkili parasal değerlerin netliğinden yararlanacaktır. Risk ölçümü, CISO'lara davalarını meslektaşlarına ve yönetim kuruluna sunma yetkisi vererek, çoklu bulut stratejisinin birçok hareketli parçasına daha fazla şeffaflık getirir.
Gartner'a göre kuruluşların %85'inden fazlası 2025 yılına kadar bulut öncelikli olarak faaliyet gösterecek ve bulutta yerel teknolojileri kullanmadan dijital stratejilerini tam olarak hayata geçiremeyecekler. Bir Gartner lideri bunu şu şekilde ifade etti: “Bulut stratejisi olmadan iş stratejisi olmaz.”
İş dünyası liderlerinin verilerini korumak ve çoklu bulut önceliklerini iletmek, kuruluş genelinde ortak bir değer diliyle uyum sağlamak için stratejiler izlemesi zorunludur.
