Risk yüklü bulutlar 2. Kısım

Merhaba,

Daha önceki yazımda Gartner’ın  kısa bir süre yayınladığı  “Assessing the Security Risks of Cloud Computing” başlıklı bir rapordan bahsetmiş,  raporu kısaca özetlemeye çalışmıştım.

Bu bölümde raporun son bölümünde yer alan müşterilerin, Bulut Bilişim tedarikçilerini seçmeden önce sormaları gereken, güvenlikle ilgili  kriterleri özetlemeye çalışacağım.

1. Ayrıcalıklı kullanıcı erişimi: Kurum dışında işlenen hassas veriler, doğal olarak bir risk taşıyor çünkü dış kaynaktan sağlanan hizmetlerde, bilişim satıcılarının kurum içi programlar üzerinde uyguladıkları “fiziki, mantıksal ve personel denetimleri” es geçilebiliyor. Verilerinizi idare eden kişiler hakkında toplayabildiğiniz kadar bilgi toplamak önemli. Hizmet sunuculardan, ayrıcalıklı yöneticilerin görevlendirilmesi ve denetimi ile bu kişilerin erişimleri üzerindeki kontroller hakkında size somut bilgiler vermelerini isteyin.

2. Yasal uyumluluk: Müşteriler nihai olarak, bir hizmet sunucuda saklanıyor olsa da kendi verilerinin güvenliği ve bütünlüğünden sorumludur. Geleneksel hizmet sunucuları, harici denetimle ile güvenlik sertifikasyonlarına tabidirler. Gartner’a göre, bu denetimlere girmeyi reddeden Bulut Bilişim hizmet sunucuları ise, “müşterilerin onları sadece en önemsiz işlevler için kullanabileceklerinin sinyallerini veriyor”.

3. Verilerin bulunduğu mekan: Bulut Bilişim kullanırken muhtemelen verilerinizin nerede saklandığını tam olarak bilemeyeceksiniz. Aslında, verilerinizin hangi ülkede saklandığına dair bir fikriniz dahi olmayacak. Hizmet sunucularınıza, verilerinizi belirli yasal düzenlemeler çerçevesinde saklayıp işlemeye niyetli olup olmadıklarını ve müşterileri adına yerel gizlilik gereksinimlerini karşılamak üzere, kontrata dayalı bir taahhütte bulunup bulunmayacaklarını sorun.

4. Verilerin gizliliği: Bir bulut içerisindeki veriler, genel olarak, başka müşterilere ait diğer verilerle birlikte paylaşılan bir ortamda bulunur. Şifreleme etkin bir güvenlik yöntemidir ancak tüm sorunlara çare olmaz. Kullanılmayan verilerin gizliliğini korumak için hangi önlemlerin alındığını öğrenin. Bulut Bilişim hizmet sunucusu, güvenlik şemalarının uzman kişilerce tasarlanıp test edildiğine dair kanıtlar sunmalıdır. Şifrelemedeki hatalar, verilerinizi tamamen kullanılmaz hale getirebilir ve normal bir şifreleme dahi, verilerin erişilebilirliğini karmaşık bir sürece dönüştürebilir.

5. Verilerin kurtarılması: Verilerinizin nerede saklandığını bilmiyor olsanız da bir Bulut Bilişim hizmet sunucusu, bir felaket anında verilerinize ve aldığınız hizmetlere ne olacağını size önceden açıklamalı. Verileri ve birden çok web sitesi ile ilişkili uygulama altyapısının yedeğini almayan her sistem, toplu olarak çökme riski ile karşı karşıyadır. Hizmet sunucunuza, verilerinizin tamamını kurtarıp kurtaramayacağını ve kurtarabilecekse bunu ne kadar zamanda yapabileceğini sorun.

6. Araştırma desteği: Uygun olmayan veya yasadışı faaliyetlerin araştırılması, Bulut Bilişim hizmetinde mümkün olmayabilir. Bulut Bilişim hizmetlerini araştırmak oldukça zordur çünkü birden çok müşteriye ait veri ve kayıtlar, paylaşılan bir ortamda saklanabilir ve hatta sürekli değişen bir dizi sunucu ve veri merkezine dağılmış olabilir. Belirli araştırma modellerine destek vermesi için hizmet sunucunuzdan kontrata dayalı bir taahhüt alamıyorsanız ve ayrıca elinizde, hizmet sunucunuzun söz konusu destekleri başarıyla verdiğine dair bir kanıtınız yok ise, o zaman güvenebileceğiniz tek varsayım, araştırma ve keşif taleplerinizin asla karşılanamayacak olması.

7. Uzun vadeli işbirliği: Olumlu yönden bakılırsa, Bulut Bilişim hizmet sunucunuz asla iflas etmeyecek veya kendisinden daha büyük bir şirket tarafından satın alınıp yutulmayacaktır. Ancak böyle bir durumda dahi verilerinizin saklanacağından emin olmalısınız. Potansiyel hizmet sunucunuza, verilerinizi nasıl geri alacağınızı ve verilerinizin, yedek bir uygulamaya aktarmanıza imkan verecek bir formatta olup olmayacağını sorun.

Şimdilik bu kadar , görüşmek üzere

Advertisements
This entry was posted in Cloud Computing, Data Security, Unsorted and tagged , , , . Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s