Bulut güvenliği

Veri, günümüz dijital ekonomisinin temel yapı taşlarından biri haline gelmiştir. Hem özel sektör şirketleri hem de kamu kurumları için veri, adeta yeni bir altın değerindedir. Dijitalleşen dünyamızda, internete her gün eklenen sayısız yeni veri kaydı, durdurulamaz bir akış oluşturmaktadır. Bu verilerin bir kısmı, dijital kimliğinizi temsil eden kişisel bilgilerden oluşmaktadır. Bir şirketin asıl başarısı ise, bu verileri dikkatlice filtreleyip öncelikle güvenli bir şekilde depolayabilmesinde yatmaktadır. Bu kısa makalede, bulut ortamında verilerin nasıl işlendiğini ve şirketler açısından hangi mimari, sözleşme ve güvenlik önlemlerinin alınması gerektiğini ele alacağız.

Bulut güvenliği konusuna geçmeden önce, bulut bilişimin ne olduğu, nasıl çalıştığı ve bulutun nasıl yapılandırıldığı hakkında bazı temel bilgileri edinmek önemlidir: Bulut bilişim, yapılandırılabilir bilgisayar kaynaklarının (ör. ağlar, sunucular, depolama sistemleri, uygulamalar ve hizmetler) paylaşılan bir havuzda, internet üzerinden herhangi bir zamanda ve herhangi bir yerden kolayca erişilebildiği bir veri işleme modelidir. Bu kaynaklar, hızlı bir şekilde ve minimum idari çaba veya hizmet sağlayıcı etkileşimiyle kullanılabilir hale getirilebilir. Bulut, üç farklı şekilde sunulabilir: Hizmet Olarak Altyapı (IaaS), Hizmet Olarak Platform (PaaS) ve Hizmet Olarak Yazılım (SaaS). Ayrıca, bulutun türü; özel bulut, topluluk bulutu, genel bulut ve hibrit bulut gibi tedarik modellerine göre değişiklik göstermektedir.^[1]

Bulut bilişimde, bulut hizmetlerinin kullanıcılara sunulma biçimleri farklılık göstermektedir. Dört ana bulut dağıtım modeli bulunmaktadır:

1. Genel Bulut

Genel bulut, tüm kullanıcılara donanım (işletim sistemi, CPU, bellek) veya yazılım (uygulama sunucusu, veritabanı) kaynaklarına abonelik veya kullandıkça ödeme esasına göre erişim imkânı sunar. Dosya paylaşımı ve e-posta hizmetleri gibi kritik ve kritik olmayan görevler için uygulama geliştirme ve test etme gibi pratik kullanım örnekleri mevcuttur.

2. Özel Bulut

Özel bulutlar genellikle tek bir kuruluş tarafından kullanılır ve kurum içinde yönetilebileceği gibi harici bir BT hizmet sağlayıcısı tarafından da yönetilebilir. Satın alma ve bakım maliyetleri nedeniyle genel bulutlara göre daha pahalı olsalar da, güvenlik ve veri koruma açısından daha yüksek standartlar sunarlar.

3. Hibrit Bulut

Hibrit bulut, hem özel hem de genel bulut altyapılarını bir arada kullanır. Şirketler, BT altyapılarını gerektiğinde hızla genişletmek için bu modeli tercih etmektedir. Örneğin, çevrimiçi bir perakendeci, tatil sezonunda artan talebi karşılamak için genel bulut kaynaklarını devreye alabilir.

4. Topluluk Bulutu

Topluluk bulutu, belirli bir topluluğa ait kuruluşların (örneğin, aynı araştırma alanında iş birliği yapan üniversiteler veya kaynaklarını paylaşan polis departmanları gibi kamu aktörleri) ortak bilgisayar kaynaklarını kullanmasını sağlar. Erişim, yalnızca topluluk üyeleriyle sınırlıdır.

Genel bulutlarda son kullanıcı için maliyetler genellikle düşüktür ve büyük yatırımlar gerektirmez. Özel bulutlar ise daha fazla yatırım gerektirse de, kendi altyapısının işletme maliyetlerine kıyasla tasarruf sağlayabilir ve daha fazla güvenlik ile uyumluluk desteği sunar. Bu nedenle, bazı kuruluşlar kritik veya hassas veriler ve uygulamalar için özel bulutları; uygulama geliştirme, test ortamları ve e-posta hizmetleri gibi temel görevler için ise genel bulutları tercih etmektedir.^[2]

Hibrit bulut çözümleri, siber saldırı risklerini azaltmak ve çeşitlendirmek için etkili bir yöntemdir. Bu model, yalnızca genel bulut kullanımına kıyasla güvenlik üzerinde daha fazla kontrol sağlar. Ayrıca, özel sunucularda bireysel güvenlik standartları belirleme ve özelleştirilmiş yazılım yapılandırma imkânı sunar. Bu dağıtım, sistem güvenilirliğini artırır ve olası sistem sorunlarının daha iyi değerlendirilmesini sağlar.

Ek olarak, hibrit bulutun maliyet verimliliği, sunucuların yerinde satın alınması ve bakımıyla karşılaştırıldığında daha yüksektir.^[3]

Bulut Hizmet Mimarisi Modelleri

Hibrit bulutun sunduğu gelişmiş güvenlik ve güvenilirlik avantajları göz önünde bulundurulduğunda, farklı bulut hizmet mimarilerini anlamak büyük önem taşır. Hizmet Olarak Altyapı (IaaS), Hizmet Olarak Platform (PaaS) ve Hizmet Olarak Yazılım (SaaS) olarak adlandırılan bu mimariler, farklı hizmet seviyeleri sunar ve uyumluluk açısından farklı sorumluluklar tanımlar.

1. Hizmet Olarak Altyapı (IaaS)

IaaS sağlayıcıları, temel bilgi işlem, depolama ve ağ altyapısının yanı sıra sanallaştırma için hipervizör sunar. Kullanıcılar, sanal örnekler oluşturmak ve yönetmekten, işletim sistemleri kurmaktan, uygulama ve veri sağlamaktan ve tüm yapılandırmadan sorumludur. IaaS, küçük ve orta ölçekli şirketler için cazip bir seçenektir. Şirket içinde işletilmeyen bir bulut altyapısının kolay yönetimi, kendi donanımınızı satın almaya göre daha uygun maliyetli bir alternatiftir.

Örnekler: DigitalOcean, AWS, Azure, Google Compute Engine, Hetzner Cloud

2. Hizmet Olarak Platform (PaaS)

PaaS sağlayıcıları, işletim sistemleri ve ara katman yazılımları (örneğin, veritabanları) ekleyerek uygulama yığınının kapsamını IaaS'ten daha da genişletir. Kullanıcılar, altyapı yönetimiyle uğraşmak yerine uygulama geliştirmeye odaklanır. Platform, altyapının yönetimini üstlenir.

Örnekler: AWS Elastic Beanstalk, Google App Engine

3. Hizmet Olarak Yazılım (SaaS)

SaaS sağlayıcıları, eksiksiz bir uygulama yığını sunar. Kullanıcılar, tamamen barındırılan uygulamalara web tarayıcısı üzerinden erişebilir. İş yüklerinin ve BT kaynaklarının yönetimi tamamen SaaS sağlayıcısının kontrolündeyken, kullanıcılar uygulama tarafından oluşturulan veriler üzerinde tam kontrole sahiptir.

Örnekler: Salesforce, Dropbox, Google Workspace, aBusiness Suite^[4]

Sözleşme Hukukunda Bulut

SaaS sözleşmeleri, yasa koyucu tarafından henüz açıkça düzenlenmemiştir. Şu ana kadar, bir SaaS sözleşmesi yasal olarak hizmet, iş ve kira sözleşmelerinin unsurlarını içeren karma bir sözleşme olarak değerlendirilmektedir. Bu nedenle, uygulanacak hukuk alanı, sözleşmenin ilgili hizmet bölümüne bağlıdır. SaaS sözleşmelerinin ana unsuru, genellikle kira hukukunda yer alır; çünkü yazılımın sağlanması, mülkün geçici devriyle benzerlik gösterir. Yazılım, kira hukuku anlamında bir “şey” olarak kabul edilmese de, mevcut görüşe göre SaaS sözleşmeleri kullanım için geçici bir devir olarak değerlendirilir. Bu yaklaşım, yönetmeliklerle ve kira hukukunun amaçlarıyla uyumludur.^[5]

PaaS sözleşmeleri ise büyük ölçüde Hizmet Seviyesi Anlaşmaları (SLA) ile karakterize edilir ve asgari hizmetleri, tarafların hak ve yükümlülüklerini tanımlar. PaaS hizmetleri genellikle hassas verilerin işlenmesini içerdiğinden, veri koruma ve güvenliği çok önemli bir rol oynar. Sözleşmede, kişisel verilerin korunmasına ilişkin açık hükümler bulunmalı ve oluşturulan uygulamaların fikri mülkiyetinin kime ait olduğu belirtilmelidir. Genellikle kullanıcı, uygulamaların mülkiyetini elinde tutarken, sağlayıcı platformun mülkiyetini korur.^[6]

Sonuç

İster bir startup, ister bir risk sermayesi şirketi, ister bir KOBİ veya büyük ölçekli bir kuruluş olun, bulut güvenliği her şirket için kritik öneme sahiptir.

Bir şirket olarak, yalnızca hangi bulut sağlayıcılarıyla çalışmak istediğinizi değil, aynı zamanda hangi çerçeve koşullarının belirlendiğini de dikkatlice değerlendirmeniz gerekmektedir.

Sonuç olarak, güvenlik yalnızca bulut hizmet sağlayıcısının sorumluluğunda değildir; şirket çalışanları da bulutun güvenlik boyutunda eşit derecede önemli bir rol oynar.

Çalışanların güvenlik politikaları ve prosedürleri konusunda yeterli bilgiye sahip olmalarını sağlamak için düzenli eğitim ve farkındalık yatırımları yapılmalıdır. Ayrıca, bulutun tüm potansiyelinden yararlanmak için şirketler hem kendi sistemlerinin hem de harici ortaklarının sistemlerinin bakımına ve yeni BT personelinin işe alımına yatırım yapmalıdır. Bu şekilde, şirketler sistem güvenliğini sağlayabilir, müşteri memnuniyetini artırabilir ve uzun vadede kurumsal itibarlarını güçlendirebilirler.

Harici bir bulut sağlayıcısı seçerken karşılaşılan en önemli sorunlardan biri, şirketin yabancı sağlayıcılara ve onların veri koruma düzenlemelerine bağımlı hale gelmesidir. Şirketler, bu zorluğun üstesinden gelmek için kapsamlı veri koruma kılavuzlarını incelemeli, riski en aza indirmek için hibrit bulut yaklaşımlarını değerlendirmeli, güvenlik önlemlerini ve sağlayıcı sertifikalarını gözden geçirmeli, veri koruma etki değerlendirmeleri yapmalı, düzenli izleme ve denetimler gerçekleştirmeli ve olası veri ihlallerine karşı hazırlıklı olmalıdır. Uygulanacak stratejiler, şirketin büyüklüğüne ve sektörüne göre değişiklik gösterse de, hepsinin ortak amacı veri koruma uyumluluğunu sağlamak ve harici bulut hizmetleriyle çalışırken olası riskleri en aza indirmektir.

Kaynaklar

Bulut bilişim
https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing

Bulut Dağıtım Modeli (2014)
https://www.sciencedirect.com/topics/computer-science/cloud-deployment-model

Bulutu anlamak - genel bulutun ve hibrit bulutun ne olduğunu biliyor musunuz? (2023)
https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist

IaaS nedir? Tanım ve ilginç gerçekler
https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/

Hizmet Olarak Platform (PaaS) (2022)
https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS

SaaS sözleşmelerini hazırlarken nelere dikkat etmelisiniz (2022)
https://www.top.legal/wissen/saas-vertraege

Hizmet olarak platform sözleşmeleri (PaaS sözleşmeleri): Bir rehber (2023)
https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html

---

İlgili makaleler

Verilerim için hangi yedekleme türü en iyi seçimdir?
Veri yedekleme gerçek hayatta işte bu kadar önemlidir
Çeşitli Windows dosya sistemlerinin avantajları ve dezavantajları

Buraya bir yorum gönderin...