Güvenlik gereklerinde yepyeni bir katman!

Hibrit, özel veya genel fark etmeksizin, bulut bilişimde konumlanan her şirketin, ‘güvenlik’ odağında yeni sorumlukları alması ve bilinçli adımlar atması şart. 

Exclusive Networks, Fortinet ve Telcoset’in sponsor olarak yer aldığı etkinlik tarafları dijital ortamda bir araya getirdi. “Telcoset Siber Güvenlik” başlıklı sunumuyla ilk sözü alan Telcoset Siber Güvenlik Direktörü İsmail Kar, gündelik hayatta siber güvenlik kapsamında pek çok zorluk yaşadığına dikkat çekerek konuşmasına başladı. İsmail Kar’a göre, sektör her zaman çok hızlı gelişiyordu; ancak son 3-4 yıldaki hız da çok yüksek oldu. Son 1.5 yılda Covid’in de bu dijital dönüşüme büyük katkısı oldu. Kar’a göre, kurumlar dijital dönüşümlerini gerçekleştirdikçe siber güvenlikte zorluklarla da karşılaşmaya başlanıyor. Yani siber güvenlik, dönüşümün en başından beri entegre bir şekilde gitmiyorsa, zorluklar daha da büyüyor. Pandemi ile birlikte ön plana çıkan uzaktan çalışma, İsmail Kar’ın belirttiği gibi herkesin her yerden bilgilere ulaşmaya çalışması ile siber güvenlik anlamında riskler meydana getiriyor. Defans noktaları olan end-point’ler, son kullanıcılar her yerde ve bu bağlamda çok dikkatli olmak şart.  “Mevcut dünyada çok fazla domain ve her domain’de çok fazla üretici, her birinin farklı çözümleri var” diyen İsmail Kar’ın dikkat çektiği gibi bu yapılar birbirinden bağımsız çalışıyor. Hangi çözümlerin uygun olduğunu takip etmek de bu noktada önemli bir zorluk halini alıyor.  Güvenlik tarafındaki zorunluluklar da Kar’ın dikkat çektiği gibi bir diğer dikkat edilmesi gereken nokta. Bunun bir örneği olarak, regülasyonun getirdiği bir maddenin kapatılması ile uğraşmak bile ciddi bir iş yükü haline gelmiş durumda. Bir diğer sorun, kaçınılmaz olarak artan karmaşıklık. Farklı yüzey alanları ve noktalar var. Bu karmaşık sistem ise Kar’ın belirtiği gibi, güvenlik anlamında zafiyet yaratıyor. Kısıtlı bütçe probleminin de önemli bir sorun olduğunun altını çizen İsmail Kar’a göre, siber güvenlik büyük ölçüde bütçeye bakıyor. Regülasyonlarla yoğrulmuş, farkındalığı olan kurumlar daha güvenli bir konumdalar. Onlar içeride operasyonel yapılarını da ayırabilerek hizmet vermeye devam edebiliyorlar. Bu tip kurumlar biraz daha fazla bütçe kullanabiliyorlar. “Yetkin ve yetenekli kaynak sıkıntısı yaşıyoruz. Bu, sadece Türkiye’nin değil, dünyadaki en büyük problemlerden biri. Bu kaynakları bulduğumuzda içeride barındırmak da zor” gerçeğine dikkat çeken Kar, şöyle devam etti:

Yol haritasını birlikte ortaya koyuyoruz

“Regülasyonlardan gelen zorunlulukları yönetmek zorundayız. Saldırgan motivasyonları giderek arttı. Buna giderek daha hazırlıklı olmamız gerekiyor. Birçok üreticinin birçok ürününü içeride barındırıyoruz. Tüm bu kaynaklardan gelen bildirimleri yönetmek gerekiyor. Bu zorunlulukları da düşünerek Telcoset içerisinde Nisan ayında siber güvenlik departmanını meydana getirdik. Telcoset, 2003 yılından bu yana sistem entegratörü konumundayken, son 2-3 yılda yönetilen hizmetler tarafında dönüşüyor. Mevcut tüm zorluklar kapsamında müşterilerimize bütünsel bir siber güvenlik yardımında bulunmak adına siber güvenlik departmanımızı kurduk. Bunu sadece BT tarafında değil, OT ve IoT tarafında da inceliyoruz. Bu anlamda yapımızı iki düzlemde oluşturduk. Bunlardan bir tanesi; olayın strateji, teknolojiyi ortaya koyma boyutu. Değişen durum/koşullar kapsamında bu noktada müşterimize genel bir güvenlik değerlendirmesi yapıyoruz. Sonrasında yapılması gerekenler kapsamında yol haritasını birlikte çıkarıyoruz. İhtiyaçlara yönelik ürün ve servisleri de onlara pozisyonlarken PoC ve demo tarafında ilerliyoruz. Bunu yaparken regülasyonlar, sektörün öncelikleri, kurumun ihtiyaçları önemli yer tutuyor. Bir diğer düzlem de olayın hizmet, danışmanlık tarafı. Bu noktada biraz daha ürün ve üretici bağımsız yaklaşıyoruz. Bu noktada ISO 27001’den KVKK’ya dek giden standartlar, regülasyonlarla ilgili danışmanlıklar yapıyoruz. Siber güvenlik, olgunluk değerlendirmesi, risk analizi gibi başlıklarda danışmanlıklar veriyoruz. Burada da bir partnerimizle birlikte GRC (Governance, Risk, Compliance-Yönetim, Risk, Uyum) yazılımımız var. Buraya iyi kontrol maddelerini girdikten sonra ISO 27001, KVKK gibi tüm standartları izole bir şekilde takip edebiliyorsunuz. Ofansif tarafta zafiyet testi, sızma testi, oltalama ve farkındalık, sürekli sızma testi gibi hizmetlerimiz var. Oltalama ve farkındalık tarafında sadece ürün ve hizmet değil, uçtan uca bir güvenlik bakış açısıyla ilerliyoruz. Tehdit ve olay yönetim tarafında SIEM hizmetlerimiz var. OT, IoT tarafında olayın değerlendirilmesinden başlayıp sızma testine kadar giden hizmetler verebiliyoruz. Tespit ve yanıt tarafında da çözümlerimiz mevcut. Geleneksel ağ güvenliği ürünlerinin neredeyse tamamını içeride verebiliyoruz. Kimlik ve erişim yönetimi tarafından Zero Trust Access ve ürünlerimiz mevcut. Uygulama güvenliği tarafında SAST, DAST çözümlerimiz var. Orkestrasyon, otomosyon, uygulama güvenliği noktalarında da kendi içimizdeki kaynakların yanı sıra stratejik partnerliklerimiz bulunuyor. Bulut güvenliği kapsamında ise Security Posture Management, Workload Protection, Cloud Access Management, Cloud Network Security çözümlerimiz mevcut. Birçok domain’de Fortinet ile birlikte çalışmalarımızı yürütüyoruz. 1-1.5 ay öncesinde Cloud Security uzmanı olarak bu alanda Türkiye’deki ilk firma olduk. Bu noktada da çözümleri sunarak hizmet verebiliyoruz.”

Bulut kullanımı yaygınlık kazanıyor

Bu noktada sözü “Fortinet ile Bulut Ortamında Siber Güvenlik” başlıklı sunumu ile Fortinet Sistem Mühendisi Ozan Oğuz aldı. Bulut güvenliğinin ayrı bir konsept olarak ele alınmaya başlamasının gerekçelerini paylaşan Ozan Oğuz, kurumsal kontrol altındaki veri merkezinden buluta geçişin bu noktada önemli bir dönüşüm yarattığına işaret etti. Ozan Oğuz, güvenlikte ‘permeter’ kavramının değişimine, özellikle pandemi ile birlikte artan evden çalışma ile bu kavramın yeniden tanımlandığına dikkat çekti. “Altyapılarımız değiştikçe, bulut yaygınlaştıkça perimetrelerimiz değişiyor ve çok farklı platformlarda yer almak durumunda kalabiliyoruz” diyen Ozan Oğuz’a göre, bulut kullanımı fazlar halinde gerçekleşiyor, genel ve özel buluttan multi bulut ve hibrit bulut kavramlarına doğru yayılıyor.

Sorumluluklarınızı bilin!

Paylaşımlı Sorumluluk Modeli’ne dikkat çeken Ozan Oğuz’un verdiği bilgiye göre, iş yüklerimizi buluta taşıdıkça güvenlik adı altında sorumluluklarımızın hepsini bulut üreticisine çeviremiyor, bulut üreticileri ile imzaladığımız anlaşmada legal olarak sorumluluğu paylaştığımızı kabul ediyoruz. Örneğin; Iaas, PaaS gibi en sıklıkla kullanılan uygulamalarda bulut sahibinin ne kadar sorumluluk sahibi olduğu görülebiliyor. “İçeride bir sorun olduğunda müşteri bulut sahibini sorumlu tutuyor, bulut üreticisini sorumlu tutamıyoruz. Paylaşımlı Bulut Model’inde yeni yaklaşımlar ve yeni nesil bulut çözümlerine ihtiyaç duyuyoruz” bilgisini veren Oğuz, şunları söyledi:

DevOps ekiplerinin önemi artıyor

“Bulut kullanımı yaygınlaştıkça yeni uygulamalar ve kavramlar da hayatımıza giriyor. Hibrit cloud kapsamında hibrit security, müşterilerimizin oldukça zorlandığı bir alan durumunda. Halihazırda bir güvenlik politikası uyguladığınız bir veri merkezi düşünün. Yüzde 100 kontrolünüzde olan bu yapı buluta geçtiğinde problemler olmaya başlıyorlar. Artık bulut ekiplerinde çalışan kişiler güvenlik ekiplerinde değil. Analiz ekipleri burada sorumluluk sahibi oluyor. Otomasyonun artması ile birlikte DevOps ekiplerinin ne yaptığını görmek giderek zorlaşabiliyor. Kendi veri merkezinizde kurguladığınız güvenlik politikasını buluta taşıdığınızda bire bir devam ettirmeniz gerekiyor. Bulut projelerine yeni başladığınızda görünürlük çok önemli olmayabilir. Ancak dijital dönüşümün başladığı, farklı uygulamaların kullanılmaya başlandığı, DevOps ekiplerinin öneminin daha da arttığı noktada görünürlük neredeyse sıfıra iniyor. DevOps ekiplerinin ne yaptıklarını bir görünürlük çözümü kurgulanmamışsa kurum da göremez hale gelebiliyor. Hibrit ve multi- cloud’ta görünürlüğün artırılması oldukça kıymetli bir yaklaşım. Otomasyon söz konusu oldukça güvenliğin öneminin daha da artıp önemli olacağından bahsetmiştim. Regülasyonlara uyum da önemli. Fortinet olarak bulut ortamlarında da yerleşim yaparken ürünlerin yeteneklerini de koruyarak aynı şekilde buluta taşımış durumdayız. Network Security’den başlıyoruz, Application Security’e devam ediyoruz ve platform güvenliğinde süreci tamamlamış oluyoruz. Network Security kapsamında FortiGate-VM ürününden bahsediyoruz. Bu ürünü hem genel, hem de özel ortamlarına konumlandırabiliyoruz. Her platform için farklı entegrasyon paketi var. Application Security tarafında FortiWeb ve FortiMail ürünlerini konumlandırabiliyoruz. FortiWeb, bizim WAP çözümümüz. Platform Security tarafında ise FortiCWP ve FortiCASB ürünlerini göreceğiz. FortiCWP’nin içerisinde üç farklı modül var. Neden Fortinet’in tercih edildiği konusunda Security Fabric’in çok öne çıktığını ifade edebilirim. Bu, güvenlik politikasının merkezileştirilmesi anlamında elimizi çok kuvvetlendiren bir yaklaşım. Platform bağımsız ürün kullanabilmeniz çok güçlü bir özellik. Bu, sizin kurum içindeki eforlarınızı çok düşürecek. İşin izleme, sorun giderme tarafında operasyonel yükünüz de azalacak.”

Güvenlik adımları bir zorunluluk olarak bilinmeli

Dijital etkinlik “Bulutta Sohbet” başlığında Telcoset Siber Güvenlik Direktörü İsmail Kar‘ın yönettiği bir buluşma ile tamamlandı. Telcoset Güvenlik Çözüm Mimarı Erdal Yalçın ve Fortinet Sistem Mühendisi Ozan Oğuz‘un katıldığı sohbette buluta geçişte temel zafiyetler ele alınırken, buluttaki güvenlik açıkları ve dikkat edilmesi gerekenler başlıklar üzerinde duruldu. Erdal Yalçın, buluta geçişte önceliklendirilmesi gerekenleri şöyle anlattı:

“Bulut konusunda müşterilerimizle konuştuğumuzda ya projeye başlamış, belirli bir seviyeye getirmiş oluyorlar ya da nasıl başlayacaklarını dair sorular yönelttiklerini görüyoruz. İlk aşamada herkes servislerinin bulutta doğru bir şekilde çalıştırılmasına odaklanıyorlar. Hedefleri görünürlük ya da güvenlikten öte, yapılarını doğru bir şekilde taşımalarını içeriyor. Her şeyi taşıdıktan sonra güvenliği düşüneceklerini ifade ediyorlar. Ancak bulut söz konusu olduğunda güvenlik yaklaşımı tamamen değişiyor. Buradaki servislerin kıymeti artıyor. Atak yüzeyleri, değişen atak yüzlerine karşı kullanılan çözümler değişiyor. Burada söz konusu olan yeni çözümlerin sistemlerine nasıl uygulanacakları konusu değişiyor. Burada insan hatası ve saldırı vektörleri göz önünde bulundurularak ilk taşıma ile birlikte kurumun güvenlik açığının tamamen gözden geçirilmesi gerekiyor. Bulut servis sağlayıcıların neredeyse tamamı aynı şeyleri sunuyor. Burada asıl yapılması gereken, güvenlik adımının bir zorunluluk olarak görülmesi. Buluta geçiş aşamasında tüm güvenlik katmanlarının devreye alınması gerekiyor. Güvenlik bu anlamda kriterlerin en başında geliyor.”

Fortinet, üçüncü bir göz

Ozan Oğuz ise “Müşterilerde halihazırda buluta para öderken bunun güvenliğine de mi para ödeyeceklerine dair bir yaklaşım olabiliyor” gerçeğine dikkat çekti. Doğru metodolojiyi takip eden müşterilere bu noktayı çok fazla anlatmaya gerek kalmıyor. Ama zaman kaygılarından ötürü güvenliğin atlandığı aşamalar olabiliyor. “Bu noktada ekstra bir efor sarf edilmesi gerektiği gözükse de bizim açımızdan “zararından neresinden dönersek kar” anlayışı söz konusu oluyor. Çünkü atak yüzeyi çok fazla genişliyor ve daha önce olmayan sorumluluk alanları karşımıza çıkıyor. Çok büyük şirketlerin açılan yeni vektörlerden ataklar yediklerini görüyoruz” bilgisini paylaşan Ozan Oğuz, şöyle devam etti:

“Servis sağlayıcıların bulutlarını kullanmaları dışında neden üçüncü taraf üreticilerin güvenliklerini kullanacaklarına ilişkin sürekli bir soru geliyor. Bunun birçok sebebi var. Bir tanesi; Fortinet’in ürünleri hem özel, hem de genel bulut ürünler. Bulut ortamında bir ürün konumlandırdığınızda o ürün sadece konumlandırdığınız platforma hitap eden bir çözüm oluyor. Multi-cloud çözümler olması ve hibrit-cloud’a da entegre edilebilmesi bilinciyle hareket edilmesi lazım. Diğer noktada; kurum içi güvenlik politikalarının gözlemlenebilmesi ve hatalı bir durumda ortaya çıkarılması gerekiyor. Fortinet, üçüncü bir göz gibi davranarak, DevOps ekibinin yaptığından bağımsız bir şekilde, görünürlüğü kaybetmemiş oluyor ve güvenlik politikamızı farklı platformlara entegre etmiş oluyoruz. Fortinet, kurulduğu günden bu yana tek odağı güvenlik olan bir firma. Bulut üreticilerinin ise tek odakları güvenlik değil. Odakları müşterilere verdikleri sistemlerin uygun olması, servislerin doğru bir şekilde konumlandırılması, sundukları internetin sorunsuz çalışması gibi altyapıya yönelik çözümler.”