Bulut Güvenliği
17/07/2023Bulut bilişim, yapılandırılabilir bilişim kaynaklarından oluşan ortak bir havuza, uygun koşullarda ve isteğe bağlı olarak her zaman, her yerden erişime imkân veren bir modeldir. Bulut bilişimin esneklik, maliyet, enerji tasarrufu, kaynak paylaşımı ve hızlı dağırım gibi birçok avantajı vardır. Verilerin bulutta merkezileştirilmesi saldırganlara verileri çalmak ve hareket halindeki verileri (data in-motion) durdurmak için tek durak noktası sağlamaktadır. Sonuç olarak, güvenlik, gizlilik, verimlilik ve ölçeklenebilirlik endişeleri, bulut teknolojisinin geniş çapta benimsenmesini engellemektedir. Bulut kapsamında uyum sağlanması gereken regülasyonlarla ve teknolojilerle verileri buluta taşımadan önce güvenlik zorlukları azaltılmalıdır. Bulut hizmet sağlayıcısı seçmeden önce sağlayıcının yasalara uygunluğu, risk ve kriz yönetimi konularında farkındalığın sağlanmış olması, güvenlik kontrolllerin periyodik olarak yapılması gibi hususların analiz edilmesi gerekmektedir.
Bulut Güvenliği Nedir?
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) özel yayınına göre “bulut bilişim, minimum yönetim çabası veya hizmet sağlayıcı etkileşimi ile hızlı bir şekilde sağlanabilen ve piyasaya sürülebilen, yapılandırılabilir bilgi işlem kaynaklarından oluşan paylaşılan bir havuza her yerde, uygun, isteğe bağlı ağ erişimini sağlamak için bir modeldir." Bu tanıma göre bulut bilişim ile bilgi işlem kaynaklarına ve tesislerine her zaman ve her yerden erişim sağlanabilmektedir. Merkezi bulut güvenliğinin amacı, BT ekiplerine ortak bir tehdide ilişkin anında bildirim göndermektir. Bu proaktif yaklaşım ile şirketlerin, hem DDoS gibi yıkıcı saldırılardan hem de veri ihlalleri gibi daha büyük tehditlerden korunabilmesi amaçlanmaktadır. Bir bulut güvenlik stratejisini uygulamaya koymadan önce, güvenlik ekiplerinin mevcut tüm bulut denetimlerini değerlendirmesi ve bunların merkezileştirilmiş olup olmadığına karar vermesi gerekmektedir.
Merkezi Bulut Güvenliğinin Avantajları
Merkezi bulut güvenliği, veri tehditlerini yönetmek ve hassas bilgileri ve ağları korumak için birçok avantaj sunmaktadır.
Intrusion Prevention - Saldırı Önleme
İzinsiz giriş önleme, olası tehditleri saptamak ve bunlara anında tepki vermek için kullanılan bir güvenlik yaklaşımıdır. Saldırı önleme sistemlerinin temel işlevleri, şüpheli etkinliği belirlemek, bu etkinlikle ilgili bilgileri analiz etmek ve bu bilgileri kullanarak saldırıları önlemeye çalışmaktır. Saldırganlar, bulut sistemine girip hasara neden olmadan önce bu sistem sayesinde engellenebilmektedir.
Load Balancing - Yük Dengeleme
Yük dengeleme, bulut güvenliğinde de önemli bir rol oynamaktdır. Bir yük dengeleyicinin off-loading özelliği, bir kuruluşu DDoS saldırılarına karşı korumaktadır.. Yük dengeleyiciler, kötü amaçlı trafiği şirket sunucusundan bir genel bulut sağlayıcısına taşıyarak bu saldırıların önlenmesine yardımcı olabilmektedir.
Veri Kaybını Önleme (DLP)
Merkezi güvenlik ortamlarındaki DLP çözümleri, buluttaki tüm verilerin şifrelenmesini ve yalnızca yetkili bulut uygulamaları tarafından kullanılmasını sağlar. Bulut DLP çözümleri, aktarılırken verilerin korunmasını sağlamak için hassas verileri paylaşılmadan önce kaldırabilmektedir veya değiştirebilmektedir.
Gelişmiş Tehdit Koruması (ATP)
ATP, hassas verilere veya karmaşık kötü amaçlı yazılımlara yönelik gelişmiş saldırılara karşı koruma sağlayan bir güvenlik araçları kategorisini ifade eder. ATP çözümleri, yönetilen hizmetler veya bir yazılım olarak kullanılabilir. Her çözümün kendi bileşenleri ve yaklaşımları vardır, ancak çoğu, savunmaları yönetmek ve uyarıları ilişkilendirmek için ağ cihazları, uç nokta aracıları, kötü amaçlı yazılım koruma sistemleri, e-posta ağ geçitleri ve merkezi bir yönetim konsolunun bir kombinasyonunu içerir.
Bulut Bilişim Özellikleri
Resmi tanıma göre, bulut bilişimin beş ana özelliği bulunmaktadır: kaynak havuzu, geniş ağ erişimi, hızlı esneklik, isteğe bağlı self servis ve ölçülen hizmet.
1. Paylaşılan kaynaklar: istemciler, ağlar, sunucular, depolama, yazılım, bellek ve işleme gibi kaynakları aynı anda paylaşabilir. Sağlayıcılar, talepteki dalgalanmalara göre kaynakları dinamik olarak tahsis edebilir ve müşteri bu hizmetlerin fiziksel konumlarından tamamen habersizdir.
2. Geniş ağ erişimi: bulut, herhangi bir cihazdan İnterneti kullanarak ağa geniş erişim sağlar.
3. Esneklik: bulut esnektir ve yapılandırılabilir. Müşteriler, kaynakların sınırsız olduğunu hissederler.
4. İsteğe bağlı self servis: gerekirse herhangi bir müşteri, servis teknisyenlerinin müdahalesi olmadan bulutu otomatik olarak yapılandırabilir. Müşteriler zamanlamayı gerçekleştirir ve gerekli depolama ve bilgi işlem gücüne karar verir.
5. Ölçülen hizmet: farklı bulut hizmetleri, farklı metrikler kullanılarak ölçülebilir. Müşterilerin ve sağlayıcıların haklarını korumak için detaylı kullanım raporları oluşturulur.
Bulut Servis Çeşitleri
Hizmet Olarak Yazılım (SaaS)
Bulut hizmet sağlayıcısının; bulut uygulama yazılımını geliştirip koruduğu, otomatik yazılım güncellemeleri sağladığı ve müşterileri için İnternet üzerinden kullandıkça ödeme olanağına sahip yazılımlar sunduğu bir hizmet modelidir.
Hizmet Olarak Platform (PAAS)
Müşterilerin mevcut altyapıya yatırım yapmadan veya altyapıyı muhafaza etmeden oluşturmaya ihtiyaç duydukları geliştirici araçlarına erişmesine, mobil ve web uygulama yazılımlarını yönetmesine olanak tanır. Kuruluşların altyapı (genelde donanım ve işletim sistemleri) yönetimi ihtiyacını ortadan kaldırarak uygulama dağıtma ve yönetim alanlarına odaklanmasını sağlamaktadır.
Hizmet Olarak Altyapı (IAAS)
Müşterilerin internet üzerinden altyapı servislerine istedikleri zaman erişmelerini sağlar. bulut BT sistemi için temel yapı taşlarını içerir ve genelde ağ özelliklerine, bilgisayarlara (sanal veya tahsis edilmiş donanımda) ve veri depolama alanına erişim sunmaktadır.
Bulut hizmeti çeşidine göre alınması gereken güvenlik tedbirleri de değişiklik göstereceği için servis türü önem arz etmektedir.
Bulut Bilişim Dağıtım Modelleri
Bulut bilişimin dört farklı dağıtım modeli bulunmaktadır.
Private Cloud (Özel Bulut)
Şirket içinde, intranet üzerinde, güvenlik duvarının arkasında bulunur ve genellikle onu kullanan aynı kuruluş tarafından yönetilmektedir. Özel bir iç ağ üzerinden yapılan kısıtlamalarla belirli kullanıcılara sunulan bilgi işlem hizmetidir.
Public Cloud (Genel Bulut)
Şirket dışında, internet üzerinden bulunmaktadır ve genellikle bir bulut hizmeti sağlayıcısı tarafından yönetilmektedir. Özel buluttan daha az güvenlidir. Elektronik postalara para ödemeden üçüncü bir şirket üzerinden kiralanacak kaynaklar üzerinden çeşitli özellikleri kullanılabilmektedir.
Hibrit Cloud
Public (Genel) ve Private Cloud (Özel Bulut)’un tüm özelliklerinin birleşiminden ortaya çıkmıştır. Bu hibrit bulut özelliği sayesinde güvenlik ve gizlilik ön plandadır.
Community Cloud (Topluluk Bulut)
Bulut’un üzerinde alınan herhangi bir hizmetin birkaç şirket ile ortak kullanılması durumuna denmektedir. Birden çok firması olan işletme sahipleri için uygun bir bulut teknolojisidir.
Bulut Bilişime İlişkin Regülasyonlar ve İlgili Standartlar
KVKK Kapsamında Bulut Bilişim Güvenliği
KVKK - Kişisel Verilerin Korunması Kanunu Teknik ve İdari Tedbirler Rehberi, veri sorumluları tarafından en merak edilen konulardan biri olan bulut sistemlerinde güvenliğin sağlanması için neler yapılabileceği ile ilgili de gereklilikler ve önerilerden bahsetmektedir:
CB DDO BİG Kapsamında Bulut Bilişim Güvenliği
ISO 27002 Kapsamında Bulut Bilişim Güvenliği
Bulut güvenliğinin sağlanması, güncellenen ISO 27002 standardına yeni eklenen 5.23 Bulut Hizmetleri Kullanımı İçin Bilgi Güvenliği maddesi ile oldukça önemli hale gelmiştir.
Standart kapsamında Bulut Hizmetlerine ilişkin aşağıdaki kontrollerin tanımlanması beklenmektedir;
Yazar
Mehmet Emre ATEŞ
Güvenli Bilişim Teknolojileri Birim Yöneticisi