Bulut Güvenliği (Cloud Security)

Bulut Bilişim Nerede Doğdu?

Amazon şirketi bulut bilişim sektörünün temelini atmıştır. Amazon kendi altyapısının %80’ini verimli olarak kullanamadığını fark ediyor ve tamamen kendi içerisinde altyapısını daha verimli kullanmak adına çalışmalara başlamıştır. Depolama ünitelerini, altyapıda kullandıkları ağ teknolojilerini, kendi işlemcilerini bir havuzda toplayıp Amazon geliştiricilerinin kullanımına açarak bir altyapı kurmuştur. Ardından Jeff Bezos bu altyapı sisteminden maddi gelir elde edebileceklerini fark ederek bu AWS(Amazon Web Services) servisi tüm dünyaya açma kararı almıştır. O günden bu güne bulut bilişim ve bulut bilişim hikayesinin serüvenini takip etmekteyiz.

NIST ve Standartize

USA federal hükümetin kullandığı bir takım bilişim standartlarını belirleyen kuruluştur. Bu organizasyonun kurduğu bilişim standartlarını sadece USA federal hükümeti değil diğer ülkelerin de bu standartları kullandığını, kendisine göre bu standartları devşirdiğini bilmekteyiz. Farklı devşirilen bu standartlardan sonra aslında “Cloud Computing” farklı birtakım tanımlamalarla anılmaya başlanmıştır. Aslında temelde elimizdeki işlemci, ağ ve veri depolama kaynaklarının verimli kullanılması için bir havuz yaratılıp(Resource Pool), kişilerin talebi doğrultusunda bu havuzdan verilerin etkin şekilde veriyi kullanabilmesidir diyebiliriz.

Sanallaştırma ve Bulut'un Temel Farkları

Virtualization:

Bir insan tarafından manuel olarak kaynak temini.

Self servis değil.

Elastik değil.

Örnek: Virtual Machines

Cloud:

Cloud sisteminin otomatizesi ve kaynak yönetiminin orkestra edilmesi.

Self servis.

Elastik.

Örnek: Amazon Web Services, Microsoft Azure

Otomasyon ve Esnek Kullanım

Amazon ’un AWS(AmazonWeb Services) veya Microsoft Azure sayfasına girip dilediğiniz Core sayısı depolama alanı gibi değişkenleri talep edip üstüne hangi işletim sisteminin kurulu olmasını istiyorsanız bunu seçip birkaç dakika içinde istenilen sisteme sahip olabilirsiniz. İhtiyaç halinde ise gelecekte bu sistemi daha da yükseltip kullanıma devam edebiliyorsunuz. Temelde Cloud “kullandığın kadar öde” sistemi sağlanan “harici donanım kullanımı” ile gerçekleşmektedir.

Bulut Sisteminin Karakterizasyonu

  1. BROAD NETWORK ACCESS

Masaüstü uygulamaları,laptop,mobil cihazlar ya da yazılımların bulut sistemine erişilebilir olması.

  1. RAPID ELASTICITY

Bulut programlarının talebe göre çok çabuk şekilde genişleyebilmesi. Trendyol’da bu Efsane Cuma dönemi, YÖK için ise Üniversite Sınav Tarihinin açıklandığı tarih veya tarih aralıklarında talep edilebilecek sistemler günlük hayatımızda kurum ve kuruluşların bulut teknolojisine duyduğu gerekliliğin örneklerindendir.

  1. MEASURED SERVICE

Birçok bulut servisinin ölçülebilir sistem sağlayıp bir noktadan sonra üst depolama veya çoklu core erişimi talebine karşı ücretlendirilen bir hizmet sağlaması buna bir örnektir.

  1. ON-DEMAND SELF SERVICE

Bahsettiğim üzere pay to use sistemi ile entegre bir otomatize arayüz servisinden (AWS,Microsoft Azure etc..) talep edilecek sistemin kısa bir süre içinde temini gerekliliği.

  1. RESOURCE POOLING

Depolama ünitesi, işlemci temini, geniş ağ erişimi gibi kaynakların bir havuzda toplanıp hizmet talep edenler tarafından kendilerine kaynak temini sağlanabilmesi sistemidir.

Özet: Sayılan tüm bu başlıkların bir sistemde varolması bu sistemin Bulut Sistemi olup olmadığını belirlemektedir. Bir bulut sisteminden servis veya makine üstünde yazılımınızın olması uygulamanızı bulut uyumlu hale getirmez.Sayılan 5 temel başlığı içeren bir sistem ancak bulut uyumlu bir sistem olarak sayılabilir.

Bulut Kurulum Modelleri

Private kurulumu: Özel Bulutlardır.

Public Kurulumu: Herkese açık genel bulutlardr.

Community Bulutların Kurulumu: Bir organizasyon içindeki bir gruba hizmet eden bulutlar. Örneğin bir firmanın kullandığı bulut altyapısının içinde Muhasebe departmanının kullandığı ayrı bir bulut sisteminin olması.

Hibrit Bulutların Kurulumu: Geleneksel bir kurumsal altyapıyı, dışarıdan alınan bulut sistemini birlikte kullanmak hibrit bir Bulut Kurulum modeline örnektir.

Bulut Kurulum Sistemi ve Sorumlulukları

  1. Public Kurulum Modeli:

Public Kurulum genellikle 3.parti kuruluşlar tarafından işletilmektedir. Altyapıları 3.parti kuruluşlara ait ve genellikle organizasyon işletmenizin dışında konumlandırılıyor. Şahsi olarak Google’nin Drive servisini kullanabilirsiniz fakat drive’ın içerisinde kurumsal verilerin bulunması tavsiye edilmez. Genele açık bir servis olduğu için Drive sisteminin güvenlik politikası sizin kurumsal verinizi tutmak isteyeceğiniz güvenlik politikalarından daha gevşek olabilir. Güvensiz olarak kabul edilir.

  1. Private/Community:

İlgili kurulumları hizmet almak isteyen firma da yapabilir veya 3.parti kuruluşlara da yaptırtabilir. Bulut Servisi hizmeti almak isteyen firmanın organizasyonu içinde de olabilir. Organizasyonunun dışında da kurabilir/kurdurtabilir. Bu servisler daha güvenli olarak kabul edilir nedeni ise sizin kurumunuza özel bir altyapı servisi sağlanacağı için tercih edilebilir bir kurulum metodu olarak karşımıza çıkar.

  1. Hybrid Kurulum:

Kurulum yapısı ilgili hizmet alıcının seçmek istediği metodlara göre güvenlikli veya güvensiz sistemler olabilir. Esnek bir sistem olduğu için izlenen yola göre güvenlik daha ayırt edici olmaktadır. Firmaların kurulum aşamasında yetkililerce bilinçli yapacağı seçimler kritik önem taşır.

Bulut Bilişim Risk Kaynakları

Çok Komşulu Çevre(Multitenant):

Bulut sağlayıcısı bir veri merkezinin içindeki kaynakları başkalarına kullandırmaktadır. Birden fazla komşunuz olabilmektedir; aynı sunucunun içinde, aynı disk alanının farklı bir segmentini farklı bir kişi kullanabiliyor(Multitenant). Ek olarak Bulut sistemini kullandığınız kurumun dünyanın hangi bölgesindeki sunucusunda hangi merkezde verilerinizin tutulduğunu eğer anlaşmanız içinde değilse bilemeyebilirsiniz(Distributed).

Uyumluluk(Compliance):

Sağlanması gereken bir takım regülasyonların bulunması veya standartlardan dolayı birtakım zorlayıcı durumlar olabilir. Bankacılık sektöründe ise PCRCSS uyumluluğu aranır. Ülkemizde bulunan KVKK gibi regülasyonların sağlanması gerekiyor. Amerikan sağlık örgütünün sağlanmasını beklediği HIPA standartları gibi mahremiyetin korunma yollarında standartize edilme çalışmaları vardır.

Bulut Bilişim Risk Kaynaklarından Doğan Güvenlik Sorunları

Çok komşulu sisteme geçildiği için ilgili bir firmanın verilerinin aynı veri diskinin üstündeki komşu segmentteki bir başka firmanın verilerini görmesi bir güvenlik sorunu olarak nitelendirilebilir. Eğer ağın üzerindeki sanallaştırmadan doğan Sanal Network altyapısı eğer iyi işlemiyorsa herkesin trafiği birbirinin içerisine girip, birisinin görmemesi gereken şeyi öbür firmanın ağına karışması gibi uç noktadaki örneklerle karşılaşılabilir.

Bulut Bilişim Risk Kaynaklarından Doğan Atak Vektörleri

Kullanıcı kaynaklı zafiyetler:

Phishing attack

Insider Threats

Data Breaches

Misconfiguration Risks

Identify Theft

Sistem zafiyetleri:

API vulnerabilities

Ddos Attack

Data Breaches

Misconfiguration Risks

Ransomware Threats

Zafiyet Vektörlerine Karşı Alınabilecek Önlemler

Güvenilir Bir Hizmet Sağlayıcı Seçimi:

Dikkatlice seçilmiş bir bulut hizmet sağlayıcı, güvenlik konusunda iyi bir altyapıya sahip olmalıdır. Güvenilirlik, deneyim ve referansları değerlendirilmelidir.

Veri Şifreleme:

Hizmet sağlayıcı tarafından sunulan veri şifreleme özelliklerini kullanarak, hem dinamik hem de statik verilerin şifrelenmesini sağlayın. Bu, veri güvenliğini artırabilir.

Kimlik ve Erişim Yönetimi:

Güçlü kimlik doğrulama ve yetkilendirme politikalarını uygulayarak, yetkisiz erişimlere karşı koruma sağlanmalıdır. Çift faktörlü kimlik doğrulama gibi ek önlemler de kullanılabilir.

Güvenlik Duvarları ve Ağ İzolasyonu:

Güvenlik duvarları ve ağ izolasyonu gibi önlemlerle, istenmeyen ağ trafiğini engelleyerek veri güvenliğini artırabilirsiniz.

Olay İzleme ve Güvenlik İncelemeleri:

Bulut hizmetlerinden gelen logları düzenli olarak izleyin ve güvenlik incelemeleri yapın. Bu, potansiyel güvenlik ihlallerini daha hızlı tespit etmenizi sağlar.

Büyük Şirketlerin Yakın Zamanda Uğradığı Cloud Saldırıları

Kaynakça

https://www.kaspersky.com.tr/resource-center/definitions/what-is-cloud-security

https://siberkume.org.tr

Last updated