Bulutlar Geleneksel BT Sistemlerinden Daha Güvenli. İşte Nedeni

(Bu yazı BT Bulut Uzmanı David Linthicum’un techtarget.com’daki yazısından tercüme edilmiştir.)

Son araştırmaların, verinin ulaşılabilirliğinin konumundan daha önemli olduğunu işaret etmesi, geleneksel BT güvenliğinin buluta göre daha üstün olduğu konusundaki kuvvetli önyargıyı temelinden sarsııyor.

Geleneksel BT’de “kol kavuşturanlar çetesi” olarak adlandırdığım birçok kişiyle konuşuyorum. Bunlar, genelde CEO veya yönetim kurulu üyeleri kendilerinden talepte bulunduğu için bulut tabanlı bilişim kullanımını ele almak isteyen, fakat bulut tabanlı bilişimin hala çok fazla eksiği olduğunu düşünen BT yöneticileri.

İyi haber şu ki, “kol kavuşturanlar çetesi” bulut tabanlı bilişim kendi değerini kanıtladığı için birçok üyesini kaybetti. Ancak buluttaki güvenlik ve gizlilik konularındaki argümanlar hala sık sık ortaya çıkıyor. Belirli miktarda duygu ve biraz da politikanın etkisini gözardı etmemek kaydıyla kurumsal BT’deki kişileri gerçek sorunlar ve gerçek riskler konusunda eğitmek şarttır. Ve genel olarak bulutların geleneksel sistemlerden daha güvenli olduğunu söyleyebiliriz.

Alert Logic 2012 Sonbahar Bulut Güvenliğinin Durumu Raporu’na göre tehditkar eylemlerin çeşitliliği altyapının bulunduğu yer kadar önemli değil. Dışarıdan erişilebilen herhangi bir sistem -ister kurum içerisinde, ister bulutta olsun- eşit saldırı şansına sahiptir. Çünkü bu saldırılar doğal olarak fırsatçılıkla alakalıdır.

Aynı rapora göre web uygulaması tabanlı saldırılar hem servis sağlayıcı ortamlarını (kuruluşların %53’ü) hem de kurum içi ortamları (%44) etkiliyor. Bununla beraber kurum içi ortam kullanıcıları veya müşteri ortamları hizmet sağlayıcı ortamlarından daha fazla sayıda saldırı yaşıyor. Kurum içi kullanıcılar ortalama 61,4 saldırıya maruz kalırken, hizmet sağlayıcı ortamındaki kullanıcılar aynı sürede ortalama 27,8 saldırıya maruz kalıyor. Ayrıca kurum içi kullanıcılar diğer kullanıcılara göre daha yüksek sayıda kaba kuvvet (brut force) saldırısına maruz kalıyor.

Bulutlar Geleneksel BT Sistemlerinden Daha Güvenli. İşte Nedeni

Açıkçası, bulut tabanlı bilişimin doğal olarak geleneksel yaklaşımdan daha az güvenli olduğuna dair efsaneler vardır. Bu paranoya genellikle verilerinizin kendinize ait olmayan ve kontrol etmediğiniz sunucularda ve sistemlerde tutulması gerçeğinden kaynaklanır.

Fakat kontrol, güvenlik anlamına gelmez. Bu raporda ve son birkaç yıldaki olaylarda keşfettiğimiz üzere verilerinizin fiziksel konumu, bunlara erişim olanaklarından daha az önemlidir. Bu durum hem bulut tabanlı sistemler hem de geleneksel sistemler için geçerlidir. Dahası, şirketler için bulut tabanlı platformları kuranlar tipik olarak güvenlik ve yönetişime firewall içerisinde kurulan gelenksel sistemler kuranlara göre daha fazla odaklanırlar.

Güvenlik açısından aynı titizlik gösterilmeden inşa edilen sistemler, bulutta olsun veya olmasın, aynı şekilde güvenli olmayacaktır. Burada izlenecek doğru yaklaşım platforma odaklanmak yerine doğru teknolojiyi iyi tanımlanmış ve uygulanmış bir güvenlik stratejisine odaklanarak kullanmaktır.

Genellikle bu konuyla ilgili sağladığım rehberlik üç adımdan oluşur:

1. Belirli bir sistem ve/veya veri deposu için güvenlik ve yönetişim gereksinimlerini iyi anlayın. Bulut veya geleneksel ortamlarda veri saklayanların çoğu çözmeye çalıştıkları sorunları anlayamıyorlar. Öncelikle bunları iyi tanımlamak gerekir.
2. Erişimi kontrol altında tutmanın verilerin fiziksel konumundan daha önemli olduğunu iyi anlayın. Verilere nasıl erişildiğini izleyin ve özellikle erişim ihlallerini anlamaya çalışın. Bu ihlaller hem bulut tabanlı hem geleneksel sistemlerde gerçekleşebilir.
3. Son olarak, ister bulut tabanlı, ister geleneksel sistemleri test ediyor olun, güvenlik açığı testi çok önemlidir. Test edilmemiş sistemler güvensiz sistemlerdir.

Bulut tabanlı “halka açık” sistemler ve veri depolama sistemleri arttıkça bulut ve güvenlik açısından daha farklı bakış açıları üreteceğimizi düşünüyorum. Bununla beraber doğru miktarda planlama ve iyi teknoloji kullanılmadığı takdirde bulut tabanlı ortamlar riskli hale gelebilir. Aynı şey mevcut kurumsal sisteminiz için de geçerlidir.