“IT teknolojilerinin periyodik bir şekilde, “dağıtık-merkezi-dağıtık-merkezi” mimarilerde hayat bulduğu gerçeği” neredeyse her makalenin vazgeçilmez bir giriş paragrafı haline geldi. Ben de bu yazıya başlarken bir istisna yapmayacağım. Client-Server yapıdaki dağıtık sistemlerden web tabanlı merkezi sistemlere geçiş sonrası bu merkezi mimarinin daha da kalıcı hale gelmesini sağlayan bulut mimarisi, günümüzde tüm CIO’ların ajandasını süsleyen bir madde. 2016 yılında “Cloud” başlığı kendi başına yüksek öncelikli olmasa da, Bulut üzerinden verilebilecek servisler ajandanın üst sıralarında yer buluyor. Diğer yandan, merkezi mimarinin daha kalıcı şekilde IT gündemimizde olması, ek bazı ihtiyaçları da beraberinde getiriyor. Güvenlik uygulamaları bunun en önemli örneklerinden.

Bulut güvenliği temelde herhangi bir IT güvenlik noktasından farklı düşünülmemesi gereken, her noktada uçtan uca risk analizi gerektiren bir güvenlik öğesidir. Zira Bulut mimarisinin en temel iddiası, oluşturulan sanal modelin, zaten bildiğimiz sistemlerin bir eşleniği olmasıdır. Bu yüzden fiziksel katmanda “sanal” sistemler üzerinde konumlanan uygulamalarımız mantıksal katman düşünüldüğünde tamamen kendi dünyalarında (işlemci/hafıza/disk), başka uygulamalardan bağımsız çalışmaktadır. Bu sebeple, tüm bulut mimarisinde çalışması beklenen sistemlerin, bağımsız ortamlarda çalışıyormuşçasına risk analizleri, zaafiyet analizleri, güvenlik politikası uygulanma süreçleri, bir güvenlik olayı gerçekleşmesi durumundaki adımlar gibi her türlü bileşeninin doğru güvenlik perspektifinden de değerlendirilmesi kritik bir ihtiyaçtır.

Fakat Bulut mimarisinden bahsediyorsak, bundan daha fazlası vardır!

Herşeyden önce ek bir sanallaştırma katmanı olması sebebiyle, bu sanallaştırma katmanının da güvenlik açısından değerlendirilmesi son derece kritiktir. Buluttan alınacak hizmetin tipine göre, bulut servis sağlayıcısı ile müşteri arasındaki sorumluluk ayrımının farklılaşması doğaldır. Örneğin, IaaS hizmetinde servis sağlayıcının sorumluluğu sanallaştırma katmanına kadar olabilecekken, SaaS hizmeti için sorumluluk tüm uygulamayı ve altındaki her türlü altyapıyı kapsayacaktır. Bulut servis sağlayıcı perspektifinden bakınca bu servislerin uçtan uca güvenliğinin bir hizmet olarak sağlanması şarttır. Müşteri olarak SaaS gibi sorumluluğun işletmecide olduğu durumlarda ise risk analizleri ve zaafiyet analizlerinin periyodik olarak yapılması şarttır.

Özetlemek gerekirse, bulut mimarilerinde güvenlik katmanının sadece operatöre bırakılmayacak şekilde büyük hassasiyetle ele alınması gereklidir. Kendi sanal altyapımızı işletirken oluşturduğumuz güvenlik süreçlerinin aynen ve daha zengin şekilde uygulanması, müşteri işletmeci arasındaki sorumluluk paylaşımının sınırlarının netleştirilmesi, risk analizlerinin yeni katmanları da göz önüne alınarak yapılması Bulut mimarisinden hem en verimli hem de en güvenli şekilde faydalanmamızın anahtarlarıdır.