Bulut bilişimde bilgi güvenliği



Kurumlar bulut bilişim ile hafiflemek istiyor ama çekindikleri bir konu var: “Verilerimi emanet edeceğim bu sanal depo yeteri kadar güvenli mi?”. Bu endişeler ise erişim güvenliği, düzenlemelere ve güvenlik standartlarına uyum, veri gizliliği olarak şekilleniyor.

Sunucuya erişim sırasında aşılması gereken güvenlik katmanlarının miktarı ve bu katmanları aşarken geçilen süreçler ile bunların ne kadar kaliteli olduğu oldukça önemli. Bu hizmeti sunan kurumlar, güvenli kod geliştirme metodolojisi uygulayarak güvenliği sağlamak üzere çalışıyor ve düzenli olarak güvenlik denetimleri yapılıyor. Güvenlik alanında öne çıkan hizmet sağlayıcılardan biri, Microsoft. Güvenliğe çok önem veren şirketlerin birçoğu, erişim güvenliği alanında kendi veri merkezlerinde alacakları önlemlerden ziyade Microsoft’un SDL (Security Development Lifecycle) güvenli erişim metodolojisi ve denetim mekanizması olan OSA (Operational Security Assurance) ile daha güvenli bir erişime kavuştukları konusunda hemfikir.

Kurumların bulut hizmetinde en çok önemsedikleri bir diğer konu, kullandıkları bulut modelinde tüm hizmetlerin global güvenlik ve uyumluluk sertifikasyonlarına tabi tutulması ve bulut bilişim hizmetini alan müşterilerin süreçlere uyumluluğunun desteklenmesi. Bu anlamda, örneğin bir kurumun web sitesini barındıran hizmet sağlayıcı şirketin uluslararası uyumluluğunun otomatikman sağlanmış olması en çok önemsenen kriterler arasında yer alıyor.

Ve en hassas konulardan biri olan verilerin gizliliğinin korunması. Kurumların endişesinin temelinde verilerin emanet edildiği bulut hizmeti veren teknoloji kurumlarının bu verileri çıkar amaçlı farklı alanlarda kullanıp kullanmayacağı meselesi var. Teknoloji şirketleri güven kırılmasına neden olabilecek birçok vakaya ya da söylentiye maruz kalsa da bu alanda teknolojilerini ve taahhütlerini geliştirerek çalışmaya devam ediyorlar. Diğer taraftan bilgi güvenliği alanında yapılan araştırmalara bakıldığında sızıntıların çoğunun şirket çalışanları tarafından yapıldığı görülüyor. Bu durumda verileri şirket içindeki lokal veri merkezinde tutmaktansa profesyonel bulut hizmeti sağlayan bir kuruma emanet etmek daha anlamlı görünüyor. Son zamanlarda yaşanan en büyük veri sızıntısı NSA (Ulusal Güvenlik Dairesi) adına çalışan bilgisayar uzmanı Snowden’ın gizli NSA belgelerini medyaya ifşa etmesiydi. 2013’te yaşanan bu olay; hem Snowden’ın gerçekleştirdiği eyleme bakıldığında en büyük bilgi sızıntısı olduğu için ses getirdi, hem de Google, Verizon, Amazon, Facebook gibi büyük şirketlerin verilerini NSA’nın izlediğinin ortaya çıması bakımından yani içeriği itibariyle oldukça çarpıcıydı. Hızla haberi yayılan bu bilgi sızıntısı; tüm dünyanın bulut bilişimin güvenliğini sorgulamasına neden olmuştu. Halbuki Facebook ya da Verizon verilerini tamamen kendi veri merkezlerinde tutuyor. Sonuç olarak verilerin güvenliğinin sağlanıp gizli tutulması konusu aslında verinin nerede durduğundan ziyade kurumların verilerine nasıl sahip çıktığıyla daha çok ilişkili. Öncelikle şirketlerin kendi verileriyle ilgili iyi bir sınıflandırma yapması, bilgi güvenliği politikalarını bu sınıflarla eşleştirmeleri, çok büyük önem arz eden verilerini şifrelemeleri, veri erişimi konusunda “roller ayrılığı” ilkesini dikkate almaları, sistemlerini yedeklemeleri etkili sonuca ulaşmalarını sağlıyor.