Bulut güvenliğine odaklanın: Dijitalleşen bir dünyada hassas şirket verilerini korumaya yönelik stratejiler, mimariler ve sözleşme modelleri

Veriler, modern dijitalleşmiş ekonominin bir aracıdır; hem şirketler (özel sektör) hem de devlet (kamu sektörü) için “yeni altın” niteliğindedir. Günümüzün dijitalleşmiş dünyasında, durdurulamaz bir hızla artan sayısız yeni veri kümesi ortaya çıkmakta ve bunların büyük bir kısmı internete akmaktadır. Bunlardan bazıları, dijital kimliği yansıtan kişisel verilerle ilgilidir. Bir işletmede asıl önemli olan, bu verileri dikkatli bir şekilde filtrelemek ve her şeyden önce bu verileri saklamaktır. Bu kısa çalışmada, verilerin bir bulutta depolanması ve işlenmesi, kurumsal bir bakış açısıyla ele alınmaktadır. Ayrıca bu kısa çalışma, endüstrinin kendi veri işleme faaliyetleri için sağlam bir temele sahip olmak amacıyla hangi sözleşme türlerini, mimarileri ve siber saldırılara karşı uygun güvenlik önlemlerini uyguladığını da ortaya koymaktadır.

Bulut güvenliği konusuna girmeden önce, öncelikle "bulut bilişim" olarak adlandırılan kavramın temel bilgilerini, işleyişini ve bir bulutun yapısını öğrenmek gerekir: "Bulut Bilişim, gerektiğinde her zaman ve her yerden bir ağ üzerinden yapılandırılabilir bilgisayar kaynakları havuzuna (ör. ağlar, sunucular, depolama sistemleri, uygulamalar ve hizmetler) rahatça erişilebilen bir veri işleme modelidir. Bu kaynaklar, hızlı bir şekilde ve minimum yönetim çabası veya hizmet sağlayıcıyla az etkileşimle kullanıma sunulabilir. Bulut, üç farklı şekilde (Hizmet Olarak Altyapı (IaaS), Hizmet Olarak Platform (PaaS), Hizmet Olarak Yazılım (SaaS)) kullanılabilir. Bulut türü, sunum türüne göre (Özel Bulut, Topluluk Bulutu, Genel Bulut, Hibrit Bulut) farklılık gösterir.» [1]

Bulut bilişim alanında, bulut sağlayıcılarının kullanıcılarına bulut hizmetlerini sunma şekli olarak çeşitli sunum türleri bulunmaktadır. Bulut bilişim ile ilişkili dört ana model mevcuttur:

1. Genel Bulut

Genel bulut, tüm kullanıcılara donanım (işletim sistemi, CPU, bellek) veya yazılım (uygulama sunucusu, veritabanı)gibi bilgisayar kaynaklarına abonelik veya kullandıkça öde temelindeerişim imkanı sunar . Uygulama örnekleri arasında, dosya paylaşımı ve e-posta hizmetleri gibi kritik ve kritik olmayan görevlerin uygulamalarının geliştirilmesi ve test edilmesi yer alır.

2. Özel Bulut

Özel bulut genellikle tek bir kuruluş tarafından kullanılır ve ya kurum içinde yönetilebilir ya da harici bir BT hizmet sağlayıcısı tarafından yönetilebilir. Özel bulutlar, satın alma ve bakım yatırımları nedeniyle genellikle genel bulutlardan daha pahalı olsa da, kuruluşların güvenlik ve veri gizliliği endişelerini daha etkili bir şekilde giderir.

3. Hibrit Bulut (fiziksel bir veri merkezi veya harici bir özel bulut ve/veya bir genel buluttan oluşan karma bir yapı)

Hibrit bulut, hem özel hem de genel bulut altyapılarını kullanır. Şirketler, ihtiyaç duyduklarında BT altyapılarını hızla genişletmek için bu modeli tercih eder. Böylece, örneğin bir çevrimiçi perakendeci, tatil sezonunda özel bulutunun kapasitesini tamamlamak veya yükünü azaltmak için genel bulut kaynaklarını kullanabilir.

4. Topluluk Bulutu

Topluluk Bulutu, bilgisayar kaynaklarını kullanan birden fazla kuruluşu ortaklaşa destekler . Bunlar arasında, örneğin belirli araştırma alanlarında işbirliği yapan üniversiteler veya bir ilçe içindeki polis karakolları gibi kaynaklarını paylaşan devlet kurumları sayılabilir . Topluluk Bulutuna erişim, topluluğun üyeleriyle sınırlıdır.

Genel bulutlarda son kullanıcı maliyetleri geleneksel olarak düşüktür ve daha büyük yatırımlar gerekmez. Özel bulutlar ise yatırım gerektirir , ancak kendi altyapısının işletme maliyetlerine kıyasla temel olarak tasarruf sağlar . Özel bulutlar , genel bulutlara göredaha fazla güvenlik ve uyumluluk desteğide sağlar . Bu nedenle bazı kuruluşlar, iş açısından kritik veya daha hassas veriler ve uygulamalar için özel bulutları, uygulama geliştirme, test ortamları ve e-posta hizmetleri gibi temel görevler için ise genel bulutları kullanır. [2]

Hibrit bir bulut çözümü, siber saldırı risklerini azaltmak veya çeşitlendirmek için idealdir. Bu, yalnızca bir kamu bulutunun kullanımına kıyasla kendi güvenliği üzerinde daha fazla kontrol sağlar. Ayrıca, hibrit bir bulut altyapısı, bireysel güvenlik standartları oluşturma ve yazılımı özel sunucularda özel olarak yapılandırmaimkanı sunar . Bu dağılım, sistemlerin güvenilirliğini artırır ve sistem sorunlarının daha iyi değerlendirilmesini sağlar.

Buna ek olarak, maliyet verimliliği, sunucuları yerinde satın alıp bakımını yapmaya kıyasla daha yüksektir. [3]

Bulut Hizmeti Mimari Modelleri

Artırılmış güvenlik kontrolünden iyileştirilmiş güvenilirliğe kadar uzanan bu hibrit bulut çözümünün avantajları göz önüne alındığında, çeşitli bulut hizmeti mimarilerini anlamak önemlidir. Infrastructure as a Service (IaaS), Platform as a Service (PaaS) ve Software as a Service (SaaS) olarak adlandırılan bu mimariler, farklı hizmet sunum düzeyleri sunar ve uyumluluk konusunda farklı sorumluluklar belirler.

1. Hizmet Olarak Altyapı (IaaS)

IaaS sağlayıcıları, temel bilgi işlem, depolama ve ağ altyapısının yanı sıra sanallaştırma için hipervizörü sağlar. Sanal örneklerin oluşturulması ve yönetimi, işletim sistemlerinin kurulumu, uygulamaların ve verilerin sağlanması ile tüm yapılandırma işlemlerinden kullanıcılar sorumludur. IaaS, hem küçük işletmeler hem de KOBİ'ler için ilgi çekicidir. Kendi işletmediğiniz bir bulut altyapısının basit kullanımı, kendi donanımınızı satın almaya kıyasla uygun maliyetli bir alternatif sunar.

Örnekler: DigitalOcean, AWS, Azure, Google Compute Engine, Hetzner Cloud

2. Platform as a Service (PaaS)

PaaS sağlayıcıları, işletim sistemlerini ve ara yazılımları (örn. veritabanları) ekleyerek uygulama yığınını IaaS'tan daha fazla genişletir. Kullanıcılar, uygulama geliştirmeye daha fazla odaklanır. Platform, altta yatan altyapıyı yönetir.

Örnekler: AWS Elastic Beanstalk, Google App Engine.

3. Hizmet Olarak Yazılım (SaaS)

SaaS sağlayıcıları eksiksiz bir uygulama yığını sunar. Kullanıcılar, bir web tarayıcısı üzerinden tamamen barındırılan uygulamaya erişebilir. İş yüklerinin ve BT kaynaklarının yönetimi tamamen SaaS sağlayıcısının kontrolündedir, ancak kullanıcılar uygulama tarafından oluşturulan veriler üzerinde açıkça kontrol sahibidir.

Örnekler: Salesforce, Dropbox, Google Workspace, aBusiness Suite [4]

Sözleşme Hukukunda Bulut

SaaS sözleşmeleri, şu ana kadar yasama organı tarafından henüz açıkça hukuki olarak ele alınmamıştır. Bugüne kadar, bir SaaS sözleşmesi hukuken yalnızca hizmet, iş ve kira sözleşmelerinin unsurlarını içeren karma bir sözleşme olarak sınıflandırılabilir. Dolayısıyla, uygulanacak hukuk alanı sözleşmenin ilgili hizmet bölümüne bağlıdır. SaaS sözleşmesinin temel bileşeni ağırlıklı olarak kira hukukundadır, çünkü yazılımın sağlanması en iyi şekilde kira hukukundaki mülkiyet devri ile karşılaştırılabilir. Yazılım, kira hukuku anlamında bir "eşya" olarak kabul edilmediğinden, şu anda SaaS sözleşmelerinin kullanım için süreli bir devretme olduğu görüşü hakimdir. Bu, kira hukukunun izlediği kurallar ve hedefle uyumludur. [5]

PaaS sözleşmeleri, asgari hizmetleri belirleyen ve her iki tarafın hak ve yükümlülüklerini tanımlayanHizmet Seviyesi Anlaşmaları (SLA'lar) tarafından büyük ölçüde şekillenir .

PaaS hizmetlerinde genellikle hassas veriler işlendiğinden, veri koruma ve veri güvenliği çok önemli bir rol oynar. Sözleşme, kişisel verilerin korunmasına ilişkinaçık hükümler içermelidir. Ayrıca, oluşturulan uygulamaların fikri mülkiyet hakkının kime ait olduğunun sözleşmede belirtilmesi kaçınılmazdır; bu durumda genellikle kullanıcı uygulamaların mülkiyetini elinde tutarken, sağlayıcı platformun mülkiyetini elinde tutar. [6]

Sonuç

İster bir startup, ister bir risk sermayesi şirketi, ister bir KOBİ veya daha büyük bir işletme olsun, bulut güvenliği her şirket için hayati önem taşır.

Bu konuda, bir şirket olarak hangi bulut sağlayıcılarla çalışmak istediğinizedikkat etmekle kalmayıp, bu konuda hangi çerçeve koşullarının belirleneceğine dedikkat etmek gerekir .

Sonuç olarak, güvenlik yalnızca bulut teknolojisi hizmet sağlayıcısının sorumluluğunda değildir; bir şirketin çalışanları da bulutun güvenlik açısından aynı derecede önemli bir rol oynar.

Çalışanların güvenlik kuralları ve prosedürlerini uygulayabilecek gerekli bilgi birikimine sahip olmalarını sağlamak için, düzenli olarak çalışanların eğitimi ve farkındalıklarının artırılmasına yatırım yapmak kaçınılmazdır. Ancak, bir bulutun tüm potansiyelini ortaya çıkarmak için, şirketler hem kendi sistemlerinin hem de dış ortakların sistemlerinin bakımına hem de yeni BT çalışanlarının işe alınmasına yatırım yapmalıdır. Böylelikle bir şirket sistem güvenliğini sağlayabilir ve böylece müşteri memnuniyetini artırabilir, bu da şirketin itibarını uzun vadede yükseltir.

Harici bir bulut sağlayıcısı seçerken her zaman en önemli sorunlardan biri, yabancı sağlayıcılara bağımlılık ve bunların veri koruma yönetmelikleridir. Şirketler, veri koruma yönergelerini kapsamlı bir şekilde inceleme, riski en aza indirgemek için hibrit bulut yaklaşımları, güvenlik önlemlerinin değerlendirilmesi ve sağlayıcıların sertifikaları, veri koruma etki değerlendirmeleri, düzenli izleme ve denetimler ile olası veri koruma ihlallerine hazırlık gibi önlemler alarak bu zorluğun üstesinden gelmektedir. Stratejiler, şirketin büyüklüğüne ve sektörüne göre değişiklik gösterir, ancak hepsi veri koruma uyumluluğunu sağlamak ve harici bulut hizmetlerinin kullanımıyla ilgili potansiyel riskleri en aza indirmek amacıyla uygulanır.

Kaynakça

Bulut Bilişim
https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing

Bulut Dağıtım Modeli (2014)
https://www.sciencedirect.com/topics/computer-science/cloud-deployment-model

Bulutu anlamak - Kamu bulutu ve hibrit bulutun ne olduğunu biliyor musunuz? (2023)
https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist

IaaS nedir? Tanım ve bilmeniz gerekenler
https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/

Hizmet Olarak Platform (PaaS) (2022)
https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS

SaaS sözleşmeleri hazırlarken dikkat etmeniz gerekenler (2022)
https://www.top.legal/wissen/saas-vertraege

Hizmet Olarak Platform Sözleşmeleri (PaaS Sözleşmeleri): Bir Kılavuz (2023)
https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html