Ne zaman “bulut teknolojisi” kelimelerini
cümle içerisinde kursam karşımdakilerin önemli bir kısmından verileri veya
uygulamaları buluta taşımanın ne kadar güvensiz olduğu konusunda uzunca bir
nutuk dinliyorum.
Resim 1: Dost ve düşman bulutlar (temsili ve evet bunları çizmeyi seviyorum)
Bulut teknolojisinin diğer teknolojilerden ne
daha güvenli ne de daha güvensiz olduğunu düşündüğüm için hem mevcut tehditleri
sıralamak hem de bazı güvenlik önerilerinde bulunmak istiyorum.
Tehlikeyi anlamak
Başkaların verilerinize ulaşabilir,
değiştirebilir veya silebilir
Söz konusu verilerimizi ve sistemlerimizi
buluta taşımak olduğunda kuşkusuz en büyük korkumuz verilerimizin başkasının
eline geçmesidir. Yaşanan büyük güvenlik ihlalleri (target, iCloud, vb.) etrafında
yaşanan tartışmaların ateşi henüz geçmedi. Bulut üzerinde bulunan verilerin platform,
başka kullanıcıların hataları veya yanlış kurulumlar nedeniyle erişilebilir
hale gelmesi ne yazık ki mümkündür.
Verilere erişebilen saldırganların bunları
silmesi veya duruma göre değiştirmesi de mümkün olabilir.
Hesabınızı ele geçirebilirler
Oltalama (phishing) benzeri sosyal mühendislik
saldırıları veya güvensiz bir ağ üzerinden bağlanmanız durumunda; doğrudan ağ
üzerindeki iletişiminizi yakalayarak, buluttaki verilere veya sistemlere
ulaşmak için kullandığınız bilgiler (kullanıcı adı ve parola) elde edilebilir.
Bu durumda saldırganlar aynı bilgileri kullanarak sistemlerinize erişim
kazanmış olur.
Güvensiz API’ler
API’ler (Application Programming Interface –
Uygulama Programlama Arayüzü) buluttaki sistemlerinizi yerel ağdaki sistemlerle
veya buluttaki başka sistemlere entegre etmek için çok kullanışlıdır. Ancak
zayıf bir API, buluttaki sistemlerinizin kapısını saldırganlara açabilir. Bunun
en “güzel” örneklerinden birisi iCloud hadisesidir.
Hizmet dışı bırakma
Önemli iş süreçlerini buluta taşıdıktan sonra
başımıza gelebilecek en kötü şeylerden birisi de bu sistemlere erişememektir.
Yeterince önlem alınmazsa hizmet dışı bırakma saldırısı (DoS/DDoS – Denial of
Service/Distributed Denial of Service) karşısında elimiz kolumuz bağlı
oturmaktan başka çaremiz kalmaz.
Yetersiz hazırlık
Buluta taşınacak sistemlerin doğru analiz
edilmesi ve uygun bulut mimarisinin seçilmesi sadece performansı değil, aynı
zamanda buluttaki verilerin ve sistemlerin güvenliğini de doğrudan etkiler.
Bulutta alınacak güvenlik tedbirlerinin yerel ağ üzerindekilerden farklı
olduğunun, sunucu ve veri tabanı mimarilerinin de farklılık gösterebileceğinin
anlaşılması gerekiyor.
Yukarıda saydıklarımın dışında içeriden
birinin bilgi sızdırması, yetersiz şifreleme teknolojileri, basit parola
kullanımı gibi genel geçer güvenlik zafiyetlerinin de bulutta mevcut olduğunu
hatırlatmakta fayda görüyorum.
Güvenlik için Önlem Almak
Verilerinizin ve sistemlerinizin bulutta
güvende olmasını sağlamak için bulut hizmetini aldığınız yerin de üzerine düşen
şeyler var. Bu listedekileri teyit ederek doğru bir şirketten bulut hizmeti
aldığınızı kontrol edebilirsiniz.
Hareket halindeki verinin korunması
Veri bir
yerden başka bir yere transfer edilirken gerekli şifreleme ve kimlik doğrulama
önlemleri alınmalıdır. Veri transferi sırasında üçüncü kişilerce verinin
değiştirilmesi veya okunmasının önüne geçilmelidir.
Fiziksel güvenlik
Verilerin tutulduğu
platformların fiziksel güvenliği sağlanmalıdır. Sunucuların veya bulut
platformunun çalınması, zarar görmesi veya değiştirilmesi bilgi güvenliği
ihlaliyle sonuçlanabilir.
Kullanıcıların ayrılması
Saldırganların aynı
bulut yapısını kullanan başka bir kullanıcıya sızmaları veya aynı bulut yapısı
üzerinde kendilerine kullanıcı açması halinde bu hesaptan sizin verilerinize
ulaşamamaları gerekir.
Bilgi güvenliği yönetimi
Bulut hizmeti
alacağınız firmanın bu yapıyı nasıl yönettiğinin ve gerekli bilgi güvenliği
yönetimi süreçlerinin var olduğundan emin olunmalıdır.
Güvenlik süreçleri
Bulut hizmetini aldığınız
firmanın bilgi güvenliğine ilişkin süreçleri de oturmuş olmalıdır. Örneğin
sızma girişimlerini nasıl yönetiyorlar? DDoS (Dağıtık Hizmet Dışı Bırakma)
saldırılarına karşı nasıl bir eylem planları var? Gibi soruların cevapları net
olmalıdır. “Bize kimse saldırmıyor”, “o işe bakan bir ekip var ama başka
şehirdeler”, “çok sağlam heykır bir arkadaş var, o koruyor”, “mikrotik (jenerik
üretici adı anlamında) var be yeeaaa” gibi cevaplarla karşılaşırsanız bulut
teknolojisine geçmek için çok yanlış yerdesiniz, koşar adımlarla uzaklaşmanızda
fayda var.
Personel güvenliği
Bulut hizmeti aldığınız
veri merkezinin personelinin gerekli güvenlik kontrollerinden geçmiş, “düzgün”
tabir edebileceğimiz kişilerden oluşmasında fayda var. Bunu anlamak için bulut
hizmeti almayı düşündüğünüz firmanın işe alım prosedürlerini ve referans
kontrollerinin yapılıp yapılmadığını sormanın faydası olabilir.
Güvenilir uygulamalar
Bir uygulamayı buluta
taşıyacaksanız bütün dünyanın buna erişimi olabileceğini düşünmenizde fayda
var. Bu nedenle bulut üzerinde çalıştıracağınız uygulamanın kaynak kod analizin
ve güvenlik testlerinin yapılmış olmasında fayda var.
Güvenlik yönetimi: Bulut yapısını kullananlara
kendi güvenliklerini sağlamak için gerekli yönetim arayüzlerinin ve hayati
gelişmeleri takip edebilecekleri ekranların sunulması önemlidir.
Yetkili erişim
Bulut yapısına ve bulut yapısı
üzerinde çalışan sistemlere erişimin sadece yetkili kişilerle sınırlandırılmış
olması önemlidir.
Dışarıya bakan arayüzlerin güvenliği
Bulut
platformunun internete bağlı olan her noktası için gerekli güvenlik önlemleri
alınmalıdır. Örnek olarak web tarayıcısı ile port 80 üzerinden erişenleri ülke
bazında sınırlandırdıysak SSH ve RDP bağlantıları için de benzer önlemlerin
alınması gereklidir.
Güvenli hizmet verme
Bulut hizmeti aldığınız
firmanın düzenli olarak güvenlik testlerini yaptırması ve güvenlik altyapısı
konusunda gerekli yatırımları ve iyileştirmeleri yapıyor olması önemlidir.
Kullanım kılavuzunu okuyun
Hizmet
şartlarınızı, sözleşmeyi ve size bulut hizmeti veren firma ile aranızdaki
SLA’yi (Service Level Agreement – servis şartlarını düzenleyen anlaşma)
dikkatle okuyun. Okurken aklınıza yatmayan veya size uygun olmayan bir şart
varsa buna mutlaka açıklık getirin. “Orada öyle yazıyor da biz pek şeyapmıyoruz
be yeeaaa” türü açıklamalar yapılır koşarak uzaklaşın.
İhtiyaç duyduğunuz güvenlik seviyesini
belirleyin
Buluta taşımak istediğiniz verileri veya sistemlerin ne kadar
önemli olduğuna göre ihtiyacınız olan güvenlik seviyesini belirlemelisiniz.
“güvende olmalı” gibi genel bir yaklaşımdan ziyade basit bir tablo ile en
kritik yönlerini ve tehdit oluşturabilecek zafiyetleri listelemek ve bunları
adreslemek gerekir.
Varsayımda bulunmayın
Hizmet aldığınız
şirketin hiç bir şey yaptığını varsaymayın, her şeyi sorun ve belgeleyin.
Bulut konusunda temel görüşüm, buluta taşınan
verilerinizin, en az kendi ağınızda olduğu kadar, genellikle de daha güvende
olduğudur. Doğru bir firmadan hizmet alırsanız ve sistemlerinizin güvenliğine özen
gösterirseniz güvenlik seviyeniz artacaktır.
No comments:
Post a Comment