Bulut Güvenliği (Cloud Security) nedir?

Bulut güvenliği, bulut tabanlı bilgi işlem ortamlarını potansiyel siber güvenlik tehditlerine karşı güçlendiren bir dizi prosedür, politika ve teknolojidir. Uygulamada, herhangi bir saldırı veya ihlal sırasında bulut bilişim modellerinin bütünlüğünü ve güvenliğini sağlar. Bulut servis sağlayıcıları, güvenli bulut altyapısı sağlar.

Bulut güvenliği

Bulutun güvenliğini sağlamak, göründüğü kadar karmaşık değildir. Bulutunuzu güvende tutarken işinizi korumanın ve sunduğu her şeyden aynı anda yararlanmanın birçok yolu vardır.

Bulut güvenliği, kuruluşunuzun ihtiyaçlarına uyan doğru hizmet modelini seçmekle başlar. Bulut güvenliği teklifleri açısından üç benzersiz hizmet modeli ve dört dağıtım seçeneği vardır. Hizmet modeli seçenekleri aşağıdakileri içerir:

  • Hizmet Olarak Altyapı (IaaS): IaaS modeli, bir şirketin kendi sanal Veri Merkezini (vDC) oluşturmasını sağlar. Sanal bir veri merkezi, geleneksel bir veri merkezinin sağlayabileceği fiziksel faydaların yerine bulut tabanlı kaynaklar sunar. Sanallaştırılmış bir veri merkezine sahip fiziksel makinelere düzenli bakım, güncelleme veya servis işlemlerine gerek yoktur.
  • Hizmet Olarak Platform (PaaS):: PaaS modeli, müşterilerin yazılım tedarik etmesine, dağıtmasına veya oluşturmasına olanak tanıyan çeşitli seçenekler sunar.

 

Hizmet Olarak Yazılım (SaaS) SaaS modeli ile müşterilere, üzerine kurulum için bilgisayar veya sunucu kullanımı gerektirmeyen bir yazılım sunulur. Buna örnek olarak Microsoft 365 (eski adıyla Office 365) ve Gmail verilebilir. Bu seçeneklerle, müşterilerin her uygulamaya erişmek için yalnızca bir bilgisayara, tablete veya telefona ihtiyacı vardır. İşletmeler, ürünlerini vurgulamak için DRaaS'den (olağanüstü durum kurtarma) HSMaaS'ye (donanım güvenlik modülü), DBaaS'ye (veritabanı) ve son olarak XaaS'ye (herhangi bir şey) kadar çeşitli terimler kullanır. Bir şirketin ne pazarladığına bağlı olarak, bir ürünün SaaS mı yoksa PaaS mı olduğunu belirlemek zor olabilir, ancak sonuçta bulut sağlayıcısının sözleşmeden doğan sorumluluklarını anlamak daha önemlidir. Bulut sağlayıcıları, HSMaaS (donanım güvenliği modülü) veya DRMaaS (dijital haklar yönetimi) gibi hizmetler aracılığıyla bulut oluşumlarına güvenlik eklemek için sözleşmelerini genişletir.

Dört dağıtım modeli bulunur:

  • Genel:  Genel - Herkes satın alabilir. Örnek olarak Amazon Web Services (AWS), Microsoft Azure ve Google Cloud Platform (GCP) verilebilir.
  • Özel: Tek bir şirket için üretilmiştir ve donanım başka kimseyle paylaşılmaz. Özel model, genel bir bulutta veya kendi veri merkezinizde veya özel bulutlar oluşturma konusunda uzmanlaşmış bir işletmede, yani yönetilen bir hizmet sağlayıcısında oluşturulabilir.
  • Topluluk: Bu, işletmeler arasında paylaşım kavramını içerir. Bu dağıtım modelinde hizmet, hatta veriler dahi paylaşılabilir. Buna örnek olarak kamu tarafından oluşturulan ve birden fazla kurumun kullandığı bulut ortamı örnek olarak verilebilir.
  • Hibrit: Bu, yukarıda listelenen üç dağıtım modelinden en az ikisinin kullanımını içerir: genel ve özel, özel ve topluluk veya genel ve topluluk. Başka bir olasılık, üçünü de kullanmaktır.

Bulut güvenliğinin en önemli yönü hangisidir?

Bireysel bir bulut güvenlik politikasının tüm yönleri önemlidir, ancak her sağlayıcının sunması gereken belirli temeller vardır. Bunlar, bir bulut güvenlik altyapısının temel ve en önemli yönlerinden bazıları olarak kabul edilir. Seçtiğiniz sağlayıcının tüm bu temelleri kapsadığından emin olmak, uygulayabileceğiniz en eksiksiz bulut güvenliği stratejisiyle eşdeğerdir.

Sürekli izleme:: Bulut güvenliği sağlayıcıları, tuttukları günlüklerle bulut platformlarınızda neler olduğuna dair bir fikir verebilir. Bir olay meydana geldiğinde, güvenlik ekibiniz olası saldırılara veya değişikliklere ilişkin içgörü için dahili günlükleri inceleyebilir ve sağlayıcınızın kayıtlarıyla karşılaştırabilir. Bu, meydana gelebilecek herhangi bir olayı hızlı bir şekilde tespit etmeye ve müdahale etmeye yardımcı olur.

Değişiklik yönetimi: Bulut güvenliği sağlayıcınız, değişiklikler istendiğinde, varlıklar değiştirildiğinde veya taşındığında ya da yeni sunucular sağlandığında veya kullanımdan kaldırıldığında uyumluluk kontrollerini izlemek için değişiklik yönetimi protokolleri sunmalıdır. Özel değişiklik yönetimi uygulamaları, olağandışı davranışları otomatik olarak izlemek için kullanıma alınabilir. Böylece siz ve ekibiniz, bunları azaltmak ve düzeltmek için hızla hareket edebilirsiniz.

Sıfır güven güvenlik kontrolleri: Görev açısından kritik varlıklarınızı ve uygulamalarınızı bulut ağınızdan ayırın. Güvenli iş yüklerini gizli ve erişilemez tutmak, bulut tabanlı ortamınızı koruyan güvenlik ilkelerinin uygulanmasına yardımcı olacaktır.

Her şeyi kapsayan veri koruması: Sağlayıcınız, tüm taşıma katmanları, iyi veri hijyeni, sürekli risk yönetimi izleme, güvenli dosya paylaşımı ve güvenli iletişim için ek şifreleme ile gelişmiş veri koruması sunmalıdır. Kısacası, işletmenizin verilerini her şekilde, şekilde ve biçimde korumak söz konusu olduğunda, sağlayıcınız oyunun zirvesinde olmalıdır.

Kendinize şu soruyu sorun: “Nelerden endişeleniyorum?” Bu, akılda tutulması gereken en önemli hususları anlamanıza yardımcı olabilecek bulut sağlayıcınıza hangi soruları soracağınızı belirlemenize yardımcı olacaktır.

Bulut mimarisi

Bulut mimarisi, basitçe söylemek gerekirse yazılım uygulamaları, veritabanları ve diğer hizmetler genelinde ölçeklenebilir kaynakları paylaşmak için birden fazla ortamın bir araya toplanmasının sonucudur. Bu terim, bildiğimiz şekliyle bulutu oluşturmak için birlikte çalışan altyapı ve bileşenleri ifade eder.

Bir bulut oluşturmak için gereken temel bileşenler arasında ağlar, yönlendiriciler, anahtarlar, sunucular, güvenlik duvarları, izinsiz giriş algılama sistemleri ve diğerleri bulunur. Bulut ayrıca sunuculardaki tüm unsurları içerir: Hipervizör, sanal makineler ve elbette yazılımlar. Bulut mimarisi ayrıca bulut hizmetleri oluşturmak, yönetmek, satmak ve satın almak için bir bulut sağlayıcısı, bulut mimarı ve bulut aracısı gerektirir. Takip edilmesi gereken bütün bir ekosistem var, ancak insanlar “bulut” dediğinde aslında bulut mimarisine atıfta bulunuyor.

Bulut mimarisiyle ilgili birçok terim, bulut kelimesini bulut tüketicisi gibi eski ve tanıdık bir terime ekler. Tüketici tanımını anlarsanız, yeni terim oldukça nettir. Telefon hizmetleri yerine bulut hizmetleri tüketicisi anlamına gelir.

İşte bazı temel örnekler:

  • Bulut tüketicisi: Bir bulut sağlayıcısından bulut hizmeti alan kişi veya şirket.
  • Bulut sağlayıcı: Tüketicilerin ihtiyaç duyduğu hizmetleri sağlayan kaynaklara sahip kişi veya şirket. Bu, sunucuları, sanal makineleri, veri depolamayı veya müşterinin ihtiyaç duyduğu kaynakları oluşturma teknolojisini içerir.
  • Bulut aracısı: Tüketici için bulutun dağıtımını, kullanımını ve performansını yöneten, tüketici adına sağlayıcı ile ilişkiyi müzakere eden kişi veya şirket.
  • Bulut taşıyıcı: Taşıyıcı, bir işletmeyi buluta bağlayan hizmet sağlayıcıdır, örneğin internet servis sağlayıcınız. Bir işletme için bu genellikle MPLS bağlantısı olacaktır.
  • Bulut denetçisi: Bulut sağlayıcısının ortamının denetimini gerçekleştiren kişi veya şirket. Bu denetimler, gizlilik ve güvenlik denetimlerini içerir.

Bulut Güvenliği Mimarisi

Bulutta güvenlik, temel mimariye güvenlik öğeleri ekleyen bulut güvenlik mimarisiyle başlar. Geleneksel güvenlik öğeleri arasında güvenlik duvarları (Firewall), kötü amaçlı yazılımdan koruma ve izinsiz giriş algılama sistemleri (IDS) bulunur. Bulut ortamında güvenli yapılar tasarlamak için bulut denetçilerine, güvenlik mimarlarına ve güvenlik mühendislerine de ihtiyaç vardır.

Başka bir deyişle, bulut güvenliği mimarisi donanım veya yazılımla sınırlı değildir.

Bulut güvenliği mimarisi risk yönetimi ile başlar. Neyin yanlış gidebileceğini ve bir işletmenin nasıl olumsuz etkilenebileceğini bilmek, şirketlerin sorumlu kararlar almasına yardımcı olur. Üç kritik konu iş sürekliliği, tedarik zinciri ve fiziksel güvenliktir.

Örneğin, bulut sağlayıcı bir sorunla karşılaşırsa işinize ne olur? Sunucuları, hizmetleri ve verileri buluta koymak, iş sürekliliği ve/veya olağanüstü durum kurtarma planlaması ihtiyacını ortadan kaldırmaz.

Bulut sağlayıcının veri merkezine isteyen herkes girebilseydi ne olurdu? Üç büyük sağlayıcıda (AWS, GCP ve Azure) bu kolay olmayacaktır, ama mesele bu. Veri merkezi güvenliğine çok büyük yatırım yapıyorlar.

Peki diğer bulut sağlayıcılarda durum nasıl? Herhangi bir bulut sağlayıcısının veri merkezinin potansiyel değerlendirilmesini isteyin ve bir denetime dahil olun. Yanıtlarına dakkat edin. Ertesi gün veri merkezini kontrol etmenize izin verdiler mi? Veri merkezine girmek kolaysa, belki de bu sağlayıcıyı tercih etmek için ikinci kez düşünmeniz gerekebilir.

Bazı küçük bulut sağlayıcıların kendilerine ait fiziksel bir veri merkezi olmayabilir. Büyük bulut sağlayıcılardan aldıkları hizmeti size yeniden satarlar. Bu bulut teknolojisinin güzelliklerinden biridir. Bulut sağlayıcılar arasındaki ilişkiler bilinmiyorsa yasalar, düzenlemeler ve sözleşmelerle ilgili ek sorunlar ortaya çıkabilir. Bu basit soruyu sorun: Verilerim nerede? Bulut sağlayıcının birden çok düzeyi varsa, yanıtı belirlemek zor olabilir. Avrupa Genel Veri Koruma Yönetmeliği (GDPR) ile ilgili bir sorun gibi ciddi yasal sonuçlara da neden olabilir.

Bir işletmenin bulut güvenlik mimarisini oluşturan unsurlar arasında bulut güvenlik hizmetleri de yer alabilir. Veri sızıntısını önleme (DLPaaS) gibi hizmetleri satın almak mümkündur. Güvenli bir şekilde güvence altına alınabilmesi için kişisel olarak tanımlanabilir bilgileri arayan bir tarama aracı gibi diğer unsurlar güvenliğe yardımcı olacaktır. Bu hizmetlerin gerektiği gibi çalışmasını sağlamak için bulut güvenlik yönetimi gereklidir.

Buluta özel uygulama koruma programı (CNAPP) nedir?

CNAPP, bir dizi buluta özel uygulamada riskin belirlenmesine, değerlendirilmesine, önceliklendirilmesine ve bunlara uyum sağlanmasına yardımcı olmayı amaçlayan bir grup güvenlik çözümüdür.

Bu nedenle, CNAPP, silolanmış ürünlerden ve platformlardan toplanan en önemli özelliklerden birkaçını bir araya getirir: Yapısal Tarama, Çalışma Zamanı Koruması ve Bulut Yapılandırması. Bu, şunları içerir:

  • Açık Amazon S3 klasörleri, veritabanları ve ağ bağlantı noktaları için yanlış yapılandırma kontrolleri
  • Bulut iş yüklerinizin çalışma zamanı izleme ve koruması
  • Konteynerlar, sanal makineler (VM'ler) veya sunucusuz işlevlerdeki güvenlik açıklarının otomatik olarak algılanması
  • CVE'ler, gizli bilgiler, hassas veriler ve kötü amaçlı yazılımlar için maruz kalma taraması
  • Kod Olarak Altyapı (IaC) tarama

 

Trend Micro, bir CNAPP satıcısı olarak kabul edilir ve bulut oluşturuculara yönelik güvenlik hizmetleri platformu Trend Micro Cloud One™ gibi ürünler, CNAPP mimarisine tam olarak uyumludur.

Bulut uyumluluğu

İşletmelerin yürürlükteki birçok yasa, yönetmelik ve sözleşmeye uyması gerekir. Verilerinizi ve hizmetlerinizi başka birinin mülkiyetine bıraktığınızda, uyumluluğu sağlamak için yerine getirilmesi gereken bazı karmaşık gereksinimler vardır.

Yasal açıdan, kuruluşların Kişisel Verileri Korunması Kanunu (KVKK - Türkiye), Avrupa Birliği Genel Veri Koruma Yönetmeliği (EU GDPR), Sarbanes-Oxley – ABD finansal veri koruması (SOX), Sağlık Bilgilerinin Taşınabilirliği ve Sorumluluğu Yasası – ABD sağlık hizmetleri (HIPAA) ve diğerlerine uyması gerekir. . Ayrıca, kredi kartı koruması, Payment Card Industry - Data Security Standard (PCI-DSS) ile sözleşme kanunu kapsamındadır.

Uyum konusu belirlendikten sonra, başta denetim olmak üzere birçok önlem alınabilir. Denetim, Amerikan Yeminli Mali Müşavirler Enstitüsü'nün SSAE 18 (Onay Anlaşmalarına İlişkin Standartlar Beyanı, Madde 18) gibi standartlaştırılmış bir yaklaşım ve kanıtlanmış bir metodoloji kullanılarak yapılmalıdır. Denetimin bulguları, neyin uygun olmayabileceğini gösterecektir. Bir bulut sağlayıcısına karar verirken, veri merkezinin güvenlik düzeyini ve sizi nelerin beklediğini bilmek için bu raporları okumak önemlidir.