Bulut ta güvenlikle nasıl mücadele edersiniz?
Tanıtım http://about.me/oyasanli http://oyasanli.com/projects.html https://www.youtube.com/user/oyasanli?feature=mhe e http://www.paydeg.com/paydegegitimleri.html @oyasan @RollOutCloud @BulutHukukuTR @LawCloudTR
Ajanda Bulut bilişim nedir? Faydaları nelerdir? Kimin ne üzerinde kontrolü var? Olası sorunlar nelerdir? Neden güvenlik gerekli? Güvenlik ilkeleri nelerdir? Neden güvenlik zordur? Güvenlik açısından Bulut Bilişim avantajları ve zorlukları nelerdir? Bulut güvenlik senaryoları Verim için en iyi yer neresidir? Örnekler
NIST in Bulut Bilişim tanımı İstek üzerine Kullanılmaya hazır Yapılandırılabilen Paylaşılan havuz 9
Yayılma Modelleri Hybrid Clouds Private Cloud Community Cloud Public Cloud Servis Modelleri SaaS PaaS IaaS İstek üzerine Self Servis Ana Özellikleri Geniş ağ erişimi Kaynak paylaşımı Hızlı esneklik Ölçülebilir servis Ortak Özellikleri Büyük ölçeklik Homojenlik Sanallaştırma Ucuz yazılım Esnek hesaplama Coğrafi dağıtıklık Servis odaklı İleri güvenlik
Bulut kullanıcısı Servis sağlayıcı Bulut Komisyoncusu Bulut Denetçisi Bulut Taşıyıcısı
Genişletilmiş yasal/yargı sorunları Servis sağlayıcı veri merkezi, Londra İngiltere Servis sağlayıcı veri merkezi, Sao Paolo Brazilya Servis sağlayıcı veri merkezi, Tokyo Japonya Servis sağlayıcı veri merkezi, San Francisco Amerika Servis sağlayıcı veri merkezi, İstanbul Türkiye Şirketinizin verisi nerede?
SaaS Sunuş Yöntemi Sunuş Paltformu IaaS Api ler İç bağlanabilirlik &Dağıtım Soyutlama Donanım Tesisler PaaS Integrasyon & middleware Api ler İç bağlanabilirlik &Dağıtım Soyutlama Donanım Tesisler Veri Api ler Uygulamalar Meta Data Integrasyon & middleware Api ler İç bağlanabilirlik &Dağıtım Soyutlama Donanım Tesisler İçerik
Kontrol şirkettedir Bulut & Güvenlik Kimin neyin üstünde kontrolü var? Özel Sanal Özel IaaS PaaS SaaS Uygulama Uygulama Uygulama Uygulama Uygulama VM Sunucu Saklama Ağ VM Sunucu Saklama Ağ VM Sunucu Saklama Ağ VM Sunucu Saklama Ağ VM Sunucu Saklama Ağ Kontrol sağlayıcıdadır Şirket sağlayıcı ile kontrolü paylaşır
BT maliyetlerini azaltmak BT/İş süreçlerinde verimliliği artırmak BT esnekliğini artırmak Vatandaşlar için daha iyi servisler Başarısızlıkta düşük maliyet Devlet etkinliğini artırmak Verimlilik artışını sürdürmek İşbirliğini artırmak İş çevikliğini artırmak Kullanıcı deneyimini geliştirmek Innovasyonu hızlandırmak Ar-ge ve bilim transformu GSYİH büyümesine katkı Yeni iş / işletmeler oluşturma Bireyleri güçlendirme Rekabet gücünün geliştirilmesi Eğitim Transformu Sürdürülebilirlik Sıçrama fırsatlarının yaratılması
Olası sorunlar Verinin ulaşılabilirliliği verinin istenmesi ile veriye ulaşılan zaman mühleti Güvenlik ve gizlilik verinin şirket yada organizasyon dışında olması İş verimliliği şirket ya da organizasyonları alt yapı, servislerin güvenilirliği ve fiyat konularında ikna etmek
Güven Küçük projelerle başlayıp güvenliği anlamak önemli Güven henüz kabul edilmiş değil Lisanslama, gizlilik, güvenlik, uyumluluk ve ağ izleme gibi detayların güveni sağlamak için dikkatle düşünülmesi gerekir
Genel Güvenlik İlkeleri Ana ilkeler Risk Gizlilik Bütünlük Uygunluk (CIA) OECD güvenlik kuralları Sorumluluk Farkındalık Etik Multidisipliner Orantılılık Entegrasyon Zamanlılık Yenilemek Demokrasi
Genel Güvenlik İlkeleri Hiçbir BTsistemi bu güvenlik sorunlarını düzgün olarak ele almadan güvenli olamaz. Kadrolama Görev tanımı Pozisyon hassasiyeti Tarama Çalışanların eğitimi ve farkındalık Kullanıcı yönetimi Hesap yönetimi Denetim ve Yönetim yorumları Yetkisiz / yasadışı faaliyetleri algılama Sonlandırma
Bulut ortamı için eklenebilecek Güvenlik İlkeleri Açıklık Gizlilik İlke tabanlı erişim Çoklu kiracılık NIST e göre, tüm 33 BT güvenlik ilkesi 6 kategoride gruplanmıştır: Güvenlik esasları, Risk bazlı, kullanım kolaylığı, Elastikiyetin artması, Güvenlik açıklarının azaltılması, ve ağı akılda tutarak tasarım.
Güvenlik neden zordur? Security %60 10 da 1 %66
Güvenlik neden zordur?
Güvenlik açısından Bulut Bilişimin avantajları nelerdir? Ağ saldırılarına karşı Hypervisor koruması Hata toleransı ve Güvenirlik Adanmış Güvenlik ekibi Bulutun homojenliği güvenlik denetim / testlerini basit bir hale getiriyor Bulut otomatik güvenlik yönetimi sağlar Büyük esneklik Veri parçalama ve dağıtımı Yedekleme / Afet kurtarma Güvenlik altyapısı için büyük yatırım İstek anında güvenlik kontrolleri Düşük maliyetli Afet kurtarma ve veri saklama çözümleri Gerçek zamanlı algılama ve değiştirme sistemi Servislerin hızla yeniden oluşumu
Güvenlik açısından Bulut Bilişimin zorlukları nelerdir? Satıcıya kilitlenme Müşterinin denetim bulgularına karşı yetersiz cevabı Dolaylı yönetici sorumlulukları Uygulamaların sahipliğinin sorgulanamaması Fiziksel kontrol ve yönetişim kaybı Loglama sorunları Veri dağıtma ve uluslar arası gizlilik yasaları Çoklu kiracılık izolasyon yönetimine ihtiyaç var Veri mülkiyet/sahiplik konuları Güvenli hypervisor lere bağımlılık Bulut içindeki sanal işletim sistemlerinin güvenliği Kesinti olasıkları Şifreleme ihtiyaçları Herkese açık bulutta SaaS sürüm kontrolünün olmaması
Güvenlik ile ilgili Bulut bileşenleri Bulut Hazırlama Hizmetleri Bulut Veri Depolama Hizmetleri Bulut İşleme Altyapısı Bulut Destek Hizmetleri Bulut Ağ ve Çevre Güvenliği Elastik Elemanları: Depolama, İşleme ve Sanal Ağlar
Bulut Güvenliğinin mimari görünümü Policies Identity and Access Management Data and information protection management Command and control management Security policy management Compliance metrics Risk and compliance assesment Knowledge Software, System and service assurence ITservice management Threat and vulnerability management Physical asset management
Security Privacy Bulut & Güvenlik consumer Auditor Service Layer SaaS PaaS IaaS Service provider Service Management Business Support Cloud Broker Intermediation Security Control Layer Provisioning/ Configuration Aggregation Privacy Performance Resource Layer Hardware Facility Portability/Int eroperability Arbitrage Cloud Carrier
Bulut Güvenlik Senaryoları Senaryo düzeni Servis sağlayıcı Servis katmanı SaaS PaaS Komisyoncu Tüccar Kullanıcı/Alıcı IaaS
Bulut Güvenlik Senaryoları Senaryo 1// Servis katmanı Servis sağlayıcı PCI SaaS PaaS IaaS Tüccar Kullanıcı/Alıcı
Bulut Güvenlik Senaryoları Senaryo 2// Servis katmanı SaaS Servis sağlayıcı PCI PCI PaaS IaaS Tüccar Kullanıcı/Alıcı
Bulut Güvenlik Senaryoları Senaryo 3// Servis Katmanı Servis sağlayıcı data PCI data PCI Tüccar Kullanıcı/Alıcı IaaS
Senaryo 4// Servis katmanı Ödeme sağlayıcı SaaS PaaS data PCI IaaS Tüccar Kullanıcı/alıcı Servis sağlayıcı data IaaS data
Bulut Güvenlik Senaryoları Senaryo 5// Servis katmanı Servis sağlayıcı PCI PCI PaaS Tüccar Kullanıcı/Alıcı
Senaryo 6// Servis sağlayıcı Servis Katmanı IaaS data Servis sağlayıcı Tüccar Kullanıcı/Alıcı SaaS PaaS PCI data PCI
Senaryolardan neler öğrenmiş olabiliriz? Ödeme işlemlerinin servis olarak daha çok kullanılması, tüccar/bulut servis sağlayıcısının Pcı yükünün altında kalmasından iyidir Bulut servis sağlayıcı yapabilir ama sorumluluk tüccardadır ve tüccarın doğrulaması gerekir Son olarak, PCI bulutta olabilir!
Birkaç öneri; Bulut kapsamını öğrenin Paylaşılan sorumluluklarla ilgili bir matris hazırlayıp her zaman yanınızda tutun Unutmayın: Bulut servis sağlayıcısı yapsa da yapmasa da kancada olan TÜCCAR Hassas veriler için PCI + bulut güvenliği düşünün Bulutta düzenlenmiş verilerle ilgili gerekli servis anlaşmalarını mutlaka dikkate alın Iş ortaklarınız tarafından onların bulutuna konulan hassas verilerinizi tarayın Bulut servis sağlayıcınız tarafından güven ama doğrula kuralının uygulandığından emin olun.
@RollOutCloud @oyasan @paydg paydeg@paydeg.com http://paydeg.com