Dosya Ağ Yönetimi ve Güvenlik 21 EKİM 2013 / 08:27

Şirketler tehditlere karşı savunmasız değil

Gerekli önlemler alındığında hem bulut bilişim hem de mobil iletişim güvenli bir şekilde kullanılabiliyor.

Günümüzde öne çıkan birçok şirketin gözden geçirdiği iki önemli konu bulunuyor. Bunlardan birincisi bulut bilişim diğeri ise mobil iletişim. Şirketler daha fazla verimlilik, tasarruf, yüksek performans gibi çeşitli nedenlerden dolayı iş modellerini bulut bilişim ve mobil iletişim ile bütünleştirmeyi amaçlıyor. Birçok avantaj sağlamasına rağmen bu iki yeni eğilim şirketleri çeşitli güvenlik riskleriyle de karşı karşıya bırakıyor. İş süreçlerinin kesintisiz bir şekilde devam etmesini isteyen şirketlerin bu yüzden özellikle güvenlik konusunda çeşitli adımlar atmaları ve artan hedefli saldırılara karşı savunmasız kalmamaları büyük önem taşıyor.
Aruba Networks Sistem Mühendisleri Takım Lideri Oğuzhan Eren’e göre bulut bilişim altyapısı kullanımında güvenlik konusunda dikkat edilmesi gereken alanlar iki noktada toplanıyor: “Bulut bilişim altyapısını sağlayan şirketin kendi altyapısının güvenliği, bu noktalardan birincisidir. Bulut bilişim altyapısı sayesinde birden çok müşteriye hizmet veren bulut sağlayıcıları, öncelikle kendi güvenliklerini üst düzeyde sağlamalıdırlar. Tüm dünyada kabul gören güvenlik denetimlerinden periyodik olarak geçmek zorunda olan bulut bilişim sağlayıcı şirketler, aynı hassasiyetle, ikinci ana nokta olarak; müşterilerine ait bilgilere de üst düzey koruma mekanizmaları ile sahip çıkabilmeli, bu bilgilerin nasıl korunduğunu müşterilerine sürekli raporlayabilmelidirler.”
Her yerden her zaman erişim için kilit teknolojiler bulut bilişim ve mobil iletişim
Birçok şirket hayati önem taşıyan bilgilerini, uygulamalarını bulut bilişime taşıyor. Bulut bilişimden tüm çalışanların en iyi şekilde yararlanabilmeleri için de mobil iletişim aktif bir şekilde kullanılıyor. Birçok şirket bu süreçlere geçerken güvenlikten doğal olarak endişe duyuyorlar. Hiçbir şirket elbette hassas verilerinin istenmeyen kişilerin eline geçmesini istemez. Bu yüzden bulut bilişim ve mobil iletişim gibi teknolojilere yatırım yaparken güvenlik teknolojilerine olan yatırımları da aksatmıyorlar.
ZyXEL Türkiye Kurumsal Çözümler Ürün ve İş Geliştirme Müdürü Ömer Faruk Erünsal şunları söylüyor: “Bulut üzerinden genel bilgiler gibi, kişisel ve kurumsal bilgiler de paylaşıldığından güvenlik zafiyetinden bahsedilebilir. Bulut servis sağlayıcıları, belli bir veri merkezindeki veriyi, dünyanın herhangi bir yerinde bulunan bir merkeze transfer ediyor. Avrupa’da kişisel bilgi mahremiyeti, 95/46/EC direktifi ile düzenlenmiştir ama bu düzenleme gereği her transfer için ayrı bir sözleşme yapmak, iş yönetimi bakımından verimli değildir. Bunun zaman ve operasyon maliyetine katlanılması mümkün değildir. Benim bu konuda önerim öncelikle ölçeğe göre operasyonel, organizasyonel ve teknik risk analiz yaparak, oluşturulacak geliştirme ekipleri ile en uygun seçeneklerin değerlendirilmesidir.
Diğer taraftan bulut uygulamaları ve iş modellerindeki yapısal değişiklikler ile birlikte şirketlerin en önemli değerlerinden biri olan veri güvenliği, firmaların en hassas olduğu konuların başında geliyor. Bu alanda siber saldırılar, bilgisayar korsanlığı ve hedefli saldırılar gibi güvenlik tehditleri söz konusu. Bu konuda kurumların bilgi ve işletim sistemlerini güvenlik açığı oluşmayacak şekilde, düzenli olarak en ileri teknolojilerle test ettirmeleri bir zorunluluk olarak karşımıza çıkıyor.
Hedefli saldırıların genelde hassas verilerin elde edilmesi için yapıldığı göz önünde tutularak; veri odaklı bir koruma anlayışı benimsemeli, kritik verilerin erişimi kayıt altına alınarak sınırlandırmalı, sunucu ve ağlar dikkatli bir şekilde izlenerek sıra dışı durumlara karşı dikkatli olunmalı ve zararlı yazılımların yaratacağı değişiklikleri fark edebilmek için gelişmiş görüntüleme araçları kullanılmalı. Şirket içinde belirli dönemlerde gerçekleştirilen eğitimler ile de personelin olası saldırılardaki hareket tarzları belirlenmeli ve bu konuda belirli bir seviyede yeterlilik oluşturulmalı.”
Bulut bilişim ürün ve hizmetlerin pazara daha kısa sürede sunulmasını sağlıyor
Proline Ağ Çözümleri Yöneticisi Ahmet Eriş ise yeni servis ve ürünlerin bulut bilişim sayesinde kısa sürelerde pazara sunulabildiğini vurguluyor ve sözlerine şöyle devam ediyor: “Teknolojideki ilerlemeler ile beraber tüm şirketler çok kısa bir sürede çok geniş bir kesime hitap etmeyi başardılar. Bulut bilişimin hızla yayılması ile beraber yeni servis ve ürünleri kısa sürelerde pazara kazandırabiliyoruz. Kablosuz iletişimin çok hızlı yükselişi ile en küçüğünden en büyüğüne kadar tüm şirketler bulut bilişim konusunda bir arayışa girdiler. Küçük ölçekli şirketler bu konuyu biraz daha basit çözerek hepsi bir arada cihazlar kullanabiliyorlar. Bu cihazlar bir ağ anahtarı olarak çalışırken hem de kablosuz erişim noktası, güvenlik cihazı ve hatta bir IP santral sistemi olarak bile kullanabiliyorlar. Çalışan sayısının az olmasından dolayı iç ağda doğabilecek tehditler daha azaldığından dolayı ağın basit ve bu şekilde yapılandırılması çok sorun teşkil etmiyor.”
Orta ve büyük ölçekli şirketlerde ise durumun biraz daha farklı olduğunu belirten Eriş, konuyla ilgili olarak şu bilgileri verdi: “Orta ve büyük ölçekli şirketlere doğru gittiğimizde ise tek bir sistemin parçası olan bu cihazların tek bir kutuda bulunmasından ziyade ayrı ayrı cihazlar üzerinde yapılandırılması gerekiyor. Kablosuz iletişimdeki ihtiyaçların artması ve çok konumlu yapılar, orta ve büyük ölçekli şirketlerde kablosuz iletişimin yönetiminde zorluklar ortaya çıkarıyor. Bu yüzden tek merkezden yönetilen kablosuz iletişim sistemleri tercih edilmeye başlanmış ve bu taraftaki bilgi birikim, teknoloji hızla artıyor. Bu sayede şirket çalışanlarının her an her yerden her şekilde şirket ağına bağlı kalabilmesi sağlanmaya çalışılıyor.”
KoçSistem İletişim Teknolojileri ve BT Güvenlik Grup Yöneticisi Orhan Düz, bilgi güvenliği alanında en önemli faktörün insan olduğuna dikkat çekiyor. Kullanıcılara güvenlik alanında gerekli eğitimlerin verilmesinin büyük önem taşıdığını söyleyen Düz sözlerine şöyle devam ediyor: “Hedefli saldırılarda sosyal mühendislik yaklaşımları çok kullanılıyor. Bu nedenle hedefli saldırılara karşı sistem yöneticilerini ve kullanıcıları bilinçlendirmek çok büyük önem taşıyor. Hem bulut bilişim, hem de mobil iletişim kanadı için güvenlik politikalarının belirlenmesi ve güvenlik ürünlerinde bu politikalara uygun ayarların yapılması gerekiyor. Bu tip saldırıların ana amacı kritik seviyedeki bilgilerin ele geçirilmesi olduğundan, özellikle verilerin sınıflandırılması ve önceliği yüksek olan verilerin güvenliğini sağlayacak çözümlere gerekli yatırımları yapmak çok kritiktir.“

Elimizden bırakmadığımız telefonlar birer tehdit haline gelebiliyor

Günümüz ve gelecekteki yeni eğilim akıllı mobil telefonlar üzerindeki güvenlik tehditleri diyebiliriz. Bizi anlayan bir web ve sürekli mobil olmamızı sağlayan elimizden bırakmadığımız, artık telefondan öte işimizin ayrılmaz parçası olan mobilite ciddi anlamda güvenlik gereksinimlerine gerek duyuyor. Yine aynı şekilde yükselen eğilim olarak göze çarpan bulut bilişimin önündeki en büyük endişelerden birisi de güvenlik konusu. Tehditlerin ve sahiplerinin tek bir amacı var küçük kodlarla ya da programcıklarla (malware), istihbarat yapmak, paraya dönüşebilecek her şeyi ele geçirmek ya da daha fazla köle (Zombi bilgisayarlar) sahibi olmak. Burada en önemli nokta hedefe yönelik saldırıları algılayacak ve istenilen alarmları üretebilecek çözümler kullanılmasıdır. İmza tabanlı sistemler genelde daha önce yapılmış ve bilinen atak cinslerini algılayabilmektedir. Bu bağlamda yeni bir bakış açısı ve yeni çözümler kullanılması gerekmektedir.”

En önemli endişe güvenlik

Bulut hakkında gözlemlediğimiz en önemli sorun güvenlik endişesi. Diğer taraftan Cisco olarak araştırmalarımız veri merkezi kapasite kısıtlılığı ya da bulut uygulamalarını gerçekleştirmek için bilgi eksikliği gibi sorunların da olduğunu ortaya koyuyor. Bulut stratejisini geliştirmek isteyen bir şirket veya organizasyonun öncelikle bulutun işleri üzerindeki etkilerinin ne olmasını beklediklerini tespit etmeleri ve hangi uygulamaları buluta taşıyacaklarına karar vermelerini öneriyoruz. Geçiş dönemini nasıl yönetecekleri, güvenliği ve kurum politikalarına uygunluğu nasıl sağlayacakları da yanıt vermeleri gereken sorular arasında yer alıyor. Öncelikli olarak, fiziksel anlamdaki güvenlik duvarı ve IPS gibi ürünlerin pozisyonlanması gerektiği gibi sanal sunucular seviyesinde de güvenlik sağlamak gerekiyor. Bunun yanı sıra dışarıdan gelebilecek eski ve yeni nesil tehditlere karşı hazırlıklı olunması gerektiği gibi, içerideki trafiğin şeklini anlayıp, davranış tabanlı önlemler almak da çok önemli. Fakat buradaki farklılık, bu güvenlik yapısını belli bir kimlik ve politika yönetimi çerçevesinde yapmak; tüm hizmet alan kullanıcıları ayrıştırabilecek ve yönetim araçlarıyla bütünleşen tüm bulut yapısının ve otomasyon kurgusunun içerisine dâhil edebilmektir.
ETİKETLER : Sayı:942