Sanallaştırma güvenliğine yeterince dikkat edilmiyor

Güvenlik ülkemizin her zaman ikinci planda kalan bölümü oluyor. Bunu sanallaştırılmış ortamlarda da görmek mümkün.

Bir süre önce önemli bir sanallaştırma şirketinin güvenlik yöneticisiyle röportajımızda, sanallaştırılmış ortamların daha kolay kopyalanabilme olanağı nedeniyle güvenlik önlemlerinin daha fazla alınması gerektiğini vurgulamıştı. Sektörün paydaşlarına sanallaştırma güvenliğini sorduğumuzda ülkemizin bu konuda oldukça geride kaldığı görülüyor. Bununla birlikte önümüzdeki dönem hızlı büyümesi beklenen bir alan akıllı telefon sanallaştırması. Bu, bilgisayar ve sunucu sanallaştırmasına göre oldukça yeni, ancak BYOD dünyasında oldukça hızlı büyüyen bir alan. ABI Research tarafından yapılan araştırma göre 2018 yılı itibariyle akıllı telefon sanallaştırması 20 kat büyüyerek 8 milyon cihazı aşacağını öngörüyor.

Diğer yandan Kaspersky Lab; profesyonellere önümüzdeki 12 ayın “BT Güvenlik Önceliklerini” sorduğunda, kurumsal seviye BT yöneticilerinin yüzde 21'i sanal ortamın güvenliğini sağlamanın “yapılacaklar” listesinin ilk üç maddesinden biri olduğunu söyledi. Türkiye’nin de dahil olduğu bu ankatte katılımcıların sadece dörtte biri  (yüzde 27) aracısız sanallaştırma güvenlik modellerini “açıkça anladığını” ifade ediyor. Sonuçlar bize şunu gösteriyor;  BT sektörünün bu konuda bilinç ve eğitim düzeyini yükseltmek için halen yapacak çok işi var. Katılımcıların yüzde 40-50'si ise sanallaştırma güvenlik modellerini “makul düzeyde anladığını” belirttiği görülmekte. Bu, teknolojiler hakkında en azından temel düzeyde bilgi sahibi olunduğu anlamına geliyor. Ancak ne yazık ki bu oran, BT güvenlik uzmanlarının yüzde 25-31'nin bu sanallaştırma güvenliği platformları hakkında “hiç bilgi sahibi olmadığı” veya “çok az bilgi sahibi olduğu” şeklinde yorumlanıyor.

Türkiye’de güvenlik yatırımları yetersiz

“Güvenlik söz konusu olduğunda önemli açıklarımızdan biri, tehdit ve saldırının sadece dışarıdan geleceğini varsaymak” diyen Cisco Türkiye İş Geliştirme Müdürü Baran Karakurt, sanal ortamda güvenlik açıklarına dikkat edilmesi gerektiğini ifade etti ve şunları önerdi:

“Kötü niyetli yazılımlar olarak nitelendirdiğimiz (malware) açıklarına karşı kurumların güvenlik politikalarını büyük dikkatle oluşturmaları gerekiyor. Bunun yanı sıra Anomali Tespiti  de Sanal Güvenlik konusunda kullanılmasını şiddetle önerdiğimiz bir yaklaşım. BT yöneticilerinin sanal ortamda gelen trafik düzenindeki farklılıkları saptayarak siber tehlikenin proaktif olarak önleyebilmesine olanak sağlıyor.”

Türkiye’de hâlâ sanal ortama dair güvenlik yatırımları, olgunlaşmış pazarlar olan Avrupa ve Amerika’ya göre oldukça düşük olduğuna değinen Karakurt, “Ülkemizde güvenlik yatırımları büyük oranda fiziksel ortamlara yapılıyor. Oysa sanal güvenlik duvarlarının kullanılmaması iş süreçlerine daha büyük bir yük getiriyor. Sanal güvenlik duvarı ve IPS kullanılmadığı takdirde sanal makineden gelen veriyi çıkarıp fiziksel ortamda kontrol etmek ve sanal makineye yeniden işlemek gibi, çağımızda kolaylıkla kaçınılabilecek bir verimsizlik ortaya çıkıyor. Bu çözümlerin kullanılması, ağ ekipmanına dair yatırımlarda yüzde 56, sermaye ve operasyon giderleri (CAPEX & OPEX) açısından bakıldığında da yüzde 36 verimlilik sağlıyor” dedi.

Türkiye’de mevcut sanallaştırma yatırımları ve buluta adaptasyonun oranları açısından kat edilecek daha çok yol olduğunu belirten Karakurt, “Aynı zamanda bu oranın içinde güvenlik boyutunun çok daha az ele alındığını, güvenlik yatırımlarının sanallaştırmaya olan eğilimlerden daha da aşağıda kaldığını görüyoruz. Bu da bu alana eğilen firmaların işletme verimliliğinde çok daha iyi noktalara geleceği önümüzdeki yıllarda pazar dinamiklerinin bu sektördeki aktörler için önemli bir potansiyel vadettiğini gösteriyor” şeklinde konuştu.

Kayıp yüzde 90 civarında azalıyor

Sunucu sanallaştırmanın güvenlik anlamında hem veri merkezine hem de hizmet alan müşteriye büyük avantajlar sağladığını belirten Anadolu Bilişim Teknoloji Çözümleri ve Hizmetler Direktörü Yakup Kadri Ünal, “Donanımın altyapıya indirgenmesi ve hizmetin tamamen sanal sunucular üzerinden verilmesi, yeni bir güvenlik katmanı oluşturuyor. Bir fiziksel sunucu hasar gördüğünde onun yenilenmesi için gereken süreyi ele aldığımızda, sanal sunucunun saniyeler içinde yeniden başlatılabiliyor olması büyük bir iş sürekliliği avantajı” dedi. Ünal’ın verdiği örneğe göre, Örneğin felaket durumlarının yüzde 43’ünde şirketlerin toparlanma süresi iki ay ve daha fazlasını alıyor. İyi bir sanallaştırma planıyla toplam kayıp yüzde 90 civarında azaltılabiliyor. Kurumlar kendi özel bulutları sayesinde verileri üzerinde de daha büyük kontrol imkânı elde ediyor. Güvenlik seviyesini işin gerekliliklerine göre belirleme fırsatı buluyor.

Test verileri sanallaştırma ile maskeleniyor

Konuyu yazılım test ve kalite özelinde ele alan Keytorc Yönetici Ortağı Barış Sarıalioğlu, sözlerini şu şekilde sürdürdü:

“Sözümüze yazılım testlerindeki veri ihtiyacının en kritik konulardan biri olduğunu ifade ederek başlamamız gerekiyor. Yazılım testlerinin bütünleşik, güncel, tutarlı ve güvenilir verilerle yapılması, doğru kalite ölçümü için en önemli ön koşullardan biri. Bu sebeple geleneksel metodolojilerle yapılan test aktivitelerinde ne yazık ki canlı ortamdan birebir kopyalanmış hassas veri kümelerinin kullanıldığı durumlara rastlanabiliyor.

Sanallaştırma çözümleri sayesinde, bu test verilerinin istenilen büyüklükte ve tutarlılıkta oluşturulması; hatta müşterilerin özel bilgilerini içeren hassas verilerin tamamen maskelenmesi mümkün. Bu perspektifte değerlendirecek olursak sanallaştırmanın veri güvenliğine ciddi faydalar sağlayabildiğini de görüyoruz.”

Güvenlikte doğru tercih önem taşıyor

Birçok farklı sanallaştırma güvenliği yaklaşımı bulunduğunu anlatan Kaspersky Lab Türkiye Genel Müdürü Sertan Selçuk, altyapınız muhtemelen mevcut seçeneklerin bir karışımını gerektirdiğini belirtti. BT yöneticileri ve CIO'ların klasik uç nokta güvenliğinde kullanılan bu “aracı tabanlı” modelin sanal altyapıları için uygun olmadığını göreceklerini umduklarını ifade eden Selçuk, “Ancak doğru uygulama veya uygulamalar kombinasyonu tamamen neyin korunacağına bağlı. Ağa bağlı olmayan bir sunucunun güvenlik ihtiyaçları, hassas verileri yöneten bir sunucunun sanal bilgisayarının ihtiyaçlarından farklı olacaktır. Bu nedenle ‘aracı tabanlı’ güvenliğin yanı sıra ‘aracısız’ ve ‘hafif aracılı’ olarak adlandırılan iki farklı sanallaştırma güvenliği türü de belirli bir sanal altyapı için doğru tercihi gerçekleştirmek amacıyla göz önünde bulundurulmalı” şeklinde konuştu.