Bulut g¨¹venli?i, bulut tabanl? bilgi i?lem ortamlar?n? potansiyel siber g¨¹venlik tehditlerine kar?? g¨¹?lendiren bir dizi prosed¨¹r, politika ve teknolojidir. Uygulamada, herhangi bir sald?r? veya ihlal s?ras?nda bulut bili?im modellerinin b¨¹t¨¹nl¨¹?¨¹n¨¹ ve g¨¹venli?ini sa?lar. Bulut servis sa?lay?c?lar?, g¨¹venli bulut altyap?s? sa?lar.
Bulutun g¨¹venli?ini sa?lamak, g?r¨¹nd¨¹?¨¹ kadar karma??k de?ildir. Bulutunuzu g¨¹vende tutarken i?inizi koruman?n ve sundu?u her ?eyden ayn? anda yararlanman?n bir?ok yolu vard?r.
Bulut g¨¹venli?i, kurulu?unuzun ihtiya?lar?na uyan do?ru hizmet modelini se?mekle ba?lar. Bulut g¨¹venli?i teklifleri a??s?ndan ¨¹? benzersiz hizmet modeli ve d?rt da??t?m se?ene?i vard?r. Hizmet modeli se?enekleri a?a??dakileri i?erir:
?
Hizmet Olarak Yaz?l?m (SaaS)?SaaS modeli ile m¨¹?terilere, ¨¹zerine kurulum i?in bilgisayar veya sunucu kullan?m? gerektirmeyen bir yaz?l?m sunulur. Buna ?rnek olarak Microsoft 365 (eski ad?yla Office 365) ve Gmail verilebilir. Bu se?eneklerle, m¨¹?terilerin her uygulamaya eri?mek i?in yaln?zca bir bilgisayara, tablete veya telefona ihtiyac? vard?r. ??letmeler, ¨¹r¨¹nlerini vurgulamak i?in DRaaS'den (ola?an¨¹st¨¹ durum kurtarma) HSMaaS'ye (donan?m g¨¹venlik mod¨¹l¨¹), DBaaS'ye (veritaban?) ve son olarak XaaS'ye (herhangi bir ?ey) kadar ?e?itli terimler kullan?r. Bir ?irketin ne pazarlad???na ba?l? olarak, bir ¨¹r¨¹n¨¹n SaaS m? yoksa PaaS m? oldu?unu belirlemek zor olabilir, ancak sonu?ta bulut sa?lay?c?s?n?n s?zle?meden do?an sorumluluklar?n? anlamak daha ?nemlidir. Bulut sa?lay?c?lar?, HSMaaS (donan?m g¨¹venli?i mod¨¹l¨¹) veya DRMaaS (dijital haklar y?netimi) gibi hizmetler arac?l???yla bulut olu?umlar?na g¨¹venlik eklemek i?in s?zle?melerini geni?letir.
D?rt da??t?m modeli bulunur:
Bireysel bir bulut g¨¹venlik politikas?n?n t¨¹m y?nleri ?nemlidir, ancak her sa?lay?c?n?n sunmas? gereken belirli temeller vard?r. Bunlar, bir bulut g¨¹venlik altyap?s?n?n temel ve en ?nemli y?nlerinden baz?lar? olarak kabul edilir. Se?ti?iniz sa?lay?c?n?n t¨¹m bu temelleri kapsad???ndan emin olmak, uygulayabilece?iniz en eksiksiz bulut g¨¹venli?i stratejisiyle e?de?erdir.
S¨¹rekli izleme:: Bulut g¨¹venli?i sa?lay?c?lar?, tuttuklar? g¨¹nl¨¹klerle bulut platformlar?n?zda neler oldu?una dair bir fikir verebilir. Bir olay meydana geldi?inde, g¨¹venlik ekibiniz olas? sald?r?lara veya de?i?ikliklere ili?kin i?g?r¨¹ i?in dahili g¨¹nl¨¹kleri inceleyebilir ve sa?lay?c?n?z?n kay?tlar?yla kar??la?t?rabilir. Bu, meydana gelebilecek herhangi bir olay? h?zl? bir ?ekilde tespit etmeye ve m¨¹dahale etmeye yard?mc? olur.
De?i?iklik y?netimi: Bulut g¨¹venli?i sa?lay?c?n?z, de?i?iklikler istendi?inde, varl?klar de?i?tirildi?inde veya ta??nd???nda ya da yeni sunucular sa?land???nda veya kullan?mdan kald?r?ld???nda uyumluluk kontrollerini izlemek i?in de?i?iklik y?netimi protokolleri sunmal?d?r. ?zel de?i?iklik y?netimi uygulamalar?, ola?and??? davran??lar? otomatik olarak izlemek i?in kullan?ma al?nabilir. B?ylece siz ve ekibiniz, bunlar? azaltmak ve d¨¹zeltmek i?in h?zla hareket edebilirsiniz.
S?f?r g¨¹ven g¨¹venlik kontrolleri: G?rev a??s?ndan kritik varl?klar?n?z? ve uygulamalar?n?z? bulut a??n?zdan ay?r?n. G¨¹venli i? y¨¹klerini gizli ve eri?ilemez tutmak, bulut tabanl? ortam?n?z? koruyan g¨¹venlik ilkelerinin uygulanmas?na yard?mc? olacakt?r.
Her ?eyi kapsayan veri korumas?: Sa?lay?c?n?z, t¨¹m ta??ma katmanlar?, iyi veri hijyeni, s¨¹rekli risk y?netimi izleme, g¨¹venli dosya payla??m? ve g¨¹venli ileti?im i?in ek ?ifreleme ile geli?mi? veri korumas? sunmal?d?r. K?sacas?, i?letmenizin verilerini her ?ekilde, ?ekilde ve bi?imde korumak s?z konusu oldu?unda, sa?lay?c?n?z oyunun zirvesinde olmal?d?r.
Kendinize ?u soruyu sorun: ¡°Nelerden endi?eleniyorum?¡± Bu, ak?lda tutulmas? gereken en ?nemli hususlar? anlaman?za yard?mc? olabilecek bulut sa?lay?c?n?za hangi sorular? soraca??n?z? belirlemenize yard?mc? olacakt?r.
Bulut mimarisi, basit?e s?ylemek gerekirse yaz?l?m uygulamalar?, veritabanlar? ve di?er hizmetler genelinde ?l?eklenebilir kaynaklar? payla?mak i?in birden fazla ortam?n bir araya toplanmas?n?n sonucudur. Bu terim, bildi?imiz ?ekliyle bulutu olu?turmak i?in birlikte ?al??an altyap? ve bile?enleri ifade eder.
Bir bulut olu?turmak i?in gereken temel bile?enler aras?nda a?lar, y?nlendiriciler, anahtarlar, sunucular, g¨¹venlik duvarlar?, izinsiz giri? alg?lama sistemleri ve di?erleri bulunur. Bulut ayr?ca sunuculardaki t¨¹m unsurlar? i?erir: Hiperviz?r, sanal makineler ve elbette yaz?l?mlar. Bulut mimarisi ayr?ca bulut hizmetleri olu?turmak, y?netmek, satmak ve sat?n almak i?in bir bulut sa?lay?c?s?, bulut mimar? ve bulut arac?s? gerektirir. Takip edilmesi gereken b¨¹t¨¹n bir ekosistem var, ancak insanlar ¡°bulut¡± dedi?inde asl?nda bulut mimarisine at?fta bulunuyor.
Bulut mimarisiyle ilgili bir?ok terim, bulut kelimesini bulut t¨¹keticisi gibi eski ve tan?d?k bir terime ekler. T¨¹ketici tan?m?n? anlarsan?z, yeni terim olduk?a nettir. Telefon hizmetleri yerine bulut hizmetleri t¨¹keticisi anlam?na gelir.
??te baz? temel ?rnekler:
Bulutta g¨¹venlik, temel mimariye g¨¹venlik ??eleri ekleyen bulut g¨¹venlik mimarisiyle ba?lar. Geleneksel g¨¹venlik ??eleri aras?nda g¨¹venlik duvarlar? (Firewall), k?t¨¹ ama?l? yaz?l?mdan koruma ve izinsiz giri? alg?lama sistemleri (IDS) bulunur. Bulut ortam?nda g¨¹venli yap?lar tasarlamak i?in bulut denet?ilerine, g¨¹venlik mimarlar?na ve g¨¹venlik m¨¹hendislerine de ihtiya? vard?r.
Ba?ka bir deyi?le, bulut g¨¹venli?i mimarisi donan?m veya yaz?l?mla s?n?rl? de?ildir.
Bulut g¨¹venli?i mimarisi risk y?netimi ile ba?lar. Neyin yanl?? gidebilece?ini ve bir i?letmenin nas?l olumsuz etkilenebilece?ini bilmek, ?irketlerin sorumlu kararlar almas?na yard?mc? olur. ?? kritik konu i? s¨¹reklili?i, tedarik zinciri ve fiziksel g¨¹venliktir.
?rne?in, bulut sa?lay?c? bir sorunla kar??la??rsa i?inize ne olur? Sunucular?, hizmetleri ve verileri buluta koymak, i? s¨¹reklili?i ve/veya ola?an¨¹st¨¹ durum kurtarma planlamas? ihtiyac?n? ortadan kald?rmaz.
Bulut sa?lay?c?n?n veri merkezine isteyen herkes girebilseydi ne olurdu? ?? b¨¹y¨¹k sa?lay?c?da (AWS, GCP ve Azure) bu kolay olmayacakt?r, ama mesele bu. Veri merkezi g¨¹venli?ine ?ok b¨¹y¨¹k yat?r?m yap?yorlar.
Peki di?er bulut sa?lay?c?larda durum nas?l? Herhangi bir bulut sa?lay?c?s?n?n veri merkezinin potansiyel de?erlendirilmesini isteyin ve bir denetime dahil olun. Yan?tlar?na dakkat edin. Ertesi g¨¹n veri merkezini kontrol etmenize izin verdiler mi? Veri merkezine girmek kolaysa, belki de bu sa?lay?c?y? tercih etmek i?in ikinci kez d¨¹?¨¹nmeniz gerekebilir.
Baz? k¨¹?¨¹k bulut sa?lay?c?lar?n kendilerine ait fiziksel bir veri merkezi olmayabilir. B¨¹y¨¹k bulut sa?lay?c?lardan ald?klar? hizmeti size yeniden satarlar. Bu bulut teknolojisinin g¨¹zelliklerinden biridir. Bulut sa?lay?c?lar aras?ndaki ili?kiler bilinmiyorsa yasalar, d¨¹zenlemeler ve s?zle?melerle ilgili ek sorunlar ortaya ??kabilir. Bu basit soruyu sorun: Verilerim nerede? Bulut sa?lay?c?n?n birden ?ok d¨¹zeyi varsa, yan?t? belirlemek zor olabilir. Avrupa Genel Veri Koruma Y?netmeli?i (GDPR) ile ilgili bir sorun gibi ciddi yasal sonu?lara da neden olabilir.
Bir i?letmenin bulut g¨¹venlik mimarisini olu?turan unsurlar aras?nda bulut g¨¹venlik hizmetleri de yer alabilir. Veri s?z?nt?s?n? ?nleme (DLPaaS) gibi hizmetleri sat?n almak m¨¹mk¨¹ndur. G¨¹venli bir ?ekilde g¨¹vence alt?na al?nabilmesi i?in ki?isel olarak tan?mlanabilir bilgileri arayan bir tarama arac? gibi di?er unsurlar g¨¹venli?e yard?mc? olacakt?r. Bu hizmetlerin gerekti?i gibi ?al??mas?n? sa?lamak i?in bulut g¨¹venlik y?netimi gereklidir.
CNAPP, bir dizi buluta ?zel uygulamada riskin belirlenmesine, de?erlendirilmesine, ?nceliklendirilmesine ve bunlara uyum sa?lanmas?na yard?mc? olmay? ama?layan bir grup g¨¹venlik ??z¨¹m¨¹d¨¹r.
Bu nedenle, CNAPP, silolanm?? ¨¹r¨¹nlerden ve platformlardan toplanan en ?nemli ?zelliklerden birka??n? bir araya getirir: Yap?sal Tarama, ?al??ma Zaman? Korumas? ve Bulut Yap?land?rmas?. Bu, ?unlar? i?erir:
?
live casino online, bir CNAPP sat?c?s? olarak kabul edilir ve bulut olu?turuculara y?nelik g¨¹venlik hizmetleri platformu live casino online Cloud One? gibi ¨¹r¨¹nler, CNAPP mimarisine tam olarak uyumludur.
??letmelerin y¨¹r¨¹rl¨¹kteki bir?ok yasa, y?netmelik ve s?zle?meye uymas? gerekir. Verilerinizi ve hizmetlerinizi ba?ka birinin m¨¹lkiyetine b?rakt???n?zda, uyumlulu?u sa?lamak i?in yerine getirilmesi gereken baz? karma??k gereksinimler vard?r.
Yasal a??dan, kurulu?lar?n Ki?isel Verileri Korunmas? Kanunu (KVKK - °Õ¨¹°ù°ì¾±²â±ð), Avrupa Birli?i Genel Veri Koruma Y?netmeli?i (EU GDPR), Sarbanes-Oxley ¨C ABD finansal veri korumas? (SOX), Sa?l?k Bilgilerinin Ta??nabilirli?i ve Sorumlulu?u Yasas? ¨C ABD sa?l?k hizmetleri (HIPAA) ve di?erlerine uymas? gerekir. . Ayr?ca, kredi kart? korumas?, Payment Card Industry - Data Security Standard (PCI-DSS) ile s?zle?me kanunu kapsam?ndad?r.
Uyum konusu belirlendikten sonra, ba?ta denetim olmak ¨¹zere bir?ok ?nlem al?nabilir. Denetim, Amerikan Yeminli Mali M¨¹?avirler Enstit¨¹s¨¹'n¨¹n SSAE 18 (Onay Anla?malar?na ?li?kin Standartlar Beyan?, Madde 18) gibi standartla?t?r?lm?? bir yakla??m ve kan?tlanm?? bir metodoloji kullan?larak yap?lmal?d?r. Denetimin bulgular?, neyin uygun olmayabilece?ini g?sterecektir. Bir bulut sa?lay?c?s?na karar verirken, veri merkezinin g¨¹venlik d¨¹zeyini ve sizi nelerin bekledi?ini bilmek i?in bu raporlar? okumak ?nemlidir.
?lgili Makaleler
?lgili Ara?t?rmalar