Bek Bilisim | Prof Dijital Bek Bilisim Bulut Güvenliği Web Tasarım Bulut Güvenliği Yazılım Bulut Güvenliği İnternet Sitesi Bulut Güvenliği

Bulut Güvenliği

Bulut bilişim, yapılandırılabilir bilişim kaynaklarından oluşan ortak bir havuza, uygun koşullarda ve isteğe bağlı olarak her zaman, her yerden erişime imkân veren bir modeldir. Bulut bilişimin esneklik, maliyet, enerji tasarrufu, kaynak paylaşımı ve hızlı dağırım gibi birçok avantajı vardır. Verilerin bulutta merkezileştirilmesi saldırganlara verileri çalmak ve hareket halindeki verileri (data in-motion) durdurmak için tek durak noktası sağlamaktadır. Sonuç olarak, güvenlik, gizlilik, verimlilik ve ölçeklenebilirlik endişeleri, bulut teknolojisinin geniş çapta benimsenmesini engellemektedir. Bulut kapsamında uyum sağlanması gereken regülasyonlarla ve teknolojilerle verileri buluta taşımadan önce güvenlik zorlukları azaltılmalıdır. Bulut hizmet sağlayıcısı seçmeden önce sağlayıcının yasalara uygunluğu, risk ve kriz yönetimi konularında farkındalığın sağlanmış olması, güvenlik kontrolllerin periyodik olarak yapılması gibi hususların analiz edilmesi gerekmektedir.

Bulut Güvenliği Nedir?

Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) özel yayınına göre “bulut bilişim, minimum yönetim çabası veya hizmet sağlayıcı etkileşimi ile hızlı bir şekilde sağlanabilen ve piyasaya sürülebilen, yapılandırılabilir bilgi işlem kaynaklarından oluşan paylaşılan bir havuza her yerde, uygun, isteğe bağlı ağ erişimini sağlamak için bir modeldir.” Bu tanıma göre bulut bilişim ile bilgi işlem kaynaklarına ve tesislerine her zaman ve her yerden erişim sağlanabilmektedir. Merkezi bulut güvenliğinin amacı, BT ekiplerine ortak bir tehdide ilişkin anında bildirim göndermektir. Bu proaktif yaklaşım ile şirketlerin, hem DDoS gibi yıkıcı saldırılardan hem de veri ihlalleri gibi daha büyük tehditlerden korunabilmesi amaçlanmaktadır. Bir bulut güvenlik stratejisini uygulamaya koymadan önce, güvenlik ekiplerinin mevcut tüm bulut denetimlerini değerlendirmesi ve bunların merkezileştirilmiş olup olmadığına karar vermesi gerekmektedir.

Merkezi Bulut Güvenliğinin Avantajları

Merkezi bulut güvenliği, veri tehditlerini yönetmek ve hassas bilgileri ve ağları korumak için birçok avantaj sunmaktadır.

Intrusion Prevention – Saldırı Önleme

İzinsiz giriş önleme, olası tehditleri saptamak ve bunlara anında tepki vermek için kullanılan bir güvenlik yaklaşımıdır. Saldırı önleme sistemlerinin temel işlevleri, şüpheli etkinliği belirlemek, bu etkinlikle ilgili bilgileri analiz etmek ve bu bilgileri kullanarak saldırıları önlemeye çalışmaktır. Saldırganlar, bulut sistemine girip hasara neden olmadan önce bu sistem sayesinde engellenebilmektedir.

Load Balancing – Yük Dengeleme

Yük dengeleme, bulut güvenliğinde de önemli bir rol oynamaktdır. Bir yük dengeleyicinin off-loading özelliği, bir kuruluşu DDoS saldırılarına karşı korumaktadır.. Yük dengeleyiciler, kötü amaçlı trafiği şirket sunucusundan bir genel bulut sağlayıcısına taşıyarak bu saldırıların önlenmesine yardımcı olabilmektedir.

Veri Kaybını Önleme (DLP)

Merkezi güvenlik ortamlarındaki DLP çözümleri, buluttaki tüm verilerin şifrelenmesini ve yalnızca yetkili bulut uygulamaları tarafından kullanılmasını sağlar. Bulut DLP çözümleri, aktarılırken verilerin korunmasını sağlamak için hassas verileri paylaşılmadan önce kaldırabilmektedir veya değiştirebilmektedir.

Gelişmiş Tehdit Koruması (ATP)

ATP, hassas verilere veya karmaşık kötü amaçlı yazılımlara yönelik gelişmiş saldırılara karşı koruma sağlayan bir güvenlik araçları kategorisini ifade eder. ATP çözümleri, yönetilen hizmetler veya bir yazılım olarak kullanılabilir. Her çözümün kendi bileşenleri ve yaklaşımları vardır, ancak çoğu, savunmaları yönetmek ve uyarıları ilişkilendirmek için ağ cihazları, uç nokta aracıları, kötü amaçlı yazılım koruma sistemleri, e-posta ağ geçitleri ve merkezi bir yönetim konsolunun bir kombinasyonunu içerir.

Bulut Bilişim Özellikleri

Resmi tanıma göre, bulut bilişimin beş ana özelliği bulunmaktadır: kaynak havuzu, geniş ağ erişimi, hızlı esneklik, isteğe bağlı self servis ve ölçülen hizmet.

1. Paylaşılan kaynaklar: istemciler, ağlar, sunucular, depolama, yazılım, bellek ve işleme gibi kaynakları aynı anda paylaşabilir. Sağlayıcılar, talepteki dalgalanmalara göre kaynakları dinamik olarak tahsis edebilir ve müşteri bu hizmetlerin fiziksel konumlarından tamamen habersizdir.
2. Geniş ağ erişimi: bulut, herhangi bir cihazdan İnterneti kullanarak ağa geniş erişim sağlar.
3. Esneklik: bulut esnektir ve yapılandırılabilir. Müşteriler, kaynakların sınırsız olduğunu hissederler.
4. İsteğe bağlı self servis: gerekirse herhangi bir müşteri, servis teknisyenlerinin müdahalesi olmadan bulutu otomatik olarak yapılandırabilir. Müşteriler zamanlamayı gerçekleştirir ve gerekli depolama ve bilgi işlem gücüne karar verir.
5. Ölçülen hizmet: farklı bulut hizmetleri, farklı metrikler kullanılarak ölçülebilir. Müşterilerin ve sağlayıcıların haklarını korumak için detaylı kullanım raporları oluşturulur.

Bulut Servis Çeşitleri

Hizmet Olarak Yazılım (SaaS)

Bulut hizmet sağlayıcısının; bulut uygulama yazılımını geliştirip koruduğu, otomatik yazılım güncellemeleri sağladığı ve müşterileri için İnternet üzerinden kullandıkça ödeme olanağına sahip yazılımlar sunduğu bir hizmet modelidir.

Hizmet Olarak Platform (PAAS)

Müşterilerin mevcut altyapıya yatırım yapmadan veya altyapıyı muhafaza etmeden oluşturmaya ihtiyaç duydukları geliştirici araçlarına erişmesine, mobil ve web uygulama yazılımlarını yönetmesine olanak tanır. Kuruluşların altyapı (genelde donanım ve işletim sistemleri) yönetimi ihtiyacını ortadan kaldırarak uygulama dağıtma ve yönetim alanlarına odaklanmasını sağlamaktadır.

Hizmet Olarak Altyapı (IAAS)

Müşterilerin internet üzerinden altyapı servislerine istedikleri zaman erişmelerini sağlar. bulut BT sistemi için temel yapı taşlarını içerir ve genelde ağ özelliklerine, bilgisayarlara (sanal veya tahsis edilmiş donanımda) ve veri depolama alanına erişim sunmaktadır.

Bulut hizmeti çeşidine göre alınması gereken güvenlik tedbirleri de değişiklik göstereceği için servis türü önem arz etmektedir.

Bulut Bilişim Dağıtım Modelleri

Bulut bilişimin dört farklı dağıtım modeli bulunmaktadır.

Private Cloud (Özel Bulut)

Şirket içinde, intranet üzerinde, güvenlik duvarının arkasında bulunur ve genellikle onu kullanan aynı kuruluş tarafından yönetilmektedir. Özel bir iç ağ üzerinden yapılan kısıtlamalarla belirli kullanıcılara sunulan bilgi işlem hizmetidir.

Public Cloud (Genel Bulut)

Şirket dışında, internet üzerinden bulunmaktadır ve genellikle bir bulut hizmeti sağlayıcısı tarafından yönetilmektedir. Özel buluttan daha az güvenlidir. Elektronik postalara para ödemeden üçüncü bir şirket üzerinden kiralanacak kaynaklar üzerinden çeşitli özellikleri kullanılabilmektedir.

Hibrit Cloud

Public (Genel) ve Private Cloud (Özel Bulut)’un tüm özelliklerinin birleşiminden ortaya çıkmıştır. Bu hibrit bulut özelliği sayesinde güvenlik ve gizlilik ön plandadır.

Community Cloud (Topluluk Bulut)

Bulut’un üzerinde alınan herhangi bir hizmetin birkaç şirket ile ortak kullanılması durumuna denmektedir. Birden çok firması olan işletme sahipleri için uygun bir bulut teknolojisidir.

Bulut Bilişime İlişkin Regülasyonlar ve İlgili StandartlarKVKK – Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) 3.4.Kişisel Verilerin Bulutta Depolanması (2018)CB Dijital Dönüşüm Ofisi – Bilgi ve İletişim Güvenliği Rehberi – 4.3 Bulut Bilişim Güvenliği (2020)ISO 27001 Bilgi güvenliği Yönetim Sistemi ve ISO 27002:2022 Bilgi Güvenliği KontrolleriISO/IEC 27017:2015 Bilgi teknolojisi-Güvenlik teknikleri – Bulut HizmetleriNIST SP800-210 Bulut Sistemleri için Genel Erişim Kontrol KılavuzuISO 27017:2015 Bulut Sistemler için Bilgi Güvenliği Kontrolleri KılavuzuISO 27018:2020 Bulut Ortamlarında Kişisel Veri Güvenliği Standardı

KVKK Kapsamında Bulut Bilişim Güvenliği

KVKK – Kişisel Verilerin Korunması Kanunu Teknik ve İdari Tedbirler Rehberi, veri sorumluları tarafından en merak edilen konulardan biri olan bulut sistemlerinde güvenliğin sağlanması için neler yapılabileceği ile ilgili de gereklilikler ve önerilerden bahsetmektedir:Bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının veri sorumlusunca değerlendirilmesiBulutta depolanan kişisel verilerin neler olduğunun detaylıca bilinmesiİlgili kişisel verilerin yedeklenmesiİlgili kişisel verilerin senkronizasyonunun sağlanmasıİlgili kişisel verilere gerektiği hallerde uzaktan erişilebilmesi için iki kademeli kimlik doğrulama kontrolünün uygulanması.

CB DDO BİG Kapsamında Bulut Bilişim GüvenliğiMadde 3. Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacaktır.Genelgenin ilgili maddesi bulut teknolojisinin kullanımına dair bir çerçeve çizmekte, ülke verisinin ülkede kalmasını hedeflemektedir.Bulut hizmeti alınırken verilerin ülke içindeki veri merkezlerinde depolanması ve güvenlik kontrollerinin sağlanması kaydıyla yerli bulut servislerinden yer, sunucu veya hizmet kullanımına yönelik bir yasaklama getirmemektedir.“Kurum kontrolü”, bulut hizmeti veren sistemlere erişen personel ve yetki düzeyleri, sunucuların kuruma tahsisli olup olmadığı, erişim ve işlem loglarının izlenebilmesi gibi veri güvenliğine yönelik kontrolleri ifade etmektedir.

ISO 27002 Kapsamında Bulut Bilişim Güvenliği

Bulut güvenliğinin sağlanması, güncellenen ISO 27002 standardına yeni eklenen 5.23 Bulut Hizmetleri Kullanımı İçin Bilgi Güvenliği maddesi ile oldukça önemli hale gelmiştir.

Standart kapsamında Bulut Hizmetlerine ilişkin aşağıdaki kontrollerin tanımlanması beklenmektedir;Hizmet sağlayıcı seçimine ilişkin kontrollerin belirlenmesi,Bulut hizmet kullanımına dair rol ve sorumlulukların belirlenmesine ilişkin kontrollerin belirlenmesi,Hangi güvenlik kontrollerinin hizmet sağlayıcı tarafından, hangilerinin Kuruluş tarafından gerçekleştirileceğinin netleştirilmesi,Bilgi Güvenliği olaylarında hizmet sağlayıcı ile Kuruluşun gerçekleştireceği adımların belirlenmesi,Bulut hizmetindeki risklerin tespit edilmesi.