Özel olarak kontrol edilen bir veri merkezinde depoladığınız verilerin buluttaki verilerden daha güvenli olduğunu düşünmek mantıklı görünmektedir. Ancak bu mutlaka doğru değildir. Aslında, verilerinizi Office 365 gibi bir bulut hizmetine koyduğunuzda yararlanabileceğiniz geniş bir güvenlik özellikleri yelpazesi vardır. Doğru yapıldığında, kurum içi sunuculardan daha çok veri bulutta güvenlidir.
Buluttaki verilerin ek güvenlik avantajlarından kısaca bahsetmek gerekirse:
Gelişmiş thread intelligence kapsamı: Bir firmanın kurum içi sunucularına harici bir kişi tarafından saldırı yapıldığında, firma aynı kişinin müteakip saldırılarına karşı kendilerini korumak için adımlar atabilir.Fakat saldırının firma adına zarar vermesi de söz konusu olabilir. Thread intelligence feed satın alsalar dahi, mevcut bilgi içeriği kısıtlıdır ve yanıtlar tepkisel olacaktır. Office 365 ile, bireysel saldırılara tepki vermek yerine, müşteriler, hizmet içindeki diğer müşterilere yönelik tehditlerden de edinilen intelligence avantajını elde eder. Office 365′teki herhangi bir kuruluşa karşı başlatılan bir saldırı, diğerlerine işlevsel olarak aşılanabilir.
Gelişmiş otomasyon ve azaltılmış insan müdahalesi: Bulutta, donanım, işletim sistemleri ve yamalar gibi şeyleri yönetmek, herhangi bir BT yöneticisine aşina olan bir dizi göreve dönüşmektedir. Bulutun en büyük farkı, hizmetin ölçektlenebilir sunulması için bu görevlerin otomatikleştirilmesidir. Otomasyonun faydaları iki farklı noktada sağlanmaktadır. İlk olarak, güvenlik durumundaki boşluklar ölçeklenmede adreslenmekte ve kullanılmaktadır. İkincisi, insanlar yerine yazılımlarsal tabanlı hizmetlerin kullanılması hem saldırı riskini azaltmakta hem de ek bir koruma sağlamaktadır. Manuel yönetimsel süreçlerin en az tutulduğu ve bu aksiyonlarda müşterilerinde onaylarının alınması zorunludur.
Tekdüze ve basitlik nedeniyle daha iyi anomali tespiti: Bulut hizmetleri başladığında, kurumlarda sıkça kullanılan ürünlere dayanıyordu.Providerlar tarafından geliştirilen ya da yönetilen sunucular hariçti. Son yıllarda, bulut hizmetleri, yapılandırma seçeneklerini, sunucu rollerini ve yönetim karmaşıklığını önemli ölçüde basitleştirmek için gelişti. Bu sadeleştirme, servislere tehditleri nasıl koruduklarını, algılayıp tepki verdiklerini konsolide etme yeteneği kazandırmaktadır. Yazılım, etkileşimin ana kaynağı olduğu için, saldırı yapan kişilerin yasadışı faaliyetlerinin tanımlanması kolaydır.
Sürekli yenilik: Bulut güvenlik ekipleri, güvenlik yetenekleri oluştururken iki temel baskı ile karşı karşıya kalır: Her özellik belirli aralıklarla kesilir ve her müşteride belirli bir endişe ve gereksinim gerektirir. İyi bir şekilde tasarlanmış ve uygulanan güçlü bir dizi kanıtın müşteri sorunlarının çoğunu ele alabileceğini ancak bulut hizmetinin büyümesinin tasarıma sürekli olarak meydan okuduğunu görüyoruz. Başarılı bulut güvenlik stratejisi, yenilik yapılmasını gerektirmektedir. Bir örnek penetrasyon testine yaklaşımdır. Office 365 de dahil olmak üzere bazı bulut hizmetlerinin güvenlik açıklarını arayan tam zamanlı bir penetrasyon takımı ekibi vardır. Güvenlik açığı giderildiğinde nüks etmediğini ve penetrasyon test cihazları tarafından yasadışı faaliyet tespitlerinde bir güvenlik açığı örneğinde nasıl çalıştığından ve nasıl emin olanması gerektiği ile başlayan bir hikayedir aslında. Bu hikaye ise penetrasyon testi saldırılarını otomatikleştirmek ve daha sonra algılanan saldırıları doğrulamak için sinyalleri kullanmak ile sonuçlanmıştır.
Daha küçük sınır ihlali: Etkili bir güvenlik stratejisinin önemli bir parçası ihlal sınırınızı mümkün olduğunca küçük ve çok çeşitli yapmaktır. Hassas değerler birbirinden koparılmalıdır, böylece bir saldırganın bir varlıktan diğerine geçmesi daha zor olur. Çoğu şirket ihlal sınırlarını dizin seviyesinde çizmektedir. Bir saldırgan etki alanında yönetici ayrıcalıkları edinebilirse, o etki alanında yönetilen tüm bilgilere erişebilirler. Bulut hizmetlerini kabul ettiğinizde, saldırganın etki alanınızı ihlal etmesi ve denetlenen hizmetlere normal “front-door” erişiminin ötesinde bulut hizmetindeki verilere erişmesi daha zordur. Yönetimin üçüncü bir şahsa gerçek ve etkili bir şekilde devredilmesi, yeni bir ihlal sınırı belirtir.
Cross-application güvenlik modeli: Gelenkesel on-premise’de bulunan güvenlik yetenekleri bilgisayarda, işletim sisteminde ve güvenlik duvarlarında bulunur. Kurum içi sistemlerde, birden çok uygulama için loglar denetlenerek ve bu logların ne anlama geldiği anlamlandırılmalıdır. Bulutta ise loglama sistemleri standartlaştırılmaktadır haliyle logların anlamlandırılması ve işlenmesi kolaylaştırlmıştır. Güvenlik özellikler, saldırganların çalışma biçimini ayarlayan, uygulamaya yönelik bir güvenlik modeli sağlayarak yani hesapları ihlal ederek hedeflerini front door arabirimlere ulaştıracak şekilde geliştirilebilir. Bulut hizmetleri, uygulama sınırlarını aşan entegre ve içeriğe duyarlı güvenlik özellikleri sunarak güvenliği yeni bir seviyeye taşırmaktadır.
Şeffaflık: Office 365 özelinde şeffaflığın başka bir faydası vardır. Microsoft, Office 365 kullanan birçok organizasyonla günün her saatinde çalışmak zorundadır. İşi kazanmak için, güvene sahip olmanlı ve bunu kazanmak için verilerin nasıl koruduğumuz konusunda Microsoft müşterileri ile şeffaf olmalıdır. Bu amaçla, müşterilerin bir Microsoft destek mühendisinin verilere nasıl eriştiklerini denetlemesine izin vermektedir. Mşicrosoft’un bu noktada iş modeli, verilerin güvenliği konusunda hiçbir kısayol bulunmadığı ve mazeret olmadığı inancına dayanmaktadır.
Yukarıda tanımlanan ve anlatılan maddeler bulut sisteminin temel güvenlik detaylarını içermektedir. Microsoft’un güvenliğe nasıl yaklaştığına ilişkin daha fazla bilgi edinmek istenilmesi durumunda, Office 365 Trust Center‘ına göz atılmalıdır.