Image for post
Image for post
Photo by Travel Bravo on Unsplash

Güvenlik uzmanlarına bulut dışında yer yok

Bir süredir bulut güvenliği hakkında okuma yapıyorum. Bu okumaların bir kısmı tamamen kavramsal içerikler iken bir kısmı da doğrudan üreticiler tarafından oluşturulan teknik içerikler. Yaklaşık 2 yıl da LoDDoS ürününün geliştirmesi nedeniyle neredeyse tüm büyük bulut servis sağlayılar ile yakından tanışma fırsatı yakaladım. Gördüğüm ve aslında çok da hoşlanmadığım bir kaç konuyu sizinle paylaşmak istiyorum.

Son kullanıcılardan kurumsal kullanıcılara neredeyse tüm müşteri segmentleri şu anda aktif olarak bulut servislerini kullanıyor. Özellike uygulama geliştirici firmalar ve bireyler bulut hizmetlerinin ucuzlamasını fırsat bilip tüm uygulama geliştirme ve yönetim süreçlerini buluta taşıdılar. Böylece geliştirme ve devops işleri hem kolaylaştı hem de hızlandı bu nedenle de önümüz, arkamız, sağımız, solumuz uygulama ve servis ile doldu.

Mobil teknolojilerin yaygınlaşması ve internet hızlarının göreceli olarak artması, insanların çevrimiçi sürelerini arttırdı, insanlar veriye bu kadar kolay ve hızlı bir şekilde ulaşmaya başlayınca verilerine her an her zaman ve her yereden ulaşmak istedi ve bunun tek yoluda bulut servisleri oldu. Mobil servislerden, sosyal medyaya, veri saklama/paylaşma/yedekleme servislerinden, tüm ofis uygulamalarına artık hepimiz bulut servislerinin vazgeçilmez kullanıcıları olduk.

Ticari kuruluşlar altyapı maliyetlerini, yönetim maliyetlerini, kurulum ve işletim maliyetlerini düşürmek, ihtiyaçlarını hızlıca ve kolayca karşılamak için bulutun bu olanaklarına kucak açtı. Günümüzde küçük/orta/büyük ölçekli bir çok kurum en az bir adet bulut servisini kullanıyor bazısı da kullandığının farkında bile değil.

Kurumsal veri merkezlerinin “merkez”liğini yitirerek kurumsal/kişisel verilerin bir kısmının tutulduğu bir şube haline gelmesi çok ama çok yakın. Bir kaç yıl içinde küçük/orta/büyük ölçekli firmaların büyük kısmı buluta göç için iyi/kötü bir strateji belirlemek zorunda kalacak. Bazıları ise maliyetlerini düşürmek için düşünmeden geçiş yapacak.

Geleneksel veri merkezlerinde kullanılan ağ, sistem, altyapı ve güvenlik mimarileri ile mevcut bulut mimarileri arasında gözle görülür farklar var ve bu farklar gün geçtikçe daha da artıyor.

TCP/IP aynı kalsa da “Software Defined” kavramı yönlendirme ve anahtarlama (routing and switching) işini bambaşka bir seviyeye taşıdı. Mikro servis, “Serverless”, SaaS yaklaşımları sistem yönetimini (system administration) kökten değiştirdi. Sistemlerin ve doğal olarak verilerin buluta taşınması geleneksel erişim kontrolü, kimlik doğrulama, yetkilendirme teknolojilerinin neredeyse tamamen değişmesine neden oldu. WAF, FW, SWG ürünleri doğrudan buluta taşınırken DLP gibi ürünler de doğrudan servis olarak verilmeye başlandı.

Bulut teknolojileri gerçekten çok hızlı gelişti. Geleneksel ağ, sistem, altyapı ve güvenlik kavramlarını bilmeden bulut teknolojilerini anlamak pek mümkün değil ama bu bilgiler artık yeterli de değil. Nasıl ki bulut tarafında gerçekleştirilen tüm ağ ve sistem faaliyetleri otomasyon üzerinen yönetiliyorsa güvenlik faaliyetleri de otomasyon üzerinden yürüyecek. Burada kastettiğim otomasyon SOAR daki basit otomasyonlar değil :)

Bu sayede oluşturulan politikaların tek merkezden hızlı ve etkili bir şekilde dağıtılabilmesi sağlanabilecek. Yani artık FW, IPS kuralı, DLP politikası, proxy kuralları yazmak yerine, “şu kullanıcı grubu bu verilere erişsin ve okuma yazma hakkı olsun” (tabi ki bu kadar basit bir politika olmayacaktır:) deyince bu kurallar otomatik yazılabilecek. Doğal olarak dolaylı değil doğrudan risk bazlı güvenlik politikalarının oluşturulması güvenlik uzmanlarının bir numaralı işi olacak.

Bu nedenle risk, tehdit, zafiyet, uyumluluk, politika, süreç, güvenlik çerçeveleri, risk analizi, iş etki analizi, tehdit modelleme gibi kavramsal konuların güvenlik uzmanları tarafından özümsenmiş olması bir zorunluluk haline gelecek.

Yani bugün bildikleriniz yarın sadece yeni şeyler öğrenebilmeniz için yardımcı olacak. Bugün yeterli bilgiye sahip değilseniz öğrenmek için geç değil ama direnirseniz bir anda kendinizi hiç bir işe yaramayan çöp bilgi ve araç gereçle bulabilirsiniz.

Author, Cyber Security Architect

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store