Bulut Bilişimde Veri Güvenliği Nasıl Sağlanıyor?

  Ülkemizde bulut bilişimin güvenliği için 5411 Sayılı bankacılık kanunu bilişim sistemleri üzerinde veri güvenliğini sağlamak amacı ile başvurulabilecek bir kaynak olarak düzenlenmiştir.Veri güvenliği açısından düşünüldüğünde bu kanun uygulanabilir hale gelmesi ile birlikte güvenli bulut bilişim modelinin aktif hale gelebileceği ve kullanıcıya güvenli bir hizmet olarak açılmasında bir sorun olmayacağı belirtilmektedir.

5411 Sayılı bankacılık kanunu dışında güvenliğin sağlanması için birçok yöntem kullanılır, bunlardan bazıları şu şekilde açıklanabilir:

Ağ Segmentasyonu

Ağ segmentasyonu, bulut bilişim sisteminin erişilebilir bölgeleri arasında hangi hizmetlere izin verildiğine ilişkin katı kurallar belirlemenize olanak tanıyan kanıtlanmış bir güvenlik stratejisidir.

Bu sistem bölgeler içinde hassas verilerin ve kaynakların belirlenmesi, yalnızca belirlenmiş ana bilgisayarların ve diğer onaylanmış bölgelere ait kullanıcıların bunlara ulaşmasını sağlar. Bu sayede ağ boyunca hareketler zorlaştırılarak saldırılar kısıtlanabilmektedir. Bilgisayar korsanları ve kötü amaçlı yazılımlar, veri sızdırmak için sisteme erişemez, ayrıca engellenen kötü amaçlı bağlantılar kritik varlıkları tespit etmek için bağlantı noktası taraması da yapamaz (Rheault, Dan; (2019), “Cloud Network Segmentation: Mission Impossible?”, The Security Policy Company, (21 Mayıs 2019), https://www.tufin.com/blog/cloud-network-segmentation ).

Kimlik ve Erişim Yönetimi ile Ayrıcalıklı Erişim Yönetimi Kimlik ve erişim yönetimi (Identity and Access Management -IAM), elektronik veya dijital kimliklerin yönetimini kolaylaştıran iş süreçleri, politikalar ve bunları destekleyen teknolojilerden oluşan bir yapıdır. BT yöneticileri IAM çerçevesi ile kuruluşlarındaki kritik bilgilere kullanıcı erişimini kontrol edebilmektedir (Gittlen, Sandra; “What is identity and access management? Guide to IAM”, TechTarget, https://www.techtarget.com/searchsecurity/definition/identity-access-management-IAM-system).

Bulut Örnekleri ve Varlıkları

Bulut örnekleri, hizmetler ve varlıklar keşfedilip gruplandırıldıktan sonra, bunların yönetilmesi için aksiyon alınması gereklidir.

Bulut bilişim yönetim sistemlerinin en önemli bileşenlerinden biri olan bulut varlıkları Bulut Varlık Yönetimi (Cloud Asset Management -CAM) adı verilen bir bileşenle kontrol edilmektedir. Bulut varlık yönetimi, bulut ortamını oluşturan tüm varlıkların ve altyapının görünürlüğünü ve kontrolünü sağlamaktadır.Daha iyi optimize edilmiş, daha güvenli bir bulut için bu bileşen çok önemli bir ilk adımdır (Cass Information Systems, (2019), “What is identity and access management? Guide to IAM”, (28 Şubat 2019), https://www.cassinfo.com/cloud-management-blog/what-is-cloud-asset-management ).

Şifre Kontrolü (Ayrıcalıklı ve Ayrıcalıksız Şifreler)

Paylaşılan parolaların kullanımına asla izin verilmemelidir. Hassas alanlar için parolalar, diğer kimlik doğrulama sistemleriyle birleştirilerek daha güçlü bir savunma sağlanabilir.

Parola yönetimi için gerekli şartlar onaylandıktan sonra uygulamaların kullanılması önerilmektedir. Bu şartlar aşağıdaki şekilde belirlenebilir:

Sözlük kuralı: Hem dil sözlüklerinden hem de korsan sözlüklerinden girişler içeren parolalar engellenmelidir.

Klavye kalıpları: QWERTY, 12345, ASDFGH gibi yaygın klavye kalıpları reddedilmelidir.

Yinelenen kalıplar:Ardışık olarak yinelenen karakterler, kullanıcı adlarından ardışık karakterler ve palindromlar içeren parolalar yasaklanmalıdır.

Çoklu karmaşıklık geliştirmeleri: Parolalarda hem küçük hem de büyük harfler zorunlu kılınmalıdır.

Gereken özel karakter ve rakamların tam sayısı belirtilmelidir. Unicode karakterleri zorunlu hâle getirilerek kompleks parolaların oluşturulması desteklenmelidir.

Parola sıfırlamaları için parola geçmişi kontrolü: Kullanıcıların parola sıfırlamaları sırasında belirli aralıklarla parola değiştirilmesinin hatırlatılması ve eski parolalarının kullanımı önlenmelidir (ManageEngine, “Enforce better cloud security with granular password policies”, https://www.manageengine.com/products/ self-serice-password/multi-platform-granular-password-policy. html.)

Güvenlik Açığı Yönetimi

Normalde bulut bilişim sistemleri standart şirket içi ortamlardan daha güvenli olabilmektedir. Varsayılan ağ topolojileri ve yapılandırmaları saldırganların buluttaki ana bilgisayarlardan yararlanmalarını zorlaştırmaktadır. Ancak, güvenlik açıklarını iyi bilen ve yöneten bulut hizmet sağlayıcıları tercih edilmediğinde ciddi risklerle karşı karşıya kalınabilmektedir. Güvenlik açıklarının tespit edildiği bulut hizmetleri daha güvenli bir sistemin kurgulanmasında önemlidir. (Srinivasan, Hari; Ward, Ashley; (2021), “Cloud Vulnerability Management for Hosts” paloalto, (9 Temmuz 2021), https:// www.paloalto networks.com/blog/prisma-cloud/cloud-vulnerability-management/)

Şifreleme (Encryption)

Bulut şifreleme, verilerin buluta aktarılmadan ve bulutta depolanmadan önce orijinal düz metin biçiminden şifreli metin biçimine dönüştürülme işlemidir. Bulut şifreleme, her veri şifreleme biçiminde olduğu gibi bilgileri şifreleme anahtarları olmadan kullanılamaz hâle getirmektedir. Bu sistem ile veriler kaybolsa, çalınsa veya yetkisiz bir kullanıcıyla paylaşılsa bile şifreleme aktif şekilde verileri koruyacaktır (Crowdstrike, “What is Cloud Encryption?”, https://www.crowdstrike.com/cybersecurity-101/cloud-security/cloud-encryption/ ).

İzleme, Uyarı ve Raporlama

Tüm ortamlarda ve sistemlerde sürekli güvenlik ve kullanıcı etkinliği izlenmelidir. Bulut sağlayıcıları gelen verileri kurum içi ve dışından gelen verilerle entegre etmeye ve merkezileştirmeye çalışmalıdır. Bu şekilde bulut bilişim ortamında neler olup bittiğine dair bütünsel bir resme sahip olunabilir (BeyondTrust, “Cloud Security/Cloud Computing Security”, https://www.beyondtrust.com/resources/glossary/cloud-security-cloud-computing-security ).