Bulutta orkestrasyon becerinizi gösterin

Çoklu bulut yapılarını tek bir yetkin güvenlik mimarisinde buluşturmak hem gerçek güvenlik hem yönetim kolaylığı demek…

BThaber’in düzenlediği dijital etkinliklerden “Bulut Güvenliği ve DevSecOps”, Palo Alto Networks ve Adeo’nun katılımı ile 21 Ocak’ta düzenlendi. Bulut güvenliği ve DevOps’tan DevSecOps anlayışına geçmenin önemine vurgu yapılan buluşmada BTHABER Şirketler Grubu Başkanı Murat Göçe moderasyonunda “Neden Bulut Güvenliği ve DevSecOps” paneli katılımcılarla buluştu. Panelistler ise Palo Alto Networks Bölge Satış Direktörü Vedat Tüfekçi ve Adeo Genel Müdürü Selçuk Ekin oldu. Bulut bilişimin Türkiye’de giderek popüler hale geldiğine işaret eden Vedat Tüfekçi, küresel bazda da yaklaşık 250 milyar dolarlık bir pazara dikkat çekti. Bu gelişimin temelinde birçok parametre olurken, Vedat Tüfekçi’nni tabiriyle pandemi dönemi de kurumsal dijitalleşme yolculuğunda bulut alışkanlıklarını pekiştirdi, geliştirdi. “Yıldan yıla yüzde 20 büyüyen bir pazardan bahsediyoruz, ama Türkiye’de büyüme daha küçük ölçeklerde” diyen Vedat Tüfekçi, bulut bilişime neden mesafeli olunduğu sorulduğunda ‘güvenlik’ konusunun öne çıktığına işaret etti. Bu alanda en büyük siber güvenlik firması olarak müşterilerin bu kaygılarını gidermek odaklı yatırımlara ağırlık verdiklerini vurgulayan Vedat Tüfekçi, “Son 2 yıldır hem organik hem inorganik biçimde bu alanda yatırımı iyice artırdık ve bu alanda önde gelen firmaları bünyemize kattık” bilgisini verdi. Kendi ürünlerinin de bu alanda entegrasyonunu yaptıklarını hatırlattı. “Siber güvenlik kompleks bir yapıya evrilmekte ve çok fazla üretici entegrasyon sorunları var. Biz de bu gerçekten yola çıkarak, ‘bulut bilişimin güvenliğinde başından işi sıkı tutacağız ve ürünleri de buna göre geliştireceğiz’ dedik” bilgisini veren Vedat Tüfekçi, stratejik adımlarını şöyle anlattı:

Bir bütün olarak güvenlik

“Buluta geçerken verinin nerde olduğunu kurumlara göstererek adım attık. İkincisi burada bir zafiyet olup olmaması ışığında destek vermeye odaklandık. Çünkü bulut değişimi sağlayıcıları güvenli altyapıyı sunuyorlar, ama diyorlar ki ‘veri senin verin ve verini sen koruyacaksın’. Dolayısıyla burada bir rol paylaşımı var. Altyapıyı bir hizmet olarak alsanız da üzerinde sizin uygulamanız ve sizin veriniz döndüğü için güvenliği de size ait. İşte biz burada devreye giriyoruz. İster tek bir bulut servis sağlayıcıdan hizmet alın, ister çoklu bulut kullanın, ister 10 uygulamanın 2 tanesini bulutta çalıştırın ve kalanını kendi veri merkezinizde tutun. Bu yapıda biz, sizin tüm sistemin uçtan uca güvenliğini hem verinizin nerede olduğunu hem güvenliğini gösterebilecek yapıdaki sistemi, operasyon anlamında da entegre, otomatize ve tek bir ekrandan yönetebileceğiniz bir altyapı platformu olarak sunuyoruz. Bu yapıyı Prisma Cloud isminde bir altyapı olarak sunuyoruz. Türkiye pazarında özellikle genel bulut kullanan müşterilerimizde Prisma Cloud altyapıları kullanılmaya başlandı. Bizim kendi siber güvenlik anlamında bir bulutta altyapımız var ve altyapıyı kullananlara bu güvenlik servisini sunuyoruz. Özellikle Türkiye’de şöyle bir gerçek var: Buluttan gelen özellikle mikro servis bazlı uygulama güvenliğini önemseyen sistemler görmeye başladık. Çünkü yazılımların DevOps tarafındaki güvenliği de kritik hale gelmeye başladı. Biz de kurumların deneme amaçlı olarak başladıkları konteynır mimarisine ve mikro servis mimarisine geçtiklerinde, bunun güvenliğini kendi ürünlerimizle sağlıyoruz. Bu konuda pazardaki tüm projelerde yer aldık. Yazılım güvenliği tarafında da bunu önemsiyoruz. Bu başlıkta hem kamuda hem telekom sektöründe hem finansta müşterilerimiz oldu. Bu konuda Adeo ile işbirliği ise bizim için çok önemli. Zaten bu ürün grubumuzda da çözüm ortağı ararken bulutu bilmesine önem verdik. Sonuçta hepimizin de bulutu öğrenmesi önemli. Adeo ise hem bulutu hem güvenliği biliyor. Bu nedenle Adeo ile çalışıyoruz.”

Yatırımlarda sürdürülebilirlik esas olmalı

Palo Alto Networks işbirliğini değerlendiren Selçuk Ekin, geçtiğimiz yıl yapılan Adeo XDR ve MxDR lansmanında verimli bir işbirliğine imza attıklarını vurgulayarak konuşmasına başladı. “Adeo’nun bölgede ve Türkiye’de ilk ve tek partneri olması bizi de pazarda hızlandırdı” tespitini paylaşan Selçuk Ekin, önemli miktarda müşteri kazandıklarını ifade etti. Doğru adreslenen ihtiyacın da önemine işaret eden Selçuk Ekin’e göre, aslında tek dert teknolojinin satın alınması değil. Asıl önemli olan bunun doğru biçimde konumlandırılması ve sürdürülebilir hale gelmesi. Bu da, küresel güvenlik hizmetlerinin de yavaş yavaş hareket ettiği nokta olan ‘yönetilebilir servislerle birlikte desteklenmesi’ gerekliliğini ortaya koyuyor. “Adeo’nun ihtiyacı adresleyen noktası insan kaynağıyla bu teknolojinin daha doğru bir şekilde yönetilmesi ve daha doğru biçimde kullandırılmasını sağlamak” açıklamasını yapan Selçuk Ekin, şöyle devam etti:

“Bulutta işbirliği bu sebeplerden başladı. Bulutu ve güvenliği iyi bilen bir ekibiz. Prisma Cloud’un müşteri ihtiyaçlarını bütünsel bir yaklaşımla karşıladığın gördük. Bu işe yetkin insan kaynağı ile 7/24 hizmeti ve izlemeyi dahil ederek, yönetilen güvelik hizmeti ile buluşturarak müşterilere sunmak istedik. Adeo 13 yaşında ve müşterilerimize siber güvenlik hizmetleri sağlıyoruz. Bunun içinde teknoloji tedariği ise işin bir tarafı. İnsan kaynağı güçlü olan, bu alana sürekli yatırım yapan danışmanlık ve hizmet odaklı bir yaklaşımla ilerliyoruz. 13 yılda yüzlerce müşterimiz oldu, ama son yıllarda farkındalığın artışı, pandemi ve siber saldırıların büyümesi paralelinde müşteri farkındalığı çok daha büyüdü. Bu insan kaynağımızla müşterilerimize hizmet verme noktasında ‘Siz işinize odaklanın, biz güvenlik tarafını sizin yerinize izleyeceğiz’ mottosuyla ilerliyoruz. Olay müdahalesinde sektörde fark yaratıyor, 200 bin uç noktayı yönetilen hizmetlerle izliyoruz. Toplam iş yükünün yüzde 46’sı bulutta koşuyor. Bunun yüzde 94’ü multi cloud kullanyor. Böyle bir yapıda odaklanılması gereken ise güvenlik ve uyumluluk. Uyumluluk ile ilgili sürekli düzenlemeler çıkıyor farklı durumlar ve farklı sektörler için. Bu ikisini birlikte ele almak, bütünsel bir yaklaşımla bulutta koşan iş yükünün yazılım geliştirmeden verinin kendisine kadar bu bütünselliği gözeterek güvenliğe bakmak çok önemli. Prisma Cloud da bunu sağlıyor ve küresel bazda güçlü bir konum elde etti.”

Regülasyonlar da hibrit mimariye yöneltiyor

“Esnek, Karmaşık ama Güvenli? Peki Nasıl?” başlıklı paneli de Murat Göçe yönetti. Panelin katılımcıları da Adeo CSO’su Halil Öztürkci, Palo Alto Networks Bölge Sistem Mühendisliği Lideri Burak Sadıç ve Yeni Karamürsel Turizm İş Geliştirme Müdürü Sonat Balkan oldu. Geliştirme ve BT süreçlerimizde çoklu bulut sistem kullandıklarını belirterek söze başlayan Sonat Balkan, “Bunlarda da ileri teknoloji olarak tabir edilen konteynır ve kubernetes yapılarını da eşzamanlı olarak uyguluyoruz. Multicloud kullanıyoruz, çünkü her çözümü bir bulutta bulamıyorsunuz. Her birinin kendine yönelik özellikleri var. Bizim işimizde, yani seyahat sektöründe ve yaptığımız yazılımların kullanım üzerine de bu faydaları maksimize etmek adına da üç bulut yapısını birlikte kullanma kararı aldık. Firmalar da genel olarak bu mimariyi tercih ediyor. Bazı sektörler de regülasyonlar paralelinde hibrit mimariye yöneliyor” açıklamasını yaptı. Burak Sadıç ise DevSecOps kavramının tanımını yaptı. Birkaç yıldır hayatımıza giren DevOps yapısına tüm bilişim camiasının hakim olduğuna işaret eden Burak Sadıç, “DevOps ile birlikte çevik süreçler devreye girdi. Tüm bu süreçlerin içine güvenliği eklemek şart. Merkeze güvenliği koyduğunuz zaman DevSecOps kavramı hayatımıza girdi. Palo Alto Networks olarak DevSecOps başlığında çalışmalarına baktığımızda adreslediğimiz alanlar önemli” dedi. Sadıç, 2020 yılı sonlarında yaptıkları bir ankete değindi. Buna göre, ankete katılanların yüzde 90’dan fazlası bir platform kullanıyor. İki ile beş arası platform kullananların oranı ise yüzde 60. Tüm bu platformların kendi içinde güvenlik yapıları var. Ama en ciddi problemlerden biri de zaten bunların hepsini tek bir güvenlik platformu üstünden yönetmenin mümkün olmaması. “Bizim de bu noktada ortaya çıkardığımız en önemli katma değer; tek platformdan multi cloud yapısını yönetebilmek” diyen Burak Sadıç, şöyle devam etti:

“DevSecOps dediğimizde bunu üç döngüye ayırmak mümkün: Yazılımın geliştirilmesi aşaması, sonra devreye alınması, en sonunda da çalışması. Tüm bu süreçlerde çözümlerin devrede olması gerekiyor. Yaptığımız önemli işlerden biri de bu. Tehditlere karşı da güvenlik sağlamamız gerekiyor. Tüm riskler konusunda sürekli bilgi alırken, makine öğrenmesi de hayatımızın içinde. Güvenlik üreticisi çözümünü bulutta koşturuyor ve buna ‘bulut güvenliği’ diyor. Bizim ise burada en ciddi farkımız çözümümüz. Çünkü biz de Prisma ürünümüzü olduğu gibi bulutta geliştiriyoruz. Yani müşterilerimiz nasıl bulutta geliştirme yapıyorsa, biz de aynı platformlarda geliştiriyoruz. Dolayısıyla sürekli güncelleme yapıyoruz ve bu da sağladığımız en ciddi avantajlardan biri.”

Esneklik ve güvenlik buluşması

Halil Öztürkci, Adeo’nun bu çözüm yapısında nasıl konumlandığını anlattı. Buluta geçişte artık tek bir sağlayıcı ile devam etme imkanı yok. Bu nedenle çoklu bulut kullanımı giderek artacak. Bu tabloda DevSecOps da hayatımızın vazgeçilmezi bir kavram. Süreçlerde esnekliğin güvenlikle buluşmasının önemine işaret eden Halil Öztürkci, şu paylaşımı yaptı:

“Daha işin başında bizim güvenliği sağlamamızda desteğimiz olacak çözümlere ihtiyacımız var. Esneklik; bulut servis sağlayıcı seçiminden uygulamaya ve geliştirmeye her adımda ön planda. Ama güvenlik perspektifinde yaklaştığımızda konsolide etmeniz gereken çok nokta var. Depolamadan kullandığınız bilgisayara, servis sağlayıcının güvenli yapısına ve ağ mimarisine kadar her şeyi hesaba katmanız lazım. Çoklu bulut yapısında tutarlı olan Azure için yaptığım politika AWS için de çalışmalı. Benim insan kaynağım zaten sınırlı. Ben öyle bir çözüm sunmalıyım ki tek bir uygulamada tüm bu platformları yönetebilmeliyim. Tüm yapıyı kapsayacak bir çözüm önemli. Adeo olarak bulut tecrübemiz çok fazla. Ama işin içine çoklu bulut girdiğinde, her bir bulut sağlayıcı için güvenlik çözümü öğrenmemize ve bunu müşteriye anlatmamıza imkan yok. Dolayısıyla Prisma ailesi bizim açımızdan bu öneme sahip. Adeo da burada hem teknoloji tedariğini sağlayabiliyor, müşterimize de ‘siz işinize odaklanın, güvenliği bize bırakın’ diyoruz. Gelin size multicloud kullanan ortamlarınızın güvenliğini Prisma Cloud ile sunalım diyoruz.”

Palo Alto Networks Prisma Cloud EMEA Sistem Mühendisliği Müdürü Dirk Herrmann ise “DevOps is great, DevSecOps is better” başlıklı sunumunda DevSecOps dönüşümünde yaşanan zorluklara değindi. “DevOps yaklaşımının belli bazı faydaları var. ekipler arasında işbirliği, katma değer, sinerji, artan müşteri memnuniyeti ve rekabet avantajının temeli olan inovasyon yetkinliği burada öne çıkıyor” diyen Dirk Herrmann, şöyle devam etti:

“DevOps’un temelinde güven var. Bu da farklı ekipler arasında işbirliğini daha verimli kılıyor, hızı da beraberinde getiriyordu. Ama bu yola çıkmak isteyenlerin DevSecOps ile başlaması artık çok önemli. Kurulan mimariden sürekli öğrenebilmek de burada kritik. Risk ve tehditleri, bunlara karşı en iyi uygulamaları görmek için bu artık çok önemli. Bilgi paylaşımı bu nedenle kritik. Çalışanların sürekli bilgilendirilmesi ve doğru güvenlik araçlarının konumlandırılması başarılı sonuçlar demek. İşte bunu sağlamak için yetkin insan kaynağı kritik önemde. Sonuçta bu temel araçların arkasındaki ekiplerin varlığı kritik.”

Adeo IR Takım Lderi Kaan Kaya ve Palo Alto Networks Sistem Mühendisi Mehmet Gülyurt‘un soru-cevaplarla zenginleşen teknik demosu, etkinliğin de son başlığı oldu.