Bulut Güvenliği (Cloud Security) nedir?

Bulut güvenliği, bulutta bulunan tüm veri ve hizmetlerin kullanılabilirlik, bütünlük ve gizlilik saldırılarına veya ihlallerine karşı korunması eylemidir. Bulut servis sağlayıcıları, güvenli bulut altyapısı sağlar. Ancak Paylaşılan Sorumluluk Modeli aracılığıyla müşteriler, bulutta çalıştırdıkları iş yüklerini, uygulamaları ve verileri güvence altına almaktan sorumludur.

Bulut güvenliği

Bulut güvenliği kulağa ulaşılmaz gibi gelebilir, ancak sonuçta bulut, başka bir kuruluşun sahip olduğu sunucular, yönlendiriciler ve anahtarlardan oluşan bir ortamdır. İşinizi korumanın ve sorumluluk modelinde üzerinize düşeni yaptığınızdan emin olmanın birçok yolu vardır. Bulutun sunduğu her şeyden yararlanırken güvende tutabilirsiniz.

Bulut mimarilerinin nasıl güvenli hale getirileceğine girmeden önce bulutun yapısına bakalım. Günümüzün bulut ortamı, aralarından seçim yapabileceğiniz birçok seçenek sunuyor. Üç hizmet modeli ve dört dağıtım modeli bulunuyor. Bunlar, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından SP 800-145 yönergesinde tanımlanmıştır.

Hizmet modelleri şu şekildedir:

  • Hizmet Olarak Altyapı – IaaS, bir şirketin kendi sanal Veri Merkezini (vDC) oluşturmasını sağlar.
  • Hizmet Olarak Platform – PaaS, müşterinin yazılım tedarik etmesine, dağıtmasına veya oluşturmasına olanak tanıyan birçok seçenek sunar.
  • Hizmet Olarak Yazılım – SaaS'ta, müşteriye, üzerine kurulacak bir bilgisayara veya sunucuya ihtiyaç duymadan yazılım kullanımı sağlanır. Buna örnek olarak Microsoft 365 (eski adıyla Office 365) ve Gmail verilebilir. Müşterinin çevrimiçi yazılıma erişmek için yalnızca bir bilgisayara, tablete veya telefona ihtiyacı vardır.


İşletmeler, ürünlerini öne çıkarmak için NIST'in daha tarafsız açıklamalarının aksine, DRaaS'den (olağanüstü durum kurtarma) HSMaaS'ye (donanım güvenliği modülü), DBaaS'ye (veritabanı) ve son olarak XaaS'ye (herhangi bir şey) kadar çeşitli terimler kullanıyorlar. Bir şirketin ne pazarladığına bağlı olarak, bir ürünün SaaS mı yoksa PaaS mı olduğunu belirlemek zor olabilir, ancak sonuçta bulut sağlayıcısının sözleşmeden doğan sorumluluklarını anlamak daha önemlidir. Bulut sağlayıcıları, HSMaaS (donanım güvenliği modülü) veya DRMaaS (dijital haklar yönetimi) gibi hizmetler aracılığıyla bulut oluşumlarına güvenlik eklemek için sözleşmelerini genişletir.

Dört dağıtım modeli bulunur:

  • Genel - Herkes satın alabilir. Örnek olarak Amazon Web Services (AWS), Microsoft Azure ve Google Cloud Platform (GCP) verilebilir.
  • Özel – Tek bir şirket için üretilmiştir ve donanım başka kimseyle paylaşılmaz. Özel model, genel bir bulutta veya kendi veri merkezinizde veya özel bulutlar oluşturma konusunda uzmanlaşmış bir işletmede, yani yönetilen bir hizmet sağlayıcısında oluşturulabilir.
  • Topluluk – Bu, işletmeler arasında paylaşım kavramını içerir. Bu dağıtım modelinde hizmet, hatta veriler dahi paylaşılabilir. Buna örnek olarak kamu tarafından oluşturulan ve birden fazla kurumun kullandığı bulut ortamı örnek olarak verilebilir.
  • Hibrit – Bu, yukarıda listelenen üç dağıtım modelinden en az ikisinin kullanımını içerir: genel ve özel, özel ve topluluk veya genel ve topluluk. Başka bir olasılık, üçünü de kullanmaktır.

 

Bulut mimarisi

Bulut mimarisi, bileşenlerin ve alt bileşenlerin mantıklı ve umarız verimli ve etkili bir yapıda düzenlenmesidir. Bu yapı, bubileşenlerin bir amaca doğru birlikte çalışmasına, güçlü yönleri öne çıkarmasına ve zayıf yönleri en aza indirmesine izin vermelidir. Bir bulut oluşturmak için gereken temel bileşenler arasında ağlar, yönlendiriciler, anahtarlar, sunucular ve güvenlik duvarları, izinsiz giriş algılama sistemleri ve diğerleri bulunur. Bulut ayrıca sunuculardaki tüm unsurları içerir: hipervizör, sanal makineler ve elbette yazılımlar. Bulut mimarisi ayrıca bulut hizmetleri oluşturmak, yönetmek, satmak ve satın almak için bir bulut sağlayıcısı, bulut mimarı ve bulut aracısı gerektirir.

Bulut mimarisiyle ilgili birçok terim, bulut kelimesini bulut tüketicisi gibi eski ve tanıdık bir terime ekler. Tüketici tanımını anlarsanız, yeni terim oldukça nettir. Telefon hizmetleri yerine bulut hizmetleri tüketicisi anlamına gelir.

NIST SP 500-299'da bulunan temel terminoloji şunları içerir:

  • Bulut tüketicisi – Bir bulut sağlayıcısından bulut hizmetini kullanan kişi veya şirket.
  • Bulut sağlayıcı – Tüketicilerin ihtiyaç duyduğu hizmetleri sağlayan kaynaklara sahip kişi veya şirket. Bu, sunucuları, sanal makineleri, veri depolamayı veya müşterinin ihtiyaç duyduğu kaynakları oluşturma teknolojisini içerir.
  • Bulut aracısı – Tüketici için bulutun dağıtımını, kullanımını ve performansını yöneten, tüketici adına sağlayıcı ile ilişkiyi müzakere eden kişi veya şirket.
  • Bulut taşıyıcı – Taşıyıcı, bir işletmeyi buluta bağlayan hizmet sağlayıcıdır, örneğin internet servis sağlayıcınız. Bir işletme için bu genellikle MPLS bağlantısı olacaktır.
  • Bulut denetçisi – Bulut sağlayıcısının ortamının denetimini gerçekleştiren kişi veya şirket. Bu denetimler, gizlilik ve güvenlik denetimlerini içerir.

Bulut Güvenliği Mimarisi

Bulutta güvenlik, temel mimariye güvenlik öğeleri ekleyen bulut güvenlik mimarisiyle başlar. Geleneksel güvenlik öğeleri arasında güvenlik duvarları (Firewall), kötü amaçlı yazılımdan koruma ve izinsiz giriş algılama sistemleri (IDS) bulunur. Bulut ortamında güvenli yapılar tasarlamak için bulut denetçilerine, güvenlik mimarlarına ve güvenlik mühendislerine de ihtiyaç vardır.

Başka bir deyişle, bulut güvenliği mimarisi donanım veya yazılımla sınırlı değildir.

Bulut güvenliği mimarisi risk yönetimi ile başlar. Neyin yanlış gidebileceğini ve bir işletmenin nasıl olumsuz etkilenebileceğini bilmek, şirketlerin sorumlu kararlar almasına yardımcı olur. Üç kritik konu iş sürekliliği, tedarik zinciri ve fiziksel güvenliktir.

Bulut sağlayıcı bir sorunla karşılaşırsa işinize ne olur? Sunucuları, hizmetleri ve verileri buluta koymak, iş sürekliliği ve olağanüstü durum kurtarma planlaması ihtiyacını ortadan kaldırmaz.

Bulut sağlayıcının veri merkezine isteyen herkes girebilseydi ne olurdu? Üç büyük sağlayıcıda (AWS, GCP ve Azure) bu kolay olmayacaktır, ama mesele bu. Veri merkezi güvenliğine çok büyük yatırım yapıyorlar. Peki diğer bulut sağlayıcılarda durum nasıl? Herhangi bir bulut sağlayıcısının veri merkezinin potansiyel değerlendirilmesini isteyin ve bir denetime dahil olun. Yanıtlarına dakkat edin. Ertesi gün veri merkezini kontrol etmenize izin verdiler mi? Veri merkezine girmek kolaysa, belki de bu sağlayıcıyı tercih etmek için ikinci kez düşünmeniz gerekebilir.

Bazı küçük bulut sağlayıcıların kendilerine ait fiziksel bir veri merkezi olmayabilir. Büyük bulut sağlayıcılardan aldıkları hizmeti size yeniden satarlar. Bu bulut teknolojisinin güzelliklerinden biridir. Bulut sağlayıcılar arasındaki ilişkiler bilinmiyorsa yasalar, düzenlemeler ve sözleşmelerle ilgili ek sorunlar ortaya çıkabilir. Bu basit soruyu sorun: Verilerim nerede? Bulut sağlayıcının birden çok düzeyi varsa, yanıtı belirlemek zor olabilir. Avrupa Genel Veri Koruma Yönetmeliği (GDPR) ile ilgili bir sorun gibi ciddi yasal sonuçlara da neden olabilir.

Bir işletmenin bulut güvenlik mimarisini oluşturan unsurlar arasında bulut güvenlik hizmetleri de yer alabilir. Veri sızıntısını önleme (DLPaaS) gibi hizmetleri satın almak mümkündur. Güvenli bir şekilde güvence altına alınabilmesi için kişisel olarak tanımlanabilir bilgileri arayan bir tarama aracı gibi diğer unsurlar güvenliğe yardımcı olacaktır. Bu hizmetlerin gerektiği gibi çalışmasını sağlamak için bulut güvenlik yönetimi gereklidir.

Bulut uyumluluğu

İşletmelerin birçok kanun, yönetmelik ve sözleşmeye uygun olması gerekmektedir. Verilerinizi ve hizmetlerinizi başka bir şirketin ya da kişinin mülkiyetine bıraktığınızda, uyumluluğu doğrulamak için gereken denetimler karmaşık bir hal alabilir.

Kendinize şu soruyu sorun: “Nelerden endişeleniyorum?” Bu, bulut sağlayıcınıza hangi soruları soracağınızı belirlemenize yardımcı olacaktır. Yasal açıdan, kuruluşların Kişisel Verileri Korunması Kanunu (KVKK - Türkiye), Avrupa Birliği Genel Veri Koruma Yönetmeliği (EU GDPR), Sarbanes-Oxley – ABD finansal veri koruması (SOX), Sağlık Bilgilerinin Taşınabilirliği ve Sorumluluğu Yasası – ABD sağlık hizmetleri (HIPAA) ve diğerlerine uyması gerekir. . Ayrıca, kredi kartı koruması, Payment Card Industry - Data Security Standard (PCI-DSS) ile sözleşme kanunu kapsamındadır.

Uyum konusu belirlendikten sonra, başta denetim olmak üzere birçok önlem alınabilir. Denetim, Amerikan Yeminli Mali Müşavirler Enstitüsü'nün SSAE 18 (Onay Anlaşmalarına İlişkin Standartlar Beyanı, Madde 18) gibi standartlaştırılmış bir yaklaşım ve kanıtlanmış bir metodoloji kullanılarak yapılmalıdır. Denetimin bulguları, neyin uygun olmayabileceğini gösterecektir. Bir bulut sağlayıcısına karar verirken, veri merkezinin güvenlik düzeyini ve sizi nelerin beklediğini bilmek için bu raporları okumak önemlidir.

Kod Olarak Altyapı (IaC)

Kod Olarak Altyapı’nın kısa açıklaması, altyapının her bir yönlendiriciyi, sunucuyu, anahtarı ve yazılımı yapılandırmak yerine aynı DevOps mantığıyla kod gibi ele alınmasıdır. DevOps'un güçlü yanlarını altyapımızın oluşturulmasına ve yönetimine uygularsak, bunun birçok faydası olur. Bulut ortamında altyapınız sanal hale gelir. Yani altyapınız donanım değil, yalnızca koddur. Yönlendirici aslında yalnızca belirli veya özel olarak oluşturulmuş bir bilgisayarda yaşayan koddur; donanım kaldırıldığında, geriye kalan yalnızca koddur.

Yönlendirici de aynı şekilde sadece belirli veya özel olarak oluşturulmuş gerçek bir kurgu kodudur. Donanım kaldırıldığında geriye kalan yalnızca koddur. Otomasyon araçları artık yazılımı dağıtmak ve yönetmek için daha kolay ve daha kontrollü yöntemlere izin veriyor. Sanal altyapımızı bu araçlarla yönetirsek, bulutu dağıtmak ve yönetmek için çok daha kolay ve kontrollü bir yönteme sahip olabiliriz.