Standartlarla Bulut Güvenliği

Tedbir No.

Tedbir Seviyesi

Tedbir Adı

Tedbir Tanımı

4.3.1.1

1

Bulut Hizmeti Kullanımı

Kritik verilerin yurt içinde depolandığı ve yurt dışında barındırılmayacağı garanti altına alınmalıdır. Kurumlara ait özel bulut sistemleri haricinde, bulut servis sağlayıcılardan yer, sunucu veya servis tabanlı bulut hizmeti kullanılacaksa, • Erişen personel, yetki ve yetkinlik düzeyleri • Erişim, işlem ve ağ trafiği iz kayıtlarının izlenmesi • Güncelleme durum alarmları • Siber olay alarmları • Performans ve kapasite göstergeleri kurum tarafından kontrol edilmelidir

4.3.1.2

1

Hizmet Kapsamı ile Rol ve Sorumlulukların Belirlenmesi

Bulut bilişim hizmeti kapsamında hizmet alınan taraf ile hizmet alan kurum arasında, karşılıklı yükümlülükleri ve gizlilik maddelerini içeren bir sözleşme yapılmalıdır. Alınan hizmetin kapsamı sözleşme içerisinde tam olarak belirtilmeli ve hizmet kapsamında işlenen verinin kritikliği doğrultusunda yeterli seviyede güvenlik önlemleri alınmalıdır. İlgili sözleşmenin geçerlilik süresi belirlenmeli ve periyodik olarak gözden geçirilmesi sağlanmalıdır.

Bk. Tedbir No: 3.5.3.1 Bk. Tedbir No: 3.5.3.3

4.3.1.3

1

Veri İletimi Güvenliği

Bulut bilişim kapsamında çalışan tüm sistemler arasındaki veri trafiği zafiyet içermeyen güvenli ve güncel iletişim protokolleriyle gerçekleştirilmelidir. Bulut ortamına doğru veri iletimi sağlanırken iletimin tek yönlü olması sağlanmalı, kurumsal ağ bulut ortamından gelecek tehditlere karşı izole olmalıdır.

4.3.1.4

1

Kaynakların İzole Edilmesi

Aynı bulut ortamını kullanan kurumların sistemleri ağ seviyesinde birbirlerinden mantıksal ve/veya fiziksel olarak izole edilmelidir. Kurumların yalnızca kendilerine ait veriye erişim imkânı sağlanmalıdır.

4.3.1.5

1

İmajların İmha Edilmesi

Bulut hizmeti kapsamında, ihtiyaç olması durumunda şablon olarak kullanılan imajların geri döndürülemeyecek şekilde silinmesine servis sağlayıcı tarafından imkân tanınmalıdır.

4.3.1.6

1

Sanal Makineye Ait Belleklerin İmhası

Bulut hizmeti kapsamında herhangi bir sanal makinenin hizmetinin sonlandırılması durumunda, sanal makinenin bulut bilişim sunucularında bulunan bellek bölgeleri otomatik olarak servis sağlayıcı tarafından geri döndürülemeyecek şekilde silinmelidir.

4.3.1.7

1

Bulut Ortamı Güvenliği

Servis sağlayıcılar kendi kaynaklarını DDoS saldırılarına karşı koruyabilmeli ve kapasitesinin üzerinde gelen yüksek boyutlu DDoS saldırılarına karşı iş ve hizmet sürekliliğini sağlayabilmelidir. Hizmet alan taraf ile imzalanan sözleşme ve taahhütlerde bu husus yer almalıdır. Servis sağlayıcılar, servis verdikleri herhangi bir hizmet alanına gelen bir siber saldırıdan (servis dışı bırakma, zararlı yazılım vb.) veya saldırının sistemlerde oluşturabileceği performans problemlerinden diğer hizmet alanlarının etkilenmemesi için güvenlik duvarı, saldırı tespit sistemi gibi güvenlik önlemlerini almalıdır. Servis sağlayıcıların verdikleri hizmetler ile ilgili hizmet seviye taahhüt koşulları belirlenmeli, ölçülmeli ve raporlanabilmelidir. Kurumlar, varlık gruplarının kritiklik derecesine uygun güvenlik tedbirlerini uygulayan ve periyodik güvenlik denetimlerini gerçekleştiren bulut hizmeti sağlayıcılarından hizmet almalıdır. Operatörler tarafından sunuculara erişimde trafiğin yurt içinde kalmasına yönelik tedbirler uygulanmalıdır. Bulut hizmeti kullanımında kuruma ait şifreleme anahtarları hizmeti alan kurum tarafından yönetilmelidir. Bulut yönetim arayüzü üzerinden işlem yapmak için IPSec veya SSL VPN geçidi kullanılmalı ve bulut yönetim arayüzüne erişim sadece bu kanallardan yapılmalıdır.

4.3.1.8

1

Sanal Makineye Ait Disk Bölgelerinin İmhası

Bulut hizmeti kapsamında herhangi bir sanal makinenin hizmetinin sonlandırılması durumunda, sanal makinenin bulut bilişim sunucularında bulunan disk bölgeleri otomatik olarak servis sağlayıcı tarafından geri döndürülemeyecek şekilde silinmelidir

4.3.1.9

1

İş Sürekliliğinin Sağlanması

Bulut bilişim hizmeti sunacak servis sağlayıcı iş sürekliliğini sağlamak amacıyla felaket kurtarma merkezi veya yedekleme mekanizmaları ile ilgili yeterlilikleri kurumun bilgi güvenliği gereksinimlerine uygun olarak sağlamalıdır. Bk. Tedbir Başlık No: 3.1.13

4.3.1.10

1

Erişim Yetkilerinin Yönetiminin Sağlanması

Bulut hizmet sağlayıcısının, hizmet alan kurumun sistemine giriş yapması gerektiğinde önceden belirlenmiş kurum yetkililerinden onay almalıdır. Yetkilendirme süreli olmalı ve sorun giderildiğinde erişim yetkisi kaldırılmalıdır. Hizmet sağlayıcı bu süreçte yapılan tüm işlemleri kayıt altına almalı ve bunları raporlamalıdır. Hizmet sağlayıcının bu süreci sistem üzerinde yönetecek ve raporlayacak özellikleri ve tanımlı süreçleri olmalıdır.

4.3.1.11

1

Hizmetin Sonlandırılması Hususları

Paylaşımlı/bulut ortamdan hizmet sağlayan servis sağlayıcılar hizmetin sonlanması durumunda hizmet alan tarafa ait profil ayarları, hizmet raporları vb. hizmete ilişkin tanımları silmelidir. Bulut sistemlerde barındırılan veriler, kullanımının sonlandırılması durumunda sistemlerden geri getirilemeyecek şekilde silinmelidir.

4.3.1.12

2

Güvenli Veri Depolama Politikasının Uygulanması

Bulut bilişim hizmeti sunacak servis sağlayıcının veri güvenliğini (ifşa, değiştirme, bozulma vb. durumlara karşı) sağlamak adına güvenli veri depolama politikası bulunmalıdır.

4.3.1.13

2

Bulut Ortamı İşlem Kayıtlarının Tutulması

Bulut sistemlerde gerçekleştirilen yönetimsel işlemler kayıt altına alınmalı ve değişmezliği sağlanmalıdır. Bk. Tedbir No: 3.1.8.1

4.3.1.14

3

Kaynakların Fiziksel Olarak İzole Edilmesi

Bulut sistemler üzerinde kuruma ait kritik veri bulundurulacaksa, kritik veriler kurum dışı başka kaynaklar ile aynı fiziksel cihaz üzerinde bulundurulmamalıdır.