Bulut teknolojileri geçici bir akım değil tam tersine farklı ölçeklerdeki ekonomileri birleştiren ve çığır açıcı teknolojik gelişmelerin kurumlarda kullanılmasını sağlayan muazzam bir güçtür…
Bulut teknolojileri o kadar hızlı gelişmektedir ki, birçok kurum bu yeni teknolojik gücü günlük operasyonlarının bir parçası haline getirmek için kıyasıya rekabet içerisindedir. İş dünyası ve güvenlik liderleri mevcut bilişim teknolojileri çevrelerini koruma altına alma için zaten büyük bir mücadele veriyor. Diğer taraftan sürekli büyümekte olan bulut çevresi yeni bir tip riski de gündeme getiriyor. Artık güvenlik liderleri çoklu bulut hizmetleri ve onların desteklediği uygulamalar ve altyapıyı güvenlik altına almak gibi bir sorumluluğu üstleniyorlar.
Bulut hizmetlerinin güvenlik ihtiyacı
Bulut hizmetleriyle birlikte artan iş süreçlerinin bulut çevresinde güvenli veri hizmeti sunan organizasyonlarla birlikte yürütülmesi gerekiyor. Ancak bulut hizmetlerini kullanırken kurumlar bulut servis sağlayıcılarına (CSP) ne derece güvenebileceklerinden emin olamıyorlar. CSP’ler genellikle birçok araştırmaya dayalı olarak belirli bir oranda güvenlik sağlasalar da bulut üzerinde ne yazık ki olumsuz olaylar yaşanıyor.
CSP’ler tek başına müşterinin kritik bilgi içeren verilerinin güvenliğinden sorumlu olmamalı. Unutulmamalıdır ki bulut güvenliği CSP’ler adar müşterinin de güvenlik kontrollerini ne derece doğru uyguladığı ile ilgili bir konudur. Elbette bulut çevresi son derece karmaşık ve değişkendir. Bu da en derin güvenlik kontrollerinin devamlı şekilde uygulandığı bir yaklaşım gerektirir. Kurumların kendi payına düşen sorumluluğu bilerek hareket etmeleri siber saldırıların önüne geçmek için hayati önem taşır.
Bulut hizmetlerinin önemli noktaları
Kurumlar bulut hizmetlerine özellikle görece düşük maliyetler nedeniyle hızlıca adaptasyon sağladılar. Bulut hizmetleri kurumlara çağ dışı kalmış uygulama sistemlerini değiştirmeleri için bir fırsat da sundu. Fakat, çoklu bulut hizmetlerinde güvenliği sağlamak değişkenli gösteren emsali bulunmayan özellikler nedeniyle hiç de kolay değil.
Bulut hizmetleri, iş uygulamaları, belge depolama çözümleri, veri tabanı ve sanal sunucular gibi çok geniş bir yelpazede kullanılıyor. Bu hizmetlerin hepsi de ihtiyaç anında CSP üzerinden kolaylıkla satın alınıp sisteme dahil edilebiliyor.
Kurumlar bulut hizmetlerini kullandıkça operasyonlarını daha etkili şekilde yürütebiliyor. Daha iyi iş yapan kurumlar bulut hizmetlerini geleneksel yöntemlerle kıyaslayıp öne çıkarıyorlar. Hatta birçoğu bulut öncelikli bir politika benimsiyor. Sayısız kurumda bu dönüşüm süreci yaşandı ve yaşanıyor. Bu kurumların büyük çoğunluğu bilişim departmanlarının altyapısını eninde sonunda bulut ortamına taşıyacaklarının farkında.
Çoklu bulut çözümlerinin yükselişi
Kurumlar yeni bulut hizmetlerini kullanmayı tercih ettikçe birçok CSP arasından seçim yapıyorlar. Bu yüzden kurumların artık karakteristik olarak en az iki CSP ile hareket ettiğini söyleyebiliriz. Kurumlar elbette ihtiyaçları doğrultusunda AWS, Microsoft Azure, Google Cloud veya Salesforce gibi farklı CSP’ler arasında seçim yapmaktan şikayetçi değil. Fakat her sağlayıcının kendine has bir uygulama teknoloji stili olduğu için güvenlik yönetimi de farklılık gösteriyor. Bulut müşterileri bu nedenle farklı CSP’leri güvenle kullanmak için geniş bilgi ve beceri birikimine sahip olmaları gerekiyor.
Kurumlar bulut hizmetlerine güvenli olarak erişim sağlamak için kurum içerisinde güvenli bir ağ bağlantısına sahip en az birkaç kişiye ihtiyaç duyar. Ancak bulut özelliği gereği dışarıdan da erişime açık bir yapıdır. Bazıları çeşitli nedenlerle uzaktan çalışmak durumunda olabilirler. İşte tüm bu kişilerin güvenliğini sağlamak için kurumlar güvenli ağ bağlantısını kurmak zorundadır.
Bulut güvenlik sorunlarının üstesinden gelmek
CSP’ler bulut hizmetleri için belli bir seviyede güvenlik sağlasalar da kurumlar da kendi güvenlik kurallarını belirleyip gerekli güvenlik kontrollerini yürürlüğe sokmalı. Bu dediğimizin başarılı olması için kurumların bulut ortamındaki güvenlik sorunlarını çok iyi kavrayıp çalışanların tamamına doğru aktarması gerekiyor. Uluslararası Güvenlik Forumu (ISF) üyelerimizden, bulut ortamında güvenli bir şekilde operasyon yürütmek için birkaç kritik nokta:
*Uygun güvenlik kontrollerini tanımlayıp sağlamak
*CSP’ler ve müşteriler arasındaki güvenlik sorumluluklarını dengelemek
*Bulut ortamındaki hassas verinin korunması yönünde yeni kurallar hazırlanamak
Bulut kullanımındaki hızlı artış bu zorlukların aşılmasını güçleştiriyor. Bazı durumlarda kurumlar hazırlıksız yakalanıp güvenlik açığı verebiliyor.
Bulut hizmetlerini güvenli altına almak CSP’ler ve bulut müşterileri arasında paylaşılması gereken bir sorumluluktur. CSP’lerdeki güvenlik yönetmeliği çoklu bulut ortamını ve bu ortamda bulunan müşteri ve veriyi kapsamaya yöneliktir. Bunu gerçekleştirirken de fiziksel altyapıdan her türlü hizmete kadar veri güvenliğini sağlamayı hedefler.
CSP bulut altyapısını düzenlerken, bulut müşterisi ise veriyi ve kullanıcı yönetimini üstlenir. Müşterinin sorumluluğunun uygulamalar için güvenlik ayarlamalarını kapsayıp kapsamayacağı ya da operasyon ve ağ sistemlerinin bulut hizmetine bağlı olup olmayacağı seçilen bulut hizmet modeline bağlı olarak değişikli gösterebilir.
Güvenlik amaçlı olarak paylaşılan bu sorumluluk CSP’nin ne zaman tehdit için müdahale etmesi gerektiği konusunda bazen karışıklığa neden olabilir. Bu nedenle bulut müşterilerinin sadece CSP’ye bağlı kalmayıp kendi güvenlik önlemlerini de almaları gerekir. Her şeyden önce CSP ile güvenlik sorumluluğunun nasıl paylaşılacağı net bir şekilde ortaya konmalıdır. Ancak bu sayede bulut ortamı güvenlik altına alınabilir.
Bulut ortamındaki hassas veriyi korumak için gerekli düzenlemeler
Oturmuş bir BT departmanına sahip kurumlar hassas noktalarını bildikleri için verinin hareketi konusunda tam kontrol sağlayabiliyor. Bu da güvenlik önlemlerini alırken bu tarz bir avantaja sahip kurumların özellikle sisteme giriş çıkışın kontrolünün zor olduğu bulut ortamında veriyi yönetmek için elini güçlendiriyor.
Bulut üzerinde veri güvenliği konusu müşterinin sorumluluğunda olsa bile, müşterinin kontrol yetkileri sistemin bir başka platform üzerinde kurulu olması nedeniyle sınırlı olabiliyor. Hatta çoğu zaman müşteri ve CSP bambaşka ülkelerde ve saat dilimlerinde olduğu için iletişim kurmakta zorlanabiliyor. Dahası CSP’ler bilhassa daha güvenli olması için kasıtlı olarak sunucuları farklı ülkelere taşıyabiliyor. Bu durum kurumlara farklı sınırlarda bulunan verinin yönetimini, ne zaman nerede tutulduğunu yasal bir zemine oturtmak gibi ek bir yük bindiriyor. Bu yasal sorumluluk da çoğu zaman CSP’ye değil bulutu kullanan müşteriye ait oluyor.
Potansiyelinizi en üst seviyeye çıkarıp sorumluluk alın
Modern kurumlar hızlı bir şekilde aksiyon alıp rekabetten geri kalmamak adına yeni ürünlerini ve hizmetlerini piyasaya çıkarmalılar. Bu yüzden birçok marka daha hızlı sonuç aldığı için bulut çözümlerine geçiyor. Bulut hizmetleri markalara diledikleri esnekliği ve diledikleri ölçekte sunma avantajıyla geliyor. Ancak bir markanın hem teknolojik altyapısında hem de bulut ortamında güvenliği tam anlamıyla sağlaması için ciddi bir strateji gerekiyor.
Bulut çevrelerine artan talep elbette siber korsanları da harekete geçirdi. Siber saldırılar nedeniyle kurumlar daha önce hiç olmadığı kadar tedbir almanın ve mevcut güvenlik önlemlerini artırmanın peşinde. Ne var ki bulut güvenliğinin temelleri göründüğünden çok daha karmaşık bir konu. Bulut çevresinin esnek ve değişken yapısı güvenlik konusunu daha da çetrefilli hale getiriyor.
Kurumlar güvenlik anlamında daha birçok cephede tabir yerindeyse savaş veriyor. Ancak şu bir gerçek ki hiçbir kurum hayati önem taşıyan bir verinin korunması konusunda sadece CSP’ye bağlı kalmamalı. Bu sorumluluk orta bir yönetim, çözüm üretimi ve kontrol üzerinde yürütülmeli ki hizmetler ve ürünler gerçek anlamda sağlama alınabilsin. Kontrol noktaları ağ güvenliği, erişim yönetimi, veri koruması ve güvenlik ayarları ve güvenlik gözetimi gibi aslında güvenlik uzmanlarına yabancı olmayan alanları kapsayacak şekilde bulut ortamına aktarılmalı.
Bir adım daha ileri gidecek olursak kurumların bulut hizmetlerini güvenle kullanmaları için diledikleri çözümler arasından seçim yapmaları gerektiğini söyleyebiliriz. Bu seçim içinde de yeni ürünlerin üretimde güvenliği öne alan çözümler olması da kaçınılmaz.
Hizmetlerin güvenli şekilde kullanıldığından emin olunduktan sonra iş liderleri bulut çözümlerini rahatça kullanıp kurumları geleceğe taşımak için potansiyellerinden en üst seviyede yararlanabilirler.