BilimBlog.com
Günlük Bilimsel Haber Kaynağınız

Bugünlerde bilişim alanında en çok konuşulan konulardan biri de bulut bilişimi ve bulut ortamına geçiş. Bulut bilişiminin alt yapı ve işletme giderlerini azaltması yanında pazara ulaşma sürecini hızlandırması bulut konusunun revaçta olmasının önde gelen sebeplerinden. Bu sebepler çekici olmakla beraber büyük ve orta ölçekli şirketlerin paylaşımlı ortamlara geçmekten çekinmesi ve kendi bünyelerinde özel bulutlar oluşturmaları, giderlerin azalmasından faydalanmalarına olanak tanımamakta. Bu şirketlerin çekimser olmalarının en önemli sebebi ise bulut ortamının güvenliğinden duyulan kaygı.

[Dahası:]

Bulut Bilişimi Güvenliği Nedir?
Bulut Bilişim Güvenliği var olan bilişim güvenliğinden pek farklı olmamakla beraber sanal sunucular, ağ trafiğinin akışı, kullandıkları verinin barındığı yerler itibariyle kendilerine has güvenlik politikası, planlama, gözetim, denetim, olaylara müdahale yöntemleri gerektirmektedir. Bu farklılıklara rağmen temelde halen gizliliğin, bütünlüğün ve erişilebilirliğin sağlanması vardır. Bulut Bilişim Güvenliği bu ortamda sağlanan altyapı (IaaS), platform (PaaS) ve yazılım (SaaS) hizmetlerinin tümünü kapsamaktadır.

Bulut Bilişiminde Önde Gelen Tehlikeler
1) Bulut bilişim hizmetlerinin suç amaçlı kullanımı başta gelen tehlikelerden. Bu tehlike, çalınmış kredi kartlarıyla hizmet satın alınmasıyla, deneme süreci içerisinde ya da sistemlerin şifrelerinin kırılmasıyla başlayabilir. Bulut ortamına giriş sağlandıktan sonra bu tehlike kendini DDoS (hizmeti önleyen çok kaynaklı saldırılar), dinamik internet saldırıları, zararlı yazılım barındırma, botnet kontrolü ve uygunsuz e-mail gönderimi şeklinde gösterir. Yakın zamanda altyapı hizmeti sağlayıcılarında Zeus zararlı yazılımlarının kontrol merkezleri yanında Microsoft Ofis ve Adobe PDF güvenlik açıklarını istismar eden dosyaların da sunulduğu tespit edilmiştir.
2) Güvenlik açıklarına sahip yazılım arayüzleri (API), bulut sistemlerini anonim kullanıcılara açık hale getirebilmekte. Kullanıcı isimlerinin ve şifrelerinin açıkta göderilmesi, hatalı yetkilendirmeler ve kullanıcı izni yönetimindeki zayıflık bu tehlikeye yol açan etkenlerden.
3) Çalışanlar tarafından kötü niyetli kullanım her alanda görülen bir tehlike. Bu tehlike bilişim hizmetlerinin ve müşterilerin bulut bilişimiyle tek çatı altına toplanmasıyla daha da artmakta.
4) Ortak kullanılan teknolojilerdeki güvenlik açıkları, kullanılan donanımın (CPU, GPU) ve yazılımların paylaşımlı ortamda hizmet vermeye elverişli olmamalarından kaynaklanmakta. Bu tehlikeye en iyi örnek Kostya Kortchinsky’nin CloudBurst istismarıdır. Bu istismar herhangi bir kullanıcının sanal bir sunucudan yönetim ara yüzüne ulaşıp istediği komutları çalıştırabilmesini sağlamaktadır.
5) Veri kaybı veya sızıntısı, silinme, şifreleme anahtarının kaybı, yetersiz kimlik denetlenmesi ve sistemlerin istenmeyen kişiler tarafından kullanımı sonucu ortaya çıkabilmekte.
6) Kullanıcı hesaplarının ve hizmetlerin başkasının eline geçmesi yeni bir tehlike değil fakat geçerliliğini korumakta. Kullanıcı bilgilerinin kimlik hırsızlığı, sahtekarlık ve istismar sonucu başkalarının eline geçmesi her zaman mümkün. Çoğu zaman bu kullanıcı bilgileri bütün sistemler için kullanılmakta ve çalınmaları durumunda kayıplar daha da artmakta.
7) Tanımlanmamış risk profilinden dolayı ortaya çıkan tehlikeler, şirketlerin bulut ortamında kullandıkları yazılımların sürümlerini bilmemelerinden, yazımların güncellenmemesinden, uygulanan güvenlik politikalarının belirsizliğinden, güvenlik açıklarının ve ihlallerinin bilinmemesinden kaynaklanmakta. Şirketlerin var olan alt yapılarını ve güvenlik ihtiyaçlarını bilmeden bulut ortamına geçmeye çalışmaları hüsranla sonuçlanabilmekte.

Bulut Bilişiminde Güvenlik Nasıl Sağlanır?
Bulut bilişimine geçmek isteyen şirketler hizmet sağlayıcısına kimlik ve kullanım izni yönetimi, ağ güvenliği ve gözetimi, denetleme hakkı, standartlara uyumluluk (SAS 70 II, PCİ, İSO, COBİT gibi), kullanıcılara açıklık, hukuksal yükümlülüklere uyum, hizmet garantisi (SLA), felaketi atlatabilme süresi, güvenlik olaylarına müdahale, iletişim olanakları, sorunların çözüm süreci, veri gizliliği, veriye ulaşımdaki gecikme süreleri, ayrıcalıklı kullanıcı izni, izinlerin ayrımı, değişim yönetimi, veri gözetimi ve kaybının önlenmesi, veri saklanmasının ayrımı ve yönetimi konularında sorular sormalıdırlar.

Verilen cevapların güvenlik politikalarına ve ihtiyaçlarına uygunluğu bulut ortamına geçecek gruplar tarafından etraflıca değerlendirilmelidir. Duruma göre ortak kullanımlı (public), özel kullanımlı (private) ya da her iki ortamın özelliklerine sahip (hybrid) bir ortam tercih edilmelidir. Örneğin bulut ortamında platform hizmeti sağlayan Engine Yard, Terremark’ın Culpeper tesislerindeki özel bulut hizmetini fiziksel ve bilişim ortamlarında sağlanan çeşitli standartlara uygun güvenlik ve izolasyondan dolayı tercih etmiştir.

Bulut ortamında sunulacak hizmet çeşidine göre bulut bilişimi sağlayıcısından belirli güvenlik hizmetleri talep edilmelidir:

– Altyapı Hizmetleri için saldırı tespit sistemleri (İDS, İPS), güvenlik duvarları, derin paket incelemesi, güvenlik bilgileri ve olay yönetimi (SİEM), fiziksel güvenlik, kütük yönetimi, dosya sistem bütünlüğünün korunması, DDoS’a Karşı Önlemler, hizmet kalitesi (QoS), DNS güvenliği, fiziksel güvenlik, güvenlik kameraları ve şifreleme hizmetleri sağlanmalıdır.

– Platform Hizmetleri için Altyapı Hizmetlerinde sağlanan güvenliğin yanında kimlik ve kullanım izni yönetimi (IAM); yönetim, risk, uyumluluk yönetimi (GRCM); yapılandırma yönetimi sağlanmalıdır.

– Yazılım Hizmetleri için Platform Hizmetlerinde sağlanan güvenliğin yanında yazılımın kullanım süreci boyunca güvenlik tedbirleri alınmalı; veri sızıntı önlenmesi (DLP), içerik gözetimi ve filtrelenmesi (CMF), veri tabanlarının gözetimi, veri şifreleme, yazılım kaynak kodunun incelenmesi, güvenlik açığı taramaları ve sızma testleri, web uygulamaları güvenlik duvarı (WAF) ve işlemsel güvenlik hizmetleri sağlanmalıdır.

Sonuç olarak bulut bilişimi ortamında var olan tehlikelerin farkında olan, kendi alt yapısını ve güvenlik ihtiyaçlarını tanıyan ve bulut ortamındaki güvenliği yukarıda bahsedilen seviyelerde sunabilen bir bulut bilişimi sağlayıcısıyla çalışan bir şirketin sırtı bulut ortamında yüksek bir ihtimalle yere gelmeyecektir.