Cloud Computing Teknolojileri ve Güvenlik
Geçtiğimiz günlerde Google’ın sunucularına yapılan hacker saldırıları ardından, Google’ın Çin gibi bir dünya devine meydan okuması büyük tartışmalara yol açtı. Çin yasaları, Internet sansürü tartışmalarına, Amerika’nın yaptığı açıklamalar da eklenince, Çin ile Google arasında başlayan siber savaş ülkeler arası gerginlik boyutuna taşındı.
Ancak bilişim uzmanları Google’ın bu radikal çıkışını; sansürsüz Internet karşıtı bir yaklaşım olarak değil, büyük yatırımlar yaptığı “Cloud Computing” altyapısıyla ilgili olarak güvenilir imajını korumak olarak değerlendiriyor.
Çinli hacker’ların Google sunucularına saldırıları başarılı olursa, kullanıcıların Google’ın Cloud Computing altyapısına güveni kalmayacağından ve yaptığı yatırımların zararla sonuçlanacağından endişe duyan Google’ın, yapılan bu hacker saldırılarını, kendi geleceğine yapılmış bir saldırı niteliğinde kabul ederek saygınlığını ve güvenilirliğini korumak amacıyla böyle bir tepki gösterdiği düşünülüyor.
“Cloud Computing” günümüz Internet dünyasında ön plana çıkan yeni kavramların başında geliyor. Büyük teknoloji devleri bu kavrama çok büyük yatırımlar yapıyor. Bu altyapı üzerinden sunulan uygulama ve servislere hergün yenileri ekleniyor. (Resim 1)
Resim 1: Cloud Computing servisleri
Türkçe makalelerde bulutsu bilişim, net-işlem, bulutsu bilgi işlem gibi birçok farklı çeviriyle karşımıza çıkan “cloud computing” mobilitenin sınırlarını daha da genişletiyor. Bu yaklaşımla; artık ister kişisel verilerinize olsun, ister kurumiçi uygulamalarınıza veya verilerinize olsun, platform veya lokasyon bağımsız erişim sağlanıyor. Dünyanın neresinde olursanız olun, Internet erişiminizin olduğu herhangi bir yerden, platform bağımsız bir bilgisayardan, hatta cep telefonundan dokümanlarınıza erişebilirsiniz. Hatta Internet üzerinden servisi verilen kurum uygulamanıza herhangi bir yerden bağlanıp çalışabilirsiniz.
Bu sayede kurumlar kendi teknolojik altyapılarını, kendi lokasyonlarında barındırmak için harcadıkları yüklü maliyetlerden kurtulup, ihtiyaç duydukları her türlü servisi, uygulamayı, hatta teknolojik altyapıyı sadece kullandığın kadar öde gibi paketlerle, Internet üzerindeki bulutsu yapı üzerinden kullanarak maliyet avantajı sağlayabiliyorlar.
Cloud Computing Servis Modelleri :
United States Institute of Science and Technology (NIST) “cloud computing” kavramını 3 servis modeliyle açıklıyor (Resim 2):
1) Servis olarak Yazılım (Software as a Service), bulutsu altyapı üzerinden uygulamaların sunulması hizmetidir. Kullanıcılar, bu uygulamalara kendi sistemlerine birşey yükleme gereği duymadan, Internet’e bağlandıkları herhangi bir noktadan, bulutsu yapı üzerindeki uygulamalarına erişip, çalışabilirler. Bu tip servislere en yaygın örnekler; mail servisleri, ofis yazılımları, doküman paylaşımı ve müşteri yönetimi gibi uygulamalardır.
2) Servis olarak Platform (Platform as a Service), hizmetinde servis sağlayıcı, müşteriye kendi uygulamasını geliştirip, çalıştırabileceği bir platform sunar. Bu platform uygulamanın geliştirileceği, çalıştırılacağı ortamla birlikte, tamamlayıcı servisleri ve gerekli teknolojik altyapıyı da kapsar.
3) Servis olarak Altyapı (Infrastructure as a Service), müşterilere altyapı servislerinin sanallaştırma ortamı gibi sunucu çiftlikleri üzerinden verilmesi hizmetidir.
Resim 2: Servis Modelleri
Cloud Computing kavramı, günümüzün artan mobilite ihtiyaçları doğrultusunda, sunduğu kullanılabilirlik ve maliyet avantajları sebebiyle öngördüğü taleple ciddi bir pazar vadediyor. Büyük teknoloji devleri bu pazardan payını alabilmek için ciddi yatırımlar yapıyor. Ancak, bu teknoloji sunduğu kolay kullanılabilirlik ve maliyet avantajlarının yanında, birçok güvenlik riskini ve tartışmasını da beraberinde getiriyor.
Cloud Computing Güvenliği:
Bulutsu bilişim yapısında alınan güvenlik önlemleri ve kontroller, herhangi bir IT altyapısı için alınan önlemlerden çok farklılık göstermemektedir. Ancak, işleyiş yapısı, kullandığı teknolojik altyapı ve sunulan servis modelleri sebebiyle; bu yapı geleneksel IT çözümlerinden daha farklı risklere sahiptir.
Karşımıza çıkan risklerin farklılığı sadece varlıkların, verilerin, hatta kaynakların lokasyonundan kaynaklanmamaktadır. Risk değerlendirmesi yapılırken bu varlıkların, verilerin, kaynakların kimler tarafından erişilebildiği, kimler tarafından yönetilebildiği gibi kriterler de göz önünde bulundurulmalıdır.
Bu kavramla birlikte kritik verileriniz şirket bünyesinde barındırılan ortamlardan çıkarak, servis sağlayıcıların Internet bulutu içindeki sunucu çiftliklerinde barındırılmaya başlanacak veya varlıklarınız harici yapılarda konuşlandırılıyor olacak. Bu şekilde; direk kontrolünüzün, denetiminizin olmadığı bir yapı üzerinde, kurumunuz için kritik önem taşıyan verilerinizi barındırıyor, kritik uygulamalarınızı çalıştırıyor olacaksınız.
Cloud Computing yapısıyla hayatımıza giren teknolojik gelişim ve değişimle birlikte ortaya çıkan güvenlik risklerini iyi belirleyebiliyor olmalıyız. Cloud computing çözümlerini geliştirirken, uygularken, seçerken, kullanırken veya işletirken; yasal uyumluluk ve risk yönetimi, kimlik ve erişim yönetimi, uç nokta güvenliği, bulutsu yapıda tutulan bilginin gizliliği ve erişilebilirliği gibi birçok kriteri göz önünde bulundurmak gerekiyor.
Kurumların güvenlik yaklaşımına ve beklentilerine uygun olacak şekilde riske-ayarlı güvenlik kontrollerinin uygulanıyor olması gereklidir. Network, sistem, uygulama ve fiziksel olacak şekilde farklı katmanlarda güvenlik önlemlerinin uygulanması gerekmektedir.
Bu noktada, bilginin güvenliğini sağlamak amacıyla; gerek servis sağlayıcıların, gerekse de bu servisi kullanan kurumların üstüne birçok yükümlükler düşmektedir. Bulutsu bilişim güvenliği için uygulanacak güvenlik kontrollerinin sorumluluğu; kullanılan servis modeline bağlı olarak servis sağlayıcıda veya müşteride olacaktır.
Örneğin, IaaS servis modelinde; altyapının güvenliği, servis sağlayıcının sorumluluğunda iken, üst katmanlardaki güvenlik müşterinin sormluluğundadır. Benzer şekilde, PaaS servis modelinde müşteriye kendi uygulamasını geliştirip, çalıştırabileceği bir platform sunulmaktadır. Bu yapıda, sunulan platformun güvenliği servis sağlayıcının sorumluluğunda iken, üzerinde geliştirilen uygulamaların güvenliği ve güvenli şekilde geliştirilmesi müşterinin sorumluluğundadır. SaaS yapılarında ise; servis seviyelerinin ve taahhüdlerinin, güvenlik, gizlilik ve uyum kriterlerinin yasal sözleşmeler dahilinde tanımlanması gereklidir (Resim 3).
· Software as a Service (SaaS): Güvenliğin sağlanmasındaki en büyük sorumluluk servis sağlayıcıya düşmektedir.
· Infrastructure as a Service (IaaS): Güvenliğin sağlanmasındaki en büyük sorumluluk müşteriye aittir.
· Platform as a Service (PaaS): Güvenliğin sağlanmasındaki sorumluluk servis sağlayıcı ve müşteri arasında hemen hemen eşit seviyede paylaşılmaktadır.
Resim 3: Cloud Güvenliği
Bulutsu bilişim güvenliğinden bahsederken göz önünde bulundurulması gereken kriterlerin sayısı farklılıklar gösterse de (Gartner incelemelerinde 7 ana güvenlik kriteri tanımlarken, Cloud Security Alliance bu kriterleri 15 ana başlık altında tanımlamaktadır.) 3 ana başlık altında bu kriterleri tanımlayabiliriz:
1. Güvenlik ve Gizlilik,
2. Uyum,
3. Yasalara ve Sözleşmelere ilişkin konular
1. Güvenlik ve Gizlilik:
Verinin güvenliğinin sağlanarak, yetkisiz kişilerce erişimi, çalınması veya değiştirilmesi önlenmeli ve verinin gizliliği güvenceye alınmalıdır. Bu sebeple, servis sağlayıcılar veri güvenliği, erişim ve kimlik yönetimi, gizlilik, uygulama güvenliği gibi konulara önem vermelidir.
Veri Güvenliği:
Bulutsu yapıdaki müşteriler tarafından paylaşılmış ortak kaynaklar üzerinde tutulan verinin güvenliğinin sağlanmasındaki en önemli kriter; etkili veri izolasyonudur. Paylaştırılmış yapıda saklanan bir müşteri verisinin, aynı kaynağı kullanan diğer bir müşteri tarafından erişilemiyor, değiştirilemiyor olması gereklidir. Bunu sağlamak için, erişim yönetimi, şifreleme, sanallaştırma gibi yöntemler kullanılmaktadır.
Servis sağlayıcılar verinin güvenli bir şekilde saklanıp, işlenmesinden, bir lokasyondan bir lokasyona güvenli şekilde taşınmasından sorumludurlar. Servis sağlayıcılar veri sızması ve üçüncü şahısların yetkisiz veri erişimini engellemek için gerekli önlemleri almakla yükümlüdür.
Kimlik Yönetimi:
Verinin ve uygulamaların bütünlüğünün, gizliliğinin sağlanıyor olması müşteriler için öncelik taşımaktadır. Bunu sağlamak için uçtan uca kimlik yönetimi, üçüncü parti kimlik doğrulama servisleri, ve federasyon kimlik yönetim teknolojileri bulutsu bilişim güvenliğinde kullanılan önemli kontrollerin başında gelmektedir.
Her kurum kendi veri ve bilgisayar kaynaklarına erişimi kontrol edebilmek için, kendi kimlik yönetim sistemlerine sahiptir. Bulutsu bilişim servis sağlayıcıları ise; federasyon ve SSO teknolojilerini kullanarak müşterilerinin kimlik yönetim yapılarını, kendi yapılarına entegre etmeli veya kendi kimlik yönetim sistemlerini müşterilerine sunmalıdırlar.
Fiziksel ve Personel Güvenlik
Alışılmış IT altyapıları için geçerli olan fiziksel ve personel güvenlik kriterleri, aynı şekilde bulutsu bilişim servis sağlayıcıları için de geçerlidir. Fiziksel makinelerin güvenliği ve bu makinelere güvenli erişim için gerekli fiziksel ve personel güvenlik önlemleri alınmış ve erişimler kayıt altına alınıyor olmalıdır.
Erişilebilirlik:
Servis sağlayıcılar, müşterilerinin kendi veri ve uygulamalarına erişebilirliklerini, gerekli önlemleri alarak garanti altına almış olmalıdır.
Uygulama Güvenliği
Servis sağlayıcılar, servis olarak sundukları uygulamaların güvenliğini sağlamak için gerekli test ve değişim yönetimi metodlarını kullanıyor olmalıdır. Ayrıca production ortamındaki uygulamanın güvenliğini sağlamak için application-level firewall, veritabanı denetimi gibi gerekli uygulama güvenlik önlemlerini almalıdır.
Gizlilik:
Servis sağlayıcılar sakladıkları kritik verilerin gizliliğini sağlamakla yükümlüdür. Kimlik bilgileri, kredi kartı bilgileri veya müşteri için kritik değer taşıyan tüm verilerin maskelenmiş şekilde saklanması ve üçüncü şahıslar tarafından erişiminin engellenmesi için gerekli önlemler servis sağlayıcı tarafından alınmalıdır.
Bununla birlikte, bulutsu bilişim yapılarında barındırılan verilere veya kullanıcılara ilişkin birçok bilgi servis sağlayıcılar tarafından toplanmaktadır. Birçok kurum için değerli pazarlama verileri olarak da kullanılabilecek bu bilgilerin, gizlilik ilkelerini ihlal etmeden korunuyor olması gereklidir.
2. Uyum:
Günümüzde kurumların bilgi güvenliği konusunda uymak zorunda olduğu birçok yasal zorunluluk ve standart bulunmakta, kurumlar sahip oldukları bilginin güvenilirliğini, gizliliğini, erişilebilirliğini bu yasal zorunluklar ve standartlar çerçevesinde sağlamak zorundadır.
Şirketlere ait muhasebe kayıtları, müşteri veritabanları gibi birçok kritik bilgi, Cloud Computing kavramı ile birlikte şirket bünyesinde barındırılan ortamlardan çıkarak, servis sağlayıcıların Internet bulutu içindeki sunucu çiftliklerinde barındırılmaya başlanacak. Kurumlar için kritik önem taşıyan verinin lokasyonu değişse de, kurumların uymak zorunda olduğu yasal zorunluluklar değişmiyor.
Bu sebeple, servis sağlayıcılar kendilerinin ve müşterilerinin uymakla yükümlü olduğu standartlara ve verinin saklanması ve kullanımına ilişkin yasal düzenlemelere uyum çerçevesinde, gerekli koşulları sağlamakla yükümlüdür.
İş Sürekliliği ve Felaket Kurtarma
Servis sağlayıcılar sundukları servis ve sakladıkları verinin her türlü durumda erişilebilirliğini sağlamak için iş sürekliliği ve felaket kurtarma planları geliştirmeli ve gerekli önlemleri alıyor olmalıdır. Bununla birlikte veri kaybıyla sonuçlanacabilecek herhangi bir durumda veri kurtarma için gerekli altyapı ve planların oluşturulması gereklidir.
Servis sağlayıcılar tarafından geliştirilen bu plan ve alınan önlemler müşterilerle paylaşılıyor olmalıdır.
Erişim kayıtları ve denetimleri:
Her türlü erişim servis sağlayıcılar tarafından kayıt altına alınıp, müşterinin gereksinimleri doğrultusunda belirlenen sürelerce bu kayıtlar güvenli şekilde saklanıyor olmalıdır. İhtiyaç duyulduğunda geriye dönük olarak bu kayıtların incelemesi yapılabilmelidir.
3. Yasalara ve Sözleşmelere ilişkin Konular:
Yeni gelişen bir kavram olmakla birlikte, belirlenmiş net sınırlar ve standartların daha oturmamış olması sebebiyle karşılaşılan birçok karmaşa, şu aşamada sözleşmelerle çözümlenmeye çalışılmaktadır. Verinin kaybı veya gizlilik ihlali sonucu ortaya çıkacak zararların karşılanması, fikri mülkiyet hakları, alınan servisin sonlandırılması durumunda barındırılan tüm veri ve uygulamaların müşteriye iadesi ve kopyalarının silinmesi gibi birçok duruma ilişkin konular sözleşmelerde netleştirilmelidir.
Sonuç olarak, bilişim dünyası bulutsu bilişim altyapısının getirdiği etkileyici avantajları konusunda hemfikir, ancak ortaya çıkan güvenlik ve gizlilik riskleri konusunda ciddi endişeler taşıyor. Kurumlar, veriye erişimin güvenliğinin, verinin gizliliği ve bütünlüğünün, hatta yasal uyumlulukların nasıl sağlanacağı konularında birçok soru işaretine sahip.
Bu endişelere çözüm getirmek ve cloud computing güvenliğini sağlamak, geliştirmek adına çok çeşitli çalışmalar yürütülüyor. Hatta bu noktada daha hızlı bir gelişim sağlayabilmek amacıyla; HP Labs’ın sponsorluğunda Global Security Challenge tarafından açılan bir yarışmada, Cloud Computing güvenliği için yeni fikirler yarışıyor olacak. Yarışmayı kazanacak olan en başarılı fikir için ödül $10.000. 15 Mart 2010 tarihine kadar fikirlerinizi gönderebiliyorsunuz. http://www.globalsecuritychallenge.com/gsc_competitions.php#cloud
Referanslar:
CSA, Security Guidance for Critical Areas of Focus in Cloud Computing V2.1
Cloud Security and Privacy, from O’Reilly Media, Tim Mather, Subra Kumaraswamy, Shahed Latif
ENISA, Cloud Computing Risk Assessment
RSA Whitepaper, The Role of Security in Trustworthy Cloud Computing
http://en.wikipedia.org/wiki/Cloud_computing_security
Gartner, Seven cloud-computing security risks