Bu içerik Onedio üyesi kullanıcı tarafından üretilmiş, Onedio editör ekibi tarafından müdahale edilmemiştir. Siz de Onedio’da dilediğiniz şekilde içerik üretebilirsiniz.

Bulut Teknolojisi Dost mu? Düşman mı?

 > -
4 dakikada okuyabilirsiniz
Bulut Teknolojisi Dost mu? Düşman mı?

Tehlikeyi anlamak

Söz konusu verilerimizi ve sistemlerimizi buluta taşımak olduğunda kuşkusuz en büyük korkumuz verilerimizin başkasının eline geçmesidir. Yaşanan büyük güvenlik ihlalleri (target, iCloud, vb.) etrafında yaşanan tartışmaların ateşi henüz geçmedi. Bulut üzerinde bulunan verilerin platform, başka kullanıcıların hataları veya yanlış kurulumlar nedeniyle erişilebilir hale gelmesi ne yazık ki mümkündür.

Verilere erişebilen saldırganların bunları silmesi veya duruma göre değiştirmesi de mümkün olabilir.

Hesabınızı ele geçirebilirler

Oltalama (phishing) benzeri sosyal mühendislik saldırıları veya güvensiz bir ağ üzerinden bağlanmanız durumunda; doğrudan ağ üzerindeki iletişiminizi yakalayarak, buluttaki verilere veya sistemlere ulaşmak için kullandığınız bilgiler (kullanıcı adı ve parola) elde edilebilir. Bu durumda saldırganlar aynı bilgileri kullanarak sistemlerinize erişim kazanmış olur.

Güvensiz API’ler

API’ler (Application Programming Interface – Uygulama Programlama Arayüzü) buluttaki sistemlerinizi yerel ağdaki sistemlerle veya buluttaki başka sistemlere entegre etmek için çok kullanışlıdır. Ancak zayıf bir API, buluttaki sistemlerinizin kapısını saldırganlara açabilir. Bunun en “güzel” örneklerinden birisi iCloud hadisesidir.

Hizmet dışı bırakma

Önemli iş süreçlerini buluta taşıdıktan sonra başımıza gelebilecek en kötü şeylerden birisi de bu sistemlere erişememektir. Yeterince önlem alınmazsa hizmet dışı bırakma saldırısı (DoS/DDoS – Denial of Service/Distributed Denial of Service) karşısında elimiz kolumuz bağlı oturmaktan başka çaremiz kalmaz.

Yetersiz hazırlık

Buluta taşınacak sistemlerin doğru analiz edilmesi ve uygun bulut mimarisinin seçilmesi sadece performansı değil, aynı zamanda buluttaki verilerin ve sistemlerin güvenliğini de doğrudan etkiler. Bulutta alınacak güvenlik tedbirlerinin yerel ağ üzerindekilerden farklı olduğunun, sunucu ve veri tabanı mimarilerinin de farklılık gösterebileceğinin anlaşılması gerekiyor.

Yukarıda saydıklarımın dışında içeriden birinin bilgi sızdırması, yetersiz şifreleme teknolojileri, basit parola kullanımı gibi genel geçer güvenlik zafiyetlerinin de bulutta mevcut olduğunu hatırlatmakta fayda görüyorum.

Güvenlik için Önlem Almak

Verilerinizin ve sistemlerinizin bulutta güvende olmasını sağlamak için bulut hizmetini aldığınız yerin de üzerine düşen şeyler var. Bu listedekileri teyit ederek doğru bir şirketten bulut hizmeti aldığınızı kontrol edebilirsiniz.

Hareket halindeki verinin korunması

Veri bir yerden başka bir yere transfer edilirken gerekli şifreleme ve kimlik doğrulama önlemleri alınmalıdır. Veri transferi sırasında üçüncü kişilerce verinin değiştirilmesi veya okunmasının önüne geçilmelidir.

Fiziksel güvenlik

Verilerin tutulduğu platformların fiziksel güvenliği sağlanmalıdır. Sunucuların veya bulut platformunun çalınması, zarar görmesi veya değiştirilmesi bilgi güvenliği ihlaliyle sonuçlanabilir.

Kullanıcıların ayrılması 

Saldırganların aynı bulut yapısını kullanan başka bir kullanıcıya sızmaları veya aynı bulut yapısı üzerinde kendilerine kullanıcı açması halinde bu hesaptan sizin verilerinize ulaşamamaları gerekir.

Bilgi güvenliği yönetimi 

Bulut hizmeti alacağınız firmanın bu yapıyı nasıl yönettiğinin ve gerekli bilgi güvenliği yönetimi süreçlerinin var olduğundan emin olunmalıdır.

Güvenlik süreçleri

Bulut hizmetini aldığınız firmanın bilgi güvenliğine ilişkin süreçleri de oturmuş olmalıdır. Örneğin sızma girişimlerini nasıl yönetiyorlar? DDoS (Dağıtık Hizmet Dışı Bırakma) saldırılarına karşı nasıl bir eylem planları var? Gibi soruların cevapları net olmalıdır. “Bize kimse saldırmıyor”, “o işe bakan bir ekip var ama başka şehirdeler”, “çok sağlam heykır bir arkadaş var, o koruyor”, “mikrotik (jenerik üretici adı anlamında) var be yeeaaa” gibi cevaplarla karşılaşırsanız bulut teknolojisine geçmek için çok yanlış yerdesiniz, koşar adımlarla uzaklaşmanızda fayda var.

Personel güvenliği

Bulut hizmeti aldığınız veri merkezinin personelinin gerekli güvenlik kontrollerinden geçmiş, “düzgün” tabir edebileceğimiz kişilerden oluşmasında fayda var. Bunu anlamak için bulut hizmeti almayı düşündüğünüz firmanın işe alım prosedürlerini ve referans kontrollerinin yapılıp yapılmadığını sormanın faydası olabilir.

Güvenilir uygulamalar

Bir uygulamayı buluta taşıyacaksanız bütün dünyanın buna erişimi olabileceğini düşünmenizde fayda var. Bu nedenle bulut üzerinde çalıştıracağınız uygulamanın kaynak kod analizin ve güvenlik testlerinin yapılmış olmasında fayda var.

Güvenlik yönetimi: Bulut yapısını kullananlara kendi güvenliklerini sağlamak için gerekli yönetim arayüzlerinin ve hayati gelişmeleri takip edebilecekleri ekranların sunulması önemlidir.

Yetkili erişim

Bulut yapısına ve bulut yapısı üzerinde çalışan sistemlere erişimin sadece yetkili kişilerle sınırlandırılmış olması önemlidir.

Dışarıya bakan arayüzlerin güvenliği

Bulut platformunun internete bağlı olan her noktası için gerekli güvenlik önlemleri alınmalıdır. Örnek olarak web tarayıcısı ile port 80 üzerinden erişenleri ülke bazında sınırlandırdıysak SSH ve RDP bağlantıları için de benzer önlemlerin alınması gereklidir.

Güvenli hizmet verme

Bulut hizmeti aldığınız firmanın düzenli olarak güvenlik testlerini yaptırması ve güvenlik altyapısı konusunda gerekli yatırımları ve iyileştirmeleri yapıyor olması önemlidir.

Kullanım kılavuzunu okuyun

Hizmet şartlarınızı, sözleşmeyi ve size bulut hizmeti veren firma ile aranızdaki SLA’yi (Service Level Agreement – servis şartlarını düzenleyen anlaşma) dikkatle okuyun. Okurken aklınıza yatmayan veya size uygun olmayan bir şart varsa buna mutlaka açıklık getirin. “Orada öyle yazıyor da biz pek şeyapmıyoruz be yeeaaa” türü açıklamalar yapılır koşarak uzaklaşın.

İhtiyaç duyduğunuz güvenlik seviyesini belirleyin

Buluta taşımak istediğiniz verileri veya sistemlerin ne kadar önemli olduğuna göre ihtiyacınız olan güvenlik seviyesini belirlemelisiniz. “güvende olmalı” gibi genel bir yaklaşımdan ziyade basit bir tablo ile en kritik yönlerini ve tehdit oluşturabilecek zafiyetleri listelemek ve bunları adreslemek gerekir.

Varsayımda bulunmayın

Hizmet aldığınız şirketin hiç bir şey yaptığını varsaymayın, her şeyi sorun ve belgeleyin. 

Bulut konusunda temel görüşüm, buluta taşınan verilerinizin, en az kendi ağınızda olduğu kadar, genellikle de daha güvende olduğudur. Doğru bir firmadan hizmet alırsanız ve sistemlerinizin güvenliğine özen gösterirseniz güvenlik seviyeniz artacaktır.

http://www.alperbasaran.com

Bu içerik Onedio üyesi kullanıcı tarafından üretilmiş, Onedio editör ekibi tarafından müdahale edilmemiştir. Siz de Onedio’da dilediğiniz şekilde içerik üretebilirsiniz.

BU İÇERİĞE EMOJİYLE TEPKİ VER!
Helal olsun!
Hoş değil!
Yerim!
Çok acı...
Yok artık!
Çok iyi!
Kızgın!
YORUMLAR İÇİN TIKLAYINIZ

Başlıklar

transferweb
Görüş Bildir