Translate

8 Nisan 2014 Salı

Bulut Bilişimde Güvenlik

BULUT BİLİŞİMDE GÜVENLİK

Bulut Bilişimin en önemli ve soru işareti olan konularından birisi güvenliktir. IDC‟nin yaptığı bir çalışmaya göre bulut bilişim kullanımına geçiş sırasında yaşanılan en önemli çekince olarak güvenlik gösterilmektedir.

Çeşitli Firmaların Yapmış Olduğu Anketlerin Sonucunda Kullanıcıların %75’inin Güvenlikten Yana Kaygısının Olduğu Görülüyor.


Hizmet Alınan Firmaların Güvenilirliği

Firmaların güvenlik kaygılarını gidermek amacıyla ilk inceleyecekleri nokta, hizmet alınacak firmanın sektörde edinmiş olduğu tecrübeler olacaktır. Hizmet verecek firmanın ne kadar süreden beri sektörde faaliyet gösterdiği ve bu süreçte ortaya çıkmış olan güvenlik sorunlarının durumu da incelenecek önemli konular olacaktır. Aynı zamanda, güvenlik problemleri oluşması durumunda, hizmet alan firma ile yapacağı işbirliği/bilgilendirme gibi parametreler de önemli olacaktır. Bunun dışında firmanın işletim sırasında kullandığı metodolojiler, ( ITIL, COBIT gibi.), takip ettiği regülasyonlar (ISO 9001, 27001-2, BS 25999 gibi.) ve elbette ki konularında uzman (CISSP,CEH,CISA,CCIE,GIAC vs. gibi sertifikasyonlara sahip) yetişmiş personel kaynağı da hizmet kalitesi açısından önemli göstergeler olacaktır.

Erişim ve Kimlik Denetimi

Hizmet alınan firmanın servislerine erişim sırasında mutlaka güvenli bir bağlantı yöntemi kullanılmalıdır. Bu erişimin, sadece hizmet alan kişi ya da kurum tarafından yapıldığından emin olunması için, aşağıdaki erişim kontrolü (authentication) teknolojilerinden (two factor – iki katmanlı kontrol- vs. gibi) bir veya birkaçı birden desteklenmelidir:


Kimlik Doğrulama (Authentication)

  • Bildiğiniz bir şey (Something you know) – şifre (password) gibi.
  • Sahip olduğunuz birşey (Something you have) – token anahtarlar gibi.
  • Sizin kimliğiniz (Something you are) – biyometrik kontroller, retina kontrolü gibi.
  • Bulunduğunuz yer (Someplace you are)– GPS sinyalleri ya da IP bazlı kontroller gibi.
  • Yetkilendirme (Authorization)
  • Firma tarafından kullanılan hesaplarda, hangi hesabın hangi kaynaklara erişebileceği dikkatle tanımlanmalıdır. RBAC(Role base Access control )
  • Hesap Verilebilirlik (Accountability)
  • Bulut (cloud) üzerindeki tüm hareketler kayıt altında olmalı ve olası soruşturmara yardım edebilmelidir. Gereğinde yasal delil olarak da kullanılabilecek şekilde toplanabilmelidir.


Erişilebilirlik

Bulut Bilişim hizmetlerinde alınan hizmetler, SLA‟ler (Service Level Agreement) ile güvence altına alınmaktadır. Örneğin hizmet alınan sunucuların ayakta kalma süresinin %99,99 olması vs. gibi. Özellikle yüksek erişilebilirlik gereksinimi içeren projelerde , “Felaket Önleme” (Disaster Recovery) servislerinin olup olmadığı kontrol edilmeli, ayrıca servis olarak veriliyorsa, alınan servis katmanları içerisinde bu servis tercih edilmelidir. Elbette hizmet sağlayıcı firmaların finansal durumları da alınacak hizmetin kesintisizliği ve kalitesi için belirleyici olacaktır.

Fiziksel Güvenlik

Bulut Bilişim sağlayıcısının veri merkezinde (Data Center) sahip oldukları fiziksel güvenlik sertifikaları (TIER 3-4 vs. gibi) ve güvenlik önlemleri (biyometrik kontroller, yanmaz duvar ve kapılar, 7x24 güvenlik, fiziksel bariyerler, sel-yangın önleme sistemleri, UPS sistemleri, soğutma sistemleri, alarm mekanizmaları ) incelenmeli, gerektiği durumlarda denetlenme opsiyonlarının olup olmadığı araştırılmalıdır.

Legal ve Operasyonel Güvenlik

Alınan hizmetlerin lisans durumları ve yasal yükümlülükler, sözleşmeler ile güvence altına alınmalıdır. Ülkemizde SPK, BDDK gibi kuruluşların yönergeleri ve yasal yükümlülükler, yine güncel yasalardan 5651 vs. gibi yönetmeliklerin sorumlulukları takip edilmelidir. Hizmet veren firmanın operasyonel hizmetlerde çalışan personelleri ile imzaladıkları NDA vs. gibi sözleşmeler sorgulanmalı ve personel özgeçmiş soruşturmaları yapılıp yapılmadığı eğer mümkünse bilgi/taahhüt olarak talep edilmelidir.

Veri ve Altyapı Güvenliği 

Özellikle PCI – DSS (Payment Card Industry – Data Security Standard) gibi regülasyonlara uyum zorunluluğu olan proje kaynaklarında, hizmet alınan firmanın yedekleme ve veri silme/yok etme biçimleri sorgulanmalıdır. Kullanımı biten verilerin imha edilme metodolojileri sorgulanmalı, mümkünse ayrı bir servis olarak alınabilmelidir. Firmanın entellektüel bilgisini ya da kurumsal önem içeren sunucuların verilerinin mutlaka bir şifreleme (encryption) algoritması ile saklanması, gerektiğinde servis olarak alınabilmesi sağlanmalıdır.
Hizmet veren firmanın ağ altyapısının 7x24 proaktif olarak izlendiğinden emin olunmalıdır. Eğer mümkünse o proaktif önlemlerin (DDOS koruma, FirewallSistemleri, IPS/IDS sistemleri, Anti-Malware sistemleri, Anormally Detection sistemleri vs. gibi) servis olarak da alınarak denetlenmesi, ya da raporlarının düzenli olarak görülebilmesi istenmelidir.

                                       Bulut Sistemin Etkileyeceği Sektörler 



Ücretsiz En iyi 5 Bulut Depolama Uygulamasını Basit Bir Resimle İnceleyelim




NOT :

[1]:MPLS (Multiprotocol Label Switching), yüksek performanlı telekomünikasyon ağlarında veriyi bir ağdan ötekine etiketler yardımıyla yönlendiren ve taşıyan bir mekanizmadır. MPLS, uzaktaki nodlar arasında sanal bağlantılar yaratmayı kolaylaştırır. Ayrıca, değişik network protokollerinin paketlerini enkapsüle edebilir.



[2]:RBAC (Role Based Access Control)Rol Tabanlı Erişim Denetimi

Hiç yorum yok:

Yorum Gönder