Bulut bilişimde güvenlik Bulut bilişimde güvenik en önemli konulardan (ilgilendiren şeylerden) biridir. Bulutta bulunan veri şifrelenmiş olmalıdır. İstemcinin direkt olarak paylaşılan veriye erişmesini sınırlamak için proxy sunucular ve komisyon (brokerage) sunucular çalıştırılmalıdır. Güvenlik Planlaması Belirli bir kaynağı buluta taşımadan önce, bir kimse aşağıda belirtildiği gibi kaynak hakkında birkaç özelliği analiz etmesi gerekir. Hangi kaynakların buluta taşınacağını ve bu kaynağın risk analizi yapılması gerekir. Iass, PaaS ve SaaS gibi bulut hizmet modellerini göz önüne alın. Bu modeller faklı hizmet seviyelerinde kullanıcının güvenlikten sorumlu olmasını gerektirir. Public, private, community ya da hyrid gibi hangi bulut tiplerinin kullanılacağını düşünün/karar verin. Bulut servis sağlayıcının sisteminin veriyi nasıl transfer ettiği, nerede saklandığı ve verinin buluta ve bulutun dışına nasıl taşındığı anlaşılmalıdır. Bulut bilişimdeki birçok risk uygulanan servis modelleri ve bulut tiplerine bağlıdır/ göre değişir. Bulut Güvenliğini Anlamak Güvenlik Sınırları Belirli bir servis modeli servis sağlayıcının sorumlulukları ve tüketici arasındaki sınırı tanımlar. 1
Bulut bilişim bağı (Cloud security Alliance, CSA) küme modeli, herbir servis arasındaki sınırları tanımlar ve farklı fonksiyonel birimlerin bir birleriyle olan ilişişinin nasıl olduğunu gösterir. Aşağıdaki model stack CSA modelinin şekli görülmektedir. CSA Modelinin Kilit Noktası IaaS, PaaS ve SaaS ile birlikte en temel hizmet seviyesidir. Servislerin herbirini yukarı doğru taşırken, alt modelin güvenlikle ilgili unsurları ve kabiliyetlerini kalıtım olarak alır. IaaS, altyapı sağlar, PaaS platform geliştirme ortamı sağlar ve SaaS işlerim ortamı sağlar. Bu model, bulut bilişim servis sağlayıcının sorumluluklarının nerenden başlayıp nerede bittiğinin sınırlarını tanımlar. 2
Güvenlik sınırının altındaki herhangi bir güvenlik mekanizması sistemin içine monte edilmeli ve sonrası tüketici tarafından sağlanmalıdır. Her servis modeli güvenlik mekanizmasına sahip olmasına rağmen, güvenlik ihtiyaçları bu servislerin nerede saklandığı, public, private, hibrit ya da community bulut servisleri nerede yerleştirildiğine ayrıca bağlıdır. Data güvenliğini Anlama Tüm veri internet yolu ile transfer edildiği için, bulut bilişimde veri güvenliği önemli bir konudur. Aşağıda veriyi korumak için kullanılan ana mekanizmalar listelenmiştir. Erişim kontrol Denetim Kimlik doğrulama Yetkilendirme Tüm hizmet modelleri, yukarıda bahsedilen tüm alanlarda işleyen güvenlik mekanizmaları birlikte çalışması gerekir. Veriye izole edilmiş erişim Bulutta bulunan veriye herhangi bir yerden erişilebildiği için, bundan dolayı veriyi korumak için, veriye direkt ulaşmayı engelleyen bir mekanizmaya sahip olmalıyız. Bulutta depolanan veriyi izole etmek için kullanılan yaklaşımlardan birisi Brokered Cloud Storage Access dir. Bu yaklaşımda iki hizmet/servis oluşturulur: Bir broker depolanan veriye taş erişir, fakat istemciye erişemez Proxy depolanan veriye (storage) erişimi yok fakat hem istemciye hemde broker a erişir. 3
BROKERED CLOUD STORAGE ACCESS İN ÇALIŞMASI İstemci veriye erişmek istediğinde: İstemcinin veri isteği proxy nin harici (dış) hizmet arabirimine (interface) gider. Proxy isteği Broker a yönlendirir Broker bulutun depolama sisteminden veriyi ister Bulut depolama sistemi veriyi Broker a iletir. Broker veriyi Proxy ye iletir. Sonunda Proxy veriyi istemciye gönderir. Yukarıdaki tüm işlemler/adımlar aşağıdaki şekilde gösterilmiştir. Şifreleme Şifreleme, verinin gizliliğini ihlal eden girişimlerden korumaya yardım eder. Şifreleme hem bulutta hem de transfer edilirken veriyi korur. Şifreleme veriyi 4
yetkisiz kişilerin erişiminden korumasına rağmen, verinin kaybolmasını önlemez (önlem olarak kullanılmaz). BULUT BİLİŞİM HİZMETİ ALINIRKEN DİKKAT EDİLECEK HUSUSLAR a. Hizmet Alınan Firmaların Güvenilirliği Firmaların güvenlik kaygılarını gidermek amacıyla ilk inceleyecekleri nokta, hizmet alınacak firmanın sektörde edinmiş olduğu tecrübeler olacaktır. Hizmet verecek firmanın ne kadar süreden beri sektörde faaliyet gösterdiği ve bu süreçte ortaya çıkmış olan güvenlik sorunlarının durumu da incelenecek önemli konular olacaktır. Aynı zamanda, güvenlik problemleri oluşması durumunda, hizmet alan firma ile yapacağı işbirliği/bilgilendirme gibi parametreler de önemli olacaktır. Bunun dışında firmanın işletim sırasında kullandığı metodolojiler, ( ITIL, COBIT gibi.), takip ettiği regülasyonlar (ISO 9001, 27001-2, BS 25999 gibi.) ve elbette ki konularında uzman (CISSP,CEH,CISA,CCIE,GIAC vs. gibi sertifikasyonlara sahip) yetişmiş personel kaynağı da hizmet kalitesi açısından önemli göstergeler olacaktır. b. Erişim ve Kimlik Denetimi Hizmet alınan firmanın servislerine erişim sırasında mutlaka güvenli bir bağlantı yöntemi kullanılmalıdır. Bu erişimin, sadece hizmet alan kişi ya da kurum tarafından yapıldığından emin olunması için, aşağıdaki erişim kontrolü (authentication) teknolojilerinden (two factor iki katmanlı kontrol- vs. gibi) bir veya birkaçı birden desteklenmelidir: Kimlik Doğrulama (Authentication) Bildiğiniz bir şey (Something you know) şifre (password) gibi. Sahip olduğunuz birşey (Something you have) token anahtarlar gibi. 5
Sizin kimliğiniz (Something you are) biyometrik kontroller, retina kontrolü gibi. Bulunduğunuz yer (Someplace you are) GPS sinyalleri ya da IP bazlı kontroller gibi. Yetkilendirme (Authorization) Firma tarafından kullanılan hesaplarda, hangi hesabın hangi kaynaklara erişebileceği dikkatle tanımlanmalıdır. RBAC(Role base Access control ) Hesap Verilebilirlik (Accountability) Bulut (cloud) üzerindeki tüm hareketler kayıt altında olmalı ve olası soruşturmalara yardım edebilmelidir. Gereğinde yasal delil olarak da kullanılabilecek şekilde toplanabilmelidir ve 5651 yasasına uygun olmalıdır. c. Erişilebilirlik Bulut Bilişim hizmetlerinde alınan hizmetler, SLA ler (Service Level Agreement) ile güvence altına alınmaktadır. Örneğin hizmet alınan sunucuların ayakta kalma süresinin %99,99 olması vs. gibi. Özellikle yüksek erişilebilirlik gereksinimi içeren projelerde, Felaket Önleme (Disaster Recovery) servislerinin olup olmadığı kontrol edilmeli, ayrıca servis olarak veriliyorsa, alınan servis katmanları içerisinde bu servis tercih edilmelidir. Elbette hizmet sağlayıcı firmaların finansal durumları da alınacak hizmetin kesintisizliği ve kalitesi için belirleyici olacaktır. d. Fiziksel Güvenlik Bulut Bilişim sağlayıcısının veri merkezinde (Data Center) sahip oldukları fiziksel güvenlik sertifikaları (TIER 1-2 vs. gibi) ve güvenlik önlemleri (biyometrik kontroller, yanmaz duvar ve kapılar, 7x24 güvenlik, fiziksel bariyerler, sel-yangın önleme sistemleri, UPS sistemleri, soğutma sistemleri, alarm mekanizmaları ) incelenmeli, gerektiği durumlarda denetlenme opsiyonlarının olup olmadığı araştırılmalıdır. 6
e. Legal ve Operasyonel Güvenlik Alınan hizmetlerin lisans durumları ve yasal yükümlülükler, sözleşmeler ile güvence altına alınmalıdır. Ülkemizde SPK, BDDK gibi kuruluşların yönergeleri ve yasal yükümlülükler, yine güncel yasalardan 5651 vs. gibi yönetmeliklerin sorumlulukları takip edilmelidir. Hizmet veren firmanın operasyonel hizmetlerde çalışan personelleri ile imzaladıkları NDA vs. gibi sözleşmeler sorgulanmalı ve personel özgeçmiş soruşturmaları yapılıp yapılmadığı eğer mümkünse bilgi/taahhüt olarak talep edilmelidir. f. Veri ve Altyapı Güvenliği Özellikle PCI DSS (Payment Card Industry Data Security Standard) gibi regülasyonlara uyum zorunluluğu olan proje kaynaklarında, hizmet alınan firmanın yedekleme ve veri silme/yok etme biçimleri sorgulanmalıdır. Kullanımı biten verilerin imha edilme metodolojileri sorgulanmalı, mümkünse ayrı bir servis olarak alınabilmelidir. Firmanın entelektüel bilgisini ya da kurumsal önem içeren sunucuların verilerinin mutlaka bir şifreleme (encryption) algoritması ile saklanması, gerektiğinde servis olarak alınabilmesi sağlanmalıdır. Hizmet veren firmanın ağ altyapısının 7x24 proaktif olarak izlendiğinden emin olunmalıdır. Eğer mümkünse o proaktif önlemlerin (DDOS koruma, Firewall Sistemleri, IPS/IDS sistemleri, Anti- Malware sistemleri, Anormally Detection sistemleri vs. gibi) servis olarak da alınarak denetlenmesi, ya da raporlarının düzenli olarak görülebilmesi istenmelidir. [5] 7