BULUT GÜVENLİĞİ NEDİR? 2021 KILAVUZU

'Bulut Bilişim' (Cloud Computing) ifadesi, herhangi bir zamanda erişilebilen ve işlem kaynaklarını paylaşabilen bilgisayarlar ve diğer cihazlar için internet tabanlı bilgi işlem hizmetlerini ifade eder. Bulut sunucuları, dünya çapında birçok veri merkezinde bulunduğundan, kullanıcılar ve işletmeler, bulut bilişimi kullandıklarında fiziksel sunucuları işletmek veya kendi cihazlarında yazılım programları çalıştırmak zorunda değildir.

Günümüz teknolojisinde kullanıcılar, cihazlarında giderek daha fazla kişisel veri depolamak istemekte, bu da barındırma kapasitesinde ciddi sorunlara neden olmaktadır. PC'ler, dizüstü bilgisayarlar, netbooklar ve taşınabilir cep telefonları gibi cihazların kapasiteleri ve işlevleri geliştikçe daha pahalı hale geldiğinden bulut teknolojisi, ortak sunucular sayesinde internet üzerinden sağlanan yazılım uygulamaları, veri depolama hizmetleri ve işleme yetenekleri olarak tanımlanmıştır. Bulut teknolojisinin erişilebilirliği bu gibi finansal kaygılara çözüm olduğundan popülaritesi gittikçe artmıştır. Kullanıcıların, sınırlı depolamaya sahip olanlar da dahil olmak üzere herhangi bir cihazdan çok miktarda bilgiye ve kişisel verilere erişmesine olanak tanıyan tüm bu işlemler, dijital bir ağ sayesinde çoklu sunucu bağlantısı üzerinden gerçekleştirilir. Bulut bilişimin üç bileşeni, SaaS (Hizmet Olarak Yazılım), PaaS (Hizmet Olarak Platform) ve IaaS'dir (Hizmet Olarak Altyapı).

İşleme ve depolama, yerel olarak kullanıcı cihazında değil, bir veri merkezindeki sunucularda gerçekleştiğinden, bulut kullanıcıları aynı dosyalara ve uygulamalara hemen hemen her cihazdan erişebilir. Bu sayede, bir kullanıcının telefonu bozulsa bile yeni bir telefonda Instagram hesabına girebilir ve önceki hesabına tüm resimleri, videoları ve sohbet geçmişiyle eksiksiz olarak erişebilir. Bulut hizmeti bu yönleri ile Gmail, Microsoft Office 365 gibi bulut e-posta hizmetleri ve Dropbox, Google Drive gibi bulut depolama hizmetleri ile benzerdir.

Bulut bilişim kavramı ilk olarak 1950'lerde ortaya çıkmıştır. İnternetin devlerinden biri olan Amazon, veri merkezlerini modernize ederek bulut bilişimin gelişmesinde kilit bir rol oynamış ve 2006 yılında ilk gerçek bulut bilişim hizmeti olan Amazon S3'ü piyasaya sürmüştür. 2008 yılından bu yana dünya genelinde de yaygın olarak kullanılmaya başlanan bu teknoloji, henüz gelişiminin ilk aşamalarındadır.

Bulut güvenliği, bulut bilişim sistemlerini hem harici hem de dahili siber saldırılardan korumak için kullanılan süreçleri ve teknolojileri içerir. Günümüzün teknoloji ortamında bulut bilişim veya internet üzerinden bilgi teknolojisi hizmetlerinin iletimi, inovasyon ve iş birliğini artırmak isteyen kuruluşlar ve hükümetler için bir ihtiyaç haline gelmiştir. Buluttaki verileri ve uygulamaları mevcut ve yeni siber güvenlik tehditlerinden korumak için, yetkisiz erişimi önlemeyi amaçlayan en iyi bulut güvenliği ve güvenlik yönetimi uygulamaları gereklidir.


Bulut Bilişim Dağıtım Modelleri:

Genel Bulut (Public Cloud)

Genel bulut, bir tedarikçinin internet üzerinden çok sayıda şirket arasında paylaşılan bulut hizmetlerini ve altyapısını yönettiği bir BT konseptidir. Genel bulut hizmeti sağlayıcıları, müşterilerine hizmet olarak altyapı (IaaS), hizmet olarak platform (PaaS) veya hizmet olarak yazılım (Saas) gibi kendi veri merkezlerinde birçok veriyi barındırma ihtiyacını ortadan kaldıran bulut tabanlı hizmetler sağlar. Depolama kapasiteleri, uygulamalar ve sanal makineler gibi hizmetler bulut sağlayıcısına göre farklılık gösterir. Genel bulut, bir şirketin normalde gerçekleştirmesi imkansız olan ölçeklenebilirlik ve kaynak paylaşımını mümkün kılar. 

Bazı genel bulut şirketleri ücretsiz olarak hizmet verirken, bazıları tüketicilerinden abonelik veya kullanım başına ödeme prensibiyle ücret alır. Bireysel kullanıcılar da bulut hizmetlerini kullanabilir ve ücretler, kullanıcının kaynak gereksinimlerine göre değişir. Büyük miktarda veriye sahip kuruluşlar hangi bulut sağlayıcısını kullanacaklarına karar vermeden önce, bir bulut geçiş stratejisi oluşturmalıdır.

Özel Bulut (Private Cloud)

Özel bulut, tek bir şirket tarafından kullanılabilen bir bulut hizmetidir. Bu bulut modeli, bir şirketin kaynakları diğer işletmelerle paylaşmak zorunda kalmadan bulut bilişimin avantajlarından yararlanmasına olanak tanır. Özel bulut, bir şirket içinde bulunabilir veya uzaktan yönetilebilir ve İnternet üzerinden erişilebilir ancak genel buluttan farklı olarak, kimseyle paylaşılmaz. 

Özel bulutların çalışma prensibi çeşitli teknolojilere dayanır, ancak sanallaştırmanın nasıl çalıştığını bilmek, özel bulutların nasıl çalıştığını anlamak için çok önemlidir. Sanallaştırma teknolojisi, gerçek donanımdan sağlanan kaynakları bir havuzda toplamak için özel bir bulutta kullanılır ve bu, çeşitli fiziksel sistemlerden kaynakları birer birer sanallaştırarak bulutun birçok ortamı oluşturma ihtiyacını ortadan kaldırır. 

Özel bulut, belirli bir dahili ağa (şirket içindeki) ve seçilen kullanıcılara bulut hizmetleri sunar. Güvenlik duvarları ve dahili barındırma aracılığıyla özel bulut, verilerin güvenli ve özel olmasını sağlar. Ayrıca, üçüncü taraf tedarikçilerin operasyonel veya hassas verilere erişiminin olmamasını da garanti eder. 

Hibrit Bulut (Hybrid Cloud)

Hibrit bulut, bir şirket içi özel bulut ve üçüncü taraf genel bulut hizmetlerini istenen kullanıma uygun biçimde birleştiren bir bulut bilgi işlem altyapısıdır. Bu sistem genellikle şirket içi veri merkezi ile genel bulut arasında bir bağlantı kurulmasını gerektirir. Bir hibrit bulut sisteminde, genel ve özel bulut hizmetlerinin kombinasyonu, işletmenin ihtiyaçlarına bağlı olarak büyük ölçüde değişebilir. İşletmeler, hibrit bulut kullanarak operasyonel ihtiyaçları değiştikçe uygulamaları ve verileri birden çok bulut arasında taşıyabilir.

Bir hibrit bulut, çağdaş uygulama stratejilerini ve dijital iş hedeflerini desteklemek üzere yönetilebilen birleşik bir kaynak havuzu sağlamak için tutarlı bir altyapı temelinde oluşturulur. Hibrit bulut , şirketlerin aynı araçları, kuralları ve ekipleri kullanarak tüm hibrit ortam genelinde hem sanal makine tabanlı hem de kapsayıcılı uygulamaları yönetmesini sağlayarak gelişmiş performans, güvenilirlik, güvenlik ve verimlilik sağlar. Şirketler, hibrit bulut teknolojisini kullanarak hassas veriler, güvenlik ve uyumluluk kuralları üzerinde kontrolü sürdürürken, isteğe bağlı bulut kaynaklarıyla mevcut kaynaklarını hızlı ve uygun maliyetli bir şekilde artırabilir. 

Eğitim ortağımız Red Hat'in yakın zamanda yayınladığı "Dijital Dönüşümde Hibrit Bulutun Gerekliliği” çalışmasını sizler için bir blog yazımızda Türkçe olarak derlemiştik. Yazıya buradan erişebilirsiniz. 

Topluluk Bulutu (Community Cloud)

Topluluk bulutu, tüm katılımcı işletmeler tarafından yönetilen ve iş birliği yapılan hizmet sağlayıcısı tarafından denetlenen, tutulan ve korunan az sayıda kişi veya işletmeye bulut bilişim çözümü sunan bir hizmet modelidir. Topluluk bulutları, belirli bir grup insan için geliştirilen ve yönetilen özel ve genel bulutların bir karışımıdır. Bu grupların karşılaştırılabilir bulut ihtiyaçları vardır ve nihai amaçları kurumsal hedeflerine ulaşmak için iş birliği yapmaktır. 

Topluluk bulutunun ana hedefi, birçok müşterinin topluluk tarafından paylaşılan projeler ve kullanımlar üzerinde iş birliği yapmasına izin vermektir. Merkezi ve paylaşılan bir bulut altyapısı kullanarak girişimlere yardımcı olur ve iş yükü dağılımını kolaylaştırır. Topluluk bulutu teknolojisi, işletmelerdeki belirli zorlukların üstesinden gelmek için farklı bulut sağlayıcıları tarafından sağlanan hizmetleri entegre eden dağıtılmış bir mimaridir. İşletmeler ve araştırma kuruluşları gibi bu tür girişimlere katılan grupların çoğu, bulut etkileşimlerinde ortak amaçlara odaklanır. Projenin amaçları, güvenlik ve uyum sorunlarının çözümleri tüm bileşenlerin ortak çıkarlardır.

Bulut Teknolojisinin Avantajları

Bulut bilişimin şirketiniz için çok çeşitli avantajları vardır. Sanal bir ofis kurmanıza olanak tanır ve şirketinize her yerden, her zaman bağlanma özgürlüğü verir. Akıllı telefonlar ve tabletler gibi günümüzün kurumsal ortamında kullanılan web özellikli cihazların sayısındaki artış sayesinde verilerinize erişimi hiç olmadığı kadar kolaylaştırır.

  1. Verilerinizi yedekleyebilir ve gerekirse geri yükleyebilirsiniz.Veriler buluta kaydedildikten sonra, yedeklemek ve kurtarmak çok daha kolaydır.
  2. Bulut teknolojisi, ortak çalışan ekiplerin ortak depolama kullanması yoluyla hızlı ve zahmetsizce bulut üzerinde bilgi alışverişinde bulunmasına olanak tanıyarak iş birliğini geliştirir.
  3. İnternet bağlantısı kullanarak, dünyanın herhangi bir yerinde, herhangi bir zamanda ihtiyaç duyulan bilgilere hızlı ve rahat bir şekilde erişebilme ve kaydedebilme fırsatından yararlanan bulut teknolojisi, verilerimizin sürekli olarak erişilebilir olmasını garanti ederek, kuruluş üretkenliğini ve verimliliğini artırır. Birçok farklı ekibi kapsayan bir proje üzerinde çalışıyorsanız, çalışanların ve üçüncü tarafların aynı verilere erişmesine izin vermek için bulut bilişimi kullanabilirsiniz.
  4. BT sistemlerinizi yönetmek ve sürdürmek için pahalı sistem ve ekipman satın almak yerine bulut bilişim hizmet sağlayıcınızın hizmetlerinden yararlanarak tasarruf edebilirsiniz. Sistem yükseltmeleri, yeni donanım ve yazılım maliyetleri sözleşmenize dahil olabileceğinden, işletme giderlerinizi azaltabilirsiniz. Daha fazla personel için ücret ödemeniz gerekmez, enerji tüketim maliyetleriniz düşer ve projelerinizde daha az gecikme yaşanır.

Bulut Teknolojisinin Dezavantajları

  1. Bilindiği gibi, bu teknoloji kullanılırken tüm veriler (resim, müzik, video vb.) bulutta depolanır ve bu verilere internet bağlantısı üzerinden erişiriz. Güçlü bir internet erişimi yoksa bu dosyalara erişilemez ve bulutta depolanan verilere erişmenin başka bir yolu yoktur. 
  2. Bulut teknolojisi gizlilik ve güvenlik en çok sorgulanan iki husustur. Bulut bilişim sistemi kullandığınızda, verilerinizin güvenliğini ve gizliliğini bulut bilişim sunucuları tedarik eden firmalara emanet edersiniz. İzni olmayan kötü niyetli kişilerin kullanıcıların verilerine erişme olasılığı her zaman vardır. Dolayısıyla veri ve bulut güvenliği mükemmel olmazsa veri gizliliği tehlikeye girer.
  3. Bulut bilişimdeki her bileşen çevrim içidir ve bu durum olası riskleri ortaya çıkarır. En profesyonel ekipler bile zaman zaman ciddi saldırılara ve güvenlik ihlallerine maruz kalır. Bulut çalışma sistemi çevrim içi olduğundan, sistem üyesi olan her bileşen, sunucuda tutulan verilere veya etkinliklere yönelik saldırılar için geniş bir alan oluşturarak çok çeşitli tehditlere maruz kalabilir.
  4. Bulut çözümleri, küçük ölçekli ve kısa vadeli girişimler için kullanıldığında maliyetli olarak kabul edilebilir. Bununla birlikte, en büyük bulut teknolojisi avantajı BT maliyetlerinin azaltılmasıdır. Kullandıkça öde bulut hizmetleri daha fazla esneklik ve daha ucuz donanım giderleri sunsa da toplam maliyet beklenenden daha yüksek olabilir. Sizin için en iyisinin ne olacağından emin olana kadar bir dizi seçeneği denemek iyi bir fikirdir. Bu konuda karar vermekte zorlanırsanız Amazon Web Services ve Google Cloud Platform gibi şirketler tarafından sağlanan maliyet hesaplayıcılarını da kullanabilirsiniz.

Bulut Güvenliğine Yönelik Tehditler

Yetkisiz kişiler bulut sistemlerine erişir ve orada depolanan verilere müdahale ederse geri dönülemez veri ihlallerine neden olabilir. Kötü niyetli bilgisayar korsanları verileri görüntüler, kopyalar veya paylaşırsa o kuruluşun güvenliği ve itibarı zedeleneceğinden marka güvenilirliği kolay kolay kurtarılamaz. Kritik verilerin ortaya çıkmasına neden olan bulut sistemlerine karşı yapılan saldırılar, kuruluşlar için en maliyetli veri ihlallerinden biridir.

Bulut hizmetleri genellikle yazılım kullanıcı arabirimleri ve API'ler kullanılarak sağlanır ve bu araçlar kullanılarak yönetilir. Bulut hizmeti sağlayıcıları, API'leri ve arayüzleri geliştirmek için özenle çalışırken, bunlarla bağlantılı tehlikeler de gün geçtikçe artmaktadır. Bulut hizmeti şirketleri, programcılara belirli API'ler vererek sistemlerini bilgisayar korsanlarına karşı daha korunaklı hale getirse de bulut sistemleri yetkisiz erişim, parolanın yeniden kullanımı ve anonim erişim tehlikesiyle karşı karşıyadır.

Yanlış yapılandırma, kuruluşların bulut tabanlı sistemlerine yönelik en yaygın tehlikelerden biridir. Bulut verilerini erişilebilir ve paylaşılabilir yapma arzusu sıklıkla yanlış yapılandırmaya yol açar. Erişimi yalnızca nitelikli kişilerle sınırlamak, bulut hizmeti sağlayıcısına bağlı olarak bir şirketin bu sistemleri yönetme kapasitesi üzerinde önemli bir etkiye sahip olabilir. İstemci tarafı şifreleme, izinsiz giriş algılama sistemleri ve dahili güvenlik duvarları, temel bulut depolama hizmetlerinde bulunan ortak güvenlik özellikleridir. Satıcılar tarafından sağlanan güvenlik ayarlarını anlamak ve yapılandırmayı buna göre yapmak bulut güvenliği açısından çok önemlidir.

Yinelenen ve zayıf parolaların kullanılması nedeniyle birçok kullanıcı son derece zayıf parola güvenliğine sahiptir. Çalınan tek bir parola birçok hesapta kullanılabileceğinden, bu sorun kimlik avı girişimlerinin ve veri ihlallerinin yıkıcı etkisini daha da artırır. İşletmeler, temel iş faaliyetleri için bulut tabanlı altyapıya ve uygulamalara daha fazla bağımlı hale geldikçe, hesap ele geçirme, en önemli bulut güvenliği sorunlarından biri olmaya devam ediyor. Sistemlere erişimi olan bir çalışanın kimlik bilgilerine erişim elde eden saldırganlar, kritik verilere veya işlevlere erişebilirken, güvenliği ihlal edilmiş bir müşterinin kimlik bilgileri saldırganlara çevrim içi hesapları üzerinde tam kontrol sağladığından güvenlik kaygılarını haklı çıkarabilir.

Birçok şirket, operasyonlarını yürütmek için aynı bulut sağlayıcılarına güvendiğinden ortak kullanılan bulut altyapısına yönelik başarılı bir Hizmet Reddi (DoS) saldırısının iş birliği halindeki tüm işletmeler üzerinde önemli bir etkisi olması muhtemeldir. Sonuç olarak, fidye vs. talebiyle yapılan DoS saldırıları, bir kuruluşun bulut tabanlı kaynakları için büyük bir tehlike oluşturur.

Kuruluşlar, veri koruma kurallarına (örneğin KVKK) uymak için hassas bilgilere (kredi kartı verileri, sağlık hasta kayıtları vb.) erişimi sınırlamak zorundadır. Bu durum şirket ağının fiziksel veya mantıksal olarak ana sistemden ayrılmış bir bölümünün oluşturulmasını gerektirebilir ve bu bilgiler yalnızca verileri görüntülemeye gerçekten ihtiyacı olan çalışanlara açık olmalıdır. Bu gibi ulusal ve uluslararası standartlar tarafından korunan verileri buluta taşırken mevzuat uyumluluğunu elde etmek daha zor olabilir. Bu düzenlemeler sebebiyle kuruluşlar, bulutu kullanırken yalnızca altyapılarının belirli düzeyleri üzerinde görünürlüğe ve denetime sahiptir.

Bulut Güvenliği risklerini en aza indirmek için yapılabilecekler

Bulut sağlayıcınızın paylaşılan sorumluluk yaklaşımını iyi anlamanız gerekir çünkü bulut hizmeti alsanız da ağınızda olan her türlü işlemden siz sorumlu olacaksınız. Bu sebeple dağıtımınızın her aşamasında güvenliği bir öncelik haline getirmeniz, her kaynağa ve hizmete kimin erişmesi gerektiğini bilmeniz ve onlara asgari miktarda güç vermeniz gerekir. Bir çalışan saldırganlarla iş birliği yapmaya karar verirse ve sisteminize erişim elde ederse, bu erişimin etkisinin mümkün olan en küçük bölgeyle sınırlı olması sistemi daha güvenli kılar. Bulut sistemini korumak ve güvenlik alanını genişletmek için risk tabanlı bir yaklaşım kullanabilirsiniz. Bu güvenli alanı genişletmek için hassas verilere veya sistemlere erişimi olan tüm hesaplar için çok faktörlü kimlik doğrulama kullanılması siber güvenlik uzmanları tarafından şiddetle önerilir.

Veri ihlallerinin önemli bir çoğunluğu, sisteme erişimi olan bir kullanıcının kimlik avı, yanlışlıkla kötü amaçlı yazılım yüklemesi, eski ve hassas bir cihaz veya zayıf parola (aynı parolayı yeniden kullanma, parolasını görünür bir yere yazma) kullanması sonucu meydana gelir. Bulutta faaliyet gösteren işletmeler, çalışanlarını güvenlik konusunda eğiterek bu olayların tehlikesini azaltabilir. Çalışanlarınızı bulut güvenliği konusunda donanımlı hale getirecek ‘Cloud Application Security Eğitimi’, ‘CCSP Certified Cloud Security Professional Certification Preparation Eğitimi’ ve ‘Practitioner Certificate in Cloud Security Eğitimi’ gibi uzman kadromuz tarafından verilen birçok eğitimimizi inceleyebilir soru ve önerileriniz için bizimle iletişime geçebilirsiniz.

Bulut sistemlerinin ve ağların genelde karşılaştığı ciddi riskleri anlamak, saldırılardan kaçınmak ve onları başlamadan durdurmak için çok önemlidir. Hangi kaynakların şirketiniz için uygun olduğunu bilmek, bu bulut güvenliği sorunlarını önlemenize ve bunlara karşı en hızlı ve etkili şekilde aksiyon almanıza yardımcı olabilir. Uygun önlemlere ve güvenlik sistemlerine sahipseniz, şirketiniz bulut platformlarının sağladığı pek çok avantajdan yararlanabilir.

Şifreleme (Encryption), yalnızca yetkili tarafların deşifre edebilmesi için verileri şifreleme tekniğidir. Bir saldırgan şirketin bulutuna erişir ve şifrelenmemiş verileri elde ederse, bunları sızdırmak, satmak veya daha fazla saldırı gerçekleştirmek için kullanmak gibi çeşitli kötü amaçlar için kullanabilir. Ancak şirketin verileri şifrelenirse, saldırgan şifre çözme anahtarını bulmadan kullanamayacağı karışık verilere erişim elde edecektir ve bu veriler onun için herhangi bir anlam ifade etmeyecektir. Şifreleme, diğer güvenlik önlemleri başarısız olsa bile, bu şekilde veri kaybını ve ifşasını önler.

Günümüzde cihazlarımızı, veri merkezlerimizi, iş operasyonlarımızı ve daha fazlasını buluta aktardıkça, veri güvenliği giderek daha kritik hale geliyor. Kapsamlı güvenlik ilkeleri, kurumsal bir güvenlik kültürü ve bulut güvenliği çözümlerinin tümü, bulut verilerine yüksek kaliteli koruma sağlamak için kullanılır. Buluttan en iyi şekilde yararlanmak ve şirketinizi yetkisiz erişimden, veri ihlallerinden ve diğer tehlikelerden korumak istiyorsanız, sisteminize uygun bulut güvenliği çözümünü seçmek çok önemlidir.

Bulut teknolojisi ve bulut güvenliği ile ilgili yenilikleri, güvenlik kaygılarını, bu kaygılara karşı alınabilecek önerileri ve bulut teknolojisinin avantajlarını ve dezavantajlarını tartıştığımız yazımızın sonuna geldik. Bulut güvenliği alanında kendinizi geliştirmek ya da kurumunuz için eğitim organize etmek için hemen bize ulaşın!




Eğitimlerle ilgili bilgi almak ve diğer tüm sorularınız için bize ulaşın!

Bulut bilişim, kullanıcılara daha hızlı inovasyon, daha esnek kaynaklar ve daha az maliyet sunmak amacıyla; sunucular, depolama, yazılım, veritabanları, analitik ve ağ iletişimi olmak üzere bilgi işlem hizmetlerinin bulut ("cloud") üzerinden sağlanmasıdır.
Bulut bilişim güvenliği (bulut güvenliği), sanallaştırılmış IP'leri, verileri, bulut hizmetlerini ve ilgili bulut bilişim altyapısını siber saldırı ve tehditlerden korumak için kullanılan teknoloji ve uygulamaların genel adıdır.

İlgili Eğitimler

Kesin açılacak

Application Security in the Cloud

Buluta geçiş, şirketlere ve bireylere verimlilik ve maliyetler açısından büyük faydalar sağlar. Güve...

  • Classroom
  • Virtual Classroom
  • Online

3 Gün

Kesin açılacak

Practitioner Certificate in Cloud Security

This five day Certified Cloud Security Practitioner course is focused on Cloud Security, encompass...

  • Classroom
  • Virtual Classroom
  • Online

5 Gün

Kesin açılacak

Red Hat Security: Linux in Physical, Virtual, and Cloud

Maintaining security of computing systems is a process of managing risk through the implementation...

  • Classroom
  • Virtual Classroom
  • Online

4 Gün

Kesin açılacak

CCSP Certified Cloud Security Professional Certification Preparation

As powerful as cloud computing is for the organization, understanding its information security risks...

  • Classroom
  • Virtual Classroom
  • Online

5 Gün

Kesin açılacak

Security in Google Cloud Platform

Through lectures, demonstrations, and hands-on labs, participants explore and deploy the component...

  • Classroom
  • Virtual Classroom
  • Online

3 Gün

Kesin açılacak

Offensive Cloud Security

This 2-day course cuts through the mystery o...

  • Classroom
  • Virtual Classroom
  • Online

2 Gün