Bulut niçin daha güvenli?

Bir önceki yazıda önemli veya değerli veritabanları (örneğin, bankalar, SSK gibi devlet kurumları, İTO gibi yarı-resmi organizasyonlar) olan kurumların bulut hizmet sağlayıcılarına güven duymadıkları için bulut hizmetlerini kullanmaktan kaçındığından bahsetmiştik. Gerçekten de elimizdeki istatiksel veriler ve anekdot bilgiler bunu gösteriyor. Güven duymamanın bir nedeni de bulut hizmet sağlayıcı büyük şirketlerin (Amazon ve Google) veri merkezlerinin ülke dışında olması. Merak ettiğim şey, eğer Amazon gelip İstanbul’da bir veri merkezi kurarsa, bu organizasyonları nasıl davranacağı. Eminim, önemli bir kısmı yine kullanmak istemeyecektir; çünkü veri merkezinin kendi binalarında ve kendi bekçilerinin kontrolünde, daha doğrusu kendilerine ait olmasını isteyeceklerdir. Şimdi bu konuyu bir yana bırakalım.
Bulut hizmet sağlayıcıları güven ve güvenlik konusunun çok iyi farkındalar ve endüstriyel standartları (Trusted Computing Group: TCG) yoğun ve dikkatli bir şekilde uygulamaya başladılar. Mümkün olan en yüksek güvenlik tekniklerini ve pratiklerini uygulayarak, BT bölümlerinin kendi donanım ve yazılımlarını kullanarak elde edebileceği güvenlik seviyesini en kısa zamanda aşacaklarını düşünüyorum. Böylece müşteri verisinin güvenliği ve dolayısıyla müşterilerin bulut hizmetlerine olan güveni düzenli bir şekilde artmaya başladı. Bu sürecin etkilerini ülkemizde de göreceğiz.
Şimdi biraz bulut güvenliğinin teknik yanlarına bakalım. Bulut Güvenlik Konsorsiyumu (Cloud Security Alliance) analizine göre, bulut güvenliği şu 6 konuya odaklanmış: 1) Verinin bulut içindeki depolardaki güvenliği, 2) Verinin transmisyon sırasındaki güvenliği, 3) Veriye ulaşan aktörlerin kimlik doğrulaması, 4) Müşteri verileri ve işlemlerinin ayrıklığı, 5) Bulut ile ilgili hukuki konular, 6) İhlal durumunda müdahale (incident response).
Konsorsiyum bütün bu konuları dikkatle değerlendirip, aslında askeri bir standart olan TCG metotlarını uygulamaya başladı. Ayrıca TCG üyesi organizasyonlar da hızlı bir şekilde, ellerindeki teknik, metot ve standartları yenilemeye başlayarak, acil bir şekilde bulut güvenliğine bakmaya başladılar. Bir sonraki yazımda bunlardan bahsedeceğim.