Uçtan uca güvenlik imkansız değil ama…

Güvenlik söz konusu olduğunda, bulut bilişim uygulamalarında tam kapsamlı bir yapı oluşturmak kolay değil, ama bunu sağlamak geleneksel uygulamalardan çok daha güvenli bir yapı demek. Bulut bilişim, kurumsal güvenlik algısında bir değişimi de böylece hayata geçirmiş oluyor.

Bulut bilişim maliyet ve gerek kurulum gerek kullanım ve güncelleme süreçlerinde her ölçekte şirket için önemli avantajları beraberinde getiriyor. Ama bu tabloda işin güvenlik kanadı da şirketlerin aklındaki öncelikli soru işareti olmayı sürdürüyor. Çünkü artık sayısal ortamda meydana gelecek bir güvenlik sorunu şirketlerin itibarlarını ve finansal sonuçlarını sarsabilecek seviyelere ulaşmış durumda. Bu yüzden güvenlik çözümleri de çok daha fazla önem kazanıyor. Burada söz konusu olan veri güvenliği kadar, deprem, yangın gibi doğal afet ve riskler. Kurumlarda merkezden en uç kullanıcıya kadar özel bulut çözümlerinin güvenli olmasından bahsetmek için bazı adımları atmak, bazı öncelikleri gözetmek şart. Bilgi ve iletişim teknolojilerinde güvenliğin, sürekli yaşayan ve dönüşen bir yapı olarak algılanması burada büyük önem taşıyor. Bulut bilişim hizmetlerinde de güvenlik konusu farklılaşmayı sağlayan önemli bir parametre olarak öne çıkıyor. İnnova Teknoloji Çözümleri Grup Yöneticisi Ersel Karşal, büyüyen veri yığınları, ‘bring your own device – kendi cihazını getir’ gibi kurumsal BT yapılarına yeni girmeye başlayan kavramlar ve her gün artan iç ve dış tehditlerin, veri güvenliğini her zamankinden daha da önemli hale getirdiğine dikkat çekti. Veriyi korumanın garantili, tek ve standart bir yöntemi olmadığını da unutmamak gerek. Karşal’ın dikkat çektiği gibi, kurumun ihtiyaçlarına ve verinin yapısına bağlı olarak veri güvenliği çözümleri farklılıklar gösterebiliyor. “Doğru güvenlik ve güvenilirlik sağlanmadan, bulut çözümlerin, geleneksel çözümlere bir alternatif oluşturması düşünülemez” diyen Millenicom Yönetim Kurulu Üyesi ve Genel Müdür Şevki Kuyulu’nun da dikkat çektiği gibi, özellikle veri güvenliği ve yedeklemesi açısından bulut çözümler geleneksel hizmetlere göre açık ara avantajlı.
EMC sponsorluğunda, IDC tarafından, 750’ye yakın Türk şirketi üzerinde gerçekleştirilen “Türk Şirketlerinde BT Dönüşümü” konulu araştırma sonuçlarını örnek gösteren

EMC Kıdemli Teknoloji Danışmanı Cenk Ersoy, “Şirketlerin yüzde 82’si veri güvenliği ve yönetimini büyük bir endişe kaynağı olarak görürken, yüzde 44’lük diğer bir kesim ağ güvenliğini bir BT önceliği olarak görüyor. Şirket ağları için olmazsa olmaz güvenlik çözümlerinde büyük veri ve analitik çözümlerine yönelimin arttığını görüyoruz” dedi. Bu sonuçlar ışığında günümüzde, özellikle bilgi ve istihbarata dayalı tüm güvenlik programlarının, kuruluşların karşı karşıya olduğu risklerin bilincinde olarak hazırlanması gerekiyor. Ersoy’a göre, SIEM araçları gibi günümüzde kullanılan güvenlik teknolojileri genellikle bu alanda yetersiz kalıyor, günümüzün tehditlerine yönelik yeterli görünürlük sağlayamıyor ve analitik ihtiyaçlara göre ölçeklenemiyor.
IBM Türk Teknoloji Lideri Kıvanç Uslu, bulut bilişimde güvenlik konusunda gündeme getirilen endişeler ve güvenlik sorunlarını şöyle özetledi: Kapsamlı yönetim ve güvenlik özellikleri aracılığıyla kullanıcı kimliklerini yönetmek, izleme ve verilere erişimi korumaya yardımcı olmak ve en yeni tehditlere ve güvenlik açıklarına karşı uygulamaları korumaya yardımcı olmak, uç noktaların güvence altına alınmasına yardımcı olmak ve bulut içindeki gelişmiş ağ saldırılarına karşı iş yüklerini korumak. Bu sorular ve verilen yanıtlar ışığında Uslu’ya göre, bir kurumun bulut güvenlik stratejisi, mevcut kurumun BT altyapısıyla aynı paralelde, bu altyapının bir uzantısı olmalı.
İşinin uzmanı ile çalışın
Küresel Beta Telekom CTO’su Cihan Sağlamöz’e göre, bulut bilişim kullanan ve bu hizmeti sağlayan şirketler açısından 2013 yılının tam anlamıyla bir test yılı olduğu söylenebilir. Hızla büyüyen bulut teknolojisi güvenlik endişelerini beraberinde getiriyor ve Sağlamöz’ün de dikkat çektiği gibi, her yeni teknoloji ve gelişme gibi, bulut bilişim hizmetini alan son kullanıcının, bu hizmeti nereden aldığı, kullanılan ekipman ve cihaz gibi değişkenlere dikkat etmesi gerek. Bulutun sunduğu avantajların dezavantaja dönüşmemesi ve güvenlik endişelerinin ortadan kalkmasının tek yolu ise uzman şirketler ile çalışmak. “Konunun uzmanı şirketler bu konuda önemli yatırımlar yaparak, bir şirketin kendi imkânları ile kuracağı güvenlik sistemlerinin çok daha üzerinde sistemler kuruyorlar” diyen Sağlamöz, eklemeden geçmedi: “Bu yatırımların geri dönüşü ise genele açık (public) ve özel bilgilerin (private) aynı ortamda saklanması ile birlikte ortaya çıkan güvenlik açıklarının tutulması veya yok edilmesi şeklinde son kullanıcıya ulaşmakta.”
Bulut teknolojisini, ‘bilişim yatırımı yapmanın en tasarruflu olduğu kadar, aynı zamanda en güvenlikli yolu’ olarak tanımlayan Netsis Teknoloji ve Kurumsal Çözümlerden Sorumlu Başkan Yardımcısı Yalçın Tarkan’a göre, yasal düzenleme alanlarındaki eksikliklerin giderilmesi ve farkındalık düzeyinin artırılmasına bağlı olarak bulut çözümlerin yaygınlığı artacak.
İlk başlarda, bulut bilişim dendiğinde CIO ve BT profesyonellerinin aklını kurcalayan ilk konu, özellikle, verilerin şirket duvarları dışına çıkması söz konusu olduğunda bulut bilişimin ne kadar güvenli olduğu idi. Ancak Oracle Türkiye ve Orta Asya Bölgesi Satış Danışmanlığı Direktörü Sedat Zencirci’nin de dikkat çektiği gibi, bulut bilişim hizmetleri kullanımı yaygınlaştıkça bu kaygının azaldığı görülüyor. Artık elimizde BT profesyonellerinin oluşturduğu en iyi uygulamalara dayalı güvenlikli ve güvenilir referans mimariler var. “ABD’de yapılan bir araştırmaya göre, günümüzde BT profesyonellerinin yüzde 85’inin bulut bilişim güvenilirliği konusunda emin olduklarını, şirketlerin büyük çoğunluğunun da kullandıkları bulut hizmetlerine güvendiklerini görüyoruz” diyen Zencirci’ye göre, bugün şirketlerin neyi buluta emanet edecekleri neyi etmeyecekleri konusunda önlerinde seçenekler var. Örneğin, şirkete ait gizli finans bilgileri, kredi kartı bilgileri, gizli IP ya da ticari sırlar, çalışan bilgileri bunlar arasında. Bu veri veya bilgileri şirket duvarları dışına çıkarmayıp halihazırda bulut hizmetleriyle bütünleşik kullanmak artık mümkün hale geldi. Hibrit (melez) bulut adıyla anılan bu bulut tipi şirketlerin mevcuttaki BT altyapı ve hizmetlerini, aldıkları bulut hizmetleriyle bütünleşik bir şekilde kullanmalarına olanak sağlıyor. Cisco Veri Merkezi ve Sanallaştırma Satış Yöneticisi Baran Karakurt da şu detayları örnek verdi:
“Bulut güvenliğine bakış açımız uçtan uca veri merkezi güvenliğini sağlamak üzerine kurulu 3 ana başlıktan oluşuyor.

“Bunların başında segmentasyon, yani ağ, işlem (compute) ve sanal alanlardaki sınırların ve politikaların belirlenerek, erişim kontrollerinin yapılmasını öngörüyor. İkinci olarak tehdit savunması (threat defense) ise içerden ve dışarıdan gelebilecek atakları durdurma ve son olarak da görünürlük diğer adıyla ‘visibility’, yani verdiğiniz servislerin görünebilirliği.”
“Eğer proje planlamanızı ve teknolojik yatırımlarınızı doğru şekilde yaptıysanız, uzman ve kaliteli teknik desteğe de sahipseniz bulut teknolojilerinin güvenli olduğunu söyleyebiliriz” diyen 4S Çözüm Teknolojileri Danışmanı Ahmet Gül ise şu hatırlatmayı da yaptı:
“Ancak yapınızın dışarıya daha açık hale gelmesi ağ katmanındaki işlerin önemini artırmaktadır. Hatalı konfigürasyon, yapınıza yetkilendirilmemiş girişlerin yapılması gibi sorunlar daha kritik bir hal alacaktır. Bu tarz sorunlar yaşamamak için doğru ve düzenli bir izleme sistemine sahip olmanız gerekmektedir. Aynı zamanda belirli aralıklarla yapılacak penetrasyon testleri güvenliğinizi ve işinizi rahatlatacaktır.”
Çünkü özel bulut altyapıları, KoçSistem Teknoloji Çözüm Ve Hizmetleri Genel Müdür Yardımcısı Gökalp Bahçeli’nin de dikkat çektiği gibi, kurumların sahip olduğu donanımların üzerinde çalıştırılması da bir güvenlik standardı olması nedeniyle, veri merkezi titizliğinde ele alınmalı. En az bir veri merkezinin sahip olduğu güvenlik standartlarının burada uygulanması Bahçeli’ye göre şart. Bu noktada güvenlik duvarı, sunucu güvenliği, yedeklilik, yetkilendirme, veritabanı güvenliği gibi teknik bazlı önlemler, SIEM çözümleri ve güvenlik süreçleriyle desteklenerek uçtan uca güvenlik sağlanmalı.
Kullanılan teknoloji ne olursa olsun hiçbir zaman yüzde 100 güvenli bir yapıdan söz etmek mümkün değil. Fakat güvenlik alanında gelişen teknolojilerin de kullanımı ile Proline Ürün Müdürü Veli Hazar’ın da belirttiği gibi, bulut çözümlerinde beklentileri karşılayacak bir seviyeye gelinebilir. Özellikle bulut bilişimde kurumların hizmeti alacağı şirketi değerlendirirken güvenlik kapsamını son derece geniş bir çerçevede ele aldıklarını gördüklerini söyleyen Hazar, şöyle devam etti:
“Beklentileri sıralayacak olursak; veri merkezinin ve sunucuların bulunduğu alana girişteki kapıda fiziki güvenliğin başlamasını ve söz konusu fiziksel güvenlik adımlarının iris, parmak damar izi taraması gibi biyometrik unsurlardan oluşmasının beklentiler arasında olduğunu söyleyebiliriz. Bu beklentileri giriş ve çıkışların kamera ile izlenip kayıt altına alınması izliyor. Temel beklentiler halkasına son olarak güvenlikle ilgili süreçlerin, değerli bilginin korunmasını sağlayacak maksimum gereklilikleri karşılamasını da ekleyebiliriz. Güvenliğin uzaktan erişim boyutu ise çeşitli üreticilerin sağladığı güvenlik ürünleri üzerinde yetkilendirme tanımlamaları ile sağlanıyor. Özetle en değerli bilgi yine en sağlam güvenlik önlemleriyle korunmak durumunda kalıyor. Böylece siz veri merkezinde en değerli bilgilerinizi kendi öz kaynaklarınızı seferber etmeden saklayabiliyor, bilgilerinize istediğiniz an ulaşabiliyor ve en değerli kaynaklarınızın gerek fiziksel gerekse yazılım odaklı önlemlerle en iyi şekilde korunduğunu teyit etmiş oluyorsunuz.”

GÜVENLİKTEN EMİN OLUNMALI

Bulut hizmetinin sunulduğu veri merkezinin güvenliği bir bakıma bulut uygulamalarına giriş aşamasındaki en öncelikli unsur. Bulut sistemlerine yatırım kararı alınırken, veri merkezinin güvenilirliğinden emin olmak, Anadolu Bilişim Hizmetleri Veri Merkezi Hizmetleri Müdürü Yakup Kadri Ünal’a göre, tüm şirketlerin atması gereken bir adım. Güvenlik konusunda dikkat edilmesi gereken bir diğer unsur ise hizmetin alındığı 3. parti şirketteki veri bütünlüğünü sağlayarak kaliteli ve güvenilir hizmeti müşteriye ulaştırmada köprü vazifesi gören teknik personelin yetkinlik seviyesinin yüksek tutulması.

BULUTLA UYUMLU GÜVENLİK

Bulut bilişim, sağladığı avantajlarla BT’nin iş yükünü hafifletirken son kullanıcıya da esneklik, özgürlük sunuyor. Ancak bu özgürlük ve esneklik, VMware Türkiye Ülke Müdürü Mehmet Emrali’nin de belirttiği gibi, güvenlik zafiyeti oluşturmamalı. Bilindiği gibi kurumsal şirketler uzun yıllardır altyapılarının güvenliğini sağlamak için birçok güvenlik çözümü kullanıyorlar. “Ancak bu çözümler, genel itibariyle geleneksel diye nitelendirebileceğimiz fiziksel ortamın güvenliğini sağlayan çözümler olarak dikkat çekiyor” yorumunu yapan Emrali, şunları söyledi:
“Dolayısıyla bu gibi çözümleri bulut bilişim ortamında kullanmak, bir hastalığı yanlış antibiyotik ile tedavi etmeye çalışmaya benziyor. Bulut bilişimin ihtiyaçları ve sağladıkları, geleneksel yapıdan çok farklı. Gerçek bir çözüm, ancak ona özgü uyarlanabilir bir güvenlik çözümü olabilir. Eğer şirketler özel bulut platformlarını eldeki eski mimari için tasarlanan çözümlerle yönetmek isterlerse, ya bulut bilişimin sağladığı avantajlardan yararlanamaz ve bu durum bulut mimarisi için bir fren niteliğinde olur ya da bulut bilişimin sağladığı özgürlükler karşısında yeterlince güvenli bir altyapı sunamaz. Dolayısıyla bulut bilişim, yeni iş yapış biçimiyle, modern bir güvenlik bakış açısına ihtiyaç duyar. Cihazların ve uygulamaların mobilitesine uyum sağlayan, güvenlik politikalarını fiziksel kısıtlardan kurtarıp taşınabilir ve değişime uyum sağlayabilir, kural bazlı politikalar haline getiren güvenlik çözümleri, bulut mimarisine uyumlu ve o mimariyi tamamlayan bir çözüm olacaktır.”

DEĞİŞEN TALEPLERE UYGUN YENİLİKLER

SadeceHosting Genel Müdürü Selçuk Saraç’ın da dikkat çektiği gibi, bulut bilişim uygulamalarından sağlıklı bir şekilde yararlanabilmek için bulut bilişim hizmetini sağlayan veri merkezinin yazılım ve fiziksel şartlar bakımından güvenliğinin yanı sıra, soğutma ve güç donanımlarının da iş sürekliliğinde kesintiye mahal vermeyecek nitelikte olması elzem. Saraç, yakın gelecekte bulut bilişim sistemlerinde de değişen taleplere yönelik yenilikler yaşanacağı kanısında.

GÜVENLİK AÇIKLARINI ADRESLEMEK KOLAY

“Aslında özel bulut çözümlerinin klasik bilişim yapılarından çok daha güvenli olduğundan bahsetmek mümkün” tespitini yapan Trend Micro Akdeniz Ülkeleri Kıdemli Satış Mühendisi ve Güvenlik Danışmanı Murat Songür, şu detayları paylaştı:
“İnternet kaynakları üzerinden yapılan iletişimin yaratacağı güvenlik sorunlarından kaynaklanan bir genel endişe hakim bulut yapılarında. Ancak bu konu ile ilgili pek çok güvenlik çözümü oluşturulmuş durumda. Bunun yanı sıra, tamamen otomatikleşmiş ve yönetilebilir bilişim kaynaklarında güvenlik açıklarını adreslemek çok daha kolay. Oluşturulan ortam için doğru güvenlik politikalarının belirlenmesi ve bu politikalara uygun çözümlerin devreye alınması sayesinde özel bulut çözümleri de kurumsal bilişimde çok daha iyi yapılandırılmış bir güvenlik altyapısı sağlıyor.”

Bulut hizmetleri maliyetleri ortadan kaldırıyor

Netsis bulut hizmetleri alanında SaaS (Servis Olarak Yazılım) modeline dayalı çözümler sunuyor. Bu çözümler sayesinde bir yandan internete bağlanılabilen her yerden sisteme erişim mümkün kılınırken, diğer yandan da kurulum, sunucu, bakım, güncelleme, yedekleme gibi maliyetler ortadan kaldırılıyor. Netsis Teknoloji ve Kurumsal Çözümlerden Sorumlu Başkan Yardımcısı Yalçın Tarkan’a göre dünyada birçok bankanın kullandığı IBM sunucular üzerinden kullanıma sunulan Netsis çözümleri bu alanda fark yaratıyor.
SaaS modelli Netsis çözümleri ile şirketler; stok, fatura, cari hesap, çek, senet, kasa takibi gibi günlük temel iş süreçlerini hatasız ve verimli şekilde takip ederken SaaS’ın bilinen tüm avantajlarından yararlanabiliyorlar. Dileyen kullanıcılar Netsis’in çözümlerini www.netsisim.com adresinden bir ay boyunca ücretsiz olarak deneyebiliyorlar.