Bulutta Bilgi Güvenliği Nasıl Sağlanır ?

Bulutta Bilgi Güvenliği Nasıl Sağlanır?

Bulut bilişim, günümüzde işletmelerin esneklik, ölçeklenebilirlik ve maliyet avantajları gibi sebeplerle tercih ettiği bir teknolojidir. Ancak, bulutta bilgi güvenliği sağlamak kritik bir öneme sahiptir. Bu blog yazısında, bulutta bilgi güvenliği nasıl sağlanır, KVKK, GDPR, HIPAA, ISO 27001:2022 gibi standartlar bulut ortamlarında ne ifade eder, T.C. Dijital Dönüşüm Ofisi bulut kullanımı hakkında neler istiyor, ISC2’nin 2023 raporunda neler var, bulutta teknik yapılandırmalar esnasında ne gibi tedbirlere dikkat edilmeli ve AWS ve Azure tarafında bilgi güvenliğine yönelik hangi servisler mevcut gibi konuları ele alacağız. Ayrıca, veri sızıntısını önlemede Purview ve diğer önlemlerden bahsedeceğiz.

KVKK, GDPR, HIPAA, ISO 27001:2022 ve Diğer Standartlar

KVKK (Kişisel Verilerin Korunması Kanunu)

KVKK, Türkiye’de kişisel verilerin korunmasını sağlamak amacıyla çıkarılmış bir kanundur. Bulut hizmet sağlayıcılarının KVKK’ya uyum sağlaması için verilerin güvenli bir şekilde işlenmesi, saklanması ve aktarılması gereklidir. Bu bağlamda, kişisel verilerin korunması için güçlü şifreleme yöntemleri ve erişim kontrolleri uygulanmalıdır.

GDPR (General Data Protection Regulation)

GDPR, Avrupa Birliği’nde kişisel verilerin korunmasını sağlayan bir düzenlemedir. Bulut ortamında GDPR uyumu sağlamak için veri minimizasyonu, veri taşınabilirliği, veri ihlali bildirimleri ve veri sahiplerinin haklarının korunması gibi prensipler uygulanmalıdır. Ayrıca, veri işleyen tüm tarafların veri işleme sözleşmeleri yapması gerekmektedir.

HIPAA (Health Insurance Portability and Accountability Act)

HIPAA, Amerika Birleşik Devletleri’nde sağlık bilgilerinin korunmasını amaçlayan bir yasadır. Bulut hizmet sağlayıcıları, HIPAA uyumu için verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak zorundadır. Bu amaçla, sıkı erişim kontrolleri, düzenli güvenlik değerlendirmeleri ve veri şifreleme yöntemleri uygulanmalıdır.

ISO 27001:2022

ISO 27001:2022, bilgi güvenliği yönetim sistemlerinin (BGYS) gereksinimlerini belirleyen uluslararası bir standarttır. Bulut ortamında bu standarda uyum sağlamak için risk yönetimi, güvenlik politikaları, erişim kontrolleri ve sürekli iyileştirme süreçleri uygulanmalıdır. ISO 27001, bilgi güvenliğini sistematik ve proaktif bir şekilde yönetmeyi amaçlar.

T.C. Dijital Dönüşüm Ofisi ve Bulut Kullanımı

T.C. Dijital Dönüşüm Ofisi, kamu kurumlarının ve özel sektörün dijital dönüşüm süreçlerini desteklemek için çeşitli rehberler ve standartlar yayımlar. Bulut bilişim konusunda, güvenliğin sağlanması için şunlar önerilir:

  • Veri Klasifikasyonu ve Yönetimi: Verilerin hassasiyet derecesine göre sınıflandırılması ve uygun güvenlik tedbirlerinin uygulanması.
  • Erişim Kontrolleri: Yetkisiz erişimlerin önlenmesi için güçlü kimlik doğrulama ve erişim yönetim sistemleri kullanılması.
  • Denetim ve İzleme: Bulut hizmetlerinin sürekli olarak denetlenmesi ve güvenlik olaylarının izlenmesi.

ISC2’nin 2023 Raporu

ISC2, 2023 raporunda bulut güvenliği ile ilgili önemli bulgular ve öneriler sunmaktadır:

  • Güvenlik Becerileri Açığı: Bulut güvenliği alanında nitelikli uzmanlara olan ihtiyaç artmaktadır.
  • Sıfır Güven (Zero Trust) Yaklaşımı: Kurumların, her erişim talebini doğrulayan ve yetkisiz erişimleri önleyen sıfır güven modelini benimsemeleri önerilmektedir.
  • Gelişmiş Tehditler ve Saldırılar: Rapor, gelişmiş kalıcı tehditler (APT) ve fidye yazılımı saldırıları gibi risklerin artmakta olduğunu vurgular.

Bulutta Teknik Yapılandırmalar Esnasında Alınması Gereken Tedbirler

Bulutta güvenliği sağlamak için teknik yapılandırmalar esnasında şu tedbirlere dikkat edilmelidir:

  • Şifreleme: Verilerin hem hareket halinde hem de depolama sırasında şifrelenmesi.
  • Kimlik ve Erişim Yönetimi (IAM): Kullanıcıların kimliklerinin doğrulanması ve erişim yetkilerinin yönetilmesi.
  • Güvenlik Duvarları ve WAF: Uygulama güvenlik duvarları (WAF) ve ağ güvenlik duvarları kullanarak ağ trafiğinin kontrol edilmesi.
  • Güvenlik Güncellemeleri: Bulut hizmet sağlayıcısının sunduğu güvenlik güncellemelerinin düzenli olarak uygulanması.

AWS ve Azure Bilgi Güvenliği Servisleri

AWS Güvenlik Servisleri

  • AWS Identity and Access Management (IAM): Erişim kontrolü ve kimlik yönetimi sağlar.
  • Amazon GuardDuty: Tehdit algılama ve sürekli izleme hizmeti sunar.
  • AWS Shield: Dağıtık hizmet reddi (DDoS) saldırılarına karşı koruma sağlar.
  • AWS Key Management Service (KMS): Şifreleme anahtarlarının yönetimini sağlar.

Azure Güvenlik Servisleri

  • Azure Active Directory (Azure AD): Kimlik yönetimi ve erişim kontrolü hizmeti sunar.
  • Azure Security Center: Tehdit algılama, güvenlik izleme ve uyumluluk yönetimi hizmetleri sunar.
  • Azure DDoS Protection: DDoS saldırılarına karşı koruma sağlar.
  • Azure Key Vault: Şifreleme anahtarlarının güvenli bir şekilde saklanmasını ve yönetilmesini sağlar.

Veri Sızıntısını Önlemede Purview ve Diğer Önlemler

Microsoft Purview: Verilerin keşfedilmesi, sınıflandırılması ve korunması için gelişmiş veri yönetişimi ve uyumluluk çözümleri sunar. Purview, veri sızıntılarını önlemek için kapsamlı bir izleme ve denetim mekanizması sağlar.

Diğer Önlemler:

  • Veri Kaybı Önleme (DLP) Çözümleri: Hassas verilerin izinsiz dışa aktarımını önlemek için DLP çözümleri kullanılır.
  • Sıfır Güven Politikaları: Her erişim talebinin sürekli olarak doğrulanması ve izlenmesi.
  • Güvenlik Eğitimleri: Çalışanların güvenlik farkındalığını artırmak için düzenli eğitimler verilmesi.

Bulutta Bilgi Güvenliğini Sağlamak Kimin Sorumluluğundadır?

Bulut bilişimde bilgi güvenliğini sağlamak, hem bulut hizmet sağlayıcısının (CSP) hem de bulut hizmeti kullanıcısının (müşteri) ortak sorumluluğudur. Bu sorumluluk paylaşımı, “paylaşılan sorumluluk modeli” olarak bilinir. İşte bu modelin detayları:

1. Bulut Hizmet Sağlayıcısının (CSP) Sorumlulukları

Bulut hizmet sağlayıcısının sorumlulukları genellikle aşağıdaki alanları kapsar:

  • Fiziksel Güvenlik: Veri merkezlerinin fiziksel güvenliği, izinsiz girişleri önlemek için alınan tedbirler, çevresel kontroller ve felaket kurtarma mekanizmaları.
  • Altyapı Güvenliği: Sunucular, depolama birimleri ve ağ donanımları gibi temel altyapı bileşenlerinin güvenliği.
  • Sanallaştırma Güvenliği: Hipervizör ve sanal makine yönetimi güvenliği.
  • Platform Güvenliği: PaaS (Platform as a Service) hizmetlerinde uygulama geliştirme platformlarının güvenliği.
  • Ağ Güvenliği: Güvenlik duvarları, DDoS koruması ve trafik izleme gibi ağ güvenlik hizmetleri.
  • Uyumluluk ve Sertifikasyon: Hizmetlerin KVKK, GDPR, HIPAA ve ISO 27001 gibi uluslararası standartlara uygun olduğunun sağlanması ve belgelenmesi.

2. Müşterinin Sorumlulukları

Bulut hizmeti kullanıcısının sorumlulukları ise genellikle şunları içerir:

  • Veri Güvenliği: Müşteri tarafından buluta yüklenen verilerin şifrelenmesi ve korunması.
  • Kimlik ve Erişim Yönetimi: Kullanıcıların kimlik doğrulama ve yetkilendirme süreçlerinin yönetimi, güçlü parolalar ve çok faktörlü kimlik doğrulama (MFA) kullanımı.
  • Uygulama Güvenliği: Bulut ortamında çalıştırılan uygulamaların güvenliği, güvenlik açıklarının giderilmesi ve düzenli güvenlik güncellemelerinin uygulanması.
  • Kullanıcı Eğitimi ve Bilinçlendirme: Çalışanların bilgi güvenliği konusunda eğitilmesi ve farkındalıklarının artırılması.
  • Uyumluluk Yönetimi: Kendi iş süreçlerine ve sektör gereksinimlerine uygun olarak veri koruma ve gizlilik politikalarının uygulanması.

Paylaşılan Sorumluluk Modelinin Uygulama Alanları

  • IaaS (Infrastructure as a Service): CSP, altyapının güvenliğini sağlarken, müşteri işletim sistemleri, uygulamalar ve verilerin güvenliğinden sorumludur.
  • PaaS (Platform as a Service): CSP, platformun ve altyapının güvenliğini sağlarken, müşteri uygulamaların ve verilerin güvenliğinden sorumludur.
  • SaaS (Software as a Service): CSP, yazılımın ve altyapının güvenliğini sağlarken, müşteri verilerin güvenliğinden ve erişim kontrolünden sorumludur.

Bulutta bilgi güvenliğinin sağlanması, sadece teknolojik çözümlerle değil, aynı zamanda uygun politika ve prosedürlerle de mümkündür. KVKK, GDPR, HIPAA, ISO 27001:2022 gibi standartlar, bulut ortamlarında bilgi güvenliğini sağlamak için gerekli rehberliği sunar. T.C. Dijital Dönüşüm Ofisi’nin önerileri ve ISC2’nin 2023 raporundaki bulgular da güvenli bir bulut kullanımının önemini vurgulamaktadır. AWS ve Azure gibi bulut sağlayıcılarının sunduğu güvenlik servisleri, veri güvenliğini sağlamak için etkili çözümler sunar. Veri sızıntısını önlemek için Purview altında yer alan modüller de önemli bir rol oynar.

Secure Fors olarak, bulut bilgi güvenliği konusunda etkin ve güçlü bir destek sağlamak için buradayız. Bulut çözümlerinizin güvenliğini sağlamak için bize ulaşın ve uzman ekibimizle güvenli bir dijital dönüşüm deneyimi yaşayın.

Sosyal medyada paylaş
Facebook
Twitter
LinkedIn
Telegram