Cloud Computing Risk and Security Assessment Bulut Bilişim Risk ve Güvenlik Değerlendirmesi
Cloud Computing son dönemde yaygın olarak konuşulan bir teknolojidir. Ancak her ne kadar yeni yeni konuşulmaya ve hatta ürün olarak bizlere sunulmaya başlansa da Hosting ve grid computing olarak bildiğimiz eski iki teknolojinin birleşmesinden meydana gelmiştir. Yani Cloud Computing marka olarak yeni ancak teknoloji olarak eskidir. Buradan kastımız tabi ki çözümlerin günümüz ihtiyaçları için yetersiz olduğu değildir. Özetle cloud computing dediğimiz zaman, kendi bilgisayarlarımız yerine verilerimizi global oyuncuların ( Microsoft, Google, IBM, Vmware vb ) bilgisayarlarında saklamak olarak özetlenebilir. Zaten bu makalemde genel olarak cloud computing nedir konusuna değinmeyeceğim. Çünkü bu konuda gerek makale, gerek webcast gerekse podcast’ ler yapmıştım ve nedir bu cloud computing derseniz aşağıdaki kaynakları kullanabilirsiniz
Podcast
Webcast
http://www.cozumpark.com/blogs/videolar/archive/2010/10/18/webcast-cloud-computing.aspx
Seminer
Makale
http://www.cozumpark.com/blogs/cloud_computing/archive/2010/12/26/cloud-computing-bulut-bili-im.aspx
Evet bu kadar temel bilgiden sonra asıl konumuz olan Cloud Computing güvenliği hakkında konuşmaya başlayabiliriz. Cloud Computing sunduğu yeni hizmetler ve esnek yapısı yanında bir takım riskler’ de taşımaktadır. Bizde bu makalemizde bu konuya odaklanacağız.
CC’ in sahip olduğu risklerin bir kısmı aslında geleneksel bilişim alt yapımız ile ortak risklerdir. Yani birazdan değineceğimiz bir takım riskler aslında mevcut it alt yapılarımız içinde geçerli olan risklerdir. Ancak tabiki verilerin ortak bir alanda tutulmasından doğan riskler tamamen CC’ ye özel risklerdir.
CC’ in risklerini daha iyi anlamak için özellikle Public Cloud üzerinden hareketle incelemelerimizi yapacağımızı unutmamamız gerekiyor. Bu nedenle kısa özetle tekrar CC çeşitlerine aşağıdaki resimden görebiliriz
Public Cloud; internet üzerindeki sunucular ile verilen cloud hizmetidir.
Private Cloud; Şirket bünyesinde oluşturulmuş sunucular ile verilen cloud hizmetidir.
Community Cloud; Burada bulut bilişim alt yapısı belirli kurum ve ortak hareket eden kuruluşlar tarafından paylaşılmaktadır. Topluluk üyeleri uygulama ve verilere erişebilmektedir.
Hybrid Cloud; Bir şirketin verilerin güvenliği vb nedenlere göre hem public hem de private cloud kullanması ile ortaya çıkan yapıdır.
Buradaki riskler genelde ortak olsa bile güvenlik konuları daha çok public cloud için geçerlidir.
Peki, nedir bu riskler ve bunları kaç ana başlık altında toplayabiliriz. Bu konuda dünya genelince kabul görmüş çalışmaları olan temelde iki firma bulunmaktadır. Bunlar Gartner ve Cloud Security Alliance’ dır.
Gartner bu konuda 7 ana başlık sunarken CAS ise 15 ana başlık ile konuyu incelemektedir. Ben ise bu makalemde sizlere Türkiye şartlarını da düşünerek en geçerli olarak kabul ettiğim ve her iki firmanın çalışmalarının özeti olan 8 ana başlık ile konuyu anlatacağım.
Bu başlıklar aşağıdaki gibidir.
1. Veri Güvenliği ve Gizliliği
2. Kimlik ve Erişim Yönetimi
3. Fiziksel ve Personel Güvenlik
4. Erişilebilirlik
5. Uygulama Güvenliği
6. Yasal Uyumluluk
7. Hizmet Sağlayıcı Bağımlılığı
8. Bant Genişliği ve Veri Transferi
Veri Güvenliği ve Gizliliği
Hizmet sağlayıcı müşteri verilerinin güvenliğinden sorumludur.
Public Cloud düşünüldüğü zaman ortak platformları kullanan müşterilerin birbirlerinin verilerini göremiyor ve değiştiremiyor olması gerekmektedir. Public Cloud için en büyük risk veri gizliliğidir. Bu konudaki tüm sorumluluk servis sağlayıcıya aittir. Bu noktada veri izolasyonunu başarılı bir şekilde yapması gerekmektedir. Bunun için kullanılabilecek pek çok yöntem bulunmaktadır ( şifreleme, sanallaştırma veya erişim yönetimi alt yapısı kullanılması gibi ). Yine servis sağlayıcı firma saklamış olduğu bu verileri yüksek erişilebilirlik hizmetlerinden kaynaklı olarak dünya üzerindeki diğer veri merkezlerine taşınması sırasında yine bu verilerin güvenliğinden ve sızdırılmamasından sorumludur.
Kimlik ve Erişim Yönetimi
Verilerin korunması kadar doğru kişilerin ulaşmasını sağlamakta önemlidir.
Burada bahsedeceğimiz risk aslında geleneksel it alt yapılarında da mevcut olan kimlik erişim yöntemleridir. Nasıl şirket organizasyonunuzda hangi verilere kimlerin erişebileceğiniz Access Control List ( ACL )’ ler ile belirliyorsanız aynı durum cloud içinde geçerli olmak zorundadır. Burada temelde iki çözüm bulunmaktadır, ilki mevcut cloud yapısına taşıyacağınız sistemleriniz için var olan kimlik erişim yönetiminin federasyon servisleri üzerinden cloud kimlik erişim yönetim sistemleri ile entegrasyonu veya cloud hizmeti veren firmaların size bu alt yapıyı sunması ile sağlanabilir. Örnekle açıklamak gerekir ise, bir portal uygulamanızı cloud’ mimarisine taşımadan önce var olan doküman kütüphaneleriniz ve buradaki izinler ya cloud üzerindeki portal alt yapısı ile izin bazında entegre çalışmalı ( mevcut izinleri alıp tanıyabilmeli ) veya sizin yapıyı bu mimariye taşımadan önce size sunulan web ara yüzlerinden kullanıcıları tanımlamalı ve ondan sonra taşıma işlemlerini gerçekleştirmelisiniz.
Fiziksel ve Personel Güvenliği
Yine bu konuda mevcut it alt yapılarımız için bahsedebileceğimiz risk ve güvenlik zafiyetlerindendir. Cloud mimarisinde ise fiziksel güvenlik çok üst düzeyde olduğu için bu konuda aslında çalışan ( personel ) güvenliği daha ön plana çıkmaktadır. Çünkü Cloud için kurulmuş veri merkezlerinin güvenlik önlemleri gerçekten çok üst düzeydedir. Ancak bu güvenliği geçebilen kişiler firma personeli olduğu için aslında her an böyle bir risk bulunmaktadır.
Bunun yaşanmış örneklerini ne yazık ki daha önce gördük, bir çalışan üzerinden sızdırılan chat konuşmaları veya başka örnekler, özetle burada cloud firmasına çok büyük iş düşmektedir. Kimlerin hangi verilere ulaştığını sağlıklı bir şekilde takip edebiliyor olması gerekmektedir ve tabi ki böyle bir sızıntı sonrası firma zararının tespiti ve bunun ödenmesi, siber sigorta kapsamına girip girmemesi gibi durumlarında netleştirilmiş olması gerekiyor ki bu konulara makalenin ilerleyen bölümlerinde değineceğim.
Erişilebilirlik
Tüm verilerinizin internet ortamında olduğu düşünülürse olası her kesinti sizin verdiğiniz servislerdeki kesinti olarak size geri dönecektir.
CC’ in bizlere sunduğu en büyük hizmetlerden biri aslında HA yani yüksek erişilebilirliktir. Bizlerin inanılmaz maliyetler ile sağlayacağı bu yapıyı hali hazırda kurmuş olan global bir oyuncunun ( Microsoft, Amazon, Vmware, IBM vb ) platformuna geçmek son derece karlı bir iştir. Çünkü bizim böyle bir yapı sunmamız için yedekli internet hatları, yedekli sunucular, yedekli jeneratör, felaket anı için benzer bir veri merkezi ve sürekli olarak bu veri merkezlerinin güncel tutulması gibi çok ciddi maliyetlerle erişebileceğimiz up time ( çalışma süresi ) lara var olan CC veri merkezileri ile %99.9 ile ulaşılabilmektedir.
Hizmet sağlayıcılar bizlere sundukları tüm hizmetlerin kesintisiz bir şekilde çalışması için gerek felaket senaryoları, gerek donanım veya platformda oluşacak sorunlar gerekse dış tehditler sonucu oluşacak tüm servis kesintilerine karşı korumak zorundadır.
Uygulama Güvenliği
CC mimarisini hatırlayacak olursak uygulamaları biz SaaS olarak nitelendiriyorduk. Bu yapıda güvenlik tamamen servis sağlayıcıya aittir. Bu konuyu daha iyi anlamak için yine CC makalesinden kısa bir alıntı yapmak istiyorum.
CC bize 3 farklı servis modeli sunmaktadır.
SaaS – Software as a Service
PaaS – Platform as a Service
IaaS -Infrastructure as a Service
Bunlardan bizi ilgilendiren ise SaaS modelidir.
SaaS – Software as a Service
Yazılımı bir servis olarak sunan bu son iş modelinde alıştığımız yazılımları artık bulut bilişim üzerinden temin edebiliyoruz. Kiralama usulü ile ihtiyaç duyduğumuz süre boyunca kullanabildiğimiz tüm programların cloud versiyonlarını yakın zaman içerisinde görebileceğiz. Örneğin şu anda satışı yapılan Office 365 ürünü ile Office uygulamalarını platform bağımsız olarak internet üzerinden istediğiniz yerden kullanabiliyorsunuz. Yani yanınızda laptop vb bir aygıt taşımanıza gerek yok. Ayrıca ihtiyacınız olduğu kadarını alıp gereksinimleriniz bittiği anda artık ürünü kullanmak zorunda değilsiniz ve tatbikî ücretini de ödemeye gerek kalmıyor. Özetle SaaS ile artık kurumlar kullandıkları kadar ödeyecek, her yerden yazılımlara ulaşabilecek, cloud üzerinden çalıştığı için bu yazılımların yükleme bakım vb sorunları ile zaman ve para kaybetmeyecektir. Buna hizmetlere diğer örneklerde Online ofis uygulamaları noktasında Google Docs ve Zoho, CRM yazılımları konusunda SalesForce.Com, insan kaynakları yazılımları konusunda Taleo.com’ dur.
Bu noktadan bakıldığı zaman tüm alt yapı CC servis sağlayıcısı tarafından sunulduğu için bu konudaki tüm önlemleri de CC servis sağlayıcısı almak zorundadır. Bunu bir örnek ile açıklamak gerekirse, örneğin aldığınız bir cloud hizmeti olan Google apps üzerinde çok önemli dokümanlarınızı saklıyor, işliyor ve belki de paylaşıyorsunuz. Google firmasından kaynaklı uygulama tarafındaki bir hatadan dolayı sizin dokümanlarınız başka kişilerce görünebilir bir hale gelirse bu çok ciddi bir güvenlik zafiyeti doğurur. Bu nedenle servis sağlayıcıları bu konuda çok ciddi önemler alıyor olması gerekmektedir. Ancak yine bu risk mevcut uygulamalarımızda da bulunmaktadır. Yine örnek olarak basit bir pdf okuyucusu dediğimiz Adobe Acrobat reader bile sürekli olarak güvenlik yamaları çıkarmaktadır. Yani yazılımlardan doğan güvenlik zafiyetleri aslında cloud ile gelen yeni bir risk değildir. Ancak sorun bu gibi bir programdan kaynaklı bir sorun belki bazı dokümanlarınızın gizliliğini tehlikeye atarken cloud üzerindeki uygulamalarda oluşacak bu tür bir sorun tüm dokümanlarınızı tehlikeye atabilir.
Yasal Uyumluluk
Verilerinizi Bulut’ a gönderirken düşünmeniz gereken bir noktada yasal zorunluluklardır!
CC’ in belki de en karışık ve anlaşılması zor olan risk – güvenlik modeli, kanunlar ile başlamaktadır. Türkiye de henüz aktif olarak sunulan hizmetler olmadığı için bu konuda hazır bir kanun yoktur. Sadece finans kuruluşları için mevcut finans datalarına özel olarak BDDK tarafından verilerin yurt dışında saklanamama durumu söz konusudur. Böyle bir durum BDDK ile kurumunuz arasında soruna yol açacaktır ( olası bulgu nedeni ). Bunun dışında ne yazık ki ülkemizde henüz hazır bir kanun bulunmamaktadır. Ancak dünya örnekleri üzerinden ilerleyebiliriz.
Cloud konusunda dünya üzerinde oturmuş yasalarda en çok göze çarpan sorular aşağıdaki gibidir.
Verilerin Fiziksel Lokasyonu
Fiziksel olarak verileriniz nerede saklanıyor?
Anlaşmazlık halinde mahkeme yeri neresi olacak?
Verilerin Sorumluluğu
Veri merkezi felaket ile karşı karşıya kalırsa ne olacak?
Gizlilik ihlaline ilişkin herhangi bir sorumluluk kapsama alanı var mı?
Veri merkezi atak alırsa ( hacking ) ne olacak?
Fikir Mülkiyeti Hakları
Verilerinizin fikir mülkiyetleri yasalar ile korunuyor mu?
Ticari sırlar ne kadar güvende?
Üçüncü Şahısların Erişimleri?
Bu maddelerin açıklamaları ise aşağıdaki gibidir.
Fiziksel olarak verileriniz nerede saklanıyor?
Verilerinizin fiziksel olarak hangi lokasyon da olduğunu aslen bilemiyorsunuz. Dünya üzerindeki farklı veri merkezlerinde replikasyon ile verileriniz sürekli yer değiştiriyor. Ancak içinde bulunduğunuz ülkenin kanunları gereği verilerinizin tam olarak nerede olduğunu biliyor olmanız gerekmektedir.
Anlaşmazlık halinde mahkeme yeri neresi olacak?
Cloud hizmeti veren kurum ile müşteri arasında bir anlaşmazlık çıkması halinde hangi ülkenin kanunları geçerli olacak ? Örneğin Çin de ticaret yapan bir firmanın cloud vender ı olarak Amerikan bir şirket seçmesi durumunda eğer bir anlaşmazlık olursa cloud venderı tabiki Amerikan yasalarını tercih edecektir, peki Çinli üretici?
Veri merkezi felaket ile karşı karşıya kalırsa ne olacak?
Olası bir felaket anında veri merkezi iş görmez duruma düşerse sorumluluk kimde olacak ve bundan doğan zararı sigorta şirketi karşılayacak mı?
Gizlilik ihlaline ilişkin herhangi bir sorumluluk kapsama alanı var mı?
Bulut bilişim altyapısından kaynaklanan bir veri sızması durumunda sorumluluklar net belirtilmiş durumda mı ? Yani cloud satıcısının kendi hatasından kaynaklı bir sızma durumunda ne yapacağına dair bir politika sahibi mi ? Bu konuda siber sigorta düşünülebilir.
Veri merkezi atak alırsa ( hacking ) ne olacak?
Her ne kadar veri merkezleri bu saldırılar için sürekli olarak tedbir alıyor olsa da hiçbir güvenlik sistemi mükemmel değildir. Bu nedenle olası ve hacking sonrası müşteri karlılığı konusunda bir yorum ile hizmet sağlayıcıya dava açabilir mi?
Verilerinizin fikir mülkiyetleri yasalar ile korunuyor mu? Eğer Korunuyor ise hangi ülke kurallarına göre korunmaktadır.
Telif hakları, eserin meydana getirilmesiyle kendiliğinden doğar. Siz bir eser ( sizin verileriniz ) meydana getiriyorsanız bunu meydana getirdiğiniz ülkenin yasaları tarafından korunmaktadır. Fikri mülkiyet hakları ülke bazında korunmaktadır, yani eser hangi ülkenin sınırlarında üretildi ise o ülkenin yasaları tarafından korunmaktadır.
Ticari sırlar ne kadar güvende?
Ticari sırlarınızın başka kişilerse görüntülenmemesini nasıl sağlayacaksınız, bunun için izleme günlüklerini sizde görebilecek misiniz?
Şahısların Verilere Erişimi
Cloud sağlayıcısı bazı durumlarda destek firmaları, teknoloji firmaları veya başka amaçla 3. şahıslarca eğer datalarınıza erişim izni verecek ise bunu mutlaka size bildirmesi gerekmektedir. Eğer bu sözleşenizde yok ise mutlaka bu konuya dikkat edin.
Hizmet Sağlayıcı Bağımlılığı
Sahip olduğunuz verilerin başka bir firma sunucularında tutuluyor olmasının risklerini görmezden gelemeyiz!
Eğer global oyuncular ile bu oyunu oynarsanız muhtemel sorun yaşamayacaksınızdır. Tabi ki bu demek değildir ki hiç sorun yaşamayacaksınız! Bundan önceki örneklere baktığımız zaman günümüze kadar gelen ve tüm global oyuncuların sunduğu cloud servislerinde ciddi manada toplamda 10’ a yakın sorun vakası görülmüştür ve bunlar 8 – 10 saatleri bulan ve bazen de ne yazık ki veri kayıplarına neden olan vakalardır. Bu durumların nadir de olsa olabileceğini ve bunun CC’ in bir riski olduğunu unutmayın. Bu nedenle mutlaka siber sigorta konusunu iyi araştırmalı, global oyuncu ile yukarıdaki kanuni gereksinimler konusunda çok iyi bir anlaşma yapmalı ve her zaman için bir B planınızın olması gerektiğini unutmayın. Buradaki en büyük risk tüm verilerinizi cloud servisi sağlayan firmaya gönderdiğiniz için aslında firmanızın geleceğinizde bu firmaya bir nevi bağlamış oluyorsunuz.
Bant Genişliği ve Veri Transferi
Eğer yüksek bir bant genişliğine sahip değilseniz aldığınız servis kalitesi de düşecektir.
Bu tür durumlar için mutlaka şirket olarak bir felaket politikamız olmak zorundadır. Türkiye şartlarını düşündüğümüz zaman Cloud servisi veren firmanın hiçbir zaman kesinti göstermemesi halinde bile sizden kaynaklı sorunların olabileceğini unutmayın. Bu nedenle bu tür kesintilerde verilerinize ulaşamayacağınızı ve hizmet veremeyeceğinizi düşünmeniz, bunun doğrultusunda bir takım aksiyon planları hazırlamanız gerekmektedir.
Evet buraya kadar temel olarak Cloud Computing Risk ve Güvenlik zafiyetlerinden bahsettik, ancak bu riskler ve zafiyetler aslında aldığınız cloud hizmetlerine göre farklılık göstermektedir. Yani makalemin başında da belirttiğim gibi public, private veya hybrid cloud hizmetlerinin birbirinden farklı mimariler sunması nedeni ile riskleri farklı olacaktır. En büyük risklerin public cloud üzerinde olduğunu ve bu nedenle bu başlık üzerinden ilerlediğimizi belirmiştim. Bu bölümde ise bir farklılık üzerinde daha durmak istiyorum. Bu da aldığınız cloud hizmetinin modeline göre değişen güvenlik ve risk durumlarıdır. Bildiğiniz gibi hangi cloud yapısını alırsanız alın yine bu cloud yapısı içerisinde size sunulan temelde 3 servis modeli vardır. Her servis modelinin ise kendine özgü güvenlik zafiyetleri ve risk sorumluluk dağılımları söz konusudur.
Bu modellere göre sorumluluklar aşağıdaki şekilde özetlenebilir
Software as a Service (SaaS): Güvenliğin sağlanmasındaki en büyük sorumluluk servis sağlayıcıya düşmektedir.
Infrastructure as a Service (IaaS): Güvenliğin sağlanmasındaki en büyük sorumluluk müşteriye aittir.
Platform as a Service (PaaS): Güvenliğin sağlanmasındaki sorumluluk servis sağlayıcı ve müşteri arasında hemen hemen eşit seviyede paylaşılmaktadır.
Yani özetle piramit’ in tepesine doğru çıkıldıkça servis sağlayıcıların sorumluluğu artarken ( sundukları hizmet artmaktadır ve buna paralel olarak riskleri de artmaktadır ), aynı şekilde piramit’ in tabanına doğru inildikçe müşteri riskleri artmakta çünkü servis sağlayıcının sunduğu hizmetler azalırken müşterinin kendi sağladığı hizmetler artmaktadır.
Evet, bu kadar bilgiden sonra makalemi özet bir sonuç ile bitiriyorum
Sonuç
• Altyapısı oturmuş bir hizmet.
• Güvenlik konusunda, sunduğu hizmetler kadar öncü ve esnek değil.
• Gerek servis konusunda gerekse bu servislerin güvenliği konusunda bir standart yok.
• Türkiye de yaygın olarak sunulan bir hizmet veya destek yok.
Umarım faydalı bir makale olmuştur. Bir sonraki makalemde görüşmek dileği ile.