EN
EN

Standartlarla Bulut Güvenliği

28 Mart 2022


Bulut bilişim, yazılım, donanım ve depolama dahil olmak üzere barındırılan hizmetlerin internet ağı üzerinden sunulmasıdır. Bulut Bilişim (Cloud Computing) ifadesi, herhangi bir zamanda erişilebilen ve işlem kaynaklarını paylaşabilen bilgisayarlar ve diğer cihazlar için internet tabanlı bilgi işlem hizmetlerini ifade eder.  Hızlı devreye alma, esneklik, düşük ön maliyetler ve ölçeklenebilirlik gibi avantajları nedeniyle kurum ve kuruluşlar tarafından kullanımı artarak devam etmektedir. Bulut sunucuları, dünya çapında birçok veri merkezinde bulunduğundan, kullanıcılar ve işletmeler, bulut bilişimi kullandıklarında fiziksel sunucuları işletmek veya kendi cihazlarında yazılım programları çalıştırmak zorunda değildir.

Bulut güvenliği, bulut verilerini, uygulamaları ve altyapıyı tehditlerden koruyan teknolojileri, ilkeleri, denetimleri ve hizmetleri ifade eder.

Bulut güvenliği, temelde aşağıdaki kategorilerden oluşur:

- Veri güvenliği
- Kimlik ve erişim yönetimi (IAM)
- Yönetim (tehditleri engellemeye, tespit etmeye ve azaltmaya yönelik ilkeler)
- Veri saklama (DR) ve iş devamlılığı (BC) planlaması
- Yasal uyumluluk

Bulut teknoloji sağlayıcıların yararlanabileceği rehber standartlar aşağıda verildiği gibidir:

- DDO-Bilgi ve İletişim Güvenliği Rehberi-4.3. Bulut Bilişim Güvenliği (Türkiye de kurumlar ve kritik altyapıya sahip kuruluşlar için uyumluluğu zorunludur.)
- ISO/IEC 27018:2019 Bilgi Teknolojisi - Güvenlik Teknikleri - Kişisel Veri İşleyen Bulut Servislerinde Bilgi Güvenliği
- ISO/IEC 27017:2015 / ITU-T X.1631-Bilgi teknolojisi-Güvenlik Teknikleri-Bulut hizmetleri İçin ISO/IEC 27002'ye Dayalı Bilgi Güvenliği Kontrolleri İçin Uygulama Kuralları
- CSA Cloud Security Aliance Cloud Security Alliance'ın Bulut Bilişimde Kritik Odak Noktaları için Güvenlik Rehberi v4.0
- CSA Cloud Security Aliance: Bulut Kontrolleri Matrisi 
- NIST Special Publication 500-291, Version 2: Bulut Bilişim Standartları Yol Haritası
- ENiSA: KOBİ'ler için Bulut Güvenliği Kılavuzu
- TSE Bulut Bilişim Güvenlik ve Kuralları Standardı

DDO tarafından yayınlanan Bilgi ve İletişim Güvenliği Rehberi’nin 4.3. Bulut Bilişim Güvenliği tedbir maddeleri aşağıda verildiği gibidir:

Tedbir No.

Tedbir Seviyesi

Tedbir Adı

Tedbir Tanımı

4.3.1.1

1

Bulut Hizmeti Kullanımı

Kritik verilerin yurt içinde depolandığı ve yurt dışında barındırılmayacağı garanti altına alınmalıdır. Kurumlara ait özel bulut sistemleri haricinde, bulut servis sağlayıcılardan yer, sunucu veya servis tabanlı bulut hizmeti kullanılacaksa, • Erişen personel, yetki ve yetkinlik düzeyleri • Erişim, işlem ve ağ trafiği iz kayıtlarının izlenmesi • Güncelleme durum alarmları • Siber olay alarmları • Performans ve kapasite göstergeleri kurum tarafından kontrol edilmelidir

4.3.1.2

1

Hizmet Kapsamı ile Rol ve Sorumlulukların Belirlenmesi

Bulut bilişim hizmeti kapsamında hizmet alınan taraf ile hizmet alan kurum arasında, karşılıklı yükümlülükleri ve gizlilik maddelerini içeren bir sözleşme yapılmalıdır. Alınan hizmetin kapsamı sözleşme içerisinde tam olarak belirtilmeli ve hizmet kapsamında işlenen verinin kritikliği doğrultusunda yeterli seviyede güvenlik önlemleri alınmalıdır. İlgili sözleşmenin geçerlilik süresi belirlenmeli ve periyodik olarak gözden geçirilmesi sağlanmalıdır.

Bk. Tedbir No: 3.5.3.1 Bk. Tedbir No: 3.5.3.3

4.3.1.3

1

Veri İletimi Güvenliği

Bulut bilişim kapsamında çalışan tüm sistemler arasındaki veri trafiği zafiyet içermeyen güvenli ve güncel iletişim protokolleriyle gerçekleştirilmelidir. Bulut ortamına doğru veri iletimi sağlanırken iletimin tek yönlü olması sağlanmalı, kurumsal ağ bulut ortamından gelecek tehditlere karşı izole olmalıdır.

4.3.1.4

1

Kaynakların İzole Edilmesi

Aynı bulut ortamını kullanan kurumların sistemleri ağ seviyesinde birbirlerinden mantıksal ve/veya fiziksel olarak izole edilmelidir. Kurumların yalnızca kendilerine ait veriye erişim imkânı sağlanmalıdır.

4.3.1.5

1

İmajların İmha Edilmesi

Bulut hizmeti kapsamında, ihtiyaç olması durumunda şablon olarak kullanılan imajların geri döndürülemeyecek şekilde silinmesine servis sağlayıcı tarafından imkân tanınmalıdır.

4.3.1.6

1

Sanal Makineye Ait Belleklerin İmhası

Bulut hizmeti kapsamında herhangi bir sanal makinenin hizmetinin sonlandırılması durumunda, sanal makinenin bulut bilişim sunucularında bulunan bellek bölgeleri otomatik olarak servis sağlayıcı tarafından geri döndürülemeyecek şekilde silinmelidir.

4.3.1.7

1

Bulut Ortamı Güvenliği

Servis sağlayıcılar kendi kaynaklarını DDoS saldırılarına karşı koruyabilmeli ve kapasitesinin üzerinde gelen yüksek boyutlu DDoS saldırılarına karşı iş ve hizmet sürekliliğini sağlayabilmelidir. Hizmet alan taraf ile imzalanan sözleşme ve taahhütlerde bu husus yer almalıdır. Servis sağlayıcılar, servis verdikleri herhangi bir hizmet alanına gelen bir siber saldırıdan (servis dışı bırakma, zararlı yazılım vb.) veya saldırının sistemlerde oluşturabileceği performans problemlerinden diğer hizmet alanlarının etkilenmemesi için güvenlik duvarı, saldırı tespit sistemi gibi güvenlik önlemlerini almalıdır. Servis sağlayıcıların verdikleri hizmetler ile ilgili hizmet seviye taahhüt koşulları belirlenmeli, ölçülmeli ve raporlanabilmelidir. Kurumlar, varlık gruplarının kritiklik derecesine uygun güvenlik tedbirlerini uygulayan ve periyodik güvenlik denetimlerini gerçekleştiren bulut hizmeti sağlayıcılarından hizmet almalıdır. Operatörler tarafından sunuculara erişimde trafiğin yurt içinde kalmasına yönelik tedbirler uygulanmalıdır. Bulut hizmeti kullanımında kuruma ait şifreleme anahtarları hizmeti alan kurum tarafından yönetilmelidir. Bulut yönetim arayüzü üzerinden işlem yapmak için IPSec veya SSL VPN geçidi kullanılmalı ve bulut yönetim arayüzüne erişim sadece bu kanallardan yapılmalıdır.

4.3.1.8

1

Sanal Makineye Ait Disk Bölgelerinin İmhası

Bulut hizmeti kapsamında herhangi bir sanal makinenin hizmetinin sonlandırılması durumunda, sanal makinenin bulut bilişim sunucularında bulunan disk bölgeleri otomatik olarak servis sağlayıcı tarafından geri döndürülemeyecek şekilde silinmelidir

4.3.1.9

1

İş Sürekliliğinin Sağlanması

Bulut bilişim hizmeti sunacak servis sağlayıcı iş sürekliliğini sağlamak amacıyla felaket kurtarma merkezi veya yedekleme mekanizmaları ile ilgili yeterlilikleri kurumun bilgi güvenliği gereksinimlerine uygun olarak sağlamalıdır. Bk. Tedbir Başlık No: 3.1.13

4.3.1.10

1

Erişim Yetkilerinin Yönetiminin Sağlanması

Bulut hizmet sağlayıcısının, hizmet alan kurumun sistemine giriş yapması gerektiğinde önceden belirlenmiş kurum yetkililerinden onay almalıdır. Yetkilendirme süreli olmalı ve sorun giderildiğinde erişim yetkisi kaldırılmalıdır. Hizmet sağlayıcı bu süreçte yapılan tüm işlemleri kayıt altına almalı ve bunları raporlamalıdır. Hizmet sağlayıcının bu süreci sistem üzerinde yönetecek ve raporlayacak özellikleri ve tanımlı süreçleri olmalıdır.

4.3.1.11

1

Hizmetin Sonlandırılması Hususları

Paylaşımlı/bulut ortamdan hizmet sağlayan servis sağlayıcılar hizmetin sonlanması durumunda hizmet alan tarafa ait profil ayarları, hizmet raporları vb. hizmete ilişkin tanımları silmelidir. Bulut sistemlerde barındırılan veriler, kullanımının sonlandırılması durumunda sistemlerden geri getirilemeyecek şekilde silinmelidir.

4.3.1.12

2

Güvenli Veri Depolama Politikasının Uygulanması

Bulut bilişim hizmeti sunacak servis sağlayıcının veri güvenliğini (ifşa, değiştirme, bozulma vb. durumlara karşı) sağlamak adına güvenli veri depolama politikası bulunmalıdır.

4.3.1.13

2

Bulut Ortamı İşlem Kayıtlarının Tutulması

Bulut sistemlerde gerçekleştirilen yönetimsel işlemler kayıt altına alınmalı ve değişmezliği sağlanmalıdır. Bk. Tedbir No: 3.1.8.1

4.3.1.14

3

Kaynakların Fiziksel Olarak İzole Edilmesi

Bulut sistemler üzerinde kuruma ait kritik veri bulundurulacaksa, kritik veriler kurum dışı başka kaynaklar ile aynı fiziksel cihaz üzerinde bulundurulmamalıdır.

Bilgi ve iletişim güvenliği rehberinin tamamına buradan ulaşabilirsiniz.

Bulut Bilişimi ile ilgili diğer makalelerimizi okudunuz mu?

- Bulut Bilişim Güvenliği için En İyi Uygulamalar
- Bulut Bilişim ve Güvenlik
- Bulut Teknoloji Türleri
- Bulut Teknolojisi Nedir?

BT Olgunluk Analizi

Kurumların BT yönetim süreçlerinin önem ve etkinliği, BT mimarisinin (yazılım, donanım, güvenlik ve altyapı) ilişkili strateji ve süreçlerle uyumu ve sürekliliği BT Olgunluğunu ortaya koyar. Her kurumun BT olgunluğu farklı seviyelerde olabilir. BT Olgunluk Analizi ile mevcut olgunluğun ölçülmesi ve değerlendirilmesi, uluslararası benzer başka kurumlarla kıyaslanması hedeflenir.

BT Olgunluk Analizi
Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog