BULUT BİLİŞİMDE GÜVENLİK2
Bulut Bilişimin en önemli ve soru işareti olan konularından birisi güvenliktir.
IDC‟nin yaptığı bir çalışmaya göre bulut bilişim kullanımına geçiş sırasında
yaşanılan en önemli çekince olarak güvenlik gösterilmektedir.
Hizmet
Alınan Firmaların Güvenilirliği
Firmaların güvenlik kaygılarını gidermek amacıyla ilk inceleyecekleri nokta,
hizmet alınacak firmanın sektörde edinmiş olduğu tecrübeler olacaktır. Hizmet
verecek firmanın ne kadar süreden beri sektörde faaliyet gösterdiği ve bu
süreçte ortaya çıkmış olan güvenlik sorunlarının durumu da incelenecek önemli
konular olacaktır. Aynı zamanda, güvenlik problemleri oluşması durumunda,
hizmet alan firma ile yapacağı işbirliği/bilgilendirme gibi parametreler de
önemli olacaktır. Bunun dışında firmanın işletim sırasında kullandığı
metodolojiler, ( ITIL, COBIT gibi.), takip ettiği regülasyonlar (ISO 9001,
27001-2, BS 25999 gibi.) ve elbette ki konularında uzman
(CISSP,CEH,CISA,CCIE,GIAC vs. gibi sertifikasyonlara sahip) yetişmiş personel kaynağı
da hizmet kalitesi açısından önemli göstergeler olacaktır.
Erişim
ve Kimlik Denetimi
Hizmet alınan firmanın servislerine erişim sırasında mutlaka güvenli bir
bağlantı yöntemi kullanılmalıdır. Bu erişimin, sadece hizmet alan kişi ya da
kurum tarafından yapıldığından emin olunması için, aşağıdaki erişim kontrolü
(authentication) teknolojilerinden (two factor – iki katmanlı kontrol- vs.
gibi) bir veya birkaçı birden desteklenmelidir:
Kimlik
Doğrulama (Authentication)
· Bildiğiniz bir şey (Something you know) – şifre (password) gibi.
· Sahip olduğunuz birşey (Something you have) – token anahtarlar gibi.
· Sizin kimliğiniz (Something you are) – biyometrik kontroller, retina
kontrolü gibi.
· Bulunduğunuz yer (Someplace you are)– GPS sinyalleri ya da IP bazlı kontroller
gibi.
· Yetkilendirme (Authorization)
· Firma tarafından kullanılan hesaplarda, hangi hesabın hangi kaynaklara erişebileceği dikkatle tanımlanmalıdır. RBAC(Role base Access control )
· Hesap Verilebilirlik (Accountability)
· Bulut (cloud) üzerindeki tüm hareketler kayıt altında olmalı ve olası
soruşturmara yardım edebilmelidir. Gereğinde yasal delil olarak da
kullanılabilecek şekilde toplanabilmelidir.
Erişilebilirlik
Bulut Bilişim hizmetlerinde alınan hizmetler, SLA‟ler (Service Level Agreement)
ile güvence altına alınmaktadır. Örneğin hizmet alınan sunucuların ayakta kalma
süresinin %99,99 olması vs. gibi. Özellikle yüksek erişilebilirlik gereksinimi
içeren projelerde , “Felaket Önleme” (Disaster Recovery) servislerinin olup
olmadığı kontrol edilmeli, ayrıca servis olarak veriliyorsa, alınan servis
katmanları içerisinde bu servis tercih edilmelidir. Elbette hizmet sağlayıcı
firmaların finansal durumları da alınacak hizmetin kesintisizliği ve kalitesi
için belirleyici olacaktır.
Fiziksel
Güvenlik
Bulut Bilişim sağlayıcısının veri merkezinde (Data Center) sahip oldukları
fiziksel güvenlik sertifikaları (TIER 3-4 vs. gibi) ve güvenlik önlemleri
(biyometrik kontroller, yanmaz duvar ve kapılar, 7x24 güvenlik, fiziksel
bariyerler, sel-yangın önleme sistemleri, UPS sistemleri, soğutma sistemleri,
alarm mekanizmaları ) incelenmeli, gerektiği durumlarda denetlenme
opsiyonlarının olup olmadığı araştırılmalıdır.
Legal
ve Operasyonel Güvenlik
Alınan hizmetlerin lisans durumları ve yasal yükümlülükler, sözleşmeler ile
güvence altına alınmalıdır. Ülkemizde SPK, BDDK gibi kuruluşların yönergeleri
ve yasal yükümlülükler, yine güncel yasalardan 5651 vs. gibi yönetmeliklerin
sorumlulukları takip edilmelidir. Hizmet veren firmanın operasyonel hizmetlerde
çalışan personelleri ile imzaladıkları NDA vs. gibi sözleşmeler sorgulanmalı ve
personel özgeçmiş soruşturmaları yapılıp yapılmadığı eğer mümkünse
bilgi/taahhüt olarak talep edilmelidir.
Veri
ve Altyapı Güvenliği
Özellikle PCI – DSS (Payment Card Industry – Data Security Standard) gibi
regülasyonlara uyum zorunluluğu olan proje kaynaklarında, hizmet alınan
firmanın yedekleme ve veri silme/yok etme biçimleri sorgulanmalıdır. Kullanımı
biten verilerin imha edilme metodolojileri sorgulanmalı, mümkünse ayrı bir
servis olarak alınabilmelidir. Firmanın entellektüel bilgisini ya da kurumsal
önem içeren sunucuların verilerinin mutlaka bir şifreleme (encryption)
algoritması ile saklanması, gerektiğinde servis olarak alınabilmesi sağlanmalıdır.
Hizmet veren firmanın ağ altyapısının 7x24
proaktif olarak izlendiğinden emin olunmalıdır. Eğer mümkünse o proaktif
önlemlerin (DDOS koruma, FirewallSistemleri, IPS/IDS sistemleri, Anti-Malware
sistemleri, Anormally Detection sistemleri vs. gibi) servis olarak da alınarak
denetlenmesi, ya da raporlarının düzenli olarak görülebilmesi istenmelidir.
Ücretsiz En iyi 5 Bulut Depolama Uygulaması
