Embed Size (px)
Citation preview
ISACA JOURNAL SAYI 3, 2013
Makale
Bir kurumun bilgisayar sistemleri buluta aktarıldığında, kurumun bilgi güvenliği personeli bundan nasıl etkilenir? Peki, ya kurum dahilinde sorumlulukların değişmesi ve bulut hizmet sağlayıcının (CSP) beklentileri nasıl belirlenecek?
Servis olarak Yazılım (SaaS), Servis olarak Platform (PaaS) ve Servis olarak Altyapı (Iaas) adı verilen üç yaygın bulut dağıtım modeli1 gayet iyi biliniyor ve literatürde de açıklanıyorken, Bulut Bilişim Güveliği Birliği (CSA) tarafından tanımlanan en son servis, Servis olarak Güvenlik (SecaaS)2 oldu. SecaaS, üçüncü taraf destekli güvenlik güvencesi, olay yönetimi, mevzuata uygunluk güvencesi ile kimlik ve erişim yönetişimi sağlıyor. SecaaS, güvenlik altyapısının tespit edilmesi, iyileştirilmesi ve yönetişiminin, yetkin araçlara ve uzmanlığa sahip güvenilir bir üçüncü tarafa yaptırılması anlamına geliyor.”3 SecaaS, kurumun bulut tedarikçisi ile birlikte güvenlikle ilgili hususları yönetmek amacıyla pek çok tedarikçiden temin edilebilecek ürün ve/veya hizmetleri de içeren 10 güvenlik alanını kapsıyor.
PaaS'ta kurum ve sağlayıcı, uygulama ve sanal yönetim ortamının sorumluluğunu paylaşırlar. Sunucunun kontrolü, veri depolama ve ağ hizmetleri CSP tarafından sağlanır ve yönetilir. IaaS'ta uygulamadan kurum sorumlu olduğu gibi, sanal yönetim ortamının sorumluluğunu da sağlayıcı ile paylaşır. SecaaS'ta bulut ortamını destekleyen ürün ve/veya hizmetleri, satıcılar veya yetkilendirilmiş yükleniciler hizmetin tamamından sorumludurlar.
Bulut ortamı katılımcıları aşağıdaki kategorilere ayrılırlar:• Tüketici/son kullanıcı—Verinin sahibi (şahıs veya
kurum)• Bulut hizmeti ulaştırıcısı—Sunulan hizmeti son
kullanıcıya pazarlayan hizmet sağlayıcısı • Bulut hizmeti talep eden—Kurumun teknik
personeli (örneğin, mimar, geliştirici, iş yöneticisi, BT yöneticisi)
• Bulut SecaaS sağlayıcısı—Kurumun çalışanları adına ürünü ve/veya BT güvenliği hizmetini sağlayan tedarikçi (örneğin, bir bağımsız değerlendirici4)
• Denetçi—Bağımsız BT güvenliği değerlendiricisi• Aracılık hizmetleri sağlayıcısı—Aracılık, izleme,
dönüşüm/taşınabilirlik, yönetişim, provizyon ve entegrasyon hizmetleri sunan ve çeşitli CSA'lar ile tüketiciler arasındaki ilişkileri düzenleyen kurum (aracılık hizmetlerinin örnekleri arasında Intel ve McAfee de vardır)
• Öperatör—Sağlayıcı ile tüketici arasındaki telefon (veya veri iletişimi) hatlarının aracılığını yapan kuruluş
Bulut DEĞERlENİRİCİ SoRumluluk DaĞılımıSorumlulukların dağılımı, kurumların ölçeklerindeki (küçükten büyüğe) çeşitliliğe bağlı olarak ciddi ölçüde dalgalanabilir. Bir ya da birden fazla sayıda bulut dağıtım modelinden faydalanan kurumlarda bir dereceye kadar uygulanabilecek sorumluluk taban dağılımı aşağıda verilmiştir.
Son kullanıcı (ya da hizmeti talep eden işletme) alttakilerden sorumludur:• Sistemin ayağa kaldırılması, işletilmesi ve
desteklenmesi ile ilgili tüm görevlilerin güvenlik bilincinin yeterli düzeyde olması
• Sözleşmeler, hizmet seviyesi anlaşmaları (SLA) veya diğer ortak anlaşmalar gibi erişim anlaşmaları
• Antivirüs yazılımı ve ağ ve uygulamanın sürekli izlenmesi gibi zararlı kod koruma
CSP'nin BT güvenlik sorumlulukları şunları içerir:• Uygulama partisyonlarının yerleştirilmeleri ve
altyapının içinde silinmesi gereken bilgi kalıntıları • Platformun güvenlik işlev bağımsızlığı ve kaynak
önceliği • Uygulamanın sınır koruması
CıSa, CıSm, CRıSC, CaP, CDP,
CıSSP ve ıtıl sertifikalarına
sahip olan larry G. Wlosinski,
Earth Resources Technology Inc.'de
görev yapan ve BT güvenliği
alanında 37 yılın üzerinde
deneyime sahip olan profesyonel
bir BT güvenliği danışmanıdır.
Wlosinski'nin güvenlik alanındaki
deneyimleri arasında, politika ve
prosedür yazımı, planlama, bilgi
güvence, sürekli izleme, güvenlik ve
risk değerlendirme, olay müdahale,
ağ ve veri güvenliği, acil durum
planlaması, güvenlik bilinci ve
eğitimi bulunuyor. Bunun yanında,
geçmişte Bilgi İşlem Yönetimi
Derneği'nin (DPMA) Niagara
Frontier Şubesi'nin başkanlığını
da yürüttü. Wlosinski, federal ve
profesyonel konferanslarda bulut
güvenliği üzerine konuşmalar
yaptı, BT güvenliği ile ilgili çeşitli
konularda pek çok kez eğitim verdi.
Buluta Geçerken BT Güvenliği ile ilgili Sorumluluklar Değişiyor
1
2ISACA JOURNAL SAYI 3, 2013
• Zararlı faaliyetleri analiz etmek, yarattıkları zararları onarmak, doğrulamak, izlemek ve yakalamak amacıyla düzenli denetim ve sürekli izleme
• Yetkisiz kişiler tarafından yapılan konfigurasyon değişikliklerini izleme
• Güvenli bilgi sistemleri (IS) ortamını sürdürmek amacıyla izleme araçlarından faydalanma
• Acil durum planlamasının yapıldığı ve testin gerçekleştirildiğini değerlendirmek için yedekleme ve yedekten dönme
• Müşteri ve sağlayıcı için çevresel kontroller• Müşteri ve sağlayıcı için fiziki erişim
Son kullanıcı veya CSP (hizmet modeline bağlı olarak) tarafından yönetilen BT güvenlik kontrolleri şunları içerir:• Hesap yönetimi • Hesap kullanım ihlalların tespiti • Kullanıcı kimliğinin belirlenmesi ve doğrulanması• Cihaz kimliğinin belirlenmesi ve doğrulanması• Kimlik doğrulayanların yönetimi • Kriptografik anahtar kurulum ve yönetimi
Son kullanıcı ve CSP'nin ortak sorumlulukları şunları içerir:• Veri, sistem ve sunucu ortamına erişim kontrolü• Tüm depolama cihazlarının veri ve medya koruması• Bakım (konfigurasyon yönetimi)• Olay müdahale katılımı ve raporlaması• Personel güvenliği (geçmişlerini sorgulama dahil)• Kullanıcı organizasyon ve CSP konumları için acil durum
planlamasıSon kullanıcının mimarı şunlardan sorumludur:
• Bilgi akışının belirlenen kurallara uygun yapıldığının teyiti• SecaaS ve CSP'ye ilgili hizmeti sunarken değerlendirecekleri
ağ hizmetlerin satın alınması• IS dokümantasyonu
Bir bulut modeli bakış açısından, program kodunu yazan ve test eden olmak üzere iki tür uygulama geliştiriciler vardır. Bir SaaS uygulaması için, geliştirici sistemi/uygulamayı sunan satıcıdır. PaaS ve IaaS sistem ve uygulamaları için geliştirici kullanıcı organizasyondur. Aşağıdaki sorumluluklar her iki tür geliştiriciler için de geçerlidir: • programcıların, sistem yöneticilerin, yardım masasının ve
kullanıcıların güvenlik eğitimi• Mevcut uygulamaların güncellenmesi ve yenilerinin
kurulmasına yönelik yaşam döngüsü desteği• Sistem konfigurasyonun (sistemi üretime devreden geliştirici
için) ve hosting ortamı• Ilgili kontrollerin güvenlik testi5
• Kaynak kodunun hatalardan arındırılması (bu, uygulamayı geliştiren kurumun yükümlülüğüdür)
• Taban konfigurasyon (baseline configuration). Taban, uygulamayı geliştiren kurumun (SaaS için satıcı, IaaS ve PaaS için son kullanıcı) sorumluluğundadır.
• Konfigurasyon değişim yönetimi. Bu sorumluluk, görevlerin ayrılması olarak bilinen güvenlik kontrolü çerçevesinde güvenlik personelin sorumluluklarından ayrı tutulur.
• Değişiklik için erişim kısıtlamaları. Bu kontrol, kullanıcı hesapları ve sistem yönetimi için geçerlidir ve bu kontrolün uygulanması, bulut dağıtım modeline bağlıdır.
Son kullanıcının iş yöneticisi alttakilerden sorumludur: • Kadrolu çalışanlar veya Federal Risk ve Yetkilendirme Yönetimi
Programı (FedRAMP) gibi hizmeti sunan kurumlar tarafından gerçekleştirilebilecek risk değerlendirme çalışmaları ve güncellemeler
• Kaynakların tahsis edilmesi (örneğin, personel, bütçe)Son kullanıcının BT yöneticisi alttakilerden sorumludur:
• Erişim kontrol politika ve prosedürleri • Hesap yönetimi • Denetimi gözden geçirme, değerlendirme ve raporlama • Güvenlik bilinci ve eğitimi politikası • Güvenlik değerlendirme ve yetkilendirme politika ve
prosedürleri • IS bağlantıları• Konfigurasyon yönetimi politika ve prosedürleri • Acil durum planlama politika, prosedür ve planları• Kimlik belirleme ve doğrulama politika ve prosedürleri • Olay müdahale politika ve prosedürleri• Güvenlik planlama politika ve prosedürleri • Üçüncü şahıs personel güvenliği• Sistem ve iletişim koruma politika ve prosedürleri • Sistem ve hizmet satın alma politika ve prosedürleri • Harici IS servisleri
Bağımsız denetimci alttakilerden sorumludur:• Güvenlik değerlendirmesi• Güvenlik sertifikasyonu
• ISACA'nın bulut üzerine rehberlik amaçlı diğer kaynaklarını inceleyin.
www.isaca.org/cloud
• Bilgi Merkezinde bulut bilgi işlem hakkında daha fazlasını öğrenin, tartışın ve işbirliği yapın.
www.isaca.org/topic-cloud-computing
Bu makaleden hoşlandınız mı?
3 ISACA JOURNAL SAYI 3, 2013
• Güvenlik akreditasyonu Aracılık hizmetleri sağlayıcısı alttakilerden sorumludur:
• İlişki görüşmeleri• Hizmetlerin kullanımının, gerçekleştirilmesinin ve teslimatının
yönetimiOperatör (telekomünikasyon veya veri hattı sağlayıcısı)
şunlardan sorumludur:• Hizmet aksatma (DoS) koruması• İletimin bütünlüğü• İletimin gizliliği• Güvenli yol
SECaaS Bt GüvENlİk alaNlaRıSecaaS satıcısı, ara bağlantı anlaşması uyarınca 10 BT güvenlik alanın her hangi birinden sorumlu tutulabilir. CSA tarafından tanımlanan SecaaS'a yönelik 10 BT güvenlik alanı aşağıdaki gibidir:1. Kimlik ve erişim yönetimi—Kimlik doğrulama, kimlik
yönetimi, tekil oturum açma (single sign-on) provizyon/deprovizyon, merkezileştirilmiş dizin servisleri, imtiyazlı kullanıcı yönetimi, erişim yönetimi, kimlik doğrulama yönetimi, erişim politikası yönetimi ile denetim ve raporlamayı içerir.
2. Veri kaybı önleme (DLP)—Veri bağımsızlığı; politika belirlenmesi ve yürürlüğe konulması; hukuki/düzenleyici gereklilikler; coğrafi, mimari hususlar ile depolama, uç nokta ve şifreleme ile ilgili dikkate alınması gerekenlerin yanı sıra adli araştırma desteğini içerir.
3. Web güvenliği—Mevcut altyapıyı, proxy yapılandırmasını, virüs ve casus yazılımlara karşı koruyucu yazılımı, mevzuata uygunluğu, sosyal ağ/bloglara erişimi, URL filtrelemesini, sorguları, alarmları ve denetim sırasında kullanılacak loglamayı içerir.
4. E-posta güvenliği—Veri güvenliği ve korumasını, yasalara uygunluğu, verinin nerede depolandığını, yetkisiz ifşaatı, kötü amaçlı yazılım ve spam korumasını, şifrelemeyi, kayıt tutma/ veri yok etmeyi, sistem yönetimini, sistem günlüğü tutmayı ve mobil cihazları içerir.
5. Güvenlik değerlendirme—Yasaya uygunluk ve ifşa etmeme anlaşmalarını; standartları; mimariyi; envanteri; taban konfigurasyonlarını; iş akışını; loglamayı; sürekli izlemeyi; ortak gereklilikleri; veri erişimini; araçları; doğruluk ve kapsamı; sağlayıcı altyapısını; güvenli iletişimi; sonuçların raporlanması ve paylaşılmasını ve penetrasyon testini içerir.
6. İzinsiz girme yönetimi—İzinsiz girme tespit ve müdaheleyi; izinsiz girme yönetimini; hizmet seviyesi anlaşmalarını; yönetişimi, düzenleyici ve mevzuata uyumluluk sorunlarını; finansal, teknik, güvenlikle ve mimari ile ilgili konuları içerir.
7. Güvenlik bilgi ve olay yönetimi (SIEM)—Log verisi yönetimini, risk yönetimini, düzenleyici ve mevzuata uyumluluk gerekliliklerini, olayları, SLA'ları, bilgi paylaşımını ve girdiler ile çıktıları içerir.
8. Şifreleme—Veri ulaşılabilirliği, anahtar yönetimini, müşteriyi güvenlik altına almayı, politika ve yürütmeyi, veri bütünlüğünü, beklemekte olan veriyi, hareket halindeki veriyi, kullanımdaki veriyi ve veri yok etmeyi içerir.
9. İş sürekliliği ve felaketten kurtarma planlaması—SLA'yı; verinin kullanılacağı bölgedeki geçerli mevzuat; veri koruma/şifrelemeyi; görevlerin ayrılmasını; erişim kontrollerini; metaveri saklama, ayırma ve korumayı; dayanıklılığı; lisans vermeyi ve yük devretme otomasyonunu içerir.
Şekil 1—SecaaS Güvenlik Duruşu
kategori alan koruyucu Önleyici tespit edici tepki verici
1 Kimlik ve erişim yönetimi X X
2 Veri kaybı önleme X
3 Web güvenliği X X X
4 E-posta güvenliği X X X
5 Güvenlik değerlendirmesi X
6 İzinsiz girme yönetimi X X X
7 Güvenlik bilgi ve olay yönetimi X
8 Şifreleme X
9 İş sürekliliği ve felaketten kurtarma planlaması X X
10 Ağ güvenliği X X X
4ISACA JOURNAL SAYI 3, 2013
10. Ağ güvenliği—Ağ modelini, ağ erişim kontrollerini, içerik inceleme ve kontrolünü, dağıtılmış DoS (DDoS) korumasını, sanal özel ağ (VPN) ve Çok Protokollü Etiket Anahtarlaması (MPLS) bağlanırlığını, adli araştırma desteğini, trafik yakalamayı ve kaynakları içerir.Şekil 1 her bir SecaaS alanı için güvenlik duruşunu (örneğin,
koruyucu, önleyici, tespit edici, tepki verici) gösterir.Şekil 2 SecaaS alanlarının bulut dağıtım modellerine
haritalanmasıdır. CSA SecaaS alanlarına ilişkin daha fazla bilgi CSA web
sitesinde6 bulunabilir. Burada ayrıca alanlara göre bir kurumun ihtiyaçlarını karşılamak için yazılım, donanım ve/veya personel açısından destek sağlayabilecek örnek satıcılar da bulunabilir. Kurum, bu servislerden etkin bir şekilde faydalanabilmek için sözleşme ilişkileri uygulamalı, güvenlik mimarisini ayarlamalı ve burada tarif edilen iş fonksiyonları ile güvenlik sorumluluklarını yerine getirmekle kimin görevlendirileceğini belirlemek üzere çalışanlarına verdiği görevleri yeniden değerlendirmelidir.
SoNuçBulut bilişimini değerlendiren veya buluta geçmeyi planlayan kurumlar, teknik personellerinin iş fonksiyonu sorumluluklarını göz önünde bulundurmalı ve ilgili beceri ve zayıflıklarını değerlendirmelidirler. Bazı durumlarda BT çalışanlarının iş tanımlarını değiştirmeleri faydalı olacaktır. Bazı durumlarda ise, fonksiyonlarını etkin bir şekilde yerine getirebilmeleri için gerekli olan eğitimin çalışanlarına sunulması gerekecektir.
Geleneksel BT becerileri bulut ortamında geçerliliklerini yitirmiş olabileceği için, yeni ortama ayak uydurmak gerekecektir. Bu nedenle operasyonal BT personelinin Buluta geçiş sırasında, yeni becerileri geliştirmeleri gerekecektir.
SoN NotlaR1 Jansen, Wayne; Timothy Grance; Guidelines on Security and
Privacy in Public Cloud Computing, NIST Özel Basım 800-144, Ulusal Standartlar ve Teknoloji Enstitüsü, Aralık 2011, http://csrc.nist.gov/publications/nistpubs/800-144/SP800-144.pdf
2 Cloud Security Alliance (CSA), Security Guidance for Critical Areas of Cloud Computing Version 3.0, 14 Kasım 2011, https://cloudsecurityalliance.org/research/security-guidance/
3 Aynı çalışma.4 Birleşik Devletler hükümetinin satıcıya ait konumlarda
barındırılan bulut sistemlerinin sertifikasyon ve akreditasyonuna yönelik federal ajans çabalarını destekleyen organizasyonu olan Federal Risk ve Yetkilendirme Yönetimi Programı (FedRAMP), bağımsız değerlendiricilere bir örnek teşkil eder.
5 Sorumluluk belirleme örneklerine FedRAMP (www.gsa.gov/portal/category/102371) ve CSA (https://cloudsecurityalliance.org) web sitelerinden ulaşılabilir.
6 https://cloudsecurityalliance.org/research/secaas/#_downloads=
Şekil 2—SecaaS alanlarının Haritalanması ve Bulut Dağıtım modelleri
kategori alan SaaS PaaS ıaaS
1 Kimlik ve erişim yönetimi X X
2 Veri kaybı önleme X X
3 Web güvenliği X X
4 E-posta güvenliği X
5 Güvenlik değerlendirmesi X X X
6 İzinsiz girme yönetimi X X X
7 Güvenlik bilgi ve olay yönetimi X X
8 Şifreleme X X X
9 İş sürekliliği ve felaketten kurtarma planlaması X X
10 Ağ güvenliği X X X
