BULUT BİLİŞİMDE GÜVENLİK2
Bulut Bilişimin en önemli ve soru işareti olan konularından birisi güvenliktir. IDC‟nin yaptığı bir çalışmaya göre bulut bilişim kullanımına geçiş sırasında yaşanılan en önemli çekince olarak güvenlik gösterilmektedir.
Bulut Bilişimin en önemli ve soru işareti olan konularından birisi güvenliktir. IDC‟nin yaptığı bir çalışmaya göre bulut bilişim kullanımına geçiş sırasında yaşanılan en önemli çekince olarak güvenlik gösterilmektedir.
Hizmet
Alınan Firmaların Güvenilirliği
Firmaların güvenlik kaygılarını gidermek amacıyla ilk inceleyecekleri nokta, hizmet alınacak firmanın sektörde edinmiş olduğu tecrübeler olacaktır. Hizmet verecek firmanın ne kadar süreden beri sektörde faaliyet gösterdiği ve bu süreçte ortaya çıkmış olan güvenlik sorunlarının durumu da incelenecek önemli konular olacaktır. Aynı zamanda, güvenlik problemleri oluşması durumunda, hizmet alan firma ile yapacağı işbirliği/bilgilendirme gibi parametreler de önemli olacaktır. Bunun dışında firmanın işletim sırasında kullandığı metodolojiler, ( ITIL, COBIT gibi.), takip ettiği regülasyonlar (ISO 9001, 27001-2, BS 25999 gibi.) ve elbette ki konularında uzman (CISSP,CEH,CISA,CCIE,GIAC vs. gibi sertifikasyonlara sahip) yetişmiş personel kaynağı da hizmet kalitesi açısından önemli göstergeler olacaktır.
Erişim ve Kimlik Denetimi
Hizmet alınan firmanın servislerine erişim sırasında mutlaka güvenli bir bağlantı yöntemi kullanılmalıdır. Bu erişimin, sadece hizmet alan kişi ya da kurum tarafından yapıldığından emin olunması için, aşağıdaki erişim kontrolü (authentication) teknolojilerinden (two factor – iki katmanlı kontrol- vs. gibi) bir veya birkaçı birden desteklenmelidir:
Kimlik Doğrulama (Authentication)
Firmaların güvenlik kaygılarını gidermek amacıyla ilk inceleyecekleri nokta, hizmet alınacak firmanın sektörde edinmiş olduğu tecrübeler olacaktır. Hizmet verecek firmanın ne kadar süreden beri sektörde faaliyet gösterdiği ve bu süreçte ortaya çıkmış olan güvenlik sorunlarının durumu da incelenecek önemli konular olacaktır. Aynı zamanda, güvenlik problemleri oluşması durumunda, hizmet alan firma ile yapacağı işbirliği/bilgilendirme gibi parametreler de önemli olacaktır. Bunun dışında firmanın işletim sırasında kullandığı metodolojiler, ( ITIL, COBIT gibi.), takip ettiği regülasyonlar (ISO 9001, 27001-2, BS 25999 gibi.) ve elbette ki konularında uzman (CISSP,CEH,CISA,CCIE,GIAC vs. gibi sertifikasyonlara sahip) yetişmiş personel kaynağı da hizmet kalitesi açısından önemli göstergeler olacaktır.
Erişim ve Kimlik Denetimi
Hizmet alınan firmanın servislerine erişim sırasında mutlaka güvenli bir bağlantı yöntemi kullanılmalıdır. Bu erişimin, sadece hizmet alan kişi ya da kurum tarafından yapıldığından emin olunması için, aşağıdaki erişim kontrolü (authentication) teknolojilerinden (two factor – iki katmanlı kontrol- vs. gibi) bir veya birkaçı birden desteklenmelidir:
Kimlik Doğrulama (Authentication)
· Bildiğiniz bir şey (Something you know) – şifre (password) gibi.
· Sahip olduğunuz birşey (Something you have) – token anahtarlar gibi.
· Sizin kimliğiniz (Something you are) – biyometrik kontroller, retina
kontrolü gibi.
· Bulunduğunuz yer (Someplace you are)– GPS sinyalleri ya da IP bazlı kontroller
gibi.
· Yetkilendirme (Authorization)
· Firma tarafından kullanılan hesaplarda, hangi hesabın hangi kaynaklara erişebileceği dikkatle tanımlanmalıdır. RBAC(Role base Access control )
· Hesap Verilebilirlik (Accountability)
· Bulut (cloud) üzerindeki tüm hareketler kayıt altında olmalı ve olası
soruşturmara yardım edebilmelidir. Gereğinde yasal delil olarak da
kullanılabilecek şekilde toplanabilmelidir.
Erişilebilirlik
Bulut Bilişim hizmetlerinde alınan hizmetler, SLA‟ler (Service Level Agreement) ile güvence altına alınmaktadır. Örneğin hizmet alınan sunucuların ayakta kalma süresinin %99,99 olması vs. gibi. Özellikle yüksek erişilebilirlik gereksinimi içeren projelerde , “Felaket Önleme” (Disaster Recovery) servislerinin olup olmadığı kontrol edilmeli, ayrıca servis olarak veriliyorsa, alınan servis katmanları içerisinde bu servis tercih edilmelidir. Elbette hizmet sağlayıcı firmaların finansal durumları da alınacak hizmetin kesintisizliği ve kalitesi için belirleyici olacaktır.
Fiziksel Güvenlik
Bulut Bilişim sağlayıcısının veri merkezinde (Data Center) sahip oldukları fiziksel güvenlik sertifikaları (TIER 3-4 vs. gibi) ve güvenlik önlemleri (biyometrik kontroller, yanmaz duvar ve kapılar, 7x24 güvenlik, fiziksel bariyerler, sel-yangın önleme sistemleri, UPS sistemleri, soğutma sistemleri, alarm mekanizmaları ) incelenmeli, gerektiği durumlarda denetlenme opsiyonlarının olup olmadığı araştırılmalıdır.
Legal ve Operasyonel Güvenlik
Alınan hizmetlerin lisans durumları ve yasal yükümlülükler, sözleşmeler ile güvence altına alınmalıdır. Ülkemizde SPK, BDDK gibi kuruluşların yönergeleri ve yasal yükümlülükler, yine güncel yasalardan 5651 vs. gibi yönetmeliklerin sorumlulukları takip edilmelidir. Hizmet veren firmanın operasyonel hizmetlerde çalışan personelleri ile imzaladıkları NDA vs. gibi sözleşmeler sorgulanmalı ve personel özgeçmiş soruşturmaları yapılıp yapılmadığı eğer mümkünse bilgi/taahhüt olarak talep edilmelidir.
Veri ve Altyapı Güvenliği
Özellikle PCI – DSS (Payment Card Industry – Data Security Standard) gibi regülasyonlara uyum zorunluluğu olan proje kaynaklarında, hizmet alınan firmanın yedekleme ve veri silme/yok etme biçimleri sorgulanmalıdır. Kullanımı biten verilerin imha edilme metodolojileri sorgulanmalı, mümkünse ayrı bir servis olarak alınabilmelidir. Firmanın entellektüel bilgisini ya da kurumsal önem içeren sunucuların verilerinin mutlaka bir şifreleme (encryption) algoritması ile saklanması, gerektiğinde servis olarak alınabilmesi sağlanmalıdır.
Hizmet veren firmanın ağ altyapısının 7x24 proaktif olarak izlendiğinden emin olunmalıdır. Eğer mümkünse o proaktif önlemlerin (DDOS koruma, FirewallSistemleri, IPS/IDS sistemleri, Anti-Malware sistemleri, Anormally Detection sistemleri vs. gibi) servis olarak da alınarak denetlenmesi, ya da raporlarının düzenli olarak görülebilmesi istenmelidir.
Ücretsiz En iyi 5 Bulut Depolama Uygulaması
Hiç yorum yok:
Yorum Gönder