Bir dizi bulut uzmanı bulut içerisindeki verilerin, yerinde kurulumlara nazaran daha güvenli olduğunu söylüyor.
Bu sık sık tekrarlanan bir şeydir: Bulut bilgi işlemin geniş çeşitlilikteki uygulamalarından herhangi birisini benimseyen ya da inceleyen organizasyonlar güvenlik konusunda endişe ediyor. Esasında güvenlik, gizlilik ve veri saklama hakkındaki endişeler genellikle bulutun benimsenmesinin önünde engel olarak dile getiriliyor. Peki bu endişeler yerinde mi? Bazı güvenlik uzmanları kayıp bileşenlerin görülebilirlik ve kontrol olduğunu ifade ediyor.
IT endüstrisi birliği CompTIA’nın IT ve iş yöneticileri arasında gerçekleştirdiği bir çalışma, katılımcıların yüzde 50’sinde bulut bilgi işlem ve servis olarak yazılım (SaaS) gibi internet tabanlı uygulamalarla siber güvenlik endişeleri arasında büyük bir bağlantı olduğunu ortaya koydu. Ancak çok sayıda bulut uzmanı birçok biçimde verilerin bulut üzerinde daha güvenli olduğunu (ya da en azından çok hızlı bir biçimde o yöne gittiğini) ifade ediyor. Bu bilhassa güvenlik teknolojilerine ve uzman ekiplerine atayacak kaynaklara sahip olmayan küçük organizasyonlar için geçerli.
Güvenlik uzmanlığına sahip yeterli sayıda IT ekibine erişebilmek, her çaptan organizasyon için oldukça güç olabilir. CompTIA’nın açıklamasına göre organizasyonların yüzde 41’i güvenli uzmanlığına sahip IT çalışanlarında orta düzeyde ya da önemli oranda eksiklik bulunduğunu belirtiyor. CompTIA organizasyonlardaki güvenlikle ilgili çalışan sayısında ortalama yüzde 30 kadar eksik olduğunu bildiriyor. 2011 yılında Enformasyon Güvenliği Analisti kategorisini de ekleyen İşgücü İstatistikleri Bürosu (BLS)’na göre bu kategoride yer alan insanların işsizlik oranı % 0.
Bulut tabanlı uygulamaları inceleyen ve küçük işletmeler için bunlarla ilgili bilgileri organize eden iş yazılımı pazarı GetApp.com’un kurucusu ve genel müdürü Christopher Primault, bulut servislerinin organizasyonların bu problemin üstesinden gelmelerine yardımcı olduğunu çünkü onların sizin bilgilerinizi korumaya adanmış profesyonelleri sağladıklarını, ifade ediyor.
“Verilerinizi tedarikçilerin çoğunda saklamanız, büyük olasılıkla kendi yerinizde saklamanıza nazaran daha güvenli,” diyor Primault. “Ben bunun doğru olduğuna inanıyorum.”
Ayrıca şunları ekliyor: “Bulut içinde doğduğumuzdan biz sadece bulut servisleri kullanıyoruz. Verileri kendi bünyemizde saklamanın ve bunların güvenliğini sağlamanın maliyeti daha yüksek olabilirdi. Açıkçası, verilerim bulut içerisinde dururken ben daha güvenli hissediyorum.”
Primault yalnız değil. CompTIA’ya göre bulut servislerini kullanan organizasyonların yüzde 85’i konu güvenliğe geldiğinde bulut sağlayıcılarından emin ya da çok emin. Ancak aynı organizasyonlar belirli türden verileri ya da uygulamaları bulut içerisine yerleştirmeye gönülsüz.
“Şu anda bulut kullanıcıları arasında biraz çelişki var,” diyor CompTIA’nın araştırma başkan yardımcısı Tim Herbert. “Bulut servis sağlayıcılarının güvenliğine güçlü bir biçimde güvendiklerini bildiriyorlar. Bununla birlikte, çok sayıda işletme bir takım verileri ve uygulamaları bulut içerisine taşıma konusunda oldukça isteksiz. Firmalar kritik olmayan sistemlerinin bir kısmını buluta taşıdı ama onlar en kritik sistemlerini buluta kaydırma anlamında aynı pozisyonda değiller.”
Firmalar bilhassa finansal verileri ve kredi kartı bilgilerini buluta yerleştirmek istemiyor. CompTIA verilerine göre küçük firmaların yüzde 49’u, orta ölçektekilerin yüzde 55’i ve büyük işletmelerin yüzde 56’sı finansal verileri bulut içerisine koymak istemiyor. Sıra kredi kartı verilerine geldiğinde ise küçük ve orta ölçekli firmaların % 50’si, büyük işletmelerin ise yüzde 53’ü bu konuda isteksiz olduğunu gösterdi.
Bulut güvenliğini değerlendirmedeki eksikler
Organizasyonlar bulut servis sağlayıcılarının güvenlik önlemlerine güven konusunda bocalıyor ve hassas verileri bulut içerisine koymaya isteksiz olsalar da, onlar sağlayıcıların güvenlik politikalarını değerlendirirken bulut güvenliğinin kritik bileşenlerini kaçırıyorlar, şeklinde konuşuyor Herbert. Özellikle mevzuat uyumluluğu, verilerin coğrafi konumu ve sağlayıcının ehliyeti sıklıkla göz ardı ediliyor.
“Bir kısım endişeye rağmen çalışmaya katılan firmaların sadece yüzde 29’u, bulut servis sağlayıcılarının güvenlik uygulamalarını kapsamlı bir biçimde incelediklerini söylüyor,” diyor Herbert.
Çalışmada, katılımcıların % 50’si bir bulut sağlayıcısının veri merkezinin coğrafi konumunu bazen değerlendirdiklerini ya da hiç dikkate almadıklarını belirtiyor. Dahası % 46’lık bir kısım ise bulut sağlayıcılarının güvenlik uyumluluğunu nadiren ya da hiç değerlendirmediklerini açıklıyor. İşletmelerin yüzde 44’ü ise sağlayıcının kimlik ve erişim yönetimini bazen ya da hiç değerlendirmediklerini söylüyor.
CompTIA’ya göre bu durum hoş olmayan sürprizlere götürebilir.
“Yakın bir zamanda Los Angeles belediyesi ve Google bir bulut konuşlandırması içinde belirsiz bir mevzuat değişkeni olduğunda ne olacağını zor yoldan öğrendi,” diyor CompTIA, dokuzuncu Yıllık Enformasyon Güvenliği Trendleri çalışmasında. “Google Apps’in FBI’ın güvenlik gereksinimlerini tam olarak karşılamadığını fark ettiğinde Los Angeles 30,000 kişilik şehir çalışanını Google Apps’e kaydırma planını durdurmak zorunda kaldı. Söz konusu plan çalışanların Adalet Bakanlığı’na bağlı Suçlu Bilgi Sistemi’ne erişimini öngörüyordu.”
CompTIA ayrıca şunları ekliyor; “Bu hiç şüphesiz daha sık olarak gerçekleşen bir şeyin dikkate değer bir örneği-buluta geçiş yapan organizasyonlar güvenlikle ilgili bileşenlerin planları değişmeye zorladığını keşfediyor. Bulut modeli olgunlaştıkça bu sorunların bazıları doğal olarak kendiliğinden çözülebilir ama kısa vadede IT çözüm sağlayıcıları ve bulut tedarikçileri bu türden durumların gerçekleşme ihtimalini azaltan değerli bir hizmeti sağlayabilir. Uzun dönemde bulut servis sağlayıcısı güvenlik politikalarının, prosedürlerinin ve yeteneklerinin üçüncü partiler tarafından değerlendirilmesi standartlaşabilir.”
Bulutu güvenli kılmak
Bu arada güvenlik sağlayıcıları bulutu organizasyonların işlerini yürütebilecekleri güvenilir bir ortam yapmaya kararlı.
“Asıl güçlük firmaların buluta geçmeye ihtiyaç duyması,” diyor Kanada merkezli buluta yönelik gizlilik, himaye ve güvenlik çözümleri sağlayıcısı PerspecSys’in CEO’su Dave Canellos. “Bu bir moda değil. Bu sorumluluğu nasıl yönettiğinizle ve halihazırda yönettiğiniz verilerin korunmasını temin etmekle ilgili.”
Symantec’in ürün yönetim ve geliştirme başkan yardımcısı Nicholas Popp, güvenlik söz konusu olduğunda bulutun yerinde kurulumlarla tam anlamıyla aynı seviyede olmadığını ifade ediyor. Ancak kendisi yine de bunun zamanının çok hızlı yaklaştığına da inanıyor.
“Nihayetinde bulut daha güvenli olacak,” diyor Popp. “Kendi başına yapılan bir operasyon olarak güvenlik giderek daha güç bir hal alıyor.”
Popp, üç ila beş yıl içinde bulutun küçük ve orta ölçekli işletmeler (KOBİ) için daha güvenli bir ortam olacağını öngörüyor. Daha büyük işletmeler içinse bunun 10 yıllık dönem içinde gerçekleşeceğini tahmin ediyor.
“Birçok insan bulutun temel olarak güvenli olmadığını söyleyecektir,” diyor Popp. “Asıl sorun güvenlik değil, daha çok kontrol ve görülebilirlikle ilgili. Bu bir güven meselesi. Salesforce ve Google iyi bir güvenliğe sahip olmak zorunda. Güvenlik açısından bakıldığında, onlar çoğu firmadan çok daha iyi olacaklar.”
Popp’a göre problem organizasyonların kendi güvenlik politikalarını enjekte etmek için iyi bir mekanizmaya sahip olmamaları ve log’lara erişim yeteneklerinin olmaması.
“Sorun buluttakilerin kendi politikalarını ayarlamak için IT’ye yeterince kontrol sağlamaması,” diye konuşuyor Popp. “Bu aslında güç çünkü her bulut farklı. Farklı API’lere ve güvenlik yapılarına sahipsiniz. Bunların tümü güvenliği sağlamak için farklı yollara sahip olacak. IT’nin bu bulut servislerinin tepesine kendi politikalarını enjekte edebilmesini sağlayacak yeni bir kontrol noktası oluşturmaya ihtiyacımız var.”
Buna ek olarak bir ihlal söz konusu olduğunda organizasyonun IT personelinin mevzuat uyumluluğu ve araştırma yapabilme yeteneği için log’lara ve yedeklere erişime gereksinimi var, diye konuşuyor Popp.
Symantec’in cevabı O3; bu, dünyanın ozon katmanına benzeyen bir bulut enformasyon ağgeçidi. O, organizasyon ile bulut servisleri arasında oturarak bir tür bulut firewall’u olarak görev yapacak. Popp’un açıklamasına göre üç katmanlı bir kontrol sağlayacak: kimlik ve erişim kontrol katmanı, bilgi koruma katmanı ve bir de bilgi yönetim katmanı. İlk katman bulut içindeki verilere rol tabalı bir erişim sağlarken ikincisi ise organizasyonun güvenlik politikasını yürütecek. Son katman ise tüm log’ları yakalayacak ve organizasyonların güvenlik uyumluluğunu göstermesine imkan sağlayacak.
PerspecSys farklı bir yol izliyor ama Symantec gibi o da kontrol mesajı üzerine odaklanıyor.
“Hassas verilerin hiçbir zaman firma ağının dışına çıkmamasını temin ederek bulut uygulamalarının kritik görevli yapıyoruz,” şeklinde açıklıyor Canellos. “Uygulamayı bulut içinde kullanmanıza yardımcı oluyoruz ama hassas verileri her zaman sizin firewall’unuzun arkasında saklıyoruz.”
PerspecSys, Canellos’un açıkladığı üzere bulut içerisinde veri transferi, veri işleme ve depolama risklerinin azaltılmasına yardımcı olan bir yaklaşımla verilerin korunmasına odaklanıyor.
“Veri merkezleri veya bulut sağlayıcılarıyla konuşursanız, veriler onların veri merkezi sınırları dahilinde onların kontrolü altında olduğunda, KOBİ ağının sınırlarında yer almasına nazaran daha güvenli olduğuna dair size tüm güvenceleri verebilirler,” diyor Canellos. “Fakat veriler hareket halindeyse ne olacak? Bu noktada, firmaların veri merkezleriyle olan anlaşmalarına baktığınızda, bu durumun artık onların sorumluluğu olmadığını görürsünüz.”
PerspecSys Cloud Control Gateway, bulut içinde hassas verileri değiştirmek için token sistemini kullanıyor. “Bizim çözümümüz bulut uygulamasının son kullanıcı iletişimi ile bulut arasında oturuyor,” diyor Canellos. “Aslında biz son kullanıcı ile bulut arasındaki iletişimi kontrol ediyoruz. Firmanın hassas verilerinde, öne çıkıyoruz ve söz konusu verileri firma firewall’u arkasındaki yerel bir veri tabanına yönlendiriyoruz. Onun yerinde, değiştirilmiş veriyi kullanıyoruz.”
İsrail firması Porticor da bulut içindeki verilerin güven ve kontrolünün problemli olduğuna inanıyor ancak firmanın buna cevabı bütünüyle şifreleme ve anahtar yönetimiyle gerçekleşiyor. Porticor’un kurucusu ve CEO’su Gilad Parann-Nissany, Porticor’un çözümünü İsviçre bankalarındaki bir güvenli emanet kasasına benzetiyor. Porticor bir uygulama içindeki tüm veri nesnelerine yayılmış olan bir ana şifreleme anahtarını müşteriye vermek için şifreleme anahtarı-ayrıştırma teknolojisi kullanıyor. Porticor, (Parann-Nissany’nin benzetmesinde olduğu gibi) kendi şifreleme anahtarlarını-‘banker anahtarlarını” saklıyor. Bir uygulama veri deposuna erişim sağladığında, verileri şifrelemek ve şifreleri çözmek için anahtarın her iki parçasını kullanıyor. Ana anahtarın kendisi de homomorfik olarak şifrelendiğinden hiçbir zaman açığa çıkmıyor; kullanımı esnasında dahi.
“Müşteri kendi ana anahtarı üzerinden kontrole sahip ve banker de her dosya ve diskin güvenliğini sağlamak için çok sıkı çalışıyor,” diyor Parann-Nissany. “Sadece müşteri anahtarı ile banker anahtarının bir kombinasyonu diski açabilecek.”
Dahası, Porticor’un yönetimindeki anahtarlar ana anahtarla şifrelendiğinden Porticor bile müşteri olmaksızın anahtarlara erişemiyor.
“Bir hacker’la uğraşmadığınızı varsayın,” diyor Parann-Nissany. “Size saldıran rakiplerinizden birisi ve onlar mahkemeye giderek verileriniz için karar çıkartıyorlar. Çözümün doğası gereği bizim elimizde bir şey bulunmuyor. Banker anahtarı olmadığında bile ana anahtar üzerinden şifreliler. Eğer veriyi istiyorsalar müşteriye gitmek zorundalar.”
Parann-Nissany şunları ekliyor: “Bankerin kendisi hiçbir zaman müşteri anahtarını göremiyor. Diğer anahtarlarla birleştiğinde dahi, kendisi bu teknikle şifreleniyor. Temel nokta şu ki müşteri anahtarlarını onlara dokunmadan veya tarafımızdan bilinmeden yönetebiliyoruz.”
