Bulutta güvenlik çok önemli
Bulut’un bilgi güvenliği konusunda tüketiciler ve KOBİ’lere profesyonel çözüm getirdiğini ifade eden Microsoft Türkiye Ulusal Teknoloji Politikaları Yöneticisi Buğra Karabey, “Günümüzde BT dünyasında bilgi güvenliği ve kişisel verilerin gizliliği, son kullanıcının ve hatta birçok KOBİ’nin imkân ve kabiliyetini aşacak bilgi birikimi ve kaynak ihtiyacı gerektirmektedir. Son kullanıcı ve kurumların verilerinin profesyonel ekipler tarafından yönetildiği, güncellemelerin takip edilerek anında yapıldığı, sürekli güvenlik perspektifinden izlenen ve gerekli reaksiyonların alındığı bir BT ortamında güvenliği bir hizmet kapsamında buluttan almak mümkündür” dedi. Kullanıcıların endişelerini gidermek için bulut servis sağlayıcılarının veri merkezlerinde uygulanan güvenlik politikalarını, uyumlu olunan güvenlik standartlarını ve hizmet sunarken kullanılan Hizmet Seviyesi Anlaşma’larını (SLA) şeffaf bir şekilde kamuoyu ile paylaşmak ve kullanıcıları aydınlatmak durumunda olduğunu kaydetti.
Güvenlik otomasyonunun bulut dendiğinde en çok istenen konulardan biri olduğunu aktaran Oracle Türkiye Satış Danışmanlığı Kıdemli Müdürü Kemal Ülkü, bulut altyapılarına geçildiğinde hızlı davranmak için güvenlikten ödün verilmemesi gerektiğini vurguladı. Ülkü, “Gerek “public” gerekse “private”, cloud yapısında “çok kiracılı” model mimarinin ana prensipleri arasında yer alıyor. IaaS yapısında ortak bir donanım havuzu (disk, CPU, ağ, bellek, vb.) farklı kişiler, gruplar ya da firmalar arasında paylaştırılmakta. PaaS yapısında tüm bunlara ek olarak, veritabanı, uygulama sunucusu, entegrasyon sistemleri, kimlik belirleme altyapıları gibi “servisler” ortak kullanıma alınıyor. SaaS noktasına geldiğinizde ise, potansiyel olarak sizin CRM yazılımınızla rakibinizin CRM uygulaması aynı bulut sağlayıcısının ilgili platformunda bir arada çalışıyor olma durumunda kalabiliyor” dedi. Ülkü’ye göre şirketler, bulut içerisinde yer alan tüm bileşenlerin güvenlik yaşam döngüsünü otomatik olarak yönetebilmeli.
Bulut mimaride klasik güvenlik yaklaşımlarının yanında (kimlik tanımlama, kimlik doğrulama, şifreleme gibi) bulut bütünündeki katmanlar arası güvenliğin de önemine dikkat çeken EMC Satış Öncesi Takım Lideri Cenk Ersoy, kullanıcıların fiziksel yapıda verilerinin nerede olduğunu bilmese de kaygılanmaması gerektiğini ifade etti. Zira kullanıcının servisi satın alırken veriye ulaşım için istenilen güvenlik seviyesi, verinin saklanmasında kullanılarak güvenlik seviyesi, veri yedekleme sıklığı ve servisi bıraktıktan sonra şahsi verilerin güvenli imhası konularında şartları belirleyebileceği bilgisini verdi. Buluttaki güvenlik problemlerinde öne çıkanları sıralayan Ersoy, “Güvenli olarak veri yedekleme, güvenli ulaşım, silinen verinin geri dönüştürülemeyecek şekilde imhası gibi güvenlik konuları öne çıkıyor. Teknolojik konuların yanı sıra bilginin hangi fiziksel yapıda hangi ülkede tutulduğu, verinin ülkeler arası kopyalanması sırasında ortaya çıkan hukuki engeller de sistem güvenliği kapsamında düşünülmelidir” dedi.
Ağların konsolide edilmesiyle birlikte tek noktadan saldırı yapılma olasılığı ve harici web hizmetlerinin artmasıyla da ofis dışı saldırılara karşı daha fazla açık veren sistemler ortaya çıkabileceğini aktaran HP Profesyonel Hizmetler MEMA (Ortadoğu, Akdeniz ve Afrika) Bölge Sorumlusu Özgür Kayım, kullanıcıların da özellikle veri kurtarma konusunda kaygıları olduğunu açıkladı. Kayım’ın ifadelerine bakılırsa kullanıcılar en çok güvenliğe, hıza, kullanışlılığa ve düşük maliyetlere odaklanıyor.
Bulut bilişimdeki en büyük güvenlik probleminin uygulamayla ilgili olduğunu bildiren Bimsa Sistem Mühendisi Cem Güneyli, “Kurumlar bulut içerisindeki verilerini koruyabiliyorlar ancak bulut üzerinde barındırdıkları uygulamaların güvenlik kontrolü olması gerekenden daha düşük seviyede ya da hiç yok. Uygulamadan kaynaklanan bir güvenlik problemi arka tarafta korunan veriyi de tehlikeli durumlarda bırakabiliyor” dedi. Güneyli’ye göre, kullanıcılar verinin nerede ve nasıl barındırıldığıyla ilgilenmiyor. Kullanıcılarının bu tutumunun normal olan olduğunun belirten Güneyli, internet altyapısı ve bulut bilişim altyapısının kullanıcı problemi olmadığını düşünüyor.
Fujitsu Türkiye Genel Müdürü Halit Zaim, bulutta karşılaşılan en büyük sorunun şirket bilgileri, müşteri bilgileri gibi verilerin güvende olmaması olarak değerlendiriyor. Zaim, “Bu bilgiler uzaktaki bir veri merkezinde bulundurulacağı ve erişilmeleri her yerden mümkün olacağı için verilerin korunması büyük önem taşıyor” dedi. Kullanıcıların en fazla önemsedikleri noktanın da veri güvenliği olduğuna dikkat çeken Zaim, sundukları 13 farklı güvenlik paketiyle bulut hizmetlerinde güvenliğe verdikleri önemin görüldüğünü ifade etti.
Konunun bir güvenlik sorunundan öte güvenlik kaygısı olduğunu bildiren CA Technologies Müşteri Çözümleri Mimarı Uğur Unluakın, “Bulutun özellikle özel ya da kamusal bulut olması çerçevesinde şekillenmektedir. Özel bulutlarda kimlik yönetimi, erişim yönetimi, veri kontrolü, kaybolmaya karşı veri güvenliğinin sağlanması ve imtiyazlı kullanıcı yönetimi çerçevesinde şekillenen güvenlik yönetimi sorunları, günümüzün diğer sanallaştırılmış ve fiziksel ortamlarındaki kaygılardan çok da farklı değil. Bunların yanında kamusal bulutlarda verinin şifrelenmesi, farklı şirketlere ait verinin birbirinden ayrık ve güvenli
bir şekilde depolanması, verinin depolandığı yerin/ülkenin firma isteklerine uygunluğu ve ülke güvenlik otoritelerinin yayımladığı kurallara uygunluğun sağlanması konularını da içermektedir” dedi.
Bulut hizmetlerinden faydalanan bireysel kullanıcıların güvenlik tipi konuları çok fazla problem haline getirmediğini aktaran Unluakın, sosyal ağlarda yapılan paylaşımları örnek veriyor. Kurumsal kullanıcıların özellikle saklanacak özel verilerde yaşanacak bir aksaklıktan çekinmelerinin normal olduğunu dile getiren Unluakın, “Bu kaygılara çözüm olarak büyük firmalar, kendi Özel Bulut yapılarını kurarak, ihtiyaçları olan ölçeklenebilirlik, esneklik ve çevikliği kendileri sağlama yoluna gidiyorlar. Kamusal Bulut kullanımlarını ise şu an için daha kabul edilebilir hizmetler ile sınırlı tutuyorlar. Sonuçta Melez bir Bulut ortamına sahip oluyor” dedi. Son olarak Unluakın, Cloud Security Alliance (CSA) gibi bulut konusunda çözüm üreten şirketlerin bir araya gelerek kurduğu ve güvenlik konusunu irdeleyerek en iyi uygulamaların endüstride paylaşımı yönünde çalışmalar yapan organizasyonların çoğalması gerektiğini vurguladı.
IBM geçtiğimiz yıl Küresel BT riskleri Araştırması yayınlamıştı. IBM Türk Teknoloji Lideri (CTO) Kıvanç Uslu elde ettikleri bulguları paylaştı: “Araştırmanın amacı teknoloji yeniliklerinin genel BT risk stratejilerini nasıl etkilediğini değerlendirmek ve BT yöneticilerinin bu yeniliklerle ilişkili olarak rollerinin nasıl değiştiğini keşfetmekti. Araştırmaya katılanlar arasında verinin kullanımı, erişimi ve kontrolü açısından en büyük endişelerden birinin bulut bilişim olduğu görüldü: Yanıt verenlerin yüzde 77’si bulut bilişimin gizliliği korumayı daha zorlaştırdığına inanırken, yüzde 50’si veri ihlali ya da veri kaybından endişe ediyor, yüzde 23’ü ise kurumsal ağ güvenliğinin zayıflamasından endişe duyduklarını belirtiyor. Kurumlar bulut modelinin avantajlarını görüyorlar fakat güvenlik endişeleri bulut bilişimi benimsemenin önünde bir engel olabiliyor. Araştırmadan bulut bilişimle ilişkili çıkan riskleri sıralamak gerekirse: Hassas verilerin üçüncü bir tarafın ellerine teslim edilmesi (yüzde 61), veri ihlali ya da kaybı tehdidi (yüzde 50), kurumsal ağ güvenliğinin zayıflaması (yüzde 23), iş sürekliliğinin sağlanması (yüzde 16), bulut bilişim sağlayıcısının finansal gücü (yüzde 11), uygulama özelleştirmesinin yapılamaması (yüzde 10). Büyük çoğunluk için en büyük risk veri koruma ve gizlilik olsa da, iş sürekliliğinin sağlanması da önemli bir endişe konusu. Araştırmaya katılanların yüzde 44’ü özel bulutların geleneksel BT hizmetlerine göre daha riskli olduğuna, yüzde 26’sı ise sanallaştırmanın kurumları için bir risk oluşturduğuna inanıyor. Hizmet odaklı mimari (SOA) de yanıt verenlerin yüzde 25’i tarafından bir endişe konusu olarak görülüyor.”