Cloud Computing (Bulut Bilişim) Risk Değerlendirmesi

Cloud Computing (Bulut Bilişim) Risk Değerlendirmesi – I

Bulut Bilişim (Cloud Computing) Sunduğu geniş imkânların ve esnekliğinin yanında,  belirli riskleri de barındırmaktadır. Bu bölümde, bu  Cloud Computing riskleri üzerinde durulurken unutulmaması gereken bir nokta her riskin bir fırsat ile eşlenmiş olduğu, Bulut Bilişim tarafından sunulan fırsatların getirisi ile göze alınan riskin sonucunda karşı karşıya kalınabilecek zararın değerlendirmesinin, her kurumun kendine özel şartları, dinamikleri ve faaliyet alanları göz önünde bulundurularak iyi yapılmış olmasıdır.

Bir diğer nokta da, Bulut Bilişim (Cloud Computing) ile alakalı konu edilen riskler, hali hazırda kullanılan geleneksel çözümlerde de yer alıyor olabilir [1]. Ayrıca belirli riskler sadece Bulut Bilişim’e veya sadece geleneksel çözümlere özgü olabileceği gibi, her ikisinde mevcut olabilir ve bu durumda risklerin risk derecesi her iki platform için farklı olabilir.

Bulut Bilişim (Cloud Computing) ’in beraberinde getirdiği riskler olarak, bu yazıda ve takip eden yazıda toplam 7 adet riskten söz edilecektir. Bu riskler ile ilgili geniş anlatım takip eden bölümde bulunmaktadır. Burada her bir risk, kendi içinde farklı açılardan inceleneceği gibi, bu riskin azaltılabilmesi için yapılması gerekenlere veya hali hazırda yapılmakta olan çalışmalara da değinilecektir. Riskler şu şekilde sıralanabilir;

  1. Hizmet Devamlılığı ve Kullanılırlığı
  2. Veri Güvenliği ve Gizliliği
  3. Veri Denetlenebilirliği, Uygunluğu ve Yasal Düzenlemeler
  4. Hizmet Sağlayıcı Bağımlılığı ve Veri Kilitlenmesi
  5. Yönetim Ara yüzü ve Uzaktan Erişim
  6. Bant Genişliği ve Veri Transferi
  7. Yazılım Lisanslama

Bulut Bilişim Riskleri

Cloud Computing (Bulut Bilişim) Risk 1 – Hizmet Devamlılığı ve Kullanılırlığı

Bulut Bilişim hizmet sağlayıcılarda hizmet kesintisine sebebiyet verebilecek bir sorun yaşanması durumunda, bu hizmet sağlayıcıdan hizmet tedariki yoluna gitmiş tüm şirketler birden bundan etkilenecek ve kesinti sonuçlanana kadar,  şirketlerin müşterilerine hizmet veremez hale gelmelerine sebep olacaktır. Eğer şirketler tüm teknolojik altyapı ve hizmetleri tek bir Bulut Bilişim (Cloud Computing) hizmet sağlayıcıdan temin ediyorlarsa, oluşabilecek bir kesinti, şirketin tüm işletme ve ekonomik faaliyetlerinin durmasına sebebiyet verebilir. Her ne kadar Bulut Bilişim (Cloud Computing) hizmet sağlayıcı firmalar bu tür durumlara karşı hazırlıklı olsalar da, Haziran 2008’de Google AppEngine’de meydana gelen bir programlama hatasından dolayı 6 saat, Temmuz 2008’de ise Amazon S3’te tek bir bit hatasından kaynaklanan bir hatadan kaynaklanan 8 saatlik hizmet kesintileri yaşandı [2, 3].

Tek bir hata noktasına (“single point of failure”) dayanmaktan kaçınarak, şirketlerin ihtiyaç duydukları hizmetlerini farklı hizmet sağlayıcılardan tedarik etmeleri, şirketlerin riski dağıtmasına, hizmet sağlayıcılarda oluşabilecek kesintilerden ve hatta hizmet sağlayıcıların iflası gibi durumlardan en az etkilenmelerine imkân tanıyacaktır [4].

Bulut Bilişim (Cloud Computing) hizmet sağlayıcılarında meydana gelebilecek hizmet kesintileri, hizmet sağlayıcıları içindeki yazılımsal, donanımsal ya da mimari bir hatadan kaynaklanabileceği gibi, dışarıdan gelebilecek saldırılardan da kaynaklanabilir. Genelde dışarıdan yapılan saldırılar,  dağıtılmış hizmet dışı bırakma saldırıları (“DDoS”) olarak tabir edilen, birçok bilgisayarın aynı anda aynı noktaya istekleri yönlendirilip, sunucuların bu isteklere cevap veremez hale getirilmesi ilkesine dayanan saldırılardır. Suçlular, “DDoS” saldırıları düzenleyip, Cloud Computing hizmet sağlayıcıların hizmetlerini kesintiye uğratacakları tehdidi ile hizmet sağlayıcı firmalardan para talep edebilmektedirler [4]. Bu saldırılarda kullanılan bilgisayarlar “bot” adı verilen, bilgisayar korsanları tarafından zararlı yazılımlar yüklenip ele geçirilmiş ve kullanıcısının farkında olmadan istenildiği an istenen bir noktaya saldırması sağlanan bilgisayarlardır. İnternet üzerinde karaborsada, ele geçirilmiş bir bilgisayarın (“bot”) 0.03 dolar gibi düşük bir fiyatla bir hafta süreyle kiralanabildiği bilinmektedir [5]. Bu sayede kolay bir şekilde, düşük bir harcama ve çok büyük sayıda ele geçirilmiş bilgisayar kullanılarak (“bot”), etkili hizmet dışı bırakma saldırılarının (“DDoS”) düzenlenebilmesi, hizmet sağlayıcılar için önemli tehlike ve risk oluşturmaktadır. Fakat Bulut Bilişim hizmet sağlayıcılarının bu tür saldırılara karşı koyacak koruma mekanizmalarını oluşturma yoluna gitmesi, ihtiyaç anında hızlı ve dinamik kaynak ayırabiliyor olmaları sayesinde, gelen “DDoSsaldırılarına karşı koyabilmeleri, saldırının geldiği noktaları tespit edip engelleyebilmeleri mümkün olmaktadır [4].

Cloud Computing (Bulut Bilişim) Risk 2 – Veri Güvenliği ve Gizliliği  

Bulut Bilişim hizmetlerindeki önemli kaygılardan birini de, hizmet sağlayıcılar ile paylaşılan özel ve gizli bilgilerin, Bulut içindeki diğer hizmet kullanıcısı olan şirketlerden nasıl korunacağı, veri gizliliğinin nasıl sağlanacağı konusu oluşturmaktadır. Bulut içindeki bir kullanıcı için mümkün olan veri gizliliği seviyesi çoğu durumda, masaüstü uygulama kullanıcılarına göre daha düşük olmaktadır [7].

Cloud Computing hizmetlerinin aynı anda birçok kullanıcı tarafından kullanılması ve fiziksel kaynakların tüm kullanıcılar tarafından ortak olarak kullanılıyor olması veri gizliliği ve güvenliği için riskler barındırmaktadır. Bulut içindeki farklı kullanıcıların, ortak kaynaklar üzerindeki depolama, bellek alanlarını birbirinden ayırmaya yarayan iç mekanizmalarda ortaya çıkabilecek açıklık ve hatalar, yapılacak saldırılar sonucu kullanıcıların özel ve gizli verilerinin ele geçirilmesine sebebiyet verebilir.

Ayrıca, Cloud Computing ’te kaynakların dinamik olarak ayrılıp bırakıldığı düşünüldüğünde, çoğu işletim sisteminde uygulandığı gibi,  silinen verilerin fiziksel olarak silinmeyip sadece mantıksal seviyede silinmesi durumunda, bırakılan depolama kaynağının başka bir kullanıcıya tahsis edilmesi sonucu, bu fiziksel olarak silinmeyen verinin başka kullanıcılar tarafından ele geçirilmesi mümkün olabilmektedir.

Bulut Bilişim’in dağıtık mimaride olması sebebiyle, içerisinde hizmetler arası yoğun veri trafiği ve veri iletişimi gerektirmektedir. Bunun sonucu olarak, Bulut içinde bulunabilecek kötü niyetli kullanıcılar, zararlı yazılımlar çalıştırıp, açık kapı (“Port”) taraması yaparak elde edeceği bilgilerle, olası veri kaçaklarını ve veri iletişimini dinleyip, gizli verileri ele geçirebilirler [1].

Bulut Bilişim hizmet sağlayıcı firmaların, belirli özelleşmiş görevleri dışarıdan 3. Parti firmalardan tedarik yoluna gitmesi, hizmet sağlayıcıların aldıkları tüm güvenlik önlemlerine rağmen sistemlerinin güvenlik seviyesini, 3. Parti firmalarla kurulan bağlantının ve bu firmaların sistemlerinin güvenlik seviyesine bağlı hale getirerek, veri güvenliği ve veri kontrolünün kaybedilmesine sebebiyet verebilir.

Yukarıda sayılan veri gizliliğine zarar verebilecek davranışların büyük bölümü, Bulut içinde verileri şifreli şekilde saklama, sanal yerel ağlar kullanımı ve ağ içi güvenlik duvarı kullanımı yöntemleri ile engellenebilir. Örnek olarak, verilerin Bulut Bilişim hizmet sağlayıcısına (Amazon) şifrelenip gönderilmesi yöntemi, hastaların hassas sağlık bilgilerine erişime sahip olan TC3 adlı bir sağlık firması tarafından başarıyla kullanılmıştır [8].

Cloud Computing (Bulut Bilişim) Risk 3 –Veri Denetlenebilirliği, Uygunluğu ve Yasal Düzenlemeler 

Bir çok şirket, sertifikasyonu sağlamak, rekabet avantajı elde etmek, endüstri standartlarını karşılamak veya yasal zorunluluklardan dolayı, belirli standartlara uyma konusunda büyük yatırımlar yapmaktadırlar. Fakat Bulut Bilişim hizmet sağlayıcılarının, bu standartların gereklerini yerine getirmeye yönelik, kendi uygunlukları (“compliance”) konusunda kanıt sunamamaları ve Bulut kullanıcılarına bunlara ilişkin denetim izni vermediği durumlarda, yapılan yatırımlar riske atılmış olabilir. Örnek olarak, Amazon EC2 hizmet sağlayıcısı kullanıcılarını, platformları üzerinde PCI Veri Güvenlik Standardına uygunluğu sağlamada zora düşebilecekleri konusunda uyarmaktadır. Bu sebeple, EC2 üzerinde faaliyet gösteren hizmetler, kredi kartı işlemlerini yerine getirememektedir [1].

Cloud Computing (Bulut Bilişim) hizmetlerinin dağıtılmış olarak çalışan küresel hizmetler olduğu düşünüldüğünde, farklı ülkelerden kullanıcılar, farklı iş kültürlerine ve yasal düzenlemelere sahip olarak iş görmektedirler. Cloud Computing (Bulut Bilişim) hizmet sağlayıcılarının farklı ülkelerde ve bölgelerde veri merkezleri bulundurması, bulunduğu ülkedeki yasal düzenlemelere de uyum sağlamasını gerektirebilir. Veri gizliliği ve denetimi konusunda ülkelerin farklı yasal düzenlemelere sahip olması, Cloud Computing (Bulut Bilişim) hizmet sağlayıcılarının hizmetlerini yerine getirirken, farklı yasal düzenlemelere uyum sağlamada sorunlara neden olabilir. Avrupa Birliği ülkeleri ve Amerika Birleşik Devletleri arasında bile, kişisel gizlilik ve kişisel gizliliği koruma türleri konusunda belirgin farklılıklar bulunmaktadır [9]. Ayrıca, bulunduğu ülke dışındaki başka bir ülkede yerleşik bir Cloud Computing hizmet sağlayıcısından hizmet alan şirketler, dolaylı olarak bu ülkenin yasalarının kapsamına girdiği için, burada saklanan verilerine hizmet sağlayıcının bulunduğu ülke tarafından adli yargı yoluyla erişilebilir ve verilerinin gizliliği tehlikeye girebilir. Örnek olarak, Amerika Birleşik Devletleri hükümeti, A.B.D. Vatanseverlik Yasası, Yurtiçi Güvenlik yasası benzeri yasaları kullanarak, gelişmiş bilgi toplama teknolojilerinin yardımıyla her türlü bağlamdaki elektronik veriye erişebilmektedir [10].

Bulut Bilişim mimarisine, veri denetimi özelliği kazandırabilmek ve bu yolla belirli standartları ve yasal zorunlulukları sağlayabilmek için, sanal misafir işletim sisteminin erişemeyeceği, ayrı bir veri denetimi katmanı eklenebilir. Bu sayede veri denetimi ve uygunluğu merkezileştirilmiş tek bir mantıksal katman üzerinden sağlanabilir [4].

Yakup Korkmaz
TÜBİTAK BİLGEM – UEKAE
Bilişim Sistemleri Güvenliği Bölümü
Referans : http://www.bilgiguvenligi.gov.tr/guvenlik-teknolojileri/bulut-bilisim-risk-degerlendirmesi-i.html

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir