Bulut bilişimin hızlı yükselişi, BT altyapılarının güvenlik açısından yetersiz kalmalarına neden olabiliyor.
Kurumsal verinin müşteriye ait veriyle bir arada saklandığı bulut altyapıları, yaşanan hızlı büyüme sonucunda gizlilik ve güvenlik açısından büyüyen bir riskle karşı karşıya kalıyor. COMPAREX Turkey İş Geliştirme Müdürü Güney Seyhan, ‘Bulut Bilişim Güvenliği Çözümleri’ araştırmasında bulut güvenliği pazarının 2021’e kadar yüzde 28 büyüme kaydedeceğini belirtiyor ve ekliyor: “Geleneksel BT güvenlik metotları hızlı büyüme karşısında yetersiz kalacak. Etkin bir bulut güvenliği için Paylaşımlı Sorumluluk Modeli’ne geçiş şart!”
Paylaşımlı Sorumluluk Modeli nedir?
Bulut teknolojisinde farklı kurumlara ait veriler ve uygulamalar aynı donanımlar üzerinde tutulduğu için, ortaya güvenlik açısından değerlendirilmesi gereken farklı katmanlar çıkıyor. Yazılım hizmeti katmanı, platform hizmeti katmanı ve altyapı hizmeti katmanı olarak üçe ayrılan ana katmanlardan her biri için bulut sağlayıcı, kullanılan çözüm, servis modeli ve kurulum modeli arasında güvenliğe dair rol paylaşımının yapılması gerekiyor.
Bulut sağlayıcısına yazılım hizmeti katmanında (SaaS) kapsamlı bir sorumluluk düştüğünü vurgulayan Güney Seyhan “Her bir uygulama için kullanıcı girişi, loglama, izleme, tespit, uygulama güvenliği ve uyumluluk kavramlarının tümüyle bulut sağlayıcı kurum ilgilenmelidir. Müşteriler ise doğru kullanımın doğru kullanıcı tarafından yapıldığından emin olmalıdır.” diye ekliyor.
Platform hizmeti katmanında (PaaS) bulut sağlayıcı kullanılan platformların toplam güvenliğinden ve periyodik güncellemelerden sorumlu bulunuyor. Müşterilerin ise doğru konfigürasyonu yapmaları gerekiyor. Böylelikle altyapının güvenlik ve güncelliğini sağlamak bulut firmasına düşüyor ve kullanıcı sadece doğru tasarımı yapmak için zaman harcıyor.
Güvenliğin asıl temelini oluşturan altyapı hizmeti katmanında (IaaS) ise bulut firması altyapının tamamından sorumlu bulunuyor. Bulut teknolojisinin tümüyle bir altyapı üzerine inşa edildiğini hatırlatan Seyhan, “Bu katmanda müşterinin sorumluluğu artıyor; çünkü servisi alırken seçecekleri altyapı güvenlik fonksiyonlarını her türlü saldırıyı öngörüp engelleyecek kapasitede temin etmeleri gerekiyor.” diyor.
7 adımda bulut güvenliği
Bulut üzerinde kullanılan uygulamaların tasarım ve özellikleri büyük oranda farklılık gösteriyor. Buna karşın, bulut güvenliği süreçlerini yedi ana başlıkta toplamak mümkün. Seyhan, bu maddeleri şöyle sıralıyor:
- Güvenlik ve uyumluluk gerekliliklerini ve mevcut kontrolleri belirleyin
- Bulut sağlayıcınızı, servislerinizi ve dağıtım modelinizi seçin
- Mimariyi tanımlayın
- Güvenlik kontrollerini değerlendirin
- Açıkları tespit edin
- Tespit ettiğiniz açıkları kapatmak için ek kontrolleri devreye alın
- Tüm değişim sürecini doğru bir şekilde yönetin