WEB ve BULUT GÜVENLİĞİ

by admin

Bulut güvenliği, bulutta çalışan sistemleri korumaya yönelik bir siber güvenlik disiplinidir. Bu; çevrimiçi altyapı, uygulamalar ve platformlarda verileri gizli ve güvende tutmayı içerir. Bu sistemlerin güvenliğini sağlamak, bulut sağlayıcıları ve müşterilerin birey, küçük ila orta ölçekli işletme veya kurum olup olmadığına bakılmaksızın, sistemleri kullanaların çabalarını kapsar.

Bulut sağlayıcıları, her daim etkin olan internet bağlantıları aracılığıyla sunucularında hizmetler barındırır. İşleri müşterilerin güvenine bağlı olduğundan müşterilerin verilerinin gizli ve güvenli bir şekilde saklanması için bulut güvenliği yöntemleri kullanılır. Ancak bulut güvenliği kısmen müşterinin de elindedir. Bu kavramın iki tarafını da anlamak, sağlıklı bir bulut güvenliği çözümü açısından çok önemlidir.

Bulut güvenliği, temelde aşağıdaki kategorilerden oluşur:

  • Veri güvenliği
  • Kimlik ve erişim yönetimi (IAM)
  • Yönetim (tehditleri engellemeye, tespit etmeye ve azaltmaya yönelik ilkeler)
  • Veri saklama (DR) ve iş devamlılığı (BC) planlaması
  • Yasal uyumluluk

Bulut güvenliği, eski BT güvenliği kavramına benziyor olabilir ancak farklı bir yaklaşımdır. Ayrıntılara inmeden önce bulut güvenliğinin ne olduğuna bakalım.

Bulut güvenliği nedir?

Bulut güvenliği; bulut bilişim ortamlarını, bulutta çalışan uygulamaları ve bulutta tutulan verileri koruyan teknolojiler, protokoller ve en iyi uygulamalardan oluşan bir pakettir. Bulut hizmetlerini korumanın başında, tam olarak neyin korunduğunu anlamanın yanı sıra yönetilmesi gereken sistem yönleri gelmektedir.

Genel olarak güvenlik açıklarına karşı arka uç geliştirme, çoğunlukla bulut hizmeti sağlayıcılarının ellerindedir. Müşteriler, güvenlik açısından bilinçli bir sağlayıcı seçmenin yanı sıra çoğunlukla düzgün hizmet yapılandırması ve güvenli kullanım alışkanlıklarına odaklanmalıdır. Buna ek olarak müşteriler, son kullanıcı donanımları ve ağlarının güvenliğinin düzgün bir şekilde sağlandığından da emin olmalıdır.

Bulut güvenliğinin tam kapsamı, sorumluluklarınızdan bağımsız olarak aşağıdakileri korumak için tasarlanmıştır:

  • Fiziksel ağlar— yönlendiriciler, elektrik gücü, kablolar, iklim kontrolleri vb.
  • Veri depolama— sabit sürücüler vb.
  • Veri sunucuları— temel ağ bilgi işlem donanımları ve yazılımları
  • Bilgisayar sanallaştırma yapıları— sanal makine yazılımları, sunu makineler ve konuk makineler
  • İşletim sistemleri (İS)— tüm bilgisayar işlevlerini destekleyen yazılım
  • Aracı yazılımlar— uygulama programlama arayüzü (API) yönetimi
  • Yürütme ortamları— çalışan bir programın yürütülmesi ve bakımı
  • Veriler— saklanan, değiştirilen ve erişilen tüm bilgiler
  • Uygulamalar— geleneksel yazılım hizmetleri (e-posta, vergi yazılımı, verimlilik programı grupları vb.)
  • Son kullanıcı donanımları— bilgisayarlar, mobil cihazlar, Nesnelerin İnterneti (IoT) cihazları

Bulut bilişim sayesinde her müşterinin bu bileşenlere sahip olma oranı büyük farklılıklar gösterebilir. Bu, müşterinin güvenlik sorunlarının kapsamını belirsiz bir hâle getirebilir. Bulut güvenliğini sağlama bileşenler üzerinde kimin yetkisinin olduğuna bağlı olarak farklı olabileceği için bunların ortak bir şekilde nasış gruplandırıldığını anlamak çok önemlidir.

Özetle, bulutta çalışan bileşenlerin iki temel bakış açısına göre güvenlikleri sağlanır:

  1. Bulut hizmeti türleri, üçüncü taraf sağlayıcılar tarafından bulut ortamını oluşturmak için kullanılan modüller olarak sunulur. Hizmetin türüne bağlı olarak hizmet dâhilinde bileşenlerin farklı bir derecesini yönetebilirsiniz:
  • Üçüncü taraf bulut hizmetinin özündefiziksel ağı, veri depolamayı, veri sunucularını ve bilgisayar sanallaştırma yapılarını yöneten sağlayıcı bulunur. Hizmet, sağlayıcının sunucularında depolanır ve sağlayıcının şirket içinden yönettiği ağı yoluyla sanallaştırılarak müşterilere uzaktan erişebilecekleri şekilde sunulur. Bu, donanım ve diğer altyapıların maliyetlerini azaltarak müşterilere, internet bağlantısı aracılığıyla bilişim ihtiyaçlarına istedikleri yerden erişme olanağı sunar.
  • Hizmet Olarak Yazılım (SaaS)bulut hizmetleri, müşterilerin tamamen sağlayıcının sunucularından barındırılan ve çalıştırılan uygulamalara erişmelerini sağlar. Sağlayıcılar; uygulamaları, verileri, çalışma süresini, aracı yazılımı ve işletim sistemini yönetir. Müşterilerin yapması gereken tek şey uygulamalarını edinmektir. Google Drive, Slack, Salesforce, Microsoft 365, Cisco WebEx ve Evernote, SaaS’ye örnek olarak verilebilir.
  • Hizmet Olarak Platformbulut hizmetleri, müşterilere kendi uygulamalarını geliştirmeleri için bir ana makine sağlar; bu uygulamalar, sağlayıcının sunucularında müşterinin kendi “korumalı alanı” dâhilinde çalıştırılır. Sağlayıcılar çalışma süresini, aracı yazılımı ve işletim sistemini yönetir. Müşterilerin görevi uygulamalarını, verilerini, kullanıcı erişimini, son kullanıcı cihazlarını ve son kullanıcı ağlarını yönetmektir. Google App Engine ve Windows Azure, PaaS’ye örnek olarak verilebilir.
  • Hizmet Olarak Altyapı (IaaS)bulut hizmetleri, müşterilere bilgi işlem hacimlerini işletim sistemine kadar barındırmak için donanım ve uzak bağlantı yapıları sunar. Sağlayıcılar yalnızca temel bulut hizmetlerini yönetir. Müşterilerin görevi; uygulamalar, veriler, çalışma süreleri, aracı yazılımlar ve işletim sisteminin kendisi de dâhil bir işletim sisteminde toplanan her şeyin güvenliğini sağlamaktır. Bunun yanı sıra, müşterilerin kullanıcı erişimi, son kullanıcı cihazları ve son kullanıcı ağlarını da yönetmeleri gerekir. Microsoft Azure, Google Compute Engine (GCE) ve Amazon Web Services (AWS), IaaS’ye örnek olarak verilebilir.
  1. Bulut ortamları, bir veya daha fazla bulut hizmetinin son kullanıcılar ve kurumlar için bir sistem oluşturduğu dağıtım modelleridir. Bunlar, güvenlik de dâhil olmak üzere, yönetim sorumluluklarını müşteriler ve sağlayıcılar arasında ayırır.

Şu anda kullanılan bulut ortamları şunlardır:

  • Ortakbulut ortamları, bir müşterinin bir sağlayıcının sunucularını diğer müşterilerle paylaştığı ofis binası veya ortak çalışma alanı gibi çok kiracılı bulut hizmetlerinden oluşur. Bunlar, ağ üzerinden müşterilere erişim sağlamak için sağlayıcı tarafından çalıştırılan üçüncü taraf hizmetlerdir.
  • Özelüçüncü taraf bulut ortamları, müşteriye kendi bulutunu özel olarak kullanma imkânı sağlayan bir bulut hizmeti kullanımına dayanır. Bu tek kiracılı ortamlar, normalde şirket dışı bir sağlayıcı tarafından saha dışından sahip olunur, yönetilir ve çalıştırılır.
  • Özel şirket içi bulut ortamlarıda tek kiracılı bulut hizmeti sunucularından oluşur ancak kendi özel veri merkezlerinden çalıştırılır. Bu durumda bu bulut ortamı, her unsur için tam yapılandırma ve kurulum sağlamak için işletmenin kendisi tarafından çalıştırılır.
  • Çok bulutlu ortamlar, ayrı sağlayıcılardan gelen iki veya daha fazla bulut hizmetinin kullanımını içerir. Bunlar, ortak ve/veya özel bulut hizmetlerinin herhangi bir karışımı olabilir.
  • Karmabulut ortamları, özel üçüncü taraf bulut ve/veya bir ya da birden fazla ortak bulut içeren yerinde özel bulut veri merkezinin karışımından oluşur.

Bu açıdan bakıldığında bulut tabanlı güvenliğin, kullanıcıların üzerinde çalıştığı bulut alanı türüne bağlı olarak biraz farklı olabileceğini anlayabiliriz. Ancak bunun etkileri, hem bireysel hem de kurumsal müşteriler tarafından benzer şekilde hissedilmektedir.

Bulut güvenliği nasıl çalışır?

Her bulut güvenliği tedbiri, aşağıdakilerden birini gerçekleştirmeye yönelik olarak çalışır:

  • Veri kaybı durumunda verilerin kurtarılmasını sağlama
  • Kötü amaçlı veri hırsızlığına karşı depolamayı ve ağları koruma
  • Veri sızıntılarına neden olan insan hataları veya dikkatsizliğin önüne geçme
  • Herhangi bir veri veya sistem açığının etkilerini azaltma

Veri güvenliği, bulut güvenliğinde tehdit engellemenin teknik yönünü içeren kısımdır. Araçlar ve teknolojiler, sağlayıcılar ve müşterilerin hassas verilerin erişimi ve görünüm arasına bariyerler eklemesine olanak tanır. Şifreleme, bunlar arasındaki mevcut en güçlü araçlardan biridir. Şifreleme, verilerinizi yalnızca şifreleme anahtarına sahip biri tarafından okunacak şekilde şifreler. Verileriniz kaybolur veya çalınırsa etkin bir şekilde okunamaz ve anlamsız hâle gelir. Veri geçişi korumalarına (ör. sanal özel ağlar [VPN’ler]) da bulut ağlarında önem verilmektedir.

Kimlik ve arişim yönetimi (IAM), kullanıcı hesaplarına sunulan erişilebilirlik özellikleriyle ilgilidir. Kullanıcının kimlik doğrulaması ve yetkilerinin yönetimi de burada geçerlidir. Erişim denetimleri, hem yasal hem de kötü amaçlı kullanıcıların hassas verilere ve sistemlere girip onları açığa çıkarmalarını engeller. Parola yönetimi, çok faktörlü kimlik doğrulaması ve diğer yöntemler de IAM’nin kapsamına girmektedir.

Yönetim; tehditleri engellemeye, tespit etmeye ve azaltmaya yönelik ilkelere odaklanır. SMB ve kuruluşlar sayesinde tehdit istihbaratı gibi özellikler, önemli sistemlerin dikkatli bir şekilde korunmasını sağlamak için tehditleri bulma ve öncelikli hâle getirme konusunda yardımcı olabilirler. Ancak bireysel bulut müşterileri bile güvenli kullanıcı davranışı ilkeleri ve eğitimine değer vermeden faydalanabilirler. Bunlar, çoğunlukla kurumsal ortamlarda geçerlidir ancak güvenli kullanım kuralları ve tehditlere müdahale bütün kullanıcılar için faydalı olabilir.

Veri saklama (DR) ve iş devamlılığı (BC) planlaması, veri kaybı durumunda başvurulabilen teknik olağanüstü durumlardan kurtarma tedbirlerini içerir. DR ve BC planlarının merkezinde, yedeklemeler gibi veri fazlalığı için yöntemler bulunur. Ayrıca kesintisiz işlemler sağlamak için teknik sistemlere sahip olmak da işe yarayabilir. Yedeklemelerin geçerliliğini test etmeye yönelik yapılar ve ayrıntılı çalışan kurtarma yönergeleri de eksiksiz bir BC planı kadar değerlidir.

Yasal uyumluluk, yasama organları tarafından belirlenen kullanıcı gizliliğini koruma ile ilgilidir. Devletler, özel kullanıcı bilgilerinin kâr amaçlı olarak kullanılmasını engellemenin önemini vurgulamaktadır. Bu bakımdan kuruluşların, bu ilkelere bağlı kalmak için yönetmeliklere uymaları gerekir. Bu konudaki bir yaklaşım, şifreleme yöntemleriyle verilerdeki kimlikleri gizleyen veri maskelemenin kullanılmasıdır.

Bulut güvenliğini farklı kılan nedir?

Geleneksel BT güvenliği, bulut tabanlı bilişime geçiş nedeniyle büyük bir evrim yaşadı. Bulut modelleri daha fazla kolaylık sağlarken her zaman açık olan bağlantıların güvende kalması için yeni önlemler gerekmektedir. Modern hâle getirilmiş siber güvenlik olarak bulut güvenliği, birkaç yönden klasik BT modelleri arasında öne çıkıyor.

Veri depolama: En büyük farklılık, eski BT modellerinin ağırlıklı olarak yerinde veri depolamaya bağlı olmasıdır. Kuruluşlar, uzun süre boyunca ayrıntılı ve özel güvenlik denetimleri için tüm şirket içi BT yapılarını oluşturmanın maliyetli ve katı olduğunu fark ettiler. Bulut tabanlı yapılar, sistem geliştirme ve bakım maliyetlerini azaltmaya yardımcı oldu ancak aynı zamanda da kullanıcıların elinden bazı denetimleri de aldı.

Ölçeklendirme hızı: Benzer şekilde, kuruluş BT sistemlerini ölçeklendirirken bulut güvenliği için elsiz dikkat gerekmektedir. Bulut merkezli altyapı ve uygulamalar çok birimseldir ve çok çabuk mobil hâle getirilebilirler. Bu özellik, sistemleri kurumsal değişikliklere eşit oranda uyumlu hâle getirirken bir kuruluşun yükseltme ve kolaylık ihtiyacı, güvenlik teknolojilerine ayak uydurma yeteneklerini geride bırakır.

Son kullanıcı sistemi arayüzü: Bulut sistemleri, hem kurumsal hem de bireysel kullanıcılar için güvenliğinin sağlanması gereken birçok diğer sistem ve hizmete bağlanır. Erişim izinleri, son kullanıcı cihazı düzeyinden yazılım düzeyine ve hatta ağ düzeyine korunmalıdır. Bunun yanı sıra sağlayıcılar ve kullanıcılar, güvenli olmayan kurulum ve sistem erişimi davranışları sebebiyle neden olabilecekleri güvenlik açıklarına karşı dikkatli olmalıdırlar.

Diğer ağ tabanlı verilere ve sistemlere yakınlık: Bulut sistemleri, bulut sağlayıcıları ve bu sağlayıcıların tüm kullanıcıları arasında kalıcı bir bağlantı olduğundan bu önemli ağ, sağlayıcının kendisini bile tehlikeye atabilir. Ağ oluşturma ortamlarında tek bir güçsüz cihaz veya bileşen, diğer cihaz ve bileşenleri etkileyecek şekilde kötü amaçlı olarak kullanılabilir. Bulut sağlayıcıları, veri depolama veya diğer hizmetler sağlayıp sağlamadıklarına bakılmaksızın kendilerini etkileşim kurdukları birçok son kullanıcının tehditlerine karşı açıkta bırakırlar. Ağ güvenliği ile ilgili ek sorumluluklar, farklı bir şekilde sunulan ürünlerin kendileri yerine tamamen son kullanıcı sistemlerinde bulunan sağlayıcılara aittir.

Bulut güvenliğiyle ilgili sorunların çoğunu çözmek, hem kişisel ortamlar hem de iş ortamlarında kullanıcıların ve bulut sağlayıcılarının siber güvenlikteki rolleri konusunda koruyucu tutum sergilemeleri gerektiği anlamına gelir. Bu iki yönlü yaklaşım, kullanıcılar ve sağlayıcıların ortak olarak şu sorunlarla ilgilenmeleri gerektikleri anlamına gelir:

  • Güvenli sistem yapılandırması ve bakımı.
  • Hem davranışsal hem de teknik açıdan kullanıcı güvenliği eğitimi.

Bulut sağlayıcıları ve kullanıcılar, en nihayetinde her iki tarafın da güvenliklerini sağlamak için şeffaf ve güvenilir olmalıdırlar.

Bulut güvenlik riskleri

Bulut bilişimindeki güvenlik sorunları nelerdir? Bu sorunların ne olduğunu bilmiyorsanız nasıl yerinde önlemler alacaksınız? Sonuçta zayıf bulut güvenliği, kullanıcıları ve sağlayıcıları her türden siber güvenlik tehditine açık hâle getirebilir. Yaygın olarak bilinen bazı bulut güvenlik tehditleri şunlardır:

  • Uyumsuz klasik BT yapıları ve üçüncü taraf veri depolama hizmeti kesintileri dâhil bulut tabanlı altyapı riskleri.
  • Kullanıcı erişimi denetimlerinin yanlış yapılandırılması gibi insan hatası kaynaklı dâhilî tehditler.
  • Kötü amaçlı yazılımkimlik avıve DDoS saldırıları gibi kötü amaçlı etmenlerin neredeyse özellikle neden olduğu haricî tehditler.

Bulut ile ilgili en büyük risk çevre ağın olmamasıdır. Geleneksel siber güvenlik çevrenin korunmasına odaklanır ancak bulut ortamları yüksek oranda bağlı olduğundan güvenli olmayan API’lerin (Uygulama Programlama Arayüzleri) ve hesap çalmanın gerçek sorunlara yol açabileceği anlamına gelir. Bulut bilişim güvenlik riskleriyle karşı karşıya olan siber güvenlik uzmanları, veri merkezli bir yaklaşım benimsemelidir.

Birbirine bağlı olma durumu, ağlar için de sorun yaratır. Kötü amaçlı unsurlar, genelde gizliliği ihlal edilmiş veya zayıf kimlik bilgileri aracılığıyla ağları ele geçirirler. Bir korsan erişim sağlamayı başardığında farklı veri tabanlarındaki veya düğümlerdeki verileri bulmak için bulutta yeterince korunmayan arayüzleri kolayca genişletebilir ve kullanabilir. Kendi bulut sunucularını, çaldıkları verileri dışa aktarabilecekleri ve depolayabilecekleri bir hedef olarak bile kullanabilirler. Yani güvenlik bulutta olmalı, yalnızca bulut verilerinize erişimi korumak için kullanılmamalıdır.

Verilerinizin üçüncü taraflarca depolanması ve internet aracılığıyla verilere erişim de tehdit oluşturmaktadır. Herhangi bir nedenle bu hizmetler kesintiye uğrarsa verilere erişiminiz kaybolabilir. Örneğin, telefon ağında gerçekleşen bir kesinti çok önemli bir anda buluta erişememeniz anlamına gelebilir. Elektrik kesintileri, buna ek olarak verilerinizin depolandığı veri merkezini etkileyerek olası kalıcı veri kayıplarına yol açabilir.

Bu tür kesintilerin daha uzun vadeli etkileri olabilir. Amazon bulut veri tesisinde yakın zamanda meydana gelen bir elektrik kesintisi, sunucular donanım hasarına maruz kaldığından bazı müşteriler için veri kaybına neden oldu. Bu, verilerinizin ve uygulamalarınızın en azından bazılarının yerel yedeklerine neden sahip olmanız gerektiğine iyi bir örnektir.

Bulut güvenliği neden önemlidir?

1990’larda işle ilgili ve kişisel veriler yerel olarak saklanıyordu ve güvenlik de yereldi. Veriler, evdeki bir bilgisayarın dâhilî depolamasında ve bir şirket için çalışıyorsanız şirketin sunucularında saklanıyordu.

Bulut teknolojisinin gelişiş, herkesi siber güvenlik konusunu yeniden değerlendirmeye zorladı. Verileriniz ve uygulamalarınız yerel ve uzak sistemler arasında, her zaman internet erişiminin olduğu bir ortamda dolaşıyor. Akıllı telefonunuzda Google Dokümanlar’a erişiyorsanız veya müşterilerinize hizmet vermek için Salesforce yazılımını kullanıyorsanız bu veriler her yerde tutulabilir. Dolayısıyla onları korumak, istenmeyen kullanıcıların ağınıza erişmesini engellemekten daha zor hâle gelir. Bulut güvenliği için bazı eski BT uygulamalarını düzenlemek gerekir ancak iki önemli sebepten ötürü bu konu çok daha ciddi bir hâl almıştır:

  1. Güvenlik yerine kolaylık.Bulut bilişim, hem iş yeri kullanımı hem de bireysel kullanım için birincil yöntem olarak hızla büyüyor. Yenilikler, yeni teknolojinin endüstri güvenlik standartlarının karşılayabileceğinden daha hızlı uygulanmasını sağlarken kullanıcılar ile sağlayıcılara erişilebilirlik risklerini değerlendirme konusunda daha fazla sorumluluk yükledi.
  2. Merkezileşme ve çok kiracılı depolama.Temel altyapıdan e-postalar ve belgeler gibi küçük verilere kadar her bileşen, artık 7/24 hizmet veren web tabanlı bağlantılar aracılığıyla uzaktan bulunabilir ve erişilebilir. Birkaç önemli hizmet sağlayıcının sunucularında toplanan tüm bu veriler son derece tehlikeli olabilir. Saldırganlar, artık çok kurumlu büyük veri merkezlerini hedef alabilir ve büyük veri ihlallerine neden olabilir.

Ne yazık ki kötü amaçlı saldırganlar, bulut tabanlı hedeflerin değerinin farkına varıp onlardan daha fazla faydalanmaya başladılar. Bulut sağlayıcıları, müşteriler için üstlendikleri güvenlik rollerine rağmen her şeyi yönetmiyorlar. Bu, teknik açıdan yeterli bilgiye sahip olmayan kullanıcıların bile bulut güvenliği konusunda kendilerini eğitmelerini zorunlu kılıyor.

Bununla birlikte kullanıcılar, bulut güvenliği sorumlulukları konusunda yalnız değiller. Güvenlik görevlerinizin kapsamının farkında olmak, bütün sistemin daha güvenli olmasına yardımcı olacaktır.

Bulut güvenliği sorunları – gizlilik

Son kullanıcıları hassas verilerinin satışından ve paylaşımından korunmasına yardımcı olmak için kanunlar çıkarılmıştır. Genel Veri Koruma Yönetmeliği (GDPR) ve Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA), gizliliği korumak için kendi görevlerini yerine getirirken verilerin saklanma ve verilere erişme yollarını kısıtlar.

Veri maskeleme gibi kimlik yönetimi yöntemleri, tanımlanabilir özellikleri GDPR uyumluluğu için kullanıcı verilerinden ayırmak amacıyla kullanılmıştır. Sağlık tesisleri gibi kuruluşlar, HIPAA uyumluluğu için sağlayıcılarının da veri erişimlerini kısıtlamada üzerlerine düşen görevi yaptıklarından emin olmalıdır.

CLOUD yasası, bulut sağlayıcılarına bağlı kalabilecekleri kendi yasal sınırlamalarını sağlar ve bu da muhtemelen kullanıcı gizliliğinin ihlaline mal olur. ABD federal yasaları, artık bulut sağlayıcısı sunucularından istenen verileri talep etmek için federal düzeyde hukuki yaptırımlara izin veriyor. Bu, soruşturmaların etkin bir biçimde ilerlemesine olanak sağlayabilirken bazı gizlilik haklarının ihlal edilmesine ve yetkilerin kötüye kullanılmasına yol açabilir.

Bulut Güvenliğini Sağlama

Neyse ki buluttaki verilerinizi korumak için yapabileceğiniz çok şey vardır. Popüler yöntemlerden birkaçına göz atalım.

Şifreleme, bulut bilişim sistemlerini korumanın en iyi yollarından biridir. Şifrelemeyi kullanmanın birkaç farklı yolu mevcuttur ve bunlar, bir bulut sağlayıcısı veya ayrı bir bulut güvenlik çözümleri sağlayıcısı tarafından sunulabilir:

  • Bulutun tamamında iletişim şifrelemesi.
  • Hesap kimlik bilgileri gibi özellikle hassas olan verilerin şifrelenmesi.
  • Buluta yüklenen tüm verilerin uçtan uca şifrelenmesi.

Bulut içinde hareket hâlindeyken verinin ele geçirilme riski daha fazladır. Bir depolama konumu ile diğeri arasında taşınırken veya uygulamanıza aktarılırken verileriniz savunmasızdır. Bu nedenle uçtan uca şifreleme, önemli veriler için en iyi bulut güvenlik çözümüdür. Uçtan uca şifreleme ile iletişimleriniz, şifreleme anahtarınız olmadan hiçbir noktada dışarıdakilerin erişimine açık olmaz.

Bulutta depolamadan önce verilerinizi kendiniz şifreleyebilir veya hizmetin bir parçası olarak verilerinizi şifreleyecek bir bulut sağlayıcısı kullanabilirsiniz. Bununla birlikte, bulutu yalnızca şirket grafikleri veya videolar gibi hassas olmayan verileri depolamak için kullanıyorsanız uçtan uca şifreleme gereğinden fazla güvenlik sağlayabilir. Öte yandan finansal, gizli veya ticari açıdan hassas bilgiler için hayati önem taşır.

Şifreleme kullanıyorsanız şifreleme anahtarlarınızın güvenli ve emniyetli bir şekilde yönetilmesinin çok önemli olduğunu unutmayın. Bir yedek anahtar tutun ve bunu mümkünse bulutta muhafaza etmeyin. Ayrıca şifreleme anahtarlarınızı düzenli olarak değiştirmek isteyebilirsiniz; böylece birinin bunlara erişmesi durumunda başka bir anahtara geçiş yaptığınızda sistem kilitlenir.

Yapılandırma, bulut güvenliğinde güçlü olan başka bir uygulamadır. Bulutta gerçekleşen birçok veri ihlali, yanlış yapılandırma hataları gibi temel güvenlik açıklarından kaynaklanır. Bu hataların önüne geçerek bulut güvenlik risklerinizi büyük ölçüde azaltmış olursunuz. Bunu tek başına yapabilip yapamayacağınızdan emin değilseniz ayrı bir bulut güvenlik çözümleri sağlayıcısı kullanmayı düşünebilirsiniz.

Uygulayabileceğiniz bazı ilkeleri aşağıda görebilirsiniz:

  1. Varsayılan ayarları asla olduğu gibi bırakmayın. Varsayılan ayarları kullanmak, korsanlara doğrudan açık kapı bırakır. Bu işlemi, korsanların sisteminize girmesini karmaşıklaştırmak için yapmaktan kaçının.
  2. Bulut depolama gruplarını asla açık bırakmayın.Bu sayede korsanlar, yalnızca depolama grubunun URL’sini açarak içeriği görebilir.
  3. Bulut satıcısı, açabileceğiniz güvenlik denetimleri verirsebunları kullanın. Doğru güvenlik seçeneklerini seçmemek sizi riske atabilir.

Bulut uygulamalarına temelsiber güvenlik ipuçları da eklenmelidir. Bulutu kullanıyor olsanız bile standart siber güvenlik uygulamalarını göz ardı etmemelisiniz. Bu nedenle, çevrimiçi dünyada olabildiğince güvende kalmak istiyorsanız aşağıdakileri yapmayı düşünebilirsiniz:

  • Güçlü parolalar kullanın.Harfler, rakamlar ve özel karakterlerin bir karışımını kullanmak, parolanızın kırılmasını zorlaştıracaktır. S harfini $ sembolü ile değiştirmek gibi yaygın kullanımlardan kaçınmaya çalışın. Dizeleriniz ne kadar rastgele olursa o kadar iyidir.
  • Bir parola yöneticisi kullanın.Kullandığınız her uygulama, veri tabanı ve hizmet için ayrı parolalar belirleyebilir ve hepsini hatırlamak zorunda kalmazsınız. Ancak parola yöneticinizi güçlü bir ana parolayla koruduğunuzdan kesinlikle emin olmalısınız.
  • Akıllı telefonlar ve tabletler dâhil olmak üzere bulut verilerinize erişmek için kullandığınız tüm cihazları koruyun. Verileriniz çok sayıda cihazda senkronize ediyorsanız bunlardan herhangi biri dijital ayak izinizin tamamını riske atan zayıf bir bağlantı olabilir.
  • Bulut sağlayıcınızda bir kesinti veya veri kaybı olması durumunda verilerinizi tamamen geri yükleyebilmeniz için düzenli olarak yedekleyin. Bu yedekleme, iki bulut sağlayıcısının da altyapıyı paylaşmadığından emin olduğunuz sürece evinizdeki bilgisayarda, haricî bir sabit sürücüde veya hatta buluttan buluta bile olabilir.
  • Gerekli olmadığı sürece herhangi bir kişinin veya cihazın tüm verilerinize erişmesini önlemek için izinleri değiştirin. Örneğin, işletmeler bunu veri tabanı izin ayarları aracılığıyla yapar. Ev ağınız varsa çocuklarınız, IoT cihazları ve televizyonunuz için konuk ağları kullanın. “Tüm alanlara erişim” kartınızı kendi kullanımınız için kaydedin.
  • Virüs ve kötü amaçlı yazılımdan koruma yazılımlarıyla kendinizi koruyun. Kötü amaçlı yazılımlar sisteminize girerse korsanlar hesabınıza kolayca erişebilir.
  • Özellikle güçlü bir kimlik doğrulaması kullanmıyorsa verilerinize herkese açık bir Wi-Fi bağlantısı kullanarak erişmekten kaçının. Ancak bulutun ağ geçidini korumak için bir sanal özel ağ (VPN)kullanın.

Bulut depolaması ve dosya paylaşımı

Bulut bilişim güvenlik riskleri, işletmelerden bireysel müşterilere kadar herkesi etkileyebilir. Örneğin tüketiciler, bulutu dosya depolamak ve yedeklemek (Dropbox gibi SaaS hizmetlerini kullanarak), e-posta ve ofis uygulamaları gibi hizmetlerden yararlanmak veya vergi formları ve hesapları oluşturmak için kullanabilir.

Bulut tabanlı hizmetler kullanıyorsanız, özellikle de danışman veya serbest çalışan olarak çalışıyorsanız, bulut verilerini başkalarıyla nasıl paylaşacağınızı da düşünmeniz gerekebilir. Google Drive’da veya başka bir hizmette dosya paylaşmak, çalışmalarınızı müşterilerle paylaşmanın kolay bir yolu olsa da izinleri düzgün şekilde yönetip yönetmediğinizi kontrol etmeniz gerekebilir. Sonuçta farklı müşterilerin birbirlerinin isimlerini veya dizinlerini görememelerini ya da başkalarının dosyalarını değiştirememelerini sağlamak istersiniz.

Bu yaygın bulut depolama hizmetlerinin çoğunun verileri şifrelemediğini unutmayın. Verilerinizi şifreleme ile güvende tutmak istiyorsanız verileri yüklemeden önce bunu yapmak için şifreleme yazılımı kullanmalısınız. Daha sonra müşterilerinize bir anahtar vermeniz gerekir, aksi takdirde dosyaları okuyamazlar.

Bulut sağlayıcınızın güvenliğini kontrol edin

Söz konusu bir bulut güvenliği sağlayıcısı olduğunda dikkate alınması gereken temel noktalardan biri güvenlik olmalıdır. Siber güvenliğiniz artık sadece sizin sorumluluğunuz değildir: Bulut güvenliği şirketleri, güvenli bir bulut ortamı oluşturma ve veri güvenliği sorumluluğunu paylaşma konusunda üzerine düşeni yapmalıdır.

Ne yazık ki bulut şirketleri, size ağ güvenliklerinin taslaklarını vermezler. Bu, bir bankanın size kasalarının bilgilerini, kasanın şifresiyle birlikte vermesine eş değerdir.

Ancak bazı temel sorular için doğru cevapları almak, bulut varlıklarınızın güvende olacağına dair size daha fazla güven verir. Buna ek olarak sağlayıcınızın, belirgin bulut güvenliği riskleriyle doğru bir şekilde ilgilenip ilgilenmediği konusunda daha bilinçli olursunuz. Bulut sağlayıcınıza aşağıdaki sorulardan bazılarını sormanızı öneririz:

  • Güvenlik denetimleri:“Güvenliğinizde düzenli olarak haricî denetimler yapıyor musunuz?”
  • Verileri bölümlere ayırma:“Müşteri verileri mantıksal olarak bölümlere ayrılıyor ve ayrı muhafaza ediliyor mu?”
  • Şifreleme:“Verilerimiz şifreleniyor mu? Verilerimizin hangi kısımları şifreleniyor?”
  • Müşteri verilerinin saklanması:“Hangi müşteri veri saklama ilkeleri uygulanıyor?”
  • Kullanıcı verilerinin saklanması:“Bulut hizmetinizden ayrılırsam verilerim tamamen silinir mi?”
  • Erişim yönetimi:“Erişim hakları nasıl kontrol ediliyor?”

Aynı zamanda sağlayıcınızın hizmet koşullarını (TOS) da okuduğunuzdan emin olun. TOS belgelerini okumak, tam olarak istediğiniz ve ihtiyacınız olan hizmeti aldığınızı anlamak açısından çok önemlidir.

Sağlayınızla birlikte kullanılan tüm hizmetleri öğrenmeyi de unutmayın. Dosyalarınız Dropbox’ta veya iCloud’da (Apple’ın depolama bulutu) yedekliyse bu, aslında Amazon’un sunucularında tutuldukları anlamına gelebilir. Bu nedenle doğrudan kullandığınız hizmetin yanı sıra AWS’yi de kontrol etmeniz gerekir.

Karma Bulut Güvenliği Çözümleri

Karma bulut güvenliği hizmetleri, KOBİ ve kurumsal alanlardaki müşteriler için çok akıllıca bir tercihtir. Bu çözümler kişisel kullanım için genel anlamda çok karmaşık olduğundan KOBİ ve kurumsal uygulamalar için en uygun olanlardır. Ancak belirli verilerin yerinde denetimi ile bulutun ölçek ve erişebilirliğini birlikte yine bu kuruluşlar kullanabilir.

Karma bulut güvenliği sistemlerinin avantajlarından bazıları şunlardır:

Hizmetlerin bölümlere ayrılması, kuruluşların verilerine erişim ve verileri depolama yöntemlerini kontrol etmelerine yardımcı olabilir. Örneğin, diğer verileri, uygulamaları ve işlemleri buluta aktarırken hassas verileri şirket içinde tutmak, güvenliğini uygun şekilde katmanlandırmanıza yardımcı olabilir. Ayrıca verileri ayırmak, kuruluşunuzun veri yönetmeliklerine daha uygun olmasını da sağlayabilir.

Yedekleme, karma bulut ortamları aracılığıyla da gerçekleştirilebilir. Kuruluşlar, genel bulut sunucularının günlük işlemlerinden faydalanarak ve yerel veri sunucularındaki sistemleri yedekleyerek bir veri merkezinin çevrimdışı duruma getirilmesi veya fidye yazılımı tehlikesi durumunda operasyonlarını sürdürebilirler.

KOBİ Bulut Güvenliği Çözümleri

İşletmeler özel bir bulut kullanmakta ısrarcı olabilirken (kendi ofis binasına veya tesisine sahip olmanın internet eş değeri), bireyler ve küçük işletmeler genel bulut hizmetleriyle çalışmak zorundadır. Bu, yüzlerce başka kiracı ile bir ofis paylaşmak veya bir apartman dairesinde yaşamak gibidir. Dolayısıyla güvenliğinizin birincil öneme sahip olması gerekir.

Küçük ve orta boyutlu işletme uygulamalarında bulut güvenliğinin çoğunlukla kullandığınız ortak sağlayıcılarda olduğunu görebilirsiniz.

Fakat kendinizi güvende tutmak için alabileceğiniz bazı önlemler mevcuttur:

  • Verileri çok kiracılı olarak bölümlere ayırma:İşletmeler, verilerine bulut tedarikçilerinin diğer müşterileri tarafından erişilemeyeceğinden emin olmalıdır. Bölümlere ayrılmış sunucularda barındırılıyor olmasına veya dikkatli bir şekilde şifrelenmesine bakılmaksızın bölümlere ayırma önlemlerinin uygun olduğundan emin olun.
  • Kullanıcı erişimi kontrolleri:İzinlerin kontrol edilmesi, kullanıcı erişimini uygun olmayan bir düzeye kısıtlama anlamına gelebilir. Ancak kısıtlamalara gitmek ve bir denge tutturabilmek için geriye dönük olarak çalışmak, zayıf izinlerin ağınıza işlemesine izin vermekten çok daha güvenlidir.
  • Yasal veri uyumluluğu:Verilerinizin GDPR gibi uluslararası yönetmeliklere uygun olmasını sağlamak, ağır cezalardan kaçınmak ve itibarınızın hasar görmesini önlemek açısından çok önemlidir. Veri maskeleme ve hassas verilerin sınıflandırılması gibi tedbirlerin kuruluşunuz için bir öncelik olduğundan emin olun.
  • Bulut sistemlerinin dikkatli bir şekilde ölçeklendirilmesi:Bulut sistemlerinin hızlı bir şekilde uygulandığından kuruluşunuzun sistemlerini kolaylık yerine güvenlik açısından kontrol etmeyi unutmayın. Bulut hizmetleri hızlı bir şekilde genişleyerek yönetmelik içermeyen noktalara gelebilir.

Kurumsal Bulut Güvenliği Çözümleri

Bulut bilişim artık büyük işletmelerin %90’ından fazlası tarafından kullanıldığı için bulut güvenliği, kurumsal siber güvenliğin hayati bir parçasıdır. Özel bulut hizmetleri ve maliyeti daha yüksek olan diğer altyapılar, kurumsal düzeydeki kuruluşlar için uygun olabilir. Ancak şirket içi BT personelinin ağlarınızdan oluşan bütün yüzey alanınızın bakımını yaptığından emin olun.

Bulut güvenliği, altyapınıza yatırım yapmanız durumunda büyük ölçekli kurumsal kullanımlar için çok daha fazla esnek olabilir.

Unutulmaması gereken birkaç önemli nokta var:

  • Hesaplarınızı ve hizmetlerinizi aktif bir şekilde yönetin: Artık bir hizmet veya yazılım kullanmıyorsanız uygun şekilde kapatın. Korsanlar, onarılmamış güvenlik açıkları üzerinden eski ve kullanılmayan hesaplara ulaşarak bütün bir bulut ağına erişebilirler.
  • Çok faktörlü kimlik doğrulaması (MFA):Bu, parmak izi gibi biyometrik veriler veya mobil cihazınıza gönderilen bir şifre ve ayrı bir kod olabilir. Zaman alıcı olsa da en hassas verileriniz açısından kullanışlıdır.
  • Karma bulutun maliyetlerini ve avantajlarını değerlendirin:Verilerinizi bölümlere ayırmak, çok daha büyük miktarlarda veriyi işleyebilmenizi sağlayacağından kurumsal kullanımda çok daha önemlidir. İster ayrı olarak şifrelenmiş ister ayrı bir depolama için mantıksal olarak bölümlere ayrılmış olsun, verilerinizin diğer müşterilerin verilerinden ayrı tutulduğundan emin olmalısınız. Karma bulut hizmetleri, bu konuda size yardımcı olabilir.
  • Gizli BT’ye karşı dikkatli olun:Ağlarınızda veya şirket işleri için yetkisiz bulut hizmetlerini kullanmaktan kaçınmaları konusunda çalışanlarınızı eğitmek çok önemlidir. Hassas veriler güvenli olmayan kanallar üzerinden gönderilirse kuruluşunuz kötü amaçlı unsurlara veya yasal sorunlara karşı açıkta olabilir.

Bu nedenle bireysel bir kullanıcı, KOBİ kullanıcısı veya hatta Kurumsal düzeyde bir bulut kullanıcısı olup olmamanıza bakılmaksızın ağınızın ve cihazlarınızın mümkün olduğu kadar güvende olduğundan emin olmak çok önemlidir. Bu, bireysel bir kullanıcı düzeyinde temel siber güvenliği iyi bir şekilde anlayıp ağınızın ve tüm cihazlarınızın bulut için oluşturulmuş sağlam bir güvenlik çözümü kullanılarak korunmasını sağlamakla başlar.

 

FacebookTwitterPinterestEmail