KLASİK BT ALTYAPISI
İşletmelerdeki klasik Bilgi Teknolojileri altyapısında kullanıcıların çalıştığı bilgisayarlar, printerlar gibi cihazlar ile uygulama, bilgi ve servislerin üzerinde durduğu sunucular, depolama üniteleri, yedekleme sistemleri mevcuttur ve bu ortamları besleyen altyapı olarak sistem odaları, jeneratörler, UPS cihazları, iklimlendirme, yangın söndürme ve güvenlik için kamera ve erişim cihazları gerekmektedir. Bu BT altyapısının çıkacak problemlere karşı desteklenmesi, güvenlik önlemlerinin firma tarafından alınması, çalışan sistemin sağlığının izlenmesi, oluşabilecek hatalara karşı önceden uyarı sistemlerinin kurulması ve sürekli olarak yeni tehditlerin önüne geçme ve yeni fonksiyonları kullandırabilme adına güncellenmesi gerekmektedir.
Ayrıca sistemlerin yedeklenmesi konusunda tüm sistemler için farklı lokasyonlar da DR sistemlerinde kurulması gerekmektedir. DR sistemlerin oluşturulması maliyeti artıran önemli bir faktördür.
BULUT BİLİŞİMDE BT ALTYAPISI
Klasik BT altyapısından farklı olarak Bulut Bilişim aşağıdaki şekilde bir yapı sunmakta, bu yapı ile
- Yedekli, hızlı ve kesintisiz bir altyapıya,
- Stabil bir datacenter ortamında çalışan BT altyapısına,
- Bu datacenter içinde konumlandırılmış;
- Mail, Sunucu, Hat Güvenlik Ürünlerine (FW, Router, IPS vb.)
- Arşivleme ve Yedekleme Çözümlerine,
- Elektrik, UPS, Soğutma Sistemlerine,
- Sunucu ve uygulamalara sahip olunabilmekte
- Network altyapısına
Klasik BT altyapısın da farklı olarak aşağıdaki gibi bir maliyet oranlaması çıkmaktadır.
Bulut Bilişim ile işletme sahibi kendisi için bir kambur olan sistem odası bulundurma, bunun için sistemlerin güvenliği, yedeklenmesi, UPS, Jeneratör, Yangın Söndürme, Güvenlik Cihazları ve Erişim Cihazları bulundurmayacak hatta bunları işleten personel bulundurmasına gerek olmadan bu hizmeti veren firmalar ile yapacağı anlaşmaya göre aylık kiralama veya kullandığı kadar öde sistemine göre ihtiyaçlarını bu şekilde giderebilecek duruma gelecektir.
BULUT BİLİŞİMDE GÜVENLİK
Bulut Bilişimin en önemli ve soru işareti olan konularından birisi güvenliktir. IDC‟nin yaptığı bir çalışmaya göre bulut bilişim kullanımına geçiş sırasında yaşanılan en önemli çekince olarak güvenlik gösterilmektedir.
Çeşitli Firmaların Yapmış Olduğu Anketlerin Sonucunda Kullanıcıların %75’inin Güvenlikten Yana Kaygısının Olduğu Görülüyor.
Hizmet Alınan Firmaların Güvenilirliği
Firmaların güvenlik kaygılarını gidermek amacıyla ilk inceleyecekleri nokta, hizmet alınacak firmanın sektörde edinmiş olduğu tecrübeler olacaktır. Hizmet verecek firmanın ne kadar süreden beri sektörde faaliyet gösterdiği ve bu süreçte ortaya çıkmış olan güvenlik sorunlarının durumu da incelenecek önemli konular olacaktır. Aynı zamanda, güvenlik problemleri oluşması durumunda, hizmet alan firma ile yapacağı işbirliği/bilgilendirme gibi parametreler de önemli olacaktır. Bunun dışında firmanın işletim sırasında kullandığı metodolojiler, ( ITIL, COBIT gibi.), takip ettiği regülasyonlar (ISO 9001, 27001-2, BS 25999 gibi.) ve elbette ki konularında uzman (CISSP,CEH,CISA,CCIE,GIAC vs. gibi sertifikasyonlara sahip) yetişmiş personel kaynağı da hizmet kalitesi açısından önemli göstergeler olacaktır.
Erişim ve Kimlik Denetimi
Hizmet alınan firmanın servislerine erişim sırasında mutlaka güvenli bir bağlantı yöntemi kullanılmalıdır. Bu erişimin, sadece hizmet alan kişi ya da kurum tarafından yapıldığından emin olunması için, aşağıdaki erişim kontrolü (authentication) teknolojilerinden (two factor – iki katmanlı kontrol- vs. gibi) bir veya birkaçı birden desteklenmelidir:
Kimlik Doğrulama (Authentication)
- Bildiğiniz bir şey (Something you know) – şifre (password) gibi.
- Sahip olduğunuz birşey (Something you have) – token anahtarlar gibi.
- Sizin kimliğiniz (Something you are) – biyometrik kontroller, retina kontrolü gibi.
- Bulunduğunuz yer (Someplace you are)– GPS sinyalleri ya da IP bazlı kontroller gibi.
- Yetkilendirme (Authorization)
- Firma tarafından kullanılan hesaplarda, hangi hesabın hangi kaynaklara erişebileceği dikkatle tanımlanmalıdır. RBAC(Role base Access control )
- Hesap Verilebilirlik (Accountability)
- Bulut (cloud) üzerindeki tüm hareketler kayıt altında olmalı ve olası soruşturmara yardım edebilmelidir. Gereğinde yasal delil olarak da kullanılabilecek şekilde toplanabilmelidir.
Erişilebilirlik
Bulut Bilişim hizmetlerinde alınan hizmetler, SLA‟ler (Service Level Agreement) ile güvence altına alınmaktadır. Örneğin hizmet alınan sunucuların ayakta kalma süresinin %99,99 olması vs. gibi. Özellikle yüksek erişilebilirlik gereksinimi içeren projelerde , “Felaket Önleme” (Disaster Recovery) servislerinin olup olmadığı kontrol edilmeli, ayrıca servis olarak veriliyorsa, alınan servis katmanları içerisinde bu servis tercih edilmelidir. Elbette hizmet sağlayıcı firmaların finansal durumları da alınacak hizmetin kesintisizliği ve kalitesi için belirleyici olacaktır.
Fiziksel Güvenlik
Bulut Bilişim sağlayıcısının veri merkezinde (Data Center) sahip oldukları fiziksel güvenlik sertifikaları (TIER 3-4 vs. gibi) ve güvenlik önlemleri (biyometrik kontroller, yanmaz duvar ve kapılar, 7x24 güvenlik, fiziksel bariyerler, sel-yangın önleme sistemleri, UPS sistemleri, soğutma sistemleri, alarm mekanizmaları ) incelenmeli, gerektiği durumlarda denetlenme opsiyonlarının olup olmadığı araştırılmalıdır.
Legal ve Operasyonel Güvenlik
Alınan hizmetlerin lisans durumları ve yasal yükümlülükler, sözleşmeler ile güvence altına alınmalıdır. Ülkemizde SPK, BDDK gibi kuruluşların yönergeleri ve yasal yükümlülükler, yine güncel yasalardan 5651 vs. gibi yönetmeliklerin sorumlulukları takip edilmelidir. Hizmet veren firmanın operasyonel hizmetlerde çalışan personelleri ile imzaladıkları NDA vs. gibi sözleşmeler sorgulanmalı ve personel özgeçmiş soruşturmaları yapılıp yapılmadığı eğer mümkünse bilgi/taahhüt olarak talep edilmelidir.
Veri ve Altyapı Güvenliği
Özellikle PCI – DSS (Payment Card Industry – Data Security Standard) gibi regülasyonlara uyum zorunluluğu olan proje kaynaklarında, hizmet alınan firmanın yedekleme ve veri silme/yok etme biçimleri sorgulanmalıdır. Kullanımı biten verilerin imha edilme metodolojileri sorgulanmalı, mümkünse ayrı bir servis olarak alınabilmelidir. Firmanın entellektüel bilgisini ya da kurumsal önem içeren sunucuların verilerinin mutlaka bir şifreleme (encryption) algoritması ile saklanması, gerektiğinde servis olarak alınabilmesi sağlanmalıdır.
Hizmet veren firmanın ağ altyapısının 7x24 proaktif olarak izlendiğinden emin olunmalıdır. Eğer mümkünse o proaktif önlemlerin (DDOS koruma, FirewallSistemleri, IPS/IDS sistemleri, Anti-Malware sistemleri, Anormally Detection sistemleri vs. gibi) servis olarak da alınarak denetlenmesi, ya da raporlarının düzenli olarak görülebilmesi istenmelidir.
Bulut Sistemin Etkileyeceği Sektörler
Ücretsiz En iyi 5 Bulut Depolama Uygulamasını Basit Bir Resimle İnceleyelim
NOT :
[1]:MPLS (Multiprotocol Label Switching), yüksek performanlı telekomünikasyon ağlarında veriyi bir ağdan ötekine etiketler yardımıyla yönlendiren ve taşıyan bir mekanizmadır. MPLS, uzaktaki nodlar arasında sanal bağlantılar yaratmayı kolaylaştırır. Ayrıca, değişik network protokollerinin paketlerini enkapsüle edebilir.
[2]:RBAC (Role Based Access Control)Rol Tabanlı Erişim Denetimi
BULUT BİLİŞİMİN YARARLARI (FAYDALARI)
- Kişiselleştirme: Bulut üzerinde faaliyet gösteren işlemler, sistemi temelden itibaren yeniden tasarlamaya gerek duyulmaksızın,değiştirilebilir yapılandırmalar sayesinde, şirket ya da kişilerin ihtiyaçlarına uygun hale getirilebilmektedir
- Paylaşım ve İşbirliği: Bulut bilişim, kullanıcıların işbirliğini artıracak ve bilgi paylaşımını sağlayacak yönde yazılım ve servisler geliştirmelerine olanak tanır.
- Ölçeklenebilirlik ve Ayarlanabilir Kapasite: Bulut, kullanıcıların tüketimlerini kendi ihtiyaçları doğrultusunda şekillendirmelerine imkan veren, sürekli aktif bir hesaplama ve depolama kaynağıdır.
- Erişim Kolaylığı: Bulut bilişim, güçlü işlem ve depolama kaynaklarına, internet üzerinden, evrensel ölçekte erişebilmeyi sağlar.
- Düşük Maliyet: Bulut bilişim, şirketlerin kendi bünyelerinde servis altyapıları kurmaları yerine, ihtiyaç duydukları hizmeti bulut bilişim platformları üzerinden, uygun maliyetlerle karşılayabilmelerini sağlar.
- Esneklik ve Verimlilik : Talebe göre kapasite artırımı ve azaltımının hızlıca yapılabilir. Bilgi çağında başarı hız ile ölçülüyor, esnek olmayan yapılar hızlı olamazlar. Kaynakların kullanımı maksimize edilmekte, şirketlerin kendi ana iş kollarına odaklanmalarını sağlamaktadır.
- Sabit Yatırım Maliyeti Yok : Kullandığınız kadar ödersiniz ve ne ödeyeceğiniz belirlidir. Bu sebeple küçük firmaların rekabet avantajı artmakta, başlangıç bariyerleri azalmaktadır.
- Zaman ve Mekan Bağımsız Çalışma İmkanı: İstediğiniz yerden ve istediğiniz zaman çalışma imkanı sağlar, yeter ki internet bağlantınız olsun. Öyle bir zaman gelecek ki, bilgisayarımıza dosya kaydetmeyeceğiz, tüm bilgilerimiz bulutta olacak.
- Çevre Dostu : Yerel sunucu kullanımına göre %30 daha az enerji kullanımı ve karbon salınımı sağlar. Bu oran küçük firmalar için daha da fazladır.
BULUT BİLİŞİMİN ZARARLARI (RİSKLERİ)
- Hizmet Devamlılığı ve Kullanılırlığı:Bulut Bilişim hizmet sağlayıcılarda hizmet kesintisine sebebiyet verebilecek bir sorun yaşanması durumunda, bu hizmet sağlayıcıdan hizmet tedariki yoluna gitmiş tüm şirketler birden bundan etkilenecek ve kesinti sonuçlanana kadar, şirketlerin müşterilerine hizmet veremez hale gelmelerine sebep olacaktır.
- Veri Güvenliği ve Gizliliği:Bulut Bilişim hizmetlerinin aynı anda birçok kullanıcı tarafından kullanılması ve fiziksel kaynakların tüm kullanıcılar tarafından ortak olarak kullanılıyor olması veri gizliliği ve güvenliği için riskler barındırmaktadır. Bulut içindeki farklı kullanıcıların, ortak kaynaklar üzerindeki depolama, bellek alanlarını birbirinden ayırmaya yarayan iç mekanizmalarda ortaya çıkabilecek açıklık ve hatalar, yapılacak saldırılar sonucu kullanıcıların özel ve gizli verilerinin ele geçirilmesine sebebiyet verebilir.
- Veri Denetlenebilirliği, Uygunluğu ve Yasal Düzenlemeler:Bulut Bilişim hizmetlerinin dağıtılmış olarak çalışan küresel hizmetler olduğu düşünüldüğünde, farklı ülkelerden kullanıcılar, farklı iş kültürlerine ve yasal düzenlemelere sahip olarak iş görmektedirler. Bulut Bilişim hizmet sağlayıcılarının farklı ülkelerde ve bölgelerde veri merkezleri bulundurması, bulunduğu ülkedeki yasal düzenlemelere de uyum sağlamasını gerektirebilir. Veri gizliliği ve denetimi konusunda ülkelerin farklı yasal düzenlemelere sahip olması, Bulut Bilişim hizmet sağlayıcılarının hizmetlerini yerine getirirken, farklı yasal düzenlemelere uyum sağlamada sorunlara neden olabilir.
- Hizmet Sağlayıcı Bağımlılığı ve Veri Kilitlenmesi:Bir Bulut Bilişim hizmet sağlayıcısına, depolanan veri ve kullanılan uygulamalar dolayısıyla bağımlı olmak, uygulanan fiyat politikalarına karşı esnek olamamaya, hizmet sağlayıcısının mimarisinde var olabilecek açıklık ve zayıflıklar sonucu oluşabilecek arıza ve saldırılardan dolayı veri kaybına uğramaya sebebiyet verebilir.
- Yönetim Ara yüzü ve Uzaktan Erişim:Bulut Bilişim hizmet sağlayıcıların kullanıcılarının hizmetlerini yönettikleri ara yüzler, internet üzerinden erişilebilir olmaları ve geniş yönetim imkânları barındırmaları sebebiyle, internet tarayıcıların ve uzaktan erişimin zayıflıkları düşünüldüğünde, yüksek güvenlik riski taşımaktadırlar. Uzaktan erişim sırasında, saldırganlar tarafından koklama (“sniffing”), yanıltma (“spoofing”) ve araya girme (“man-in-the-middle”) gibi saldırı yöntemleri kullanarak, iletişimin ve taşınan verinin dinlenmesi, kullanıcı oturumunun elde edilmesi ve kullanıcı şifrelerinin çalınması mümkün olabilmektedir.
- Bant Genişliği ve Veri Transferi:Bulut Bilişim’in temelinde yatan ana fikirlerden biri olan, kullanıcıların veri işleme ve saklama faaliyetlerinden arındırılıp, verilerin merkezi bir Bulut içine toplanması ve buradan gerekli işlemlerin yapılabilmesi fikri, uygulamaların giderek daha yoğun veri kullanmaya başlamasıyla, verilerin kullanıcıdan Bulut Bilişim hizmet sağlayıcısına taşınmasında zorluklara sebep olmaktadır.
SONUÇ OLARAK
KÜRESEL BULUT BİLİŞİM KARNESİ
TÜRKİYE İÇİN RİSK DURUMU
