Bulut Hizmetleri Güvenliği Nasıl Sağlanır?

Bilişim dünyasında hizmetler somuttan soyuta doğru kaydıkça kavramlar karışabiliyor. Örneğin, “router” desek kafanızda belli özellikleri olan bir kutu canlanır. Öte yandan, EDR desek yeni nesil olarak adlandırılan antivirüs yazılımları ile arasındaki farklar hemen akla gelmeyebilir.
Bulut bilişim olarak adlandırılan hizmetler de benzer şekilde kafa karıştırabilir. Olay müdahalesi için bize başvuran kuruluşların bir bölümünün başına gelenin temelinde “bulut bilişim” kavramının bu soyutluğunun yattığını görüyoruz.

Sunucuların güvenliğinin sağlanmasından işletim sistemlerinin güncellenmesine kadar, güvenlik alanında yapılması gereken onlarca şey var. Destek verdiğimiz birçok durumda, kuruluş kendi sorumluklarının nerede bittiğini ve bulut bilişim hizmetini aldıkları yerin sorumluluğunun nerede başladığı bilmiyordu. Yatırım bütçelerinin kısıtlı olması, güvenlik veya performans gibi pek çok nedenle buluta taşınmak mantıklı ve gerekli olabilir. Bu noktada sıkça yapılan hataları engellemek için aşağıdaki noktalara dikkat etmekte fayda olacaktır.

“Bulut bulut mudur?”
Bize “sunucularımız bulutta” diyen müşteri kuruluşlarının bir kısmının aslında sadece veri merkezi hizmeti aldıklarını görüyoruz. Paylaşımlı Linux sunucuları “bulut” adıyla kiralayan yerleri bir kenara bırakırsak, aşağıdaki modellerden birisiyle hizmet alıyorsunuzdur. Her bir modelde tarafların güvenlik sorumlulukları değişiklik gösterir.

• Yazılım hizmeti (Software as a Service – SaaS): Müşteri sadece yazılımı kullanabilir, altyapıyı yönetemez. Gmail vb. e-posta hizmetleri bu kapsamda düşünülebilir.
• Platform hizmeti (Platform as a Service – PaaS): Müşteri kendi uygulamalarını yayımlayabilir, örn. Heroku. (Dünyanın çeşitli şehirlerinde arabayla gezerken yerel radioları dinleme imkanı sunan “Drive and Listen” uygulaması ilginizi çekebilir.)
• Altyapı hizmeti (Infrastructure as a service – IaaS): Müşteri bilgisayar kaynaklarını başlatabilir ve sonlandırabilir. Amazon AWS bunun için iyi bir örnektir.
• Diğerleri: Pek çok hizmet sağlayıcı, Database as a Service’ten (DaaS) Function as a Service’e (FaaS) kadar geniş bir yelpazede farklı hizmetler de vermektedir. Hizmetin yapısına bağlı olarak güvenlik sorumlulukları farklılıklar gösterecektir.

Hizmet sağlayan kuruluşa göre biraz değişiklik gösterseler bile ana hatlarıyla bulut hzmet modelleri bunlardır.

Hangi hizmet modeli çerçevesinde hizmet aldığınız ise tarafların güvenlik sorumluluklarını doğrudan etkiler. Aşağıdaki tabloda hizmet modeline göre hangi bileşenin güvenliğinin kimin sorumluluğunda olduğu görülmektedir.

Alınması Gereken Tedbirler Nelerdir?
Bulutta çalışan veya buluta taşımayı düşündüğünüz sitemleriniz varsa güvenlik sorumluluklarınızı bu tablo ışığında gözden geçirmenizde fayda olacaktır. Sizin sorumluluğunuzda olan bir konuda güvenlik tedbirlerinin hizmet aldığınız kuruluş tarafından alındığını düşünüyor olabilirsiniz. Bulut güvenliği konusunda daha önce yayımladığımız bu yazıda bazı ipuçları bulabilirsiniz.

Bunların yanında aşağıdaki konulara da dikkat etmekte fayda var;

• Bulut altyapısının yönetim arayüzlerine kimlerin (IP adresi ve kullanıcı) erişebildiğini düzenli aralıklarla kontrol edin.
• Bulut ortamında bir ağ yapınız varsa buradaki sistemleri düzenli olarak takip edin. Size ait olmayan veya bilmediğiniz bir kaynak (sunucu, disk, uygulama, veritabanı vb.) gördüğünüzde bunu dikkatlice araştırmanız lazım.
• Yedekleme konusunda gerekli tedbirlerin alındığını teyit edin. Sadece bulutta olması yeterli olmayabilir, ayrıca bir veri yedekleme altyapısı kurgulanması lazım. Sunucu imajlarının yedeğini almak veri yedeği almaktan farklıdır, dikkatli olun.
• Yukarıda verilen tabloya göre uygulama ve sunucu güncellemeleri sizin sorumluluğunuzda olabilir. Öyleyse bunların düzenli olarak yapıldığından emin olun.
• Log ve izleme yapısının kurulduğundan emin olun. Bulut altyapısı size çoğunlukla “yeni sunucu açıldı” tarzında loğlar verebilir. Ancak bir güvenlik ihlali yaşanması durumunda gerekli incelemeleri yapabilmek için bundan fazlasına ihtiyacını olacak.
• Verilerin şifreli tutulmasında fayda olacaktır. Sadece KVKK kapsamında değil, veri sızıntılarına karşı da verilerin şifreli tutulması gerekir.
• Yukarıda söz edilen sorumlulukların dağılımını ve hizmet kesintisi sürelerinin kabul edilebilir seviyede olduğunu teyit etmek için sözleşmenizi tekrar okumanızda her zaman fayda vardır.

Sparta bilişim bulut ortamındaki uygulama ve sistemleriniz için ayrıntılı bir güvenlik karnesi çıkartıp iyileştirme önerileri sunar. Bu çalışmalar ISC2 tarafından verilen  CCSP (Certified Cloud Security Professional) sertifikalı danışmanlar yönetiminde, SANS gibi lider kuruluşlardan bulut ortamında güvenlik testleri konusunda sızma testi eğitimi almış kişilerce verilmektedir.

Konu hakkında detaylı olarak görüşmek isterseniz bizi arayabilir veya sparta@sparta.com.tr mail adresimizden ulaşabilirsiniz.