Bulut sanal makineler sürat, ölçek ve esneklik sunuyor lakin kendi başlarına bırakıldıklarında risk oluşturuyor. Amazon Web Services’in 2000’lerin ortasında S3 ve akabinde EC2 hizmetlerini devreye alması, çağdaş bulut depolama ve bilgi süreç periyodunu başlatmıştı. Bugün ise iş yüklerini buluta taşımayan yahut taşımayı planlamayan çok az kurum bulunuyor. Kimileri büsbütün bulutta, kimileri ise çoklu bulut kurulumlarında bulut iş yüklerini şirket içi kaynaklarla eşleştirerek çalışıyor.
Tüm bu yapılar içinde öne çıkan ortak sorun ise tıpkı: Sanal makine (VM) yayılması. Yani, vakitle kendi başına bırakılan sanal makinelerin denetimsiz biçimde çoğalması. Siber güvenlik alanında dünya lideri olan ESET sanal makinelerdeki güvenlik açıklarını mercek altına aldı.
Bulut servis sağlayıcıları yeni sanal makinelerin oluşturulmasını kolaylaştırıyor fakat bu devreden çıkarılması birçok vakit birebir süratle yapılmıyor. Çoklu bulut ortamlarında bu durum, güvenlik operasyonlarının dışında kalan iş yüklerinin artmasına neden oluyor. Genel bulut hizmeti sağlayıcıları
(CSP) temel müdafaa sağlasa da işletim sistemi güncellemeleri, izleme ve erişim siyasetlerinin güncellenmesi müşteriye ilişkin sorumluluklar ortasında yer alıyor. Bu nedenle sanal makinelerin fark edilmeden “kontrolden çıkma” riski artıyor.
Bulut görünürlüğü ise birçok kuruluş için kalıcı bir sorun. Kuruluşların sadece yüzde 23’ü tüm iş yüklerine kapsamlı formda hâkim olduklarını belirtiyor. VM filolarının denetimsiz büyümesi bu sorunu daha da derinleştiriyor. Yanlış yapılandırılmış depolama alanları ve açık API’ler ihlallerde öne çıkarken, sanal makine berbata kullanımı çoklukla fark edilmesi sıkıntı bir halde gerçekleşiyor. Bir makine tahsili mühendisi için hazırlanan ve geniş okuma, yazma erişimi verilen bir VM, proje sona erdikten sonra birden fazla kere olduğu üzere kendi haline bırakılabiliyor. Bu ise saldırganlar için değerli bir fırsat alanı oluşturuyor.
Terk edilmiş sanal makineler önemli risk taşıyor
Terk edilen bir VM, sadece kullanılmayan bir kaynak değil; tıpkı vakitte makûs niyetli bireyler tarafından istismar edilebilecek bir varlık. VM’ler birebir sanal özel bulut (VPC) veya sanal ağ (VNet) içinde kısıtlama olmadan irtibat kurabildiğinden, bir VM komşu örnekleri inceleyebilir, data tabanlarına erişebilir ve müsaadeleri berbata kullanabilir. Ağ mikro-bölümlendirme birden fazla vakit sıkıntı olduğu için bu risk büyüyor. Hibrit kimlikli hibrit ortamlarda karmaşıklık daha da artıyor.
Geçmiş taarruz örnekleri de bu riski doğruluyor. Bir akın kampanyasında tehdit aktörleri, dâhili RDP ile AWS EC2 örnekleri ortasında hareket etmiş, sızdırdıkları bilgiyi sanal makinelere taşımış ve fidye yazılımı yaymıştı. İzleme sistemleri bunu tespit etmiş olsa da otomatik cevap sistemi olmadığından taarruz devam etmişti. Öbür örneklerde ise ele geçirilen hesaplar üzerinden kısa ömürlü VM’ler taarruz altyapısı olarak kullanıldı.
Yayılmayla çabada zorluklar
BT ve güvenlik grupları ekseriyetle küçük ve ağır bir iş yüküne sahip. Platform bağımlı karmaşık eserler, sanal makine yayılması üzere gözden kaçan risklerin idaresini daha da zorlaştırıyor. Bir olay kimlik suistimalini içeriyorsa, uydurma bir VM üzerinden yapılan süreçler olağan görünebilir. Bu nedenle, anormallikleri tespit edebilmek için VM içindeki faaliyetlerin kimliğin genel ortamda yaptıklarıyla ilişkilendirilmesi gerekiyor. Entra ID ve Active Directory entegrasyonu bu süreçte kritik ehemmiyet taşıyor.
Hız da bir öteki değerli husus. Güvenliği ihlal edilen bir iş yükü, şirket içi kaynaklara kısa müddette ulaşabilir. Yanal hareket başlamadan VM’nin otomatik olarak izole edilmesi büyük değer taşıyor. Bu noktada yapay zekâ dayanaklı korelasyon ve çalışma vakti algılama teknolojileri devreye giriyor. Yakın periyot anketlerine nazaran, her üç KOBİ’den biri akın sonrası para cezası aldı. NIST 800-53 ve PCI DSS 4.0 üzere çerçeveler, bulut iş yükü güvenliği konusunda giderek daha spesifik hale geliyor.
Bulut ve şirket içi ortamlar için büyük resim
IBM’in bir raporuna nazaran ihlallerin yüzde 30’u birden fazla ortamı etkiledi. İhlallerde maliyetler, saldırganların sisteme eriştiği müddetle direkt bağlı. Görünürlüğü sonlu olan kuruluşlar, birçok kere müşteri şikâyeti üzere dış sinyallerle ihlali fark ediyor ve bu mühlet içinde saldırgan haftalar boyunca erişim sağlayabiliyor.
Sanal makineler bulutun en eski ve en sık kullanılan kaynakları ortasında yer alıyor. VM yayılması sessizce ilerliyor ve birden fazla defa sorun ortaya çıktıktan sonra fark ediliyor. Korunmasız iş yükleri kimlik taşıyor ve ortamlarda klâsik güvenlik kontrollerinin yakalayamayacağı trafik modelleriyle bağlantı kuruyor.
Bu nedenle her kuruluşun, tüm bulut platformlarındaki VM filolarını envantere dahil etmesi, müsaadeleri gözden geçirmesi ve gereksiz erişim açıklıklarına karşı denetimler yapması gerekiyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı
