Şirketler güvenlik politikalarına uyum sağlamalı
Kurumların fiziksel alanda sunulan güvenlikle bulut üzerinde sunulan güvenliği aynı seviyede görmesinin önemli bir problem olduğunu dile getiren Bimsa Sistem Mühendisi Cem Güneyli, özellikle genel bulutlar üzerinde barındırılacak uygulama ve verilerin türüne, tipine, önemliliğine bağlı olarak farklı güvenlik çözümleri, hizmetleri kullanmak zorunda olduklarını anlatmak gerektiğini vurguladı. Güneyli, risk tanımlamasının kurumun ve kaynaklarının içeriğiyle orantılı olarak belirlenmesi gerektiğinin altını çizdi.
Ardıc Pazarlama Müdürü Mine Tezer’e göre, kullanıcıların yapacakları seçimin tamamen çözüm bağımlı olup, çözümü belirleyen parametrelerinse yine yoğunca değinilen maliyet, güvenlik ve performans odaklı olacak. Özellikle küçük işletmeler için ilk kurulum maliyetinin yüksek olması nedeniyle kendi fiziksel ortamında ilgili hizmeti almakta zorlanacağını söyleyen Tezer, buluta geçişin bu kurumlar için daha avantajlı olacağı görüşünde. Tezer’e göre, birden fazla istemci bulunması durumunda güvenlik riski artıyor.
IBM Türk Teknoloji Lideri (CTO) Kıvanç Uslu, “Fiziksel olarak kastedilen konvansiyel olarak kullanılan intranet, internet web uygulamaları, istemci/sunucu ve anabilgisayar uygulamalarındaki standart güvenlik ihtiyaçları, yani erişim kontrolü, veri güvenliği, network güvenliği, uygulama güvenliği gibi ihtiyaçlar, bulut ortamı için de geçerlidir. Ancak bulut üzerinde dikkat edilmesi gereken daha fazla konu bulunuyor” dedi. Yalıtım hatalarına dikkat çeken Uslu, “Herhangi bir bulut ortamında en önemli olan şey müşterilerin birbirinden ve sağlayıcı altyapısından ayrılmasıdır. Hipervizör tabanlı sanallaştırma bu tip bir yalıtım için kilit teknolojidir. Ağ ayırıcısı olarak bakacak olursak IBM çeşitli mekanizmalar sunuyor. Örneğin müşterilerimiz misafir sistemlerine uygulayabilecekleri bazı firewall kurallarını belirleyebiliyorlar. Ayrıca bir de VLAN ayırıcı sunuyoruz, bu da etkin bir biçimde özgülenmiş, yani kullanıcıya özel ağ isteyenler için. Şunu da belirtmeliyim ki sistemler somut hale getirildikten ve müşteriye sunulduktan sonra misafir işletim sistemlerine IBM’in de girememesini garantiliyoruz” dedi.
IBM Türk CTO’suna göre, dünya giderek daha fazla birbirine bağlı hale geliyor. Bununla da kalmıyor dünyanın çalışma biçimine, sistemlere, süreçlere ve altyapılara zekâ ekleniyor. Uslu, “Bulut Bilişim de bu noktada şirketlere yardımcı oluyor. Ancak bulut modelleri iş teknolojisine hızlı ve uygun maliyetli bir erişim sunarken, sunulan hizmetlerin tümü aynı esneklik ya da güvenlik denetiminde olamayabiliyor. Bu durumda bulut bilgi işlemin şirketin güvenlik politikalarına uyum sağlaması önemlidir” dedi. Şirketlere tavsiyeler de veren Uslu, “Genel bulut bilgi işlem modelinde kurumsal açıdan güvenlik planlarını değiştirmek gerekiyor. Kurumların temel uygulamaları buluta taşındığında şifre ve kimlik yönetimi çok daha önemli hale gelir. Artık ağın parçalarının ya da bütününün güvenliği sağlamak değil, son kullanıcı güvenliğini sağlamak gerekir. Verinin kurum içerisinde kalabilmesi ve sadece doğru insanlarca erişilmesi yeni nesil kimlik yönetimi araçlarını gerektirir. Dolayısıyla şirketler, genel internet bulut sağlayıcılarını seçerken en iyi erişim ve kimlik yönetimine sahip sağlayıcıları tercih etmeliler” diye konuştu.
Fiziksel ve bulut ortamlarının her ikisinde de güvenlik açısından adreslenmesi gereken birçok ortak alan olduğuna değinen CA Technologies Müşteri Çözümleri Mimarı Uğur Unluakın, bulut alanında kimlik ve erişim yönetiminin daha önemli olduğunu vurguladı. Unluakın, “Yine özellikle bulut servisini veren firmaların İmtiyazlı kullanıcılarının (örneğin sistem yöneticilerinin) hangi haklara sahip olacağı ve kurum verilerinin imtiyazlı kullanıcılardan nasıl korunacağı da bulut ortamlarında daha fazla önem kazanmaktadır. Verinin çok geniş bir ortamda dağınık bir şekilde saklanmasının daha imkânlı olduğu bulut ortamlarında Veri Kaybı Önleme (DLP) tedbirleri de daha önemli olmaktadır” dedi.
Bulut Güvenliği konusunda adreslenen ve üzerinde çalışılan önemli noktalar olduğunun üzerinde duran Unluakın, “Veri gizliliği, veri güvenliği ve şifreleme bunların başında geliyor. Konular belli ve çalışmalar hızlıca devam ediyor; yakın bir gelecekte de kaygıya yer bırakmayacak bir şekilde çözümler bulunması çok muhtemel. İçinde bulunduğumuz mevcut durumdaki risk ise daha çok bulut yatırımı kararlarının IT’den iş ve finansal karar vericilere kaymasında: BT tarafından yeterli bir risk analizi yapılmadan girişilen bulut yatırımları gerçek riski oluşturmakta. Firmanın oluşturulmuş ya da oluşturulacak Risk profilinin BT tarafından, alınması planlanan bulut servisine uyumluluğunun detaylıca incelenerek yatırım kararların alınması riskleri en aza indirgeyecektir” dedi.
Bulut kapsamında kullanıcılara çeşitli güvenlik seçenekleri sunulduğunu ifade eden Fujitsu Türkiye Genel Müdürü Halit Zaim, “Gelişmiş servis seviyeleri anlaşmaları (SLA), güvenlik önlemleri ve kurumsal kimlik yönetimi gibi uygulamaların da var olması ile Bulut üzerindeki verilerin sıradan veri merkezlerindeki verilerden daha fazla korunduğunu söyleyebiliriz” dedi. Zaim, kendi bünyelerinde geliştirdikleri özel ve güvenli bulut platformları için sundukları yenilikçi paketlerinde, saldırı tespit ve önleme sistemleri, güvenlik duvarı (firewall) ve güvenli web sunucusu bulunduğundan söz etti.
Kurumlar için çalışanların, müşterilerin, ürünlerin ya da ticari işlemlerin bulunduğu kurumsal bilgi havuzunun oldukça önemli olduğunu belirten Oracle Türkiye Satış Danışmanlığı Kıdemli Müdürü Kemal Ülkü, fiziksel olarak kontrolünüz altında olmayan bir ortamda saklanıp ve işlenmesinin güvenlik risklerini oluşturacağını aktardı. Ülkü’ye göre, bir firmaya ait verilerin firmanın güvenlik kurallarına ve hedeflerine uygun olacak şekilde mahremiyetinin sağlanması, bilgiye sadece yetkili kullanıcıların ve kendi yetkileri dâhilinde erişiminin garanti edilmesi olmazsa olmazlar arasında bulunuyor.
Bulut üzerindeki verilerin daha az risk altında olduğunu söyleyebileceklerini ifade eden Microsoft Türkiye Ulusal Teknoloji Politikaları Yöneticisi Buğra Karabey, “Nihayetinde Bulut ortamları da fiziksel altyapılar üzerinde çalışan sanallaştırılmış kaynaklardır. Buradaki en kritik nokta aynı bulut üzerinde yaşayan milyonlarca son kullanıcının ya da 10 binlerce kurumun verilerinin ve uygulamalarının birbirilerine etkide bulunmayacak çerçevede kendi kutularında (sandbox) yaşayabiliyor olmalarıdır” dedi. Veri merkezi ve bulut deneyiminin önemli olduğuna dikkat çeken Karabey, deneyim ve bilgi birikimi kullanıcılar nezdinde belirleyici bir husus ve önemli bir seçim kriteri olduğunu ifade etti.