Günümüz koşullarında teknoloji baş döndüren bir hızla gelişmekte ve hızlı bir ilerleme kat etmektedir. Bunun doğal bir sonucu olarak da kurumlar tarafından kullanılan sistemler ve teknolojiler hızlı bir değişim sergilemektedir. Kurumların yaklaşık %92’si çoklu bulut teknolojisini (multi-cloud computing), %83’ü de hibrit bulut teknolojisini (hybrid cloud computing) kullanmaktadır. Çoklu bulut teknolojisi birden fazla bulut hizmeti sunan firmanın (cloud service provider) kullanılması, hibrit bulut teknolojisi ise özel ve genel bulut teknolojisi (private and public cloud) kullanılması anlamına gelmektedir.
Bu tarz bir kullanım şeklinin en büyük dezavantajı, ilgili hizmetler arasında uyum ve koordinasyonun sağlanmasında yaşanan problem ve zorluklardır. Burada odaklanılması gereken nokta, bütüncül bir güvenlik yönetimidir (holistic security management). Bu yöntem, kurumlara geleneksel kurumsal çözümlerin ötesinde avantajlar sağlamaktadır.
Yukarıda yapılan açıklama ve değerlendirmeler ışığında; veri ve veri güvenliğinin bulut teknolojilerindeki önemi açıkça görülmektedir. Veri güvenliğinin sağlanabilmesi için temel bilişim güvenliğinin gerekleri olan ve endüstride yani piyasada CIA Triad olarak bilinen gizlilik (Confidentiality), bütünlük (Integrity) ve ulaşılabilirlik (Availability) şartlarını karşılaması beklenmektedir.
– Gizlilik (confidentiality): Yetkisiz kişilerin veriye ulaşımını engellemekte ve bu maksatla koruma sağlamaktadır.
– Bütünlük (Integrity): Verinin yetkisiz kişiler tarafından değiştirilmesini ya da manipule edilmesini engellemektedir.
– Ulaşılabilirlik (Availability): Veriye ihtiyaç duyulduğunda ulaşabilmeyi mümkün kılmaktadır.
Söz konusu ilkeler hangi bulut teknoloji modeli (public, private or hybrid) ya da kategorisi (infrasutructure-as-a service (IaaS), platform-as-a service (PaaS), software-as-a service (SaaS)) kullanılırsa kullanılsın karşılanması ve temin edilmesi gereken ilkelerdir. Aksi durum açık bir güvenlik ihlali anlamına gelecektir. Söz konusu hizmet ve dağıtım modelleri yazımızın konusu olmaması hasebiyle burada ele alınmamıştır.
Özellikle veri bütünlüğü (data integrity) bulut teknolojilerinde büyük önem arz etmektedir. Bu alanda güvenlik ihlalinin çeşitli nedenleri söz konusudur. Bunlar şu şekilde özetlenebilir:
- İnsan hataları
- İçeriden Gelen Tehditler
- Kötü niyetli Saldırganlar
- Konfigürasyon Hataları
- Transfer Hataları
- Güvenliği İhlal Edilmiş Donanımlar
Söz konusu risk alanları içerisinde en hassas alanı kurumların içerisinden gelen riskler ve tehditler (Insider Intruders) oluşturmaktadır. Bu kişiler yasal olarak kurumun verilerine ve sistemlerine ulaşma yetkisi olan kişilerdir ve bunlar mevcut çalışanlar, eski çalışanlar, iş ortağı olan başka kurumlar, yükleniciler olabilmektedir. Bu grup tarafından sebep olunan tehditleri kasıtlı ve kasıtsız olarak iki ana gruba ayırmak mümkündür.
- Kasıtsız (Unintentional)
- Kimlik bilgilerini koruyamamak
- Phishing veya sosyal mühendislik (social engineering) kurbanı olmak
- Güvenlik güncellemesi ve security patch eksiklikleri
- Hassas verilerin yetkisiz kişilerle paylaşımı
- Güvenlik politikalarının yetersiz uygulanması
- Kasıtlı (Intentional)
- Espiyonaj
- Çıkar elde etmek
- Öç almak
Yaklaşık bu tarz tehditlerin oranı %60 civarında olup, 2018 yılından itibaren tehdit oranı %47 oranında bir artış göstermiştir. Bu nedenle kurumların bu alanda ciddi tedbirler alması büyük önem arz etmektedir. Bu alanda istikrarlı ve güvenilir bir güvenlik stratejisi (security strategy and policy) oluşturulmalı ve sıkı bir şekilde uygulanması takip edilmelidir. Bu kapsamda alınabilecek tedbirler şunlardır:
- Veriler taşıdığı değer ve hassasiyete göre tasnif edilmelidir.
- Giriş yetkileri sınırlandırılmalı ve kontrol altında tutulmalıdır.
- Kişisel ve iş hesapları birbirinden ayrılmalıdır.
- Kullanıcı faaliyetleri gözlenmeli ve takip edilmelidir (user activity monitoring). Bu takip bütün ağ (across the entire network) genelinde uygulanmalıdır.
Bulut hizmeti sağlayıcıları (cloud provider), her ne kadar bulut alanındaki güvenliği temin etmiş olsalar da, kurumlar kendi üzerlerine düşen bazı görevleri yerine getirmek durumundadır. Öncelikle kurumlar tüm hassas bilgilerini üçüncü bir tarafa (third party) yani bir bulut bilişim hizmet sağlayıcısına göndermektedir. Bu transfer ciddi riskler barındırmaktadır. Bu nedenle; verileri buluta gönderirken, kurumsal bilgilerinin Hackerlar tarafından ele geçirilme ihtimali olabilir.
Kurumların bilişim altyapılarını güçlendirerek, kullanıcı, uygulama ve güvenlik çevresindeki izlenebilme kabiliyetini artırması oldukça önemlidir. Bunun yanı sıra; bulut güvenliği, bulut hizmetini bünyesine entegre eden kurumun sorumluğunda bulunmaktadır. Bu durum şirketlerin bulut teknolojisine emanet etmiş olduğu bazı işlevlerinin güvenlik riskini de etkilemektedir.
Kurumlar on-premise sistemlerini ve bilişim alt yapılarını cloud ortamına taşırken (migration to the cloud); profesyonel destek ve danışmanlık almalı, ayrıca kendi bünyesinde bu işlemleri yapabilecek ve devam ettirebilecek yetkin bir ekip oluşturmalıdır. Bu konuda oluşabilecek bir zafiyet kurumları bilgi güvenliği alanında zor durumda bırakabileceği gibi piyasa değerini de olumsuz etkileyebilecektir.
Yukarıdaki veriler ve yapılan değerlendirmeler ışığında bulut teknolojileri kullanılırken oluşabilecek güvenlik problemleri ya da zorlukları aşağıdaki gibi ifade edilebilir:
- Görünürlük eksikliği (lack of visibility)
- Çoklu kiralama (multitenancy)
- Giriş yetkileri ve yönetimi ile gölge IT (Access management and shadow IT)
- Yanlış yapılandırma/ayarlama (misconfıgurations)
Kurumların sürekli olarak göz önünde bulundurması gereken husus; veri gizliliği ve güvenliğinden esas sorumlu olan tarafın kurumun kendisi olduğu gerçeğidir. Kurumların bulut teknolojilerini kullanıyor olmaları, bu sorumluluğu bulut teknolojisi sunan (cloud provider) üçüncü şahıslara devrettiği anlamı taşımamaktadır. Bu tarz güvenlik problemlerine yönelik alınabilecek bulut güvenlik çözümleri (cloud security solutions) daha sonra, değişen güvenlik boyutları ışığında ele alınacaktır.
