Bulutta kimlik ve anahtar yönetimi işlevi
Kimlik yönetimi üzerinde çalışan bir güvenlik ekibinin temel amacı, insanlar, hizmetler, cihazlar ve uygulamalar için kimlik doğrulaması ve yetkilendirme sağlamaktır. Anahtar ve sertifikasyon yönetimi, şifreleme işlemleri için güvenli dağıtım ve anahtar malzemeye erişim sağlar (genellikle kimlik yönetimiyle benzer sonuçları destekler).
Modernleştirme
Veri kimliği ve anahtar yönetimi modernleştirmesi şu şekilde şekillendiriliyor:
- Kimlik ve anahtar/sertifika yönetimi uzmanlık alanları, güvenli iletişimleri etkinleştirmek için kimlik doğrulaması ve yetkilendirme güvenceleri sağladığı için birbirine yaklaşıyor.
- Kimlik denetimleri, bulut uygulamaları için birincil güvenlik çevresi olarak ortaya çıkıyor
- Bulut hizmetleri için anahtar tabanlı kimlik doğrulaması, bu anahtarları depolamanın ve güvenli bir şekilde erişim sağlamanın zorluğu nedeniyle kimlik yönetimiyle değiştiriliyor.
- Tek kimlik, çoklu oturum açma (SSO) ve yerel uygulama tümleştirmesi gibi şirket içi kimlik mimarilerinden alınan olumlu dersleri taşımanın kritik önemi.
- Genellikle fazla karmaşık hale gelen şirket içi mimarilerin yaygın hatalarından kaçınmanın kritik önemi, desteği zorlaştırma ve saldırıları kolaylaştırma. Bunlar şunlardır:
- Grupları ve kuruluş birimlerini (OU) yayma.
- Üçüncü taraf dizinleri ve kimlik yönetimi sistemlerinin yayılması.
- Uygulama kimliği stratejisinin net standartlaştırma ve sahiplik eksikliği.
- Kimlik bilgisi hırsızlığı saldırıları, azaltmaya yönelik yüksek etki ve yüksek olasılık tehdidi olmaya devam eder.
- Hizmet hesapları ve uygulama hesapları en önemli zorluk olmaya devam eder, ancak çözülmesi kolaylaşır. Kimlik ekipleri, Microsoft Entra yönetilen kimlikleri gibi bu sorunu çözmeye başlayan bulut özelliklerini etkin bir şekilde benimsemelidir.
Ekip oluşturma ve önemli ilişkiler
Kimlik ve anahtar yönetimi ekiplerinin aşağıdaki rollerle güçlü ilişkiler kurması gerekir:
- BT mimarisi ve işlemleri
- Güvenlik mimarisi ve işlemleri
- Geliştirme ekipleri
- Veri güvenliği ekipleri
- Gizlilik ekipleri
- Hukuk ekipleri
- Uyumluluk/risk yönetimi ekipleri
Sonraki adımlar
Altyapı ve uç nokta güvenliğinin işlevini gözden geçirin