Dosya 04 NİSAN 2011 / 22:37

Veri depolamanın bütün olarak görülmesi gerekiyor

Günümüzde kullanılmakta olan kimlik denetimi, yetkilendirme ve erişim denetimi gibi mekanizmalar artık yeterli olmamaktadır. Kullanılan bu basit mekanizmaların kriptolama, veri karıştırma (data scrambling), maskeleme, izleme ve denetleme gibi kapsamlı güvenlik stratejileriyle güçlendirilmesi gerekmektedir. Ayrıca seçilen stratejilerin yasal gerekliliklerle uyumlu olması da gerekir. Veri güvenliği ile ilgili olarak ilk yapılması gereken, verilerin içerdikleri bilgilere göre üretim ortamı olan ve olmayan şeklinde ayrışmasıdır. Daha sonra ayrışan bu verilerin hangi güvenlik mekanizmalarıyla korunması gerektiği belirlenmelidir. Önleyici olması amacıyla üretim ortamı verilerinin kriptolu, test ve eğitim amaçlı kullanılan verilerin maskeleme yöntemiyle saklanması gerekmektedir. İki yöntem arasındaki temel fark, kriptolama yönteminde sadece yetkilendirilmiş kullanıcılar veriyi de-kript edebilir, diğer yöntemde ise veri sürekli karıştırılmış olarak saklanır. Yukarıdaki yöntemlerin dışında sistematik bir yaklaşım olan Değişiklik Yönetimi (Change Management-ITIL) IT mimarisindeki değişikliklerde üretim ortamı zafiyetlerini azaltır.

Sonuç olarak, kurumlar veri güvenliği sorunu yaşamamak için sürekli olarak stratejilerini gözden geçirmeli ve değişiklik yapmalıdırlar.

NetApp Sistem Mühendisi Lütfi Yunusoğlu ise konu hakkında şunları söyledi:

“Veri depolamada güvenlik deyince herkesin aklına farklı bir şey gelebilir. Aslında bu bir bütün halinde görülmesi gereken ve depolamanın her aşamasında da dikkat edilmesi gereken bir konu. Verilerin performanstan ve verimlilikten ödün vermeden güvenli halde yazılması için kullanılan RAID şeması güvenliğin ilk başlığı. Bununla birlikte bulutta, aynı mimariyi paylaşan işletmelerin birbiri ile temasını engelleyen çözümler şu anda en önemli konu. Seçilecek veri depolama sisteminde buna da dikkat etmekte fayda var. Bütün bu gelişmelere paralel olarak disk üzerinde şifreleme gibi metotlar da gündemde; ancak maliyetleri ve operasyonel iş yükü nedeni ile pek de tercih edilen yöntemler değil.”

Symantec Türkiye Kurumsal Müşteriler Satış Yöneticisi Evrim Tekeşin, “Kullanılan altyapılar verinin artması ile daha çok uygulamaya, daha çok müşteriye –kurum içi ya da dışı- hizmet etmekte, dolayısı ile bilgi teknolojileri gruplarının üzerindeki baskı da artmaktadır. Altyapı teknolojilerinin kesintisiz bakım yapılmasına izin vermesi, ihtiyaca göre kapasite artırımı yapması, yönetim araçları ile izlenebilmesi çok önem kazanmıştır. Bulut hizmetleri sebebi ile veri artısının bir de çok kritik bir yansıması olmakta. Verisini bir başka kuruma emanet eden kişi ya da kurumlar bu hizmetin güvenliğinden emin olmak istemektedir” dedi.

Günümüzde kullanılmakta olan kimlik denetimi, yetkilendirme ve erişim denetimi gibi mekanizmalar artık yeterli olmamaktadır. Kullanılan bu basit mekanizmaların kriptolama, veri karıştırma (data scrambling), maskeleme, izleme ve denetleme gibi kapsamlı güvenlik stratejileriyle güçlendirilmesi gerekmektedir. Ayrıca seçilen stratejilerin yasal gerekliliklerle uyumlu olması da gerekir. Veri güvenliği ile ilgili olarak ilk yapılması gereken, verilerin içerdikleri bilgilere göre üretim ortamı olan ve olmayan şeklinde ayrışmasıdır. Daha sonra ayrışan bu verilerin hangi güvenlik mekanizmalarıyla korunması gerektiği belirlenmelidir. Önleyici olması amacıyla üretim ortamı verilerinin kriptolu, test ve eğitim amaçlı kullanılan verilerin maskeleme yöntemiyle saklanması gerekmektedir. İki yöntem arasındaki temel fark, kriptolama yönteminde sadece yetkilendirilmiş kullanıcılar veriyi de-kript edebilir, diğer yöntemde ise veri sürekli karıştırılmış olarak saklanır. Yukarıdaki yöntemlerin dışında sistematik bir yaklaşım olan Değişiklik Yönetimi (Change Management-ITIL) IT mimarisindeki değişikliklerde üretim ortamı zafiyetlerini azaltır.

Sonuç olarak, kurumlar veri güvenliği sorunu yaşamamak için sürekli olarak stratejilerini gözden geçirmeli ve değişiklik yapmalıdırlar.

NetApp Sistem Mühendisi Lütfi Yunusoğlu ise konu hakkında şunları söyledi:

“Veri depolamada güvenlik deyince herkesin aklına farklı bir şey gelebilir. Aslında bu bir bütün halinde görülmesi gereken ve depolamanın her aşamasında da dikkat edilmesi gereken bir konu. Verilerin performanstan ve verimlilikten ödün vermeden güvenli halde yazılması için kullanılan RAID şeması güvenliğin ilk başlığı. Bununla birlikte bulutta, aynı mimariyi paylaşan işletmelerin birbiri ile temasını engelleyen çözümler şu anda en önemli konu. Seçilecek veri depolama sisteminde buna da dikkat etmekte fayda var. Bütün bu gelişmelere paralel olarak disk üzerinde şifreleme gibi metotlar da gündemde; ancak maliyetleri ve operasyonel iş yükü nedeni ile pek de tercih edilen yöntemler değil.”

Symantec Türkiye Kurumsal Müşteriler Satış Yöneticisi Evrim Tekeşin, “Kullanılan altyapılar verinin artması ile daha çok uygulamaya, daha çok müşteriye –kurum içi ya da dışı- hizmet etmekte, dolayısı ile bilgi teknolojileri gruplarının üzerindeki baskı da artmaktadır. Altyapı teknolojilerinin kesintisiz bakım yapılmasına izin vermesi, ihtiyaca göre kapasite artırımı yapması, yönetim araçları ile izlenebilmesi çok önem kazanmıştır. Bulut hizmetleri sebebi ile veri artısının bir de çok kritik bir yansıması olmakta. Verisini bir başka kuruma emanet eden kişi ya da kurumlar bu hizmetin güvenliğinden emin olmak istemektedir” dedi.

Güvenlik ikinci Ilker Saltogluplanda kalmamalı

Veri depolama yatırımlarında güvenliğin genel olarak ikinci planda kaldığına dikkat çeken Index Bilgisayar IBM İş Birim Müdürü İlker Saltoğlu, “Veri kaybı yaşanmadan bu tür ihtiyaçların gerçekten ihtiyaç olduğu pek göz önünde bulundurulmaz. Bu gerçeğe rağmen güvenlik alanında son yıllarda hem donanımsal hem de yazılımsal anlamda pek çok gelişme oldu. En kritik nokta, güvenlik açıklarının doğru tespit edilmesi ve bu konudaki ihtiyaçların belirlenmesi olarak karşımıza çıkıyor. Genel olarak yatırımlar, dışarıdan gelecek tehditlere karşı önlem almak üzere yapılıyor. Fakat kurumlarda meydana gelen sıkıntıların büyük bir kısmı, şirket içindeki kullanıcıların internet gezintileri sırasında meydana gelir. Kullanıcılar olarak bizlerin tehditler konusunda ciddi bir şekilde bilinçlenmeye ve eğitime ihtiyacımız var. Ne kadar yatırım yapılırsa yapılsın, kullanıcılar olarak bizler bilinçli olmazsak, kişisel ve kurumsal verilerimizin güvenliğini sağlamamız mümkün olmayacaktır” şeklinde konuştu.
ETİKETLER : Sayı:815