Bulut Teknolojileri ve Güvenliği

'Halaskâr · 30 May 2024

Bulut Teknolojileri ve Güvenliği

Edit: 'Halaskâr
Bulut Sistemlerde Karşılaşılan Siber Güvenlik Sorunları

Edit : 'Halaskâr
Bulut Bilişim ve Güvenlik

Bulut Teknolojileri

Bulut hizmetlerinin sağlanmasında üç ana hizmet olduğunu söylese de: SaaS, PaaS ve IaaS, belge beş farklı temel hizmet modeline odaklanıyor. Bu; Altyapı Hizmeti (IaaS), Yazılım Hizmeti (SaaS), İletişim Hizmeti(CaaS), Ağ Hizmeti(NaaS) ve Platform Hizmeti(PaaS) şeklinde sunulan hizmet olarak altyapı modeli, bulut altyapı sunucuları kiralamanıza olanak tanır, depolama ve ağ tesisleri yalnızca gerektiğinde. Bu sayede hizmet, alıcıların ihtiyaçlarına göre ödeme yapmalarını sağlayan bir modeldir. Kullanıcılara edinim, işleme, depolama, işletim sistemleri ve uygulamalar gibi bilgi işlem kaynakları sağlayabilen bir sistemdir.

Altyapı Hizmeti(IaaS): IaaS olarak bilinen hizmet olarak altyapı modeli, bulut altyapısı, depolama ve ağ altyapısı sunucularını yalnızca gerektiğinde kiralamanıza olanak tanır. Bu sayede hizmet, alıcıların ihtiyaçlarına göre ödeme yapmalarını sağlayan bir modeldir. Kullanıcılara edinim, işleme, depolama, işletim sistemleri ve uygulamalar gibi bilgi işlem kaynakları sağlayabilen bir sistemdir. IaaS, bir kullanıcının ihtiyaç duyduğu temel bilgi işlem kaynaklarını yapılandırma ve ihtiyaç duyduğu işletim sistemini ve uygulamaları yükleme yeteneğidir. Kullanıcılar altyapı üzerinde kontrol ve yönetime sahip olmasalar da, işletim sistemi düzeyinde sistemi tam olarak kontrol edebilir ve güvenlik duvarları gibi ağ bileşenlerini yönetebilirler

Platform Hizmeti(PaaS), bir hizmet sağlayıcının kullanıcı ihtiyaçlarına göre uygulama geliştirebilen, çalıştırabilen ve yönetebilen altyapıya sahip ek hizmetler ve gerekli teknoloji altyapısını sağladığı bir modeldir. Paas; Tüketicilerin, tüketici tarafından oluşturulan veya satın alınan uygulamaları, hizmet sağlayıcı tarafından desteklenen programlama dillerini kullanarak bulut altyapısı üzerinde kullanabilme becerisine sahip olduğu bir sistemdir. PaaS, self servis, isteğe bağlı araçlar, kaynaklar, otomasyon ve çalışma zamanı kapsayıcıları artık platform için kullanılabilir olduğundan, dağıtım dağıtımı basitleştirir. Kullanıcı tarafından oluşturulan uygulamalar dışında, çoğu platformu oluşturan bileşenler üzerinde herhangi bir kontrol veya yönetim yoktur.

Yazılım Hizmeti(Saas): Olarak bilinen bir yazılım hizmeti, tüketicilerin hizmet sağlayıcıların uygulamalarını bir web tarayıcısıyla ile birlikte bulut altyapısı üzerinde kullanmalarına izin verdiği bir sistemdir.

Bu modelde, kullanıcılar servis sağlayıcının platformunda çalışan uygulamaları kullanır. Servis sağlayıcının platformundaki uygulamalara, web tarayıcısı gibi bir istemci arabirimi aracılığıyla farklı cihazlardan erişilebilir. Bilgisayarınıza herhangi bir yazılım yüklemeden, bulut hizmeti aldığınız sunucu bilgisayardaki yazılımları kullanarak verilerinizle çalışabilirsiniz. Hizmet olarak yazılım modelinde, yazılım bir bulutta oturur ve orada çalışır. Bu nedenle, kullanıcıların bilgisayarlarına herhangi bir yazılım yüklemelerine veya çalıştırmalarına gerek yoktur.

Bu hizmetle, bireyler ve işletmeler yazılım lisanslamakta ve edinmekte özgürdür. Bulut hizmetlerine daha düşük bir maliyetle erişebilir ve tükettikleri kadar maliyete maruz kalabilirler. Kullanıcı; Kurulum, bakım ve lisanslama ile ilgili herhangi bir sorun yaşamayacaksınız. Bu işin zaman ve maliyeti de ortadan kalkacaktır. SaaS yazılım hizmetleri, kullanıcıların bulutta ihtiyacı olan ERP, CRM, muhasebe ve finans yazılımlarını içerir.

Communication-as-a-Service: (CaaS), hizmet alıcıların bulut tabanlı bir yaklaşıma dayalı iletişim ve ilgili tabanlı uygulamaları kullanabildiği bir hizmet türüdür. Alıcılar mevcut; Video konferans, anlık mesajlaşma, VoIP (IP üzerinden ses) gibi türlerin iletişim kurabileceği bir platform oluşturan CaaS, bazı durumlarda SaaS modelinin alt dallarından biri olacak.

Hizmet olarak ağ (NaaS): Kullanıcıların ağ iletişimine dayalı işlevleri ve etkinlikleri yönetmesine ve kullanmasına olanak tanıyan bir hizmet modelidir. Sanal özel ağ (VPN) sistemleri ve dinamik bant genişliği yönetimi gibi bazı sistemler, bu tür hizmetlerin bir parçası olarak günümüzde yaygın olarak kullanılmaktadır.

SaaS, kullanıcıların bulut bilişim uygulamalarına kişisel sistemlerine yüklemeden internete bağlı herhangi bir ortamdan erişmelerine olanak tanır. Ayrıca PaaS servis sağlayıcısı, kullanıcılara kendi uygulamalarını geliştirmeleri ve kullanmaları için bir yüzey sağlar.

Bulut hizmetleri sunan büyük şirketler var. Bu şirketler gerçek ve tüzel kişilere hizmet vermektedir. İşte bulut hizmeti veren şirketler hakkında kısa bir bilgi:

Microsoft Azure: Microsoft'un Windows Azure platformu, bulut uygulamaları oluşturmak ve yönetmek için basit, güvenli ve güçlü bir sistemdir. Bu sistem hem IaaS hem de PaaS hizmet modellerini içerir. Hibrit bulut çözümlerinin kullanımını otomatikleştirin. Dinamik ve uygun maliyetli çözümler sunarak küresel bağlamda büyümek ve gelirlerini artırmak isteyen işletmelere olanak tanır. İşletmeler için oldukça esnek bir sisteme sahiptir. Platform, Windows, Linux, SQL Server, Oracle, C#, Java gibi çeşitli yapıları destekler.

Microsoft One Drive: Bu genellikle gerçek kişiler, yani bireyler tarafından kullanılmak üzere tasarlanmıştır. Kullanıcılar bu hizmeti bir Microsoft hesabı kullanarak kullanabilir. Bu hesapla, One Drive'a istediğiniz zaman ve internete ulaşan her yerden erişebilirsiniz. 5GB depolama alanını ücretsiz olarak kullanabileceğiniz bu sistemde, ek kullanım alanları için ücret alınıyor.

Amazon: Bu, 2006 yılında Amazon.com şirketler tarafından başlatılan bir bulut bilişim platformudur. Birçok köklü uygulama ve hizmet var. Amazon, platform kullanıcıları için birçok seçenek sunar. Örneğin, web sitesi kullanımınızın yoğunluğunu artırırsanız, o platform sunucu bileşenlerini iyileştirecektir. Ek olarak, pik yük durumlarını otomatik olarak algılar ve pik aşilana kadar donanım değerlerini iyileştirir. Yoğunluk normale ulaştığında bir önceki malzemenin değerlerine geri döner. Bu kaynağın çoğaltılması, kullanım saatleri kadar maliyetlidir ve gereksiz maliyetlerden kaçınır

Google Drive: Google'ın her gün bir milyardan fazla arama ve yirmi dört kullanıcı tarafından oluşturulan veri saldırısı ile küresel veri merkezlerinde bir milyondan fazla sunucuda çalıştığı tahmin edilmektedir. Google Drive, dosyaları bulut bilişimle depolamak ve birleştirmek için çevrimiçi bir hizmet olarak hizmet veren Google'ın bir parçasıdır. Dokümanlar, bölünebilir platformlar kullanılarak ve ekip çalışmasına olanak tanıyarak Google Drive'da oluşturulabilir. Google Drive, Google hesabı oluşturan herkese 15 GB depolama alanı sunarak kullanıcıların Drive depolama alanını ve diğer hizmetleri kullanmasına olanak tanır. Algılanabilir herhangi bir dosya biçimi, internete ulaşılabilen yerlerden Google Drive'a yüklenebilir.

Oracle: Oracle, Microsoft'tan sonra dünyanın en büyük ikinci yazılım şirketidir. Oracle, kullanıcının rolünden bağımsız olarak bulut bilişimden yararlanırken BT sektöründe ortaya çıkabilecek bir soruna çözüm sunar. İşletmeler için Oracle; Yüksek performans, güvenilirlik, ölçeklenebilirlik, kullanılabilirlik, güvenlik ve taşınabilirlik sağlayan teknoloji sağlar. Hem genel hem de özel bulutlar için desteği, kullanıcılara seçim yapma esnekliği sağlar. Kullanıcılarına en kapsamlı PaaS ve IaaS sistemlerini sunar. En ünlü ürün Oracle PaaS platformudur. Oracle PaaS platformu, uygulama geliştirme kullanıcıları için özel bir platform olarak genel ve özel bulut servisleri sağlar. Platform ayrıca geliştirme uygulamalarının dağıtımında da kullanılır. Oracle'ın PaaS platformu, Oracle Grid teknolojisini temel alır. Oracle PaaS Terası; Oracle SOA Suite, Oracle BPM Suite, Oracle Content Management ve Oracle Web Center gibi bileşenleri içerir.

Dropbox: Bu, kullanıcıların dosyalarını, videolarını ve fotoğraflarını en kolay şekilde taşımalarına ve paylaşmalarına olanak tanıyan bir hizmettir. 2007 yılında, Massachusetts Institute of Technology'deki (MIT) iki öğrencinin birden fazla bilgisayarda çalıştığı ve çalışma kağıtlarını sürekli olarak e-posta yoluyla paylaşmaktan bıktığı tespit edildi. İki öğrenci Drew Houston ve Arash Ferdowsi'dir. Günlük yaşamda insanların bilgisayar, akıllı telefon, tablet gibi birden fazla internet erişimi olan cihazları vardır. Dropbox, bu cihazlar arasında veri aktarımını çok daha kolay hale getirir. Çünkü Dropbox'ın felsefesine göre bulutta bir klasör var ve o klasöre bir dosya yüklediğinizde ona diğer cihazlardan da erişilebiliyor.

Orangescape: Hindistan'da 2003 yılında kurulan şirket, iş uygulamalarını basitleştirerek bir bulut bilişim platformu sağlıyor. Şirket, 2008 yılında PaaS sistemlerine geçti ve bulut, SaaS veya şirket içi uygulama geliştirme için sezgisel, model odaklı bir geliştirme ortamı sunuyor.

Cloudturk : Ocak 2012'de şirket, Türkiye'de bir sunucu altyapısı servis sağlayıcısına yatırım yaptığını duyurdu. Cloudturk, 72 sunucu ile bulut hizmeti sunmaya başladı. İstanbul Maltepe'de bu hizmeti sağlamak için bulunan bir Anadolu Bilişim veri merkezinin sunucuları kullanmaktadır. Cloudturk'ün teknolojisi ile küçük, orta ve büyük ölçekli işletmeler büyük fayda sağlayabilir. İşletmeler sunucu ihtiyaçları varsa yeni sunucu satın almak yerine Cloudturk'ün daha yüksek kapasiteli altyapısını kullanmayı tercih edebilirler. Cloudturk, işletmenin ihtiyaçlarına göre hizmet ve satış sağlar. Bazı durumlarda büyük işletmeler bileşenlerini buluta taşırken, bazılarında ise tüm altyapılarını Cloudturk'ün sunucu altyapısı üzerine inşa ettikleri özel buluta taşıyabilirler.

Ayrıca Cloudturk, işletmelere finansal faydalar da getirmektedir. Diğer bulut servis sağlayıcılarında olduğu gibi cloudturk'ün de kullandığın kadar öde mantığı vardır. Her görev için kaynaklar ayrı ayrı hesaplanır. Kullanılmayan fonlar için herhangi bir ücret alınmaz.

Turkcell Bulut: Kurumsal olarak verilen bulut hizmetlerinin tek bir arayüz üzerinden satın alındığı ve yönetildiği bir platformdur. Kullanıcılar, Turkcell'in bulut servisleri ile Turkcell'in veri merkezlerindeki tüm bilgi teknolojilerinin altyapısını bulabiliyor. Sonuç olarak, maliyetleri düşürürler ve oldukça esnek bir yapıya sahip olurlar. Bu platform sayesinde dakikalar içerisinde uygulama ve servis altyapısı kurulabilmektedir. Yatırım maliyetlerini artırmadan Turkcell Bulut üzerinden iş sürekliliğini sağlayan en yeni teknolojilerden yararlanmanızı sağlar.

iCloud: iCloud yalnızca Apple kullanıcılarına hizmet sağlar. Ücretsiz 5 GB depolama yeri sunabilen iCloud, iOS ve Mac kullanıcılarına farklı seçeneklerle senkronize bir ağ sunuyor (Alsabak, 2020). Apple Kimliğinin kullanılması, tüm verilerin iTunes olmadan internet üzerinden yedeklenmesini sağlar.

Yandex.Disk: Rus arama motoru Yandex'in yeni servislerinden biri olan Yandex.Disk, bulut paylaşımı için depolama hizmeti veriyor. Kullanıcılara ücretsiz 10 GB depolama yeri sağlayan bu hizmet, Yandex.Mail ile entegredir.

IBM: IBM Cloud, bulut kullanıcılarına yardımcı olmak için derin sektör uzmanlığı ve yapay zeka ve veri araçları sağlayan güçlü bir ürün paketidir. Dünyanın altı bölgesinde bulunan IBM veri merkezleri, verileri en yüksek güvenliğe ve ISO 27001 bilgi güvenliği sertifikasına sahip veri merkezlerinde depolar, depolar ve ihtiyaç duyanlara dağıtır. Bununla birlikte DB2, IBM veya webSphere ürün grupları, lisans ücreti ödemeden altyapı ve platformlarda tüketicilere sunulduğundan, bazı uygulamalara ihtiyaç duyulmaktadır. PaaS hizmeti sayesinde, sistemde depolanan yazılımların imaj dosyası şeklinde kurulumu mümkün olan en kısa sürede yapılabilir. Bir donanım kuruluşu 7 gün gibi kısa bir sürede yeni bir sunucu satın alıp işletim sistemini veri merkezine kurabilirken, bulut bilişim ile tüm bu işlemler 30 dakikadan az sürüyor. Sanal sunucular kapatılabilir ve gerekirse altyapı esnek ve uygun maliyetlidir.

EyeOS: Bulut bilişim EyeOS, kullanıcılar(users) arasında iletişim ve iş birliği sağlamayı taahhüt eder. Web tabanlı masaüstü(desktop) arayüzü olan özel bir bulut uygulama(application) yüzeyidir. Popülerliği nedeniyle EyeOS, bulut masaüstü olarak bilinen tek bir kullanıcı arabirimi aracılığıyla dosya yönetimi, kişisel bilgi yönetimi araçları(tool), istemci ve işbirliği araçları uygulamalarıyla entegrasyon içeren bulut tabanlı bir masaüstü sunar.

Bulut Bilişim’in Daha Güvenli Duruma Gelmesi

Bulut Bilişim, Büyükveri, Yapay Zeka, Güvenlik, Nesnelerin İnterneti: Bulutsuz yapamaz olduk. Bulutsuz yapamama noktasında insanların genellikle şöyle bir beklentisi oluyor: Bulut çok güvenlidir. Hemen buluta geçin. Arkadaşlar benim şu anda anlatacaklarımın tamamı Cloud Security Airlines Tekrar ediyorum CSA diye geçer. Cloud Security Airlines 'ın yayınlamış olduğu dört sıfır versiyonlu belgesinden. Anlatacağım her şey oradan geliyor şu anda.Bulut daha mı güvenli sorusunu daha fazla sormaya başlayacaksınız. Hatta okudukça göreceksiniz ki ya ne oluyor? Bir dakika. Hani bize bulutu çok güvenli diye anlatmışlardı. E bu Cloud Security Airlines niye bulutu bize böyle aktarmış şimdi bu kadar şeyi? Arkadaşlar bulut daha mı güvenlidir, daha mı güvensizdir sorusuna hemen cevap vereyim. Biraz da şaşırtıcı bir cevap vereyim.

Çoğunlukla daha güvensizdir. Eminim ki her biriniz çoğunlukla daha güvenlidir sözünü bekliyorsunuz. Özellikle bunu yapmak istedim. Çoğunlukla daha güvensizdir. Çok temel. Biliyor musunuz güvenli olduğu zamanı? Eğer firmanızda, örgütünüzde, teşkilatınızda güvenlik konusunda yetkin bir eleman şu anda var idiyse o zaman, muhtemelen orada daha fazla zorlanacak. Ama yok idiyse ki bu durum birçok firmamızda böyle. Yani bırakın güvenliği, sistem etmenini bulmakta zorlanıyorlar. Onlara yetkin sistem etmeninden bahsediyorum. Onlara para vermek konusunda sıkıntı yaşıyorlar. Çünkü zaten bu adamların ücretleri çok yüksek. Her firma onu karşılayamıyor. O nedenledir ki onlara para ödeyemiyorlar. İşte o firmaların tamamı için bulut çok çok çok çok çok güvenli. Mevcut durumlarından oraya geçtiklerinde çok daha güvenli bir ortama geçerler.

Özel firmalardan bahsediyorum. Kamuyu hedef alarak hazırlamıştım dedim. Kamu kurumlarımızın bazılarında çok yetkin arkadaşlarımız, yetkin yöneticilerimiz var. Onların çok dikkatli olması gerekiyor. Şimdi şöyle düşünün. Bütün güvenlik tehditlerinin normal bilişim sistemlerindeki bütün güvenlik tehditlerinin tamamı var. Üstüne bir de bulut ortamına geçtiğiniz için yeni bir yazılım kümesinin üzerine bindiğiniz için sanallaştırma vesaire gibi unsurları da devreye aldığımız için ve sunucularınızın nerede olduğunu çoğunlukla bilmediğiniz zamanlarda ya da kimin yönetiminde olduğunu bilmediğiniz zamanlarda doğal değil mi? Güvenlik risklerinin artması? Biraz daha doğal. Peki tersine çevirelim birazcık durumu. Daha güvenli hale gelmesi ne zaman olur? Eğer iyi bir planlama yapıyorsa, kamu kurumu kendi içinde bir private dediğimiz özel bulut ortamı oluşturuyorsa, kritik sistemlerini oraya kaydırdığında kendi adminiyle beraber güvenlik seviyesini bir birimden iki birime çıkartabilir. Yani iyi bir admin içeride bulutun size sağladığı avantajlar beraberinde iki katı güvenli hale getirebilir sizi. Bu olamıyorsa ne olacak? Kamu kurumlarınız çok dikkatli olmak zorunda. Hangi servislerini buluta taşıyacaklarını risk yönetimi yapmak suretiyle mutlaka ele almak zorundadırlar. Bu dökümünden bahsetmiştim size Cloud Security Alliance 'ın dökümanından bahsetmiştim.

Bulutu kim yönetiyor? Eğer dışarıda bir yerden bulut servisi aldıysanız siz yönetmiyorsunuz, dışarıdakiler yönetiyor. Peki oraya kimlerin hakkı var? Erişim hakkı var. Sizin bu konuda bir şey söyleme şansınız var mı? Hele de uluslararası kullanıyorsanız hiçbir şey söyleme şansınız kalmıyor. Çünkü size getirdikleri o kontrat sizi bağlıyor. O halde zaten kamu kurumlarımız çıkamıyorlar değil mi dışarıya? Bilgilerini dışarıya çıkarmamak adına dijital dönüşüm ofisinin aldığı karar ve yayınladığı bir regulasyon sonucunda dışarı çıkartamıyorlar. Harika bir karar. Ülkemizde kalmak zorunda. Bulut bile kullanacak olsa bir kamu birimi kesinlikle ülkedeki bir bulut servisini kullanmak zorunda kalacaklar. Dışarıya aktaramayacaklar. Ama bu bulut servislerini kullanırken bile güvenli olup olmadığından emin olmaları gerekecek. Şu anda yürüyen çalışmalar ııı bu bağlamda gidiyor. Bundan emin olmak zorundalar. Niye? Veri merkezi sizin işinizde değil. Türkiye'de bulut servisi sağlayan çok kıymetli firmalarımız var. Ülkemizdeki çok büyük veri(bilgi) merkezlerine sahip olan kurumlarımızdan bir tanesi. Peki herhangi bir bulut servisini alıyorsunuz da o bulut servisinin size sağlandığı o alanın güvenliği konusunda ne kadar eminsiniz? Orada çalışan kişilerin güvenliği konusunda ne kadar eminsiniz?

O halde ikinci başlığa geçiyoruz. Bulut 'un en önemli gereksinimlerinden bir tanesi denetlenebilir olması, sertifikalanması ve sizin güveneceğiniz hale getirilmesi. Bunu yapmak üzere kim yetkili? Türkiye'de kurumlarımız var. Eğer bir veri merkezi sertifikalandırılmamış ise öğrenci arkadaşlarım lütfen o veri merkezinden hiçbir şey kullanmayın. Eğer sertifikası yoksa o veri merkezinden hiçbir şey kullanmayın. Çünkü bu ne demek biliyor musunuz? Kendilerini dışarıdan denetleyen birileri yok. Güvenlik konusunda da uymaları gereken protokoller standartlar var. Bunlara ne kadar uyduğunu denetleyen de bağımsız kuruluşlar var. TSE gibi. Eğer bunlardan ya da yurt dışı kaynaklı da var şu anda. Genellikle Amerika menşeililere gidiyorlar. Ama çok yakında Türkiye'de Türkiye menşeilileri kullanmak zorunda kalacaklar. O halde denetlenebilir olduklarını ve bu denetim raporlarını sizlerle paylaşan veri merkezleri ve bulut servis sağlayıcılarıyla iş yapınız. Aksi halde çok büyük risklerle karşı karşıya olursunuz. Bu sözüm kamu kurumlar için de geçerlidir tabii ki.
Kişisel kanaatim kamu kurumlarının kesinlikle kendi ortak kullanımlarında olan bir hükümet bulutu diyelim ya da yönetim ne diyelim? Kamu bulutu diye adlandıracağımız bir yapıya ihtiyaç olduğu kesin. Bu yapılmalı. İster bir veri merkezi içerisinden alınsın, ister başka şekillerde. Çünkü kamu kurumlarımızın hemen tamamı öncelikle bazı servislerini buluta kaydırabilir niteliklerler. Çünkü gizlilik derecesine sahip bilgi içermiyorsa bir sistem diğer konularda da gerekli kontratlar yapılmışsa, kontratlarda gerekli güvenceler verilmişse eyvallah diyebilirler. Ama bir şeyi unutmamaları gerekiyor. Risk yönetim planının mutlaka yapılması gerekiyor. Aksi halde siz bulutta paylaşım vardır. Yani güvenlik konusundaki sorumluluk paylaşımı yapıyorlar. Sorumluluk ya da yönetim paylaşımı yapıyorlar diyelim. Çünkü onlardan almaları gereken belirli güvenceler var. Güvence alsanız bile kamu kurumu hukuk karşısında sorumluluğunuzu atmış olamazsınız. Bireysel olarak ben herhangi bir verimle ilgili bir sıkıntı yaşanırsa karşıma gidip siz bulut servisini şuradan aldınız. Onların yaptıymış. Beni ilgilendirmez. Kamu kurumu yöneticilerinin şunu çok iyi bilmeleri gerekir. Risk sorumluluğunu yönetim konusundaki sorumluluk paylaşımıyla üzerlerinden atamazlar. Bu nedenledir ki kamu kurumlarımızın askeriye gibi ya da kritik bilgileri sağlayan barındıran Sağlık Bakanlığı gibi, İçişleri Bakanlığımız gibi bir sürü kamu kurumu sayabilirim. Çok çok çok dikkatli olmak zorundalar.
İyi bir risk yönetimi yapıp ona göre hangi bilgilerini, hangi sistemlerini aktarabileceğine karar vermelidirler. Şimdi bir başka şeye geçeceğim. Hadi oraya gitmeyeyim. Bulut ortamına geçtiğimde daha güvenli bir sistem kurgulayabilir miyim? Evet. Bulut bilişin size öyle güzel olanaklar getiriyor ki iyi bir sistem admini iyi bir güvenlik yöneticisi biraz önce başta da söylediğim gibi işte Software Defined Network gibi benzeri unsurları zaten SDN buluta kendi bulutunuzu bile kursanız, kendi kurumunuzun içinde bile kursanız SDN mutlaka olmalıdır.

Çünkü izolasyonu çok sağlam yapabilirsiniz. Bunu söyledikten sonra diyorum ki bazen iki katına, üç katına, bazen on katı kadar güvenli bir ortamı herhangi bir kamu kurumumuz yaratabilir. Yani ben eminim ki BTK 'nın ya da başka kurumlarımızın sistemleri çok güvenlidir. Çünkü buralarda çok yetkin arkadaşlarımız var. Bu arkadaşlarımız bulut bilişim ortamının kendilerine sağladığı özellikleri de kullanarak mevcut güvenlik seviyelerini on kat, yirmi kat yukarıya çıkabilirler. Bu ne demektir? Kamu kurumlarımızın buluta geçmesi kesinlikle şart. Ama hangi buluta geçecekler? Kamu bulutuna mı özel buluta mı geçecekler? Evet peki. Şimdi başlıklarımdan da faydalanayım. Atlamadan gitmek istiyorum. Kontratlardan bahsettim. Kontratları çok iyi bir şekilde yapılması gerekiyor. Kompleks evet denetlemeden bahsettim. Information dediğimiz bilgi sahipliği konusu ve bilgi güvenliği konusu. Ya bir de ben hep şey görüyorum, onu da söylemeden geçmeyeceğim.

Sizce bilişim teknolojileri güvenliği, bilgi sistemleri güvenliği ve bilgi güvenliği ayrı ayrı unsurlar mıdır? Ayrıdır diyen var mı aranızda? Bir tane arkadaşımız ayrıdır. Iki tane arkadaşımız ayrı şeylerdir dedi. Evet ayrı şeylerdir. Birisi bilgi güvenliği konusunda ben uzmanım diyorsa bilişim teknolojileri konusunda uzmanım, bilişim teknolojileri güvenliği konusunda uzmanım demek değildir. Bilgi sistemlerinin geliştirilmesindeki güvenlik açısından uzmanım demek değildir. Lütfen bu terminolojilere çok dikkat edelim. Çünkü birçok yerde bu terminolojilerin yanlış kullanıldığını ya da bilerek yanlış aksedettirildiğini görüyorum.

Bir bulut ortamı yarattığınız zaman biraz önce söylediğim ya deli gibi bir yazılım yüklüyorsunuz. Bu yazılım ve bu donanımlar birlikte size güvenliği sağlıyor. Bir yere bir yeni yazılım koyduğunuzda güvenlik açığı yaratmıyor musunuz aslında? Güvenlik yüzeyinizi saldırı yüzeyinizi artırmıyor musunuz? Otomatik olarak saldırı yüzeyiniz arttı. Yani bir yere bir pencere koydunuz cam taktınız. Yüzeyiniz arttı. Ama eğer bulutu doğru kurgulamışsanız doğru bir şekilde ııı neler yüklemişseniz, oluşturmuşsanız Bu saldırı yüzeyinizi çok fazla aza indirgeyebilirsiniz. Neyle? O yine Bulut 'un size sağladığı teknik imkanlarla. Ama genel anlamda saldırı yüzeyiniz akıllıca yapılmamış ve çok detaylı teknik ııı bazı unsurlar kullanılmamışsa kesinlikle yüzeyiniz arttı demektir. Altyapı güvenliği konusuna çok dikkat etmek zorundalar bu kurumlarımız. Bir de private denildiğinde ııı şöyle bir şey var. Onu da söylemeden geçmeyeceğim. Ben mesela Türk Selimleri Merkezi 'ndeki bulunan unsurlar üzerine cihazlar üzerine
bir kamu kurumu olarak kendi bulutumu kurabilirim ya da bana private bir bulut sağlıyor olabilirler. Peki yönetiminden kim sorumlu? Yönetim katmanında sorumluluklar olacak mı onların? Olacak. Hızlı bir şekilde mesela update etmeleri gerekirse güvenlik konusunda bir risk çıktığında ulaşabilmeleri gerekecek. Buralardaki paylaşımlar konusunda kamu kurumlarımızı özellikle eee bilgilendirmek istedim. Buraya dikkat. Bir olay oldu. Hani olay müdahale timlerimiz var ya, olay oldu, olayın nasıl gerçekleştiğini tetkik edeceksiniz. Kamu bulut, kamu demeyelim de ona kamu bulutu deyince public bulut anlamına geliyor. Herkesin erişebileceği anlamına geliyor. Benim kullandığım kamu daha çok kamu kurumlarının özel bulutuydu. Eğer bazı servislerinizi public cloud 'a götürdüyseniz oralarda herhangi bir olay olduğunda onun altındaki unsurları inceleyebilecek kadar size araçlar sağlanmayacaktır. Çünkü birçok şeyi gizlidir sizden. Bu erişemeyeceğiniz şekildedir. Muhtemelen buna dikkat diyoruz. Uygulama güvenliği aynen normalde nasılsa orada da aynı şekilde sağlamak zorundasınız. Hiçbir eksiği yok. Tam tersine fazlalığı var. Veri güvenliği ve kripto yani şifreleyerek veri barındırma konusunda çok dikkatli olmak lazım. Bunları mümkün olabildiğince fazlaca kullanmak lazım. Bu yetkinlikler size sağlanıyor mu? Evet normal ortamlarınızdan daha fazla sağlanıyor. Bulutta olduğunuz zaman çok daha esnek oluyorsunuz bir kere. O nedenledir ki bu olanaklardan da yararlanmayı lütfen unutmayın.
Ben başlıklarıma bakıyorum. Ha birde sekürite(güvenlik) servis. Bulutta bulut üzerinden sizin güvenliğinizi sağlamak üzere size servis vermek için gelenler olacaktır. Normal bir organizasyonsanız bundan sonuna kadar faydalanın. Normal bir organizasyon değil de kamuysanız ve birçok kritik servislerinizi aktardığınız özel bulut. Kendi içinizde de olabilir. Bir başkasının veri merkezinde de olabilir. Eğer buralardaysa onların nerelere erişebileceği konusunda lütfen dikkatle anlaşmalarınızı kontratlarınızı yapın. Orada çok kritik açık noktalar var. Şimdi ben ne yaptım? Bir sürü uyarı verdim. Evet, ez cümle. Bulut bilen için bulutu bilenler için on kat daha güvenli hale gelebilecekleri yerdir. Hiç bilmeyenler için iki kat, üç kat daha güvenli hale gelebilecekleri yerdir. Ama orta seviyedeyseniz özellikle bulutla ilgili yeterli bilginiz yoksa çok güvensiz hale düşme riskiniz çok yüksek.

Teşekkür ediyorum okuduğunuz için!!

Saygı ve Sevgilerimle,
'Halaskâr

(I m Trojan)

Eronmay · 31 May 2024

Ellerine sağlık.

'Halaskâr · 31 May 2024

Ogehan · 31 May 2024

Elinize emeğinize sağlık hocam

drjacob · 31 May 2024

Eline sağlık.

Extazİ · 31 May 2024

'Halaskâr · 31 May 2024

sxaf · 31 May 2024

'Halaskâr' Alıntı:
Bulut Teknolojileri ve Güvenliği

Edit: 'Halaskâr
Bulut Sistemlerde Karşılaşılan Siber Güvenlik Sorunları

Edit : 'Halaskâr
Bulut Bilişim ve Güvenlik

Bulut Teknolojileri

Bulut hizmetlerinin sağlanmasında üç ana hizmet olduğunu söylese de: SaaS, PaaS ve IaaS, belge beş farklı temel hizmet modeline odaklanıyor. Bu; Altyapı Hizmeti (IaaS), Yazılım Hizmeti (SaaS), İletişim Hizmeti(CaaS), Ağ Hizmeti(NaaS) ve Platform Hizmeti(PaaS) şeklinde sunulan hizmet olarak altyapı modeli, bulut altyapı sunucuları kiralamanıza olanak tanır, depolama ve ağ tesisleri yalnızca gerektiğinde. Bu sayede hizmet, alıcıların ihtiyaçlarına göre ödeme yapmalarını sağlayan bir modeldir. Kullanıcılara edinim, işleme, depolama, işletim sistemleri ve uygulamalar gibi bilgi işlem kaynakları sağlayabilen bir sistemdir.

Altyapı Hizmeti(IaaS): IaaS olarak bilinen hizmet olarak altyapı modeli, bulut altyapısı, depolama ve ağ altyapısı sunucularını yalnızca gerektiğinde kiralamanıza olanak tanır. Bu sayede hizmet, alıcıların ihtiyaçlarına göre ödeme yapmalarını sağlayan bir modeldir. Kullanıcılara edinim, işleme, depolama, işletim sistemleri ve uygulamalar gibi bilgi işlem kaynakları sağlayabilen bir sistemdir. IaaS, bir kullanıcının ihtiyaç duyduğu temel bilgi işlem kaynaklarını yapılandırma ve ihtiyaç duyduğu işletim sistemini ve uygulamaları yükleme yeteneğidir. Kullanıcılar altyapı üzerinde kontrol ve yönetime sahip olmasalar da, işletim sistemi düzeyinde sistemi tam olarak kontrol edebilir ve güvenlik duvarları gibi ağ bileşenlerini yönetebilirler

Platform Hizmeti(PaaS), bir hizmet sağlayıcının kullanıcı ihtiyaçlarına göre uygulama geliştirebilen, çalıştırabilen ve yönetebilen altyapıya sahip ek hizmetler ve gerekli teknoloji altyapısını sağladığı bir modeldir. Paas; Tüketicilerin, tüketici tarafından oluşturulan veya satın alınan uygulamaları, hizmet sağlayıcı tarafından desteklenen programlama dillerini kullanarak bulut altyapısı üzerinde kullanabilme becerisine sahip olduğu bir sistemdir. PaaS, self servis, isteğe bağlı araçlar, kaynaklar, otomasyon ve çalışma zamanı kapsayıcıları artık platform için kullanılabilir olduğundan, dağıtım dağıtımı basitleştirir. Kullanıcı tarafından oluşturulan uygulamalar dışında, çoğu platformu oluşturan bileşenler üzerinde herhangi bir kontrol veya yönetim yoktur.

Yazılım Hizmeti(Saas): Olarak bilinen bir yazılım hizmeti, tüketicilerin hizmet sağlayıcıların uygulamalarını bir web tarayıcısıyla ile birlikte bulut altyapısı üzerinde kullanmalarına izin verdiği bir sistemdir.

Bu modelde, kullanıcılar servis sağlayıcının platformunda çalışan uygulamaları kullanır. Servis sağlayıcının platformundaki uygulamalara, web tarayıcısı gibi bir istemci arabirimi aracılığıyla farklı cihazlardan erişilebilir. Bilgisayarınıza herhangi bir yazılım yüklemeden, bulut hizmeti aldığınız sunucu bilgisayardaki yazılımları kullanarak verilerinizle çalışabilirsiniz. Hizmet olarak yazılım modelinde, yazılım bir bulutta oturur ve orada çalışır. Bu nedenle, kullanıcıların bilgisayarlarına herhangi bir yazılım yüklemelerine veya çalıştırmalarına gerek yoktur.

Bu hizmetle, bireyler ve işletmeler yazılım lisanslamakta ve edinmekte özgürdür. Bulut hizmetlerine daha düşük bir maliyetle erişebilir ve tükettikleri kadar maliyete maruz kalabilirler. Kullanıcı; Kurulum, bakım ve lisanslama ile ilgili herhangi bir sorun yaşamayacaksınız. Bu işin zaman ve maliyeti de ortadan kalkacaktır. SaaS yazılım hizmetleri, kullanıcıların bulutta ihtiyacı olan ERP, CRM, muhasebe ve finans yazılımlarını içerir.

Communication-as-a-Service: (CaaS), hizmet alıcıların bulut tabanlı bir yaklaşıma dayalı iletişim ve ilgili tabanlı uygulamaları kullanabildiği bir hizmet türüdür. Alıcılar mevcut; Video konferans, anlık mesajlaşma, VoIP (IP üzerinden ses) gibi türlerin iletişim kurabileceği bir platform oluşturan CaaS, bazı durumlarda SaaS modelinin alt dallarından biri olacak.

Hizmet olarak ağ (NaaS): Kullanıcıların ağ iletişimine dayalı işlevleri ve etkinlikleri yönetmesine ve kullanmasına olanak tanıyan bir hizmet modelidir. Sanal özel ağ (VPN) sistemleri ve dinamik bant genişliği yönetimi gibi bazı sistemler, bu tür hizmetlerin bir parçası olarak günümüzde yaygın olarak kullanılmaktadır.

SaaS, kullanıcıların bulut bilişim uygulamalarına kişisel sistemlerine yüklemeden internete bağlı herhangi bir ortamdan erişmelerine olanak tanır. Ayrıca PaaS servis sağlayıcısı, kullanıcılara kendi uygulamalarını geliştirmeleri ve kullanmaları için bir yüzey sağlar.

Bulut hizmetleri sunan büyük şirketler var. Bu şirketler gerçek ve tüzel kişilere hizmet vermektedir. İşte bulut hizmeti veren şirketler hakkında kısa bir bilgi:

Microsoft Azure: Microsoft'un Windows Azure platformu, bulut uygulamaları oluşturmak ve yönetmek için basit, güvenli ve güçlü bir sistemdir. Bu sistem hem IaaS hem de PaaS hizmet modellerini içerir. Hibrit bulut çözümlerinin kullanımını otomatikleştirin. Dinamik ve uygun maliyetli çözümler sunarak küresel bağlamda büyümek ve gelirlerini artırmak isteyen işletmelere olanak tanır. İşletmeler için oldukça esnek bir sisteme sahiptir. Platform, Windows, Linux, SQL Server, Oracle, C#, Java gibi çeşitli yapıları destekler.

Microsoft One Drive: Bu genellikle gerçek kişiler, yani bireyler tarafından kullanılmak üzere tasarlanmıştır. Kullanıcılar bu hizmeti bir Microsoft hesabı kullanarak kullanabilir. Bu hesapla, One Drive'a istediğiniz zaman ve internete ulaşan her yerden erişebilirsiniz. 5GB depolama alanını ücretsiz olarak kullanabileceğiniz bu sistemde, ek kullanım alanları için ücret alınıyor.

Amazon: Bu, 2006 yılında Amazon.com şirketler tarafından başlatılan bir bulut bilişim platformudur. Birçok köklü uygulama ve hizmet var. Amazon, platform kullanıcıları için birçok seçenek sunar. Örneğin, web sitesi kullanımınızın yoğunluğunu artırırsanız, o platform sunucu bileşenlerini iyileştirecektir. Ek olarak, pik yük durumlarını otomatik olarak algılar ve pik aşilana kadar donanım değerlerini iyileştirir. Yoğunluk normale ulaştığında bir önceki malzemenin değerlerine geri döner. Bu kaynağın çoğaltılması, kullanım saatleri kadar maliyetlidir ve gereksiz maliyetlerden kaçınır

Google Drive: Google'ın her gün bir milyardan fazla arama ve yirmi dört kullanıcı tarafından oluşturulan veri saldırısı ile küresel veri merkezlerinde bir milyondan fazla sunucuda çalıştığı tahmin edilmektedir. Google Drive, dosyaları bulut bilişimle depolamak ve birleştirmek için çevrimiçi bir hizmet olarak hizmet veren Google'ın bir parçasıdır. Dokümanlar, bölünebilir platformlar kullanılarak ve ekip çalışmasına olanak tanıyarak Google Drive'da oluşturulabilir. Google Drive, Google hesabı oluşturan herkese 15 GB depolama alanı sunarak kullanıcıların Drive depolama alanını ve diğer hizmetleri kullanmasına olanak tanır. Algılanabilir herhangi bir dosya biçimi, internete ulaşılabilen yerlerden Google Drive'a yüklenebilir.

Oracle: Oracle, Microsoft'tan sonra dünyanın en büyük ikinci yazılım şirketidir. Oracle, kullanıcının rolünden bağımsız olarak bulut bilişimden yararlanırken BT sektöründe ortaya çıkabilecek bir soruna çözüm sunar. İşletmeler için Oracle; Yüksek performans, güvenilirlik, ölçeklenebilirlik, kullanılabilirlik, güvenlik ve taşınabilirlik sağlayan teknoloji sağlar. Hem genel hem de özel bulutlar için desteği, kullanıcılara seçim yapma esnekliği sağlar. Kullanıcılarına en kapsamlı PaaS ve IaaS sistemlerini sunar. En ünlü ürün Oracle PaaS platformudur. Oracle PaaS platformu, uygulama geliştirme kullanıcıları için özel bir platform olarak genel ve özel bulut servisleri sağlar. Platform ayrıca geliştirme uygulamalarının dağıtımında da kullanılır. Oracle'ın PaaS platformu, Oracle Grid teknolojisini temel alır. Oracle PaaS Terası; Oracle SOA Suite, Oracle BPM Suite, Oracle Content Management ve Oracle Web Center gibi bileşenleri içerir.

Dropbox: Bu, kullanıcıların dosyalarını, videolarını ve fotoğraflarını en kolay şekilde taşımalarına ve paylaşmalarına olanak tanıyan bir hizmettir. 2007 yılında, Massachusetts Institute of Technology'deki (MIT) iki öğrencinin birden fazla bilgisayarda çalıştığı ve çalışma kağıtlarını sürekli olarak e-posta yoluyla paylaşmaktan bıktığı tespit edildi. İki öğrenci Drew Houston ve Arash Ferdowsi'dir. Günlük yaşamda insanların bilgisayar, akıllı telefon, tablet gibi birden fazla internet erişimi olan cihazları vardır. Dropbox, bu cihazlar arasında veri aktarımını çok daha kolay hale getirir. Çünkü Dropbox'ın felsefesine göre bulutta bir klasör var ve o klasöre bir dosya yüklediğinizde ona diğer cihazlardan da erişilebiliyor.

Orangescape: Hindistan'da 2003 yılında kurulan şirket, iş uygulamalarını basitleştirerek bir bulut bilişim platformu sağlıyor. Şirket, 2008 yılında PaaS sistemlerine geçti ve bulut, SaaS veya şirket içi uygulama geliştirme için sezgisel, model odaklı bir geliştirme ortamı sunuyor.

Cloudturk : Ocak 2012'de şirket, Türkiye'de bir sunucu altyapısı servis sağlayıcısına yatırım yaptığını duyurdu. Cloudturk, 72 sunucu ile bulut hizmeti sunmaya başladı. İstanbul Maltepe'de bu hizmeti sağlamak için bulunan bir Anadolu Bilişim veri merkezinin sunucuları kullanmaktadır. Cloudturk'ün teknolojisi ile küçük, orta ve büyük ölçekli işletmeler büyük fayda sağlayabilir. İşletmeler sunucu ihtiyaçları varsa yeni sunucu satın almak yerine Cloudturk'ün daha yüksek kapasiteli altyapısını kullanmayı tercih edebilirler. Cloudturk, işletmenin ihtiyaçlarına göre hizmet ve satış sağlar. Bazı durumlarda büyük işletmeler bileşenlerini buluta taşırken, bazılarında ise tüm altyapılarını Cloudturk'ün sunucu altyapısı üzerine inşa ettikleri özel buluta taşıyabilirler.

Ayrıca Cloudturk, işletmelere finansal faydalar da getirmektedir. Diğer bulut servis sağlayıcılarında olduğu gibi cloudturk'ün de kullandığın kadar öde mantığı vardır. Her görev için kaynaklar ayrı ayrı hesaplanır. Kullanılmayan fonlar için herhangi bir ücret alınmaz.

Turkcell Bulut: Kurumsal olarak verilen bulut hizmetlerinin tek bir arayüz üzerinden satın alındığı ve yönetildiği bir platformdur. Kullanıcılar, Turkcell'in bulut servisleri ile Turkcell'in veri merkezlerindeki tüm bilgi teknolojilerinin altyapısını bulabiliyor. Sonuç olarak, maliyetleri düşürürler ve oldukça esnek bir yapıya sahip olurlar. Bu platform sayesinde dakikalar içerisinde uygulama ve servis altyapısı kurulabilmektedir. Yatırım maliyetlerini artırmadan Turkcell Bulut üzerinden iş sürekliliğini sağlayan en yeni teknolojilerden yararlanmanızı sağlar.

iCloud: iCloud yalnızca Apple kullanıcılarına hizmet sağlar. Ücretsiz 5 GB depolama yeri sunabilen iCloud, iOS ve Mac kullanıcılarına farklı seçeneklerle senkronize bir ağ sunuyor (Alsabak, 2020). Apple Kimliğinin kullanılması, tüm verilerin iTunes olmadan internet üzerinden yedeklenmesini sağlar.

Yandex.Disk: Rus arama motoru Yandex'in yeni servislerinden biri olan Yandex.Disk, bulut paylaşımı için depolama hizmeti veriyor. Kullanıcılara ücretsiz 10 GB depolama yeri sağlayan bu hizmet, Yandex.Mail ile entegredir.

IBM: IBM Cloud, bulut kullanıcılarına yardımcı olmak için derin sektör uzmanlığı ve yapay zeka ve veri araçları sağlayan güçlü bir ürün paketidir. Dünyanın altı bölgesinde bulunan IBM veri merkezleri, verileri en yüksek güvenliğe ve ISO 27001 bilgi güvenliği sertifikasına sahip veri merkezlerinde depolar, depolar ve ihtiyaç duyanlara dağıtır. Bununla birlikte DB2, IBM veya webSphere ürün grupları, lisans ücreti ödemeden altyapı ve platformlarda tüketicilere sunulduğundan, bazı uygulamalara ihtiyaç duyulmaktadır. PaaS hizmeti sayesinde, sistemde depolanan yazılımların imaj dosyası şeklinde kurulumu mümkün olan en kısa sürede yapılabilir. Bir donanım kuruluşu 7 gün gibi kısa bir sürede yeni bir sunucu satın alıp işletim sistemini veri merkezine kurabilirken, bulut bilişim ile tüm bu işlemler 30 dakikadan az sürüyor. Sanal sunucular kapatılabilir ve gerekirse altyapı esnek ve uygun maliyetlidir.

EyeOS: Bulut bilişim EyeOS, kullanıcılar(users) arasında iletişim ve iş birliği sağlamayı taahhüt eder. Web tabanlı masaüstü(desktop) arayüzü olan özel bir bulut uygulama(application) yüzeyidir. Popülerliği nedeniyle EyeOS, bulut masaüstü olarak bilinen tek bir kullanıcı arabirimi aracılığıyla dosya yönetimi, kişisel bilgi yönetimi araçları(tool), istemci ve işbirliği araçları uygulamalarıyla entegrasyon içeren bulut tabanlı bir masaüstü sunar.

Bulut Bilişim’in Daha Güvenli Duruma Gelmesi

Bulut Bilişim, Büyükveri, Yapay Zeka, Güvenlik, Nesnelerin İnterneti: Bulutsuz yapamaz olduk. Bulutsuz yapamama noktasında insanların genellikle şöyle bir beklentisi oluyor: Bulut çok güvenlidir. Hemen buluta geçin. Arkadaşlar benim şu anda anlatacaklarımın tamamı Cloud Security Airlines Tekrar ediyorum CSA diye geçer. Cloud Security Airlines 'ın yayınlamış olduğu dört sıfır versiyonlu belgesinden. Anlatacağım her şey oradan geliyor şu anda.Bulut daha mı güvenli sorusunu daha fazla sormaya başlayacaksınız. Hatta okudukça göreceksiniz ki ya ne oluyor? Bir dakika. Hani bize bulutu çok güvenli diye anlatmışlardı. E bu Cloud Security Airlines niye bulutu bize böyle aktarmış şimdi bu kadar şeyi? Arkadaşlar bulut daha mı güvenlidir, daha mı güvensizdir sorusuna hemen cevap vereyim. Biraz da şaşırtıcı bir cevap vereyim.

Çoğunlukla daha güvensizdir. Eminim ki her biriniz çoğunlukla daha güvenlidir sözünü bekliyorsunuz. Özellikle bunu yapmak istedim. Çoğunlukla daha güvensizdir. Çok temel. Biliyor musunuz güvenli olduğu zamanı? Eğer firmanızda, örgütünüzde, teşkilatınızda güvenlik konusunda yetkin bir eleman şu anda var idiyse o zaman, muhtemelen orada daha fazla zorlanacak. Ama yok idiyse ki bu durum birçok firmamızda böyle. Yani bırakın güvenliği, sistem etmenini bulmakta zorlanıyorlar. Onlara yetkin sistem etmeninden bahsediyorum. Onlara para vermek konusunda sıkıntı yaşıyorlar. Çünkü zaten bu adamların ücretleri çok yüksek. Her firma onu karşılayamıyor. O nedenledir ki onlara para ödeyemiyorlar. İşte o firmaların tamamı için bulut çok çok çok çok çok güvenli. Mevcut durumlarından oraya geçtiklerinde çok daha güvenli bir ortama geçerler.

Özel firmalardan bahsediyorum. Kamuyu hedef alarak hazırlamıştım dedim. Kamu kurumlarımızın bazılarında çok yetkin arkadaşlarımız, yetkin yöneticilerimiz var. Onların çok dikkatli olması gerekiyor. Şimdi şöyle düşünün. Bütün güvenlik tehditlerinin normal bilişim sistemlerindeki bütün güvenlik tehditlerinin tamamı var. Üstüne bir de bulut ortamına geçtiğiniz için yeni bir yazılım kümesinin üzerine bindiğiniz için sanallaştırma vesaire gibi unsurları da devreye aldığımız için ve sunucularınızın nerede olduğunu çoğunlukla bilmediğiniz zamanlarda ya da kimin yönetiminde olduğunu bilmediğiniz zamanlarda doğal değil mi? Güvenlik risklerinin artması? Biraz daha doğal. Peki tersine çevirelim birazcık durumu. Daha güvenli hale gelmesi ne zaman olur? Eğer iyi bir planlama yapıyorsa, kamu kurumu kendi içinde bir private dediğimiz özel bulut ortamı oluşturuyorsa, kritik sistemlerini oraya kaydırdığında kendi adminiyle beraber güvenlik seviyesini bir birimden iki birime çıkartabilir. Yani iyi bir admin içeride bulutun size sağladığı avantajlar beraberinde iki katı güvenli hale getirebilir sizi. Bu olamıyorsa ne olacak? Kamu kurumlarınız çok dikkatli olmak zorunda. Hangi servislerini buluta taşıyacaklarını risk yönetimi yapmak suretiyle mutlaka ele almak zorundadırlar. Bu dökümünden bahsetmiştim size Cloud Security Alliance 'ın dökümanından bahsetmiştim.

Bulutu kim yönetiyor? Eğer dışarıda bir yerden bulut servisi aldıysanız siz yönetmiyorsunuz, dışarıdakiler yönetiyor. Peki oraya kimlerin hakkı var? Erişim hakkı var. Sizin bu konuda bir şey söyleme şansınız var mı? Hele de uluslararası kullanıyorsanız hiçbir şey söyleme şansınız kalmıyor. Çünkü size getirdikleri o kontrat sizi bağlıyor. O halde zaten kamu kurumlarımız çıkamıyorlar değil mi dışarıya? Bilgilerini dışarıya çıkarmamak adına dijital dönüşüm ofisinin aldığı karar ve yayınladığı bir regulasyon sonucunda dışarı çıkartamıyorlar. Harika bir karar. Ülkemizde kalmak zorunda. Bulut bile kullanacak olsa bir kamu birimi kesinlikle ülkedeki bir bulut servisini kullanmak zorunda kalacaklar. Dışarıya aktaramayacaklar. Ama bu bulut servislerini kullanırken bile güvenli olup olmadığından emin olmaları gerekecek. Şu anda yürüyen çalışmalar ııı bu bağlamda gidiyor. Bundan emin olmak zorundalar. Niye? Veri merkezi sizin işinizde değil. Türkiye'de bulut servisi sağlayan çok kıymetli firmalarımız var. Ülkemizdeki çok büyük veri(bilgi) merkezlerine sahip olan kurumlarımızdan bir tanesi. Peki herhangi bir bulut servisini alıyorsunuz da o bulut servisinin size sağlandığı o alanın güvenliği konusunda ne kadar eminsiniz? Orada çalışan kişilerin güvenliği konusunda ne kadar eminsiniz?

O halde ikinci başlığa geçiyoruz. Bulut 'un en önemli gereksinimlerinden bir tanesi denetlenebilir olması, sertifikalanması ve sizin güveneceğiniz hale getirilmesi. Bunu yapmak üzere kim yetkili? Türkiye'de kurumlarımız var. Eğer bir veri merkezi sertifikalandırılmamış ise öğrenci arkadaşlarım lütfen o veri merkezinden hiçbir şey kullanmayın. Eğer sertifikası yoksa o veri merkezinden hiçbir şey kullanmayın. Çünkü bu ne demek biliyor musunuz? Kendilerini dışarıdan denetleyen birileri yok. Güvenlik konusunda da uymaları gereken protokoller standartlar var. Bunlara ne kadar uyduğunu denetleyen de bağımsız kuruluşlar var. TSE gibi. Eğer bunlardan ya da yurt dışı kaynaklı da var şu anda. Genellikle Amerika menşeililere gidiyorlar. Ama çok yakında Türkiye'de Türkiye menşeilileri kullanmak zorunda kalacaklar. O halde denetlenebilir olduklarını ve bu denetim raporlarını sizlerle paylaşan veri merkezleri ve bulut servis sağlayıcılarıyla iş yapınız. Aksi halde çok büyük risklerle karşı karşıya olursunuz. Bu sözüm kamu kurumlar için de geçerlidir tabii ki.
Kişisel kanaatim kamu kurumlarının kesinlikle kendi ortak kullanımlarında olan bir hükümet bulutu diyelim ya da yönetim ne diyelim? Kamu bulutu diye adlandıracağımız bir yapıya ihtiyaç olduğu kesin. Bu yapılmalı. İster bir veri merkezi içerisinden alınsın, ister başka şekillerde. Çünkü kamu kurumlarımızın hemen tamamı öncelikle bazı servislerini buluta kaydırabilir niteliklerler. Çünkü gizlilik derecesine sahip bilgi içermiyorsa bir sistem diğer konularda da gerekli kontratlar yapılmışsa, kontratlarda gerekli güvenceler verilmişse eyvallah diyebilirler. Ama bir şeyi unutmamaları gerekiyor. Risk yönetim planının mutlaka yapılması gerekiyor. Aksi halde siz bulutta paylaşım vardır. Yani güvenlik konusundaki sorumluluk paylaşımı yapıyorlar. Sorumluluk ya da yönetim paylaşımı yapıyorlar diyelim. Çünkü onlardan almaları gereken belirli güvenceler var. Güvence alsanız bile kamu kurumu hukuk karşısında sorumluluğunuzu atmış olamazsınız. Bireysel olarak ben herhangi bir verimle ilgili bir sıkıntı yaşanırsa karşıma gidip siz bulut servisini şuradan aldınız. Onların yaptıymış. Beni ilgilendirmez. Kamu kurumu yöneticilerinin şunu çok iyi bilmeleri gerekir. Risk sorumluluğunu yönetim konusundaki sorumluluk paylaşımıyla üzerlerinden atamazlar. Bu nedenledir ki kamu kurumlarımızın askeriye gibi ya da kritik bilgileri sağlayan barındıran Sağlık Bakanlığı gibi, İçişleri Bakanlığımız gibi bir sürü kamu kurumu sayabilirim. Çok çok çok dikkatli olmak zorundalar.
İyi bir risk yönetimi yapıp ona göre hangi bilgilerini, hangi sistemlerini aktarabileceğine karar vermelidirler. Şimdi bir başka şeye geçeceğim. Hadi oraya gitmeyeyim. Bulut ortamına geçtiğimde daha güvenli bir sistem kurgulayabilir miyim? Evet. Bulut bilişin size öyle güzel olanaklar getiriyor ki iyi bir sistem admini iyi bir güvenlik yöneticisi biraz önce başta da söylediğim gibi işte Software Defined Network gibi benzeri unsurları zaten SDN buluta kendi bulutunuzu bile kursanız, kendi kurumunuzun içinde bile kursanız SDN mutlaka olmalıdır.

Çünkü izolasyonu çok sağlam yapabilirsiniz. Bunu söyledikten sonra diyorum ki bazen iki katına, üç katına, bazen on katı kadar güvenli bir ortamı herhangi bir kamu kurumumuz yaratabilir. Yani ben eminim ki BTK 'nın ya da başka kurumlarımızın sistemleri çok güvenlidir. Çünkü buralarda çok yetkin arkadaşlarımız var. Bu arkadaşlarımız bulut bilişim ortamının kendilerine sağladığı özellikleri de kullanarak mevcut güvenlik seviyelerini on kat, yirmi kat yukarıya çıkabilirler. Bu ne demektir? Kamu kurumlarımızın buluta geçmesi kesinlikle şart. Ama hangi buluta geçecekler? Kamu bulutuna mı özel buluta mı geçecekler? Evet peki. Şimdi başlıklarımdan da faydalanayım. Atlamadan gitmek istiyorum. Kontratlardan bahsettim. Kontratları çok iyi bir şekilde yapılması gerekiyor. Kompleks evet denetlemeden bahsettim. Information dediğimiz bilgi sahipliği konusu ve bilgi güvenliği konusu. Ya bir de ben hep şey görüyorum, onu da söylemeden geçmeyeceğim.

Sizce bilişim teknolojileri güvenliği, bilgi sistemleri güvenliği ve bilgi güvenliği ayrı ayrı unsurlar mıdır? Ayrıdır diyen var mı aranızda? Bir tane arkadaşımız ayrıdır. Iki tane arkadaşımız ayrı şeylerdir dedi. Evet ayrı şeylerdir. Birisi bilgi güvenliği konusunda ben uzmanım diyorsa bilişim teknolojileri konusunda uzmanım, bilişim teknolojileri güvenliği konusunda uzmanım demek değildir. Bilgi sistemlerinin geliştirilmesindeki güvenlik açısından uzmanım demek değildir. Lütfen bu terminolojilere çok dikkat edelim. Çünkü birçok yerde bu terminolojilerin yanlış kullanıldığını ya da bilerek yanlış aksedettirildiğini görüyorum.

Bir bulut ortamı yarattığınız zaman biraz önce söylediğim ya deli gibi bir yazılım yüklüyorsunuz. Bu yazılım ve bu donanımlar birlikte size güvenliği sağlıyor. Bir yere bir yeni yazılım koyduğunuzda güvenlik açığı yaratmıyor musunuz aslında? Güvenlik yüzeyinizi saldırı yüzeyinizi artırmıyor musunuz? Otomatik olarak saldırı yüzeyiniz arttı. Yani bir yere bir pencere koydunuz cam taktınız. Yüzeyiniz arttı. Ama eğer bulutu doğru kurgulamışsanız doğru bir şekilde ııı neler yüklemişseniz, oluşturmuşsanız Bu saldırı yüzeyinizi çok fazla aza indirgeyebilirsiniz. Neyle? O yine Bulut 'un size sağladığı teknik imkanlarla. Ama genel anlamda saldırı yüzeyiniz akıllıca yapılmamış ve çok detaylı teknik ııı bazı unsurlar kullanılmamışsa kesinlikle yüzeyiniz arttı demektir. Altyapı güvenliği konusuna çok dikkat etmek zorundalar bu kurumlarımız. Bir de private denildiğinde ııı şöyle bir şey var. Onu da söylemeden geçmeyeceğim. Ben mesela Türk Selimleri Merkezi 'ndeki bulunan unsurlar üzerine cihazlar üzerine
bir kamu kurumu olarak kendi bulutumu kurabilirim ya da bana private bir bulut sağlıyor olabilirler. Peki yönetiminden kim sorumlu? Yönetim katmanında sorumluluklar olacak mı onların? Olacak. Hızlı bir şekilde mesela update etmeleri gerekirse güvenlik konusunda bir risk çıktığında ulaşabilmeleri gerekecek. Buralardaki paylaşımlar konusunda kamu kurumlarımızı özellikle eee bilgilendirmek istedim. Buraya dikkat. Bir olay oldu. Hani olay müdahale timlerimiz var ya, olay oldu, olayın nasıl gerçekleştiğini tetkik edeceksiniz. Kamu bulut, kamu demeyelim de ona kamu bulutu deyince public bulut anlamına geliyor. Herkesin erişebileceği anlamına geliyor. Benim kullandığım kamu daha çok kamu kurumlarının özel bulutuydu. Eğer bazı servislerinizi public cloud 'a götürdüyseniz oralarda herhangi bir olay olduğunda onun altındaki unsurları inceleyebilecek kadar size araçlar sağlanmayacaktır. Çünkü birçok şeyi gizlidir sizden. Bu erişemeyeceğiniz şekildedir. Muhtemelen buna dikkat diyoruz. Uygulama güvenliği aynen normalde nasılsa orada da aynı şekilde sağlamak zorundasınız. Hiçbir eksiği yok. Tam tersine fazlalığı var. Veri güvenliği ve kripto yani şifreleyerek veri barındırma konusunda çok dikkatli olmak lazım. Bunları mümkün olabildiğince fazlaca kullanmak lazım. Bu yetkinlikler size sağlanıyor mu? Evet normal ortamlarınızdan daha fazla sağlanıyor. Bulutta olduğunuz zaman çok daha esnek oluyorsunuz bir kere. O nedenledir ki bu olanaklardan da yararlanmayı lütfen unutmayın.
Ben başlıklarıma bakıyorum. Ha birde sekürite(güvenlik) servis. Bulutta bulut üzerinden sizin güvenliğinizi sağlamak üzere size servis vermek için gelenler olacaktır. Normal bir organizasyonsanız bundan sonuna kadar faydalanın. Normal bir organizasyon değil de kamuysanız ve birçok kritik servislerinizi aktardığınız özel bulut. Kendi içinizde de olabilir. Bir başkasının veri merkezinde de olabilir. Eğer buralardaysa onların nerelere erişebileceği konusunda lütfen dikkatle anlaşmalarınızı kontratlarınızı yapın. Orada çok kritik açık noktalar var. Şimdi ben ne yaptım? Bir sürü uyarı verdim. Evet, ez cümle. Bulut bilen için bulutu bilenler için on kat daha güvenli hale gelebilecekleri yerdir. Hiç bilmeyenler için iki kat, üç kat daha güvenli hale gelebilecekleri yerdir. Ama orta seviyedeyseniz özellikle bulutla ilgili yeterli bilginiz yoksa çok güvensiz hale düşme riskiniz çok yüksek.

Teşekkür ediyorum okuduğunuz için!!

Saygı ve Sevgilerimle,
'Halaskâr (I m Trojan)

eline sağlık hocam

Bulut Teknolojileri ve Güvenliği

'Halaskâr

Uzman üye

Eronmay

Kıdemli Üye

'Halaskâr

Uzman üye

Ogehan

Kıdemli Üye

drjacob

Uzman üye

Extazİ

Anka Team

'Halaskâr

Uzman üye

sxaf

Yeni üye

Sosyal medya sayfalarımız