Yer Değiştiren Bulut Kurulumlarının Güvenliği İçin Çözüm, Entegre Güvenlik

Fortinet’in desteklediği son IHS Markit araştırmasına göre, şirketlerin yüzde 74’ü genel buluta taşıdığı bir uygulamayı tekrar fiziki ortamına ya da özel buluta taşıyor. Katılımcıların yüzde 52’si performans ve güvenlik gerekçesiyle bu taşıma işlemini gerçekleştirdiğini belirtiyor.

Fortinet’in desteğiyle IHS Markit tarafından gerçekleştirilen son araştırma günümüzün bulut altyapılarındaki kritik unsurlardan biri olan bulut güvenliğiyle ilgili önemli bulgular ortaya koyuyor. Araştırmaya göre, kurumlar bulutu kullanmak için altyapılar, uygulamalar ve verileri en uygun şekilde konumlandırmaya çalışırken, bu altyapılar, veriler ve uygulamalar, kurum içi fiziki ağlar ile özel/genel bulut altyapıları arasında sürekli yer değiştiriyor.

Çoklu Bulut Artık Vazgeçilmez Bir Teknoloji

Araştırmada yer alan 350 şirketin yüzde 74’ünün en az bir uygulamayı genel buluta taşıdığı, ardından çeşitli sebeplerle bunu kurum içi veri merkezlerine veya özel bulut altyapısına geri aldığı görülüyor. Bu tüm bulut kurulumlarının geri alındığı anlamına gelmiyor, burada yalnızca çift yönlü bir yer değiştirme hareketi söz konusu.

Örneğin, araştırma katılımcıların yüzde 40’ının bazı durumlarda altyapıya geri taşıdıkları bulut kurulumlarının “planlanmış geçici kurulumlar” olduğunu belirtiyor. Bu durum, satın alım ya da birleşmeyle ilişkilendirilen bir BT geçişi esnasında geçici bir altyapı oluşturma ihtiyacı gibi çeşitli faktörlerden kaynaklanabiliyor. Fakat, güvenlikle ilgili endişeler, maliyetlerin yönetilmesi ihtiyacı, bulutta yeterli performans gösterilememesi, yasal düzenlemelerin değişmesi, yeni uygulamaların geliştirilmesi ve temeldeki teknoloji değişiklikleri gibi başka sebepler de bu geçişlerde etkili oluyor.

Konuyla ilgili görüş bildiren Fortinet Bölge Teknoloji Direktörü Melih Kırkgöz, “Buluttan en iyi şekilde yararlanmak için, kurumların, kullandıkları araç ve teknolojilerin, istikrar, operasyonları otomatize edebilme becerisi ve tüm ortamlarda görünürlük sunduğundan emin olmaları gerekiyor. Bu da operasyonlarını, genel bulut ortamları ve kurum içi fiziki ağların yanı sıra, çeşitli genel bulut ortamlarında da sürdürebilmeleri anlamına geliyor. Ancak uygulamaların ve DevOps hizmetlerinin bulut ortamları arasında sorunsuz ve doğrudan geçişi söz konusu olduğunda, güvenlik de önemli bir sorun olarak ortaya çıkıyor” dedi.

Bulut Kurulumları Yer Değiştirirken Güvenlik Kimin Sorumluluğunda?

Fortinet’in desteğiyle gerçekleştirilen IHS Markit’in son araştırmasına göre katılımcılara uygulamaları buluttan alıp altyapıya geri taşımalarına etki eden faktörler sorulduğunda, katılımcıların yüzde 52’si performans ve güvenliği en önemli iki faktör olarak belirtiyor.
Fortinet Bölge Teknoloji Direktörü Melih Kırkgöz bu durumu şöyle açıklıyor: “Bulutta uygulama inşa etme pratiği geliştikçe, buluttaki performansın zaman içerisinde iyileşmesi daha muhtemel. Fakat, kurumlar güvenlik konusunda kimin ne kapsamda sorumlu olduğuna dair iyi bir işleyişe sahip olmadıkları için güvenlik daha yakıcı bir sorun olarak ortaya çıkıyor. Güvenlikten kimin sorumlu olması gerektiğinin net olduğu (örneğin sanallaştırma/bulut platformunda bir zafiyetin olduğu) durumlarda bile, IHS Markit araştırmasına katılan katılımcıların ancak yarısı sorunun kökünde yatan sebebin nereden kaynaklandığını, yani zafiyet yaratan teknolojiyi geliştiren mi yoksa uygulayan şirketin mi güvenlik açığına yol açtığını tespit edebiliyor. Öte yandan, katılımcıların büyük bir bölümü, yanılgıya düşerek, aslında kendi kurumları sorumlu olmasına karşın, kullanmayı seçtikleri güvenlik zafiyeti içeren sistemleri etkileyen daha üst katmanlı tehditlerden bulut sağlayıcılarını sorumlu olarak gördüklerini belirtiyor.”

Paylaşımlı Bir Altyapı Olan Bulutun Güvenliğinin Sorumluluğu da Paylaşılmalı

Güvenlik sorumlulukları genellikle bulut sağlayıcısı tarafından güvenliği sağlanması gereken bulut altyapısı ve güvenliği kullanıcı tarafının sorumluluğunda olan bu altyapı üzerinde çalışan yazılım, veri ve uygulamalar şeklinde ikiye ayrılıyor. Ancak, özellikle PaaS ve FaaS yaygınlaşırken bu iki ayrım arasındaki sınırlar çok net çizilmeyebiliyor. Bu bağlamda, kullanıcının kullandığı her türden bulut hizmetiyle ilgili en iyi uygulamalar hakkında bilgi edinmesi ve bulut sağlayıcısından bu hizmetleri yürütebileceği izole ve hazır bir iş ortamı sağlamasını talep etmesi gerekiyor. Paylaşımlı bir altyapı olan bulut ortamlarının güvenliği söz konusu olduğunda riskleri verimli bir şekilde ele alabilmek için kuruluşun bulut sağlayıcıya karşı sorumluluklarının belirlenmesi önem arz ediyor.

Çözüm Entegre Bir Güvenlik Stratejisi

Fortinet Bölge Teknoloji Direktörü Melih Kırkgöz konuyla ilgili olarak şunları söyledi: “Tüm bu güçlüklerin çözümü ise genel ve özel bulut ile fiziki ortamlarda istikrarlı bir biçimde çalışan çözümlere sahip tek bir güvenlik sağlayıcısıyla standartlaşmanın sağlanmasıyla mümkün olabilir. Ayrıca, bu güvenlik araçlarının bir tür bulut nesneleri soyutlama katmanı kullanan farklı güvenlik politikaları, fonksiyonları ve protokolleri arasında sorunsuzca geçiş yaparken, verimliliği en üst seviyeye çıkarmak için çeşitli genel bulut ortamlarında o ortamın yerlisi olarak rahatça çalışabilmesi gerekiyor. Sonuç olarak, sadeleştirilmiş bir güvenlik yönetimi operasyon modeli kullanılarak uygulanabilen, tüm dağıtık ağ genelindeki güvenlik araçlarını ve politikalarını görerek yönetebilen, istikrarlı bir şekilde farklı bulut ortamlarında o ortamın yerlisi olarak çalışabilen, ağ değişip dönüşürken sorunsuz bir şekilde bu değişime adapte olabilen entegre bir güvenlik stratejisi günümüzün bulut tabanlı yeni dijital ekonomisinin en önemli bileşenlerinden biri olarak karşımıza çıkıyor.”