Bulut Bilişim’de veri güvenliği
Bulut Bilişim, artık bütün dünyada bir “Myth” yani hayal olmaktan hızla çıkıp günümüz bilgi teknolojileri dünyasındaki yerini almaya başlamıştır.
Eski geleneksel veri merkezi yönetim metodolojileri ve sistemleri, hantal, yenilenmesi zaman isteyen, değişimi ve değişimin beraberinde getirdiği yeni çalışma kültürünü tolere edemeyen yapıları ile operasyonel maliyetleri ciddi oranda artırmakta olup, kurumlar üzerinde bütçe baskısı oluşturmaktadırlar. IDC’ nin yaptığı araştırmanın da gösterdiği üzere, dünya çapında bilgi teknolojileri firmalarının 1996-2010 yılları arasındaki CAPEX yani yeni sistem ve alt yapı yatırım maliyetlerindeki artış oranları yıllık bazda çok değişmezken, OPEX yani yönetim, bakım, enerji tüketimi ve soğutma maliyetlerindeki yıllık artış oranlarının oldukça yüksek boyutlara tırmanması, bilgi teknolojileri organizasyonlarını farklı çözümler bulmaya itmektedir.
İşte bu noktada, CAPEX harcamalarından ziyade, OPEX maliyetlerini adresleyen Bulut Bilişim konsepti, farklı kırılımlara bölünmektedir. Bu kırılımlardan en çok tercih edilen iki tanesi Private ve Public Cloud modelleridir. Günümüzde özellikle servis sağlayıcılar tarafından en çok incelenen, üzerinde hassasiyetle durulan ve yatırım planları yapılan model Public Cloud modelidir. Bu modelin diğer bulut bilişim modellerinden temel farkı, kurulan bulut ortamı kullanılarak dışsal müşterilere bulut bilişim servisleri satılmasıdır. Bu servisler Alt-Yapı, Platform, Uygulama ve Süreç servisleri olarak karşımıza çıkıyor. Bu servisleri vermeyi planlayan Servis Sağlayıcıların en büyük ortak kaygısı, bu ortamlar üzerinde barındırılacak olan kritik müşteri verilerinin güvenliğinin sağlanabilmesidir. Bu kaygıların kaynağı olan veri güvenliğinin sağlanabilmesi için günümüzde yasal yaptırımlar da devreye giriyor. Örneğin belli sektörlerde kritik müşteri verilerinin ülke sınırları dışarısına çıkarılması yasak olduğu gibi, organizasyonun kendi içinde de yalnızca önceden yetki verilmiş belirli kişilerin bu verilere erişimine izin veriliyor. Bu erişim aktivitelerinin tümünün de yasal olarak takip altında tutulması ve loglanması bekleniyor. Bu durumda bulut bilişim çözümleri üzerindeki veri güvenliği kaygısı, bulut bilişim insiyatiflerine gerek stratejik boyutta gerekse operasyonel boyutta birçok kısıtlamayı da beraberinde getiriyor.
Bu kısıtlamaları bertaraf edebilmek için bulut bilişim teknolojilerini geliştiren şirketler, farklı çözümler geliştiriyor ve veri güvenliğini, bulut bilişim insiyatiflerini durduracak veya aksatacak bir sorun olmaktan çıkarmanın yollarını arıyorlar. Bu metodlardan göze çarpan ve en sık kullanılanlardan birtanesi, Servis Seviyesi Anlaşmalarına güvenlik odaklı metrikler ve yaptırımlar ekleyerek veri güvenliğini governance yani yönetişim katmanında sağlayabilmek olarak karşımıza çıkıyor. Bu maddeler ile servis sağlayıcı firmaya, veriye gerek fiziksel, gerek sistem üzerinden erişimi kısıtlamak ve takip altına almak, yeni veri depolama ve yedekleme teknolojileri içeren çözümler kullanmak, depolanan verilerin saklandığı ortamlara fiziksel ve sistem üzerinden erişimi kısıtlamak ve takip altına almak mecburiyeti getirilerek veri güvenliğinin mümkün olan en üst seviyede tutulması da sağlanmış oluyor.
Farklı bir örnek ise karşımıza test ve uygulama geliştirme iş yükünün servis olarak satıldığı bulut bilişim modellerinde sıklıkla çıkıyor. Bu ortamlarda müşterilerin yapacağı uygulama geliştirme ve test çalışmalarının, gerçek müşteri verisi ile değil, test verisi ile yapılması gerektiği ve dolayısı ile tüm verilerin yönetilmesi, silinmesi, yüklenmesi ve saklanması gibi işlemlerin müşterinin kendi sorumluluğunda olduğu, yine karşılıklı yapılan servis seviyesi anlaşmalarında sabitleniyor. Böylelikle veri güvenliği, günümüzde en sık tercih edilen test ve uygulama geliştirme bulut bilişim iş yükü için bir engel olmaktan kalkmış oluyor.
Kritik verinin güvenliği, gizliliği ve hassasiyeti, bulut bilişim servis sağlayıcılarının gelecekteki bulut bilişim stratejilerini ve bulut bilişim iş modellerini oluştururken dikkat etmeleri gereken önemli hususlardan birisidir. Ancak bulut bilişimin sağlayacağı otomasyon, standardizasyon ve uçtan uca izleme gibi birçok teknolojik kabiliyetler ile pazar ihtiyaçlarına daha hızlı cevap verebilecek çevikliğe sahip olacak kurumların elde edeceği maliyet ve rekabet avantajları, şirketleri veri güvenliğini bir sorun olmaktan çıkaracak çözümleri geliştrimeye itecektir. Veri güvenliği, bugünün kaygısıdır. Yarın durum çok farklı olacaktır.
IBM CEE Bulut Bilişim Lideri H. Bora TAŞER
