Bulut Bilişimde Veri Güvenliğinin Yeni Adı: 3. Taraf Denetimi
28 Ağustos 2012 (Türk İnternet’te yayınlanan yazım)
Veri güvenliğinde bilgi paylaşımı, kullanıcı erişimleri, yetkilendirme, şifreleme ve sayısız mobil noktadan erişim gibi her biri ayrı dikkat isteyen birçok faktör var. Bulut bilişim firmalarının güvenilirliğinin sağlanması için “üçüncü taraf denetimi” işte bu nedenle önem taşıyor.
Makalenin ilk bölümünü Bulut’ta Veriler Kimin? ve ikinci bölümünüHizmet Sözleşmelerinde Müşteri Bulut Sağlayıcının Karşısında Yalnız Kalmamalı başlığı altında okuyabilirsiniz..
Geçen bölümde, Bulut için denetim ve düzenleme gerektiğini belirtmiştik. Kaldığımız yerden devam ediyoruz..
Gartner bulutta veri gizliliği için üçüncü taraf denetimlerin önemini vurguluyor. Üçüncü taraf firmaların yaptığı denetimler, yetkilendirme ve şifre yönetimiyle birlikte bulutta veri güvenliğinin çatısını oluşturuyor.
“Buluta güvenli erişim brokerları” olarak adlandırılan üçüncü taraf bulut güvenlik firmaları hem bulut hizmeti sunan şirketlerde hem de bulut hizmeti alan müşterilerde veri güvenliğini sağlıyor. Bulut brokerları, sistemini HP gibi bilgi teknolojileri şirketlerinin bu yıl başlattığı Bütünleşik Bulut hizmetlerinin üstüne kurmuş durumda (Bütünleşik bulut; iletişim hizmetleri ile karma, özel, genel bulut hizmetleri ve Büyük Veri analiz çözümlerinin tek çatı altında birleştirilerek, tek tek veya bir arada sunulmasıdır).
Turk.internet.com’da yayınlanan “Türk Markaları Facebook Sayfalarını Nasıl Yönetiyor, Güvenliğe Dikkat Ediliyor mu?[1]” yazısında, internete sunulan bilgilerin ancak bunları koruyan şifre kadar güvenli olduğunu gördük. Kısacası firmalar bilgiyi şifrelemeyi biliyor ama şifreyi korumanın önemini yeterince kavrayabilmiş değil.
Veri güvenliğinde bilgi paylaşımı, kullanıcı erişimleri, yetkilendirme, şifreleme ve sayısız mobil noktadan erişim gibi her biri ayrı dikkat isteyen birçok faktör var. Bulut bilişim firmalarının güvenilirliğinin sağlanması için “üçüncü taraf denetimi” işte bu nedenle önem taşıyor.
Gartner bir süre önce bu konuyu değerlendirdi ve mevzuat, iş modeli, teknoloji açısından bulutta üçüncü taraf denetiminin nasıl uygulanacağını inceledi.[2]
Teknoloji brokerları
Bulut bilişim şirketleri, müşterilerin çekincelerini gidermek ve buluta geçmesini kolaylaştırmak için dünyada teknoloji brokerlığı kavramını öne çıkardı. Telekom sektörü ile bilişim sektörünü evlendiren ve veri güvenliğinde hizmet sağlayıcı ile müşteri kadar, bu hizmetin verilmesinde kullanılan telekom şirketlerinin güvenliğini de öne çıkaran bulut bilişimin; teknoloji brokerlığını, kurumlara sistem kurulum danışmanlığı sunmaktan öteye taşıması kaçınılmazdı.
Bunda büyük teknoloji firmalarının, doğru bir hamle ile Bütünleşik Bulutu yalnızca bir çözüm paketi olarak değil, birbirine lego gibi eklenen esnek hizmet modelleri olarak görmesinin büyük rolü oldu. BT şirketleri, hizmet performansını arttırmak için iç süreçleri hızlandırmak amacıyla, şirket içi yapılanmayı da bütünleşik buluta göre organize etmeye başladı.
Bu yapıda güvenliğin sağlanması ile yönetilmesini ise “bulut güvenliği brokerları” üstlendi. Bulut güvenliği brokerları; bulut sağlayıcılar, bulut müşterileri ve telekom şirketleri arasında güvenlik entegratörü ve denetçisi olarak çalışıyor, bütünleşik bulut güvenliği platformu çözümleri sunuyor.
Ne gibi çözümler?
Madem ki bulutta hizmet veren, hizmet alan, hizmeti taşıyan şirketler bütünleşik bulutta bir araya geliyor, bu durumda bulutun güvenliğini sağlamak için bütün bu segmentleri birbirine bağlayacak ortak şifreleme standartları geliştirmek gerekiyor. Bu çözümün adı “Bulut Şifreleme Geçitleri”.
Bulut Şifreleme Geçidi kategorisindeki ürünlerin en büyük özelliği, bulutta güvenliği sadece veri merkezine uzak erişim sağlayan akıllı telefonlar gibi uç birimler üzerinden değil; bizzat veri bağlantı noktaları, yani internetteki kavşak noktalar üzerinden sağlaması.
Bunun BT şirketleri tarafından bugüne dek firmalara sunulan klasik güvenlik teknolojilerinden önemli bir farkı var: Klasik çözümlerde, saldırı önleme sistemi gibi bir yazılım-donanım cihazı alıyorsunuz ve bilgisayar korsanlarıyla virüslerin size saldırmasını bekliyorsunuz. Ardından bu saldırıyı veri merkezinin kapısında durduruyorsunuz. Bulut Şifreleme Geçidi ise buluttaki verilerin internete şifreli olarak aktarılmasını ve sadece gerçek alıcı tarafından açılmasını sağlıyor.
Bulut Şifreleme Geçidi nasıl işliyor?
Öncelikle duyarlı bilgiler kurumların güvenlik duvarından internete çıkarken şifreleniyor veya USB dongle gibi sadece donanım kilitleriyle açılacak şekilde etiketleniyor. Bulut şifreleme geçidi çözümleri doğru uygulandığı takdirde kurumların duyarlı verileri her an korumasını sağlıyor: Buluta girecek veriler, şifre anahtarı olmadan okunamayacak şekilde şifreleniyor.
Özellikle fiziksel etiketleme yönteminin PGP (Pretty Good Privacy) çifte kör şifreleme metodunu andırdığını söyleyebiliriz (çifte kör yöntemini kullanan bu sistemin şifresini kırmak imkansız. Tek çare şifreyi bilene sormak). Bulutta veri lokasyonu ve veri taşıma sorunlarının yol açtığı güvenlik riskini aşmak isteyen şirketler, bulut şifreleme geçidi ürünlerinden yararlanarak gizlilik problemlerini çözmeye yöneliyor.
İki türlü üçüncü taraf denetimi var
İlk yöntemde üçüncü taraf şirketler bulutta şifreleme hizmetleri veriyorlar. İkinci yöntemde ise şirketlerin kullandığı şifreleme çözümlerinin geçerliliğini denetliyorlar. Her durumda üçüncü taraf firmaların da hizmet kalitesi ve güvenilirlik açısından doğrulanabilmesi önemli. Gartner’ın araştırmasında, şifreleme ve etiketlemenin üçüncü taraf firmalar tarafından denetlenmesinin önemi vurgulanıyor.
Ödeme Kartı Sektörü örnek olabilir
ABD Ödeme Kartı Sektörü Güvenlik Standardı Konseyi, buluta taşınan verilerin şifrelenmesinde kullanılacak fiziksel etiketleme sistemleri için (USB dongle, kart vb) özel bir eğitim programı geliştirdi. Bu eğitim programına katılan şirketler, Nitelikli Güvenlik Değerlendiricisi sertifikasını alarak, firmaların bulutta şifreleme standartlarına ne derece uyduğunu denetliyor.
Bu tür üçüncü taraf doğrulama çözümlerinin BTK’nın bulut bilişim için geliştireceği düzenlemelere bağlanması, Türkiye’de bulut güvenliği ve güvenilirliğini arttıracaktır. Bugün internette ve bulutta şifreleme çözümü sağlayan birçok sertifikalı ürün bulunuyor, ancak bu ürünlerin kurumların güvenliğini sağlamak için doğru uygulanması veya kullanılması ayrı bir sorun oluşturuyor. Bulutta üçüncü taraf doğrulama bu noktanın denetlenmesine imkan veriyor.
[2] Türk Markaları Facebook Sayfalarını Nasıl Yönetiyor, Güvenliğe Dikkat Ediliyor mu?
[3] Gartner Highlight the Importance of 3rd Party Validation
