Veri Merkezlerine verileri taşıyalım, peki veri merkezlerinin kendisi ne kadar güvenli?

Veri Merkezlerine verileri taşıyalım, peki veri merkezlerinin kendisi ne kadar güvenli?

Veri Merkezlerine verileri taşıyalım, peki veri merkezlerinin kendisi ne kadar güvenli?

Son dönemlerde büyük bir furya olarak, her yerden bulut teknolojik yatırımları ortaya çıkıyor. Aslında bu güzel bir gelişme, çünkü ülkemizde bulut yatırımlarına ilgi ve artış ciddi oranda artmakta iken, yatırım yapma konusunda bir hayli geriden geliyoruz. Evet sistemlerimizi veri merkezlerine aktaralım çok avantajlı ve mantıklı, peki hangi bulut sistemine geçirmemiz gerekiyor? Hangisi daha güvenli, hangisi teknik tecrübesi daha kalifiyede bunları ne kadar biliyoruz?

Geçtiğimiz günlerde sosyal medya mecralarında değerli bir üstadım bu konu ile ilgili çok hap bir bilgi paylaştı ve gerçekten nokta atış bir paylaşım olduğunu düşünüyorum. Bahsetmiş olduğumuz bu yazıdaki başlığımı kullanıcılar açısında hap bilgi olarak çok güzel paylaşımda bulunmuş. Araştırdığınızda o içeriği çok rahatlıkla bulabilirsiniz :) Ülkemizde her konuda olduğu gibi bulut konusunda da bir tarafta hala "gözümün önünde dursun" 'cular, bir yanda " bulut olsun ama hepsi olmasın" 'cılar, bir yandan da "adam gibi çözüme ihtiyacım var, performans lazım alayını taşı buluta" diyen şirketler ve kişiler var. Bunların detaylarına girmeyeceğim fakat şöyle bir detaya inmemiz gerekiyor:

  1. Gözümün önünde dursun'cular, gözünün önünde durduğunda şirketini ne kadar büyütebileceksin, ne kadar verilerinin güvenliğini sağlayabileceksin, bu yatırımları yapabilecek kadar paracığın var mı? ( evet paracığın diyorum çünkü parası olduğunu zannedip büyük bir riskle paraları hiçe gidiyor farkında değiller :) )

  2. Bulut olsun ama accık ucundan olsun'cular, tamam bir kısmını aldın buluta süper, peki doğru bulut firmasını mı tercih ettin? Güvenlik altyapısını sorguladın mı, nerde yaşar nerde nefes alır, in midir cin midir sordun mu? (çoğu ucuz yola başvurduğu için bu soruları sordum yanlış anlaşılmasın lütfen :) )

  3. Performanscılar, doğru bulut firması ile çalıştığınıza emin misiniz? Public, private ayrımı yapabilen firma ile mi çalışıyorsunuz, güvenlik katmanlarınız hazır mı, o firmanın var olduğuna emin misiniz :)))

Bu arkadaşları burada bırakacağım. Çünkü detaylara inersem uzun bir kompozisyon yazmam gerekiyor daha sonra bunlar için de ayrıca içerikler istenirse tecrübelerimi paylaşabilirim. Şimdi gelelim mevzumuza. Ülkemizde bu kadar veri sızıntıları, veri açıkları yaşanırken, buluta geçiş mantıklı mı? Cevap kesinlikle mantıklı, ama asıl soru şu olmalı: gerçekten güvenliğe yatırım yapan kaç tane bulut teknoloji firması var? Bunu yerli ya da yabancı olarak sormuyorum çünkü artık saldırılar kaçınılmaz şekilde her yerde var. Daha yeni gelen haberleri hepimiz duyduk: global siber güvenlik firmalarından biri veri sızıntısı yaşadığını ve 2023 yılından beri bir ülke hackerlarının inek sağar gibi sağdıklarını itiraf ettiler :) Yanlış hatırlamıyorsam Güney Kore'de en büyük veri merkezi işletmesi verileri hacklendi ve yok edildi. Pek çok vatandaşın verileri yok oldu. (Yanlış bilgi ise düzeltirseniz çok sevinirim) Avrupa'da havalimanı işletmeleri büyük saldırı altında ve daha pek çok örnek gittikçe artmaya başladı. Bu durumda global ya da yerel bulut teknolojilerine geçmek, şirketsel olarak önemli bir avantaja sahip olabilir ama güvenlik ne durumda?

Bu arkadaşları burada bırakacağım. Çünkü detaylara inersem uzun bir kompozisyon yazmam gerekiyor daha sonra bunlar için de ayrıca içerikler istenirse tecrübelerimi paylaşabilirim. Şimdi gelelim mevzumuza. Ülkemizde bu kadar veri sızıntıları, veri açıkları yaşanırken, buluta geçiş mantıklı mı? Cevap kesinlikle mantıklı, ama asıl soru şu olmalı: gerçekten güvenliğe yatırım yapan kaç tane bulut teknoloji firması var? Bunu yerli ya da yabancı olarak sormuyorum çünkü artık saldırılar kaçınılmaz şekilde her yerde var. Daha yeni gelen haberleri hepimiz duyduk: global siber güvenlik firmalarından biri veri sızıntısı yaşadığını ve 2023 yılından beri bir ülke hackerlarının inek sağar gibi sağdıklarını itiraf ettiler :) Yanlış hatırlamıyorsam Güney Kore'de en büyük veri merkezi işletmesi verileri hacklendi ve yok edildi. Pek çok vatandaşın verileri yok oldu. (Yanlış bilgi ise düzeltirseniz çok sevinirim) Avrupa'da havalimanı işletmeleri büyük saldırı altında ve daha pek çok örnek gittikçe artmaya başladı. Bu durumda global ya da yerel bulut teknolojilerine geçmek, şirketsel olarak önemli bir avantaja sahip olabilir ama güvenlik ne durumda?

Şimdi gelelim nelere bakmamız gerekiyor? Öncelikle naçizane önerim olarak; bulut şirketlerini tercih ederken,

  • Level 1 seviyesinden başlayarak gidelim: Sunucu, Network gibi Iaas hizmetlerinden almayı düşünüyorsanız, görüştüğünüz kurum, donanım config bilgisine sahip olan, network bilgisine sahip olan çalışanların olduğu firmaları tercih etmeniz gerekiyor. Özellikle 2026 yılına girerken, ülkemizde çok çok büyük olduğunu iddia eden, ancak teknik soru sorduğunuzda, kullandıkları ve pazarladıkları donanım bilgisine sahip olmayan hala şirketler var. Ne donanım verdiğini bilmeyen firmalar ne kadar büyük olursa olsun, sizi mutlaka yarı yolda bırakacağı kritik bir nokta illa ki olacaktır bunu unutmayın.

  • Level 2 seviyesinden devam edersek; verdikleri hizmetlerin neler olduğunu anlatabilen şirketleri analiz etmeniz gerekiyor. Yani; IaaS, PaaS, SaaS vs. terimleri doğru ifade edebilen, sizleri doğru yönlendirebilen, ve bu noktada sizin ihtiyaçlarınızı doğru şekilde analiz edebilen şirketleri bulmanız önemli. Hala bu dönemde bu ihtiyaçları organize edemeyip, sırf para kazanmak ve rebate (marka geri ödeme hakedişi) alabilmek için gereksiz maliyetler çıkaran biraz arsız arkadaşlar. Burada tavsiyem mutlaka birden fazla firma ile görüşüp elma-elma kıyaslamasını yapmanız gerekiyor.

  • Level 3 seviyesine geçecek olursak; artık siz ne istediğinizi biliyorsunuz ve gerçekten başınıza dert gelmeyecek bir şirket arıyorsunuz. Burada kritik konuları sayıyorum: Tier belgeleri var mı burası önemli, ISO 27001 belgeleri var mı ve hangi kuruluştan alınmış (son dönemlerdeki belge furyalarını hiç açmayacağım :D ) teknik ekibinin büyüklüğü ve güvenlik hizmet kapsamları neler var? (SIEM, DLP, MFA, Şifreleme ve tabi ki pek çoğunda olmayan dijital veri imha :))) ve doğru referanslar.

Level 3 seviyesi ülkemizdeki şu anda en kritik noktaların başında geliyor. Level 1 ve Level 2 seviyeleri bir şekilde akrabalar ve ahbaplar haricinde doğru iş ortağı ile doğru firmayı bulabilirsiniz merak etmeyin. Ama Level 3 seviyesi günümüzde yaşanan kritik sorunlardan biri. Neden mi? Hadi biraz ipucu vereyim.

  • Bulut şirketleri güvenli altyapıları olduklarını söylemelerine rağmen, periyodik olarak dış danışmanlık ve eğitim kurumlarından destek almadıkları için, kendi içindeki tecrübeli arkadaşlar "Farkındalık eğitimleri" düzenleyerek bir rutin oluşturmaya çalışıyor. Ama güncel bilgiler genellikle dışardaki danışmanlarda olduğu için bu danışmanlardan destek almayı tercih etmeyebiliyorlar.

  • Şirketler periyodik olarak ( önerilen 6 ayda bir olacak şekilde ) pentest yapmaları ve güvenlik açıklarını tespit etmeleri ve ettirmeleri gerekiyor. Bazı bulut şirketleri bu konuda ciddi hassas ama bazı küçük şirketler bu konuda maliyet olarak gördükleri için, ahbap, eş dost vasıtası ile uygulamalar üzerinden testleri yapıp geçiştirmektedirler. Bu pentestler, her yapılan süreçte farklı firmalardan yapılması gerekir ki, bir firmanın gözünden kaçabilen açıkları, diğer firmalar bu açıkları tespit edebilmeli. Bu yüzden dış pentest hizmeti alınması gerekiyor. Bazı firmalar kendi pentest yaptırmıyorken, kendi ekibi ile müşterilerine pentest hizmeti bile satabiliyor :)))

  • Özellikle kritik sektörlere hizmet veren bulut firmalarından belki de ülkemizdeki en kritik konulardan biri, bir müşteri herhangi bir sebepten dolayı, başka bir bulut firmasını tercih etmek isterse ya da bulut teknolojiden ayrılmak istediğinde, şirket ve kişisel verilerinin silinmesini tercih edebilir. Bu silinme tercihi, bulut şirketlerinin politika ve prosedürlerinde olmasına rağmen, maalesef pek çoğunun altyapısında bununla ilgili "Dijital Veri İmha" çözümü kullanmıyorlar. Çünkü sunucu yada sistemleri "Format" teknolojisi ile hala temizlendiğini düşünen maalesef şirketler var. Burada direk imha edecek şekilde bir teknolojiyi kullanan çok az kurum olmasından dolayı, sizin şirket verileriniz, o şirketlerden ayrılsanız bile, hala orada kalıyor olabilir. Bu yüzden standartlara uyan şirketleri (Tier, ISO 27001, 27701, EPDK, HIPAA) tercih eder ve anlaşma yaparken, mutlaka sözleşmeleri detaylı şekilde organize etmeniz gerekiyor. Aksi takdirde yaşanabilecek bir siber saldırıda, sistemde olmaması gereken veriler çalınabilir ve kötü amaçlı kişilerin eline geçebilir. ( Bu örneğe maalesef kamu kurumları, bakanlıklar, belediyeler hepsi de dahil söylemek istiyorum)

  • Kritik konulardan biri ise, demin kısmen de bahsettiğimiz bir konu, teknik ekibin yeterliliği ve yetkinliği. Bunu biraz açmak istiyorum bu konu her iki tarafı da ilgilendiriyor. Bulut teknoloji hizmeti veren firmaları tercih ederken, özellikle teknik ekibinin yeterliliği ve yetkinliği son derece önemli. Çünkü "T" anında yani kriz durumunda size anında çözüm üretebilen, sektör tecrübesi iyi olan ekipleri tercih ettiğinizde, en azından başınızı rahat bir şekilde yastığa koyabilirsiniz. Ancak bu demek değil ki emanet ettik bizde sorun çıkmayacak. Bu teknik arkadaşlar aynı zamanda sizin şirketinizde yapmanız gereken altyapı yatırımları konusunda da öneride bulunabilecek kişiler olmalı. Neden mi? Çünkü bulut şirketi her türlü güvenlik önlemini almaya çalışsın, kendi şirketinizin çalışanlarından birinin acemiliğinden yada yetersizliğinden kendi şirket sistemlerinize açık kapı bırakıp, veri merkezini de zan altında bırakabileceğiniz bir durum söz konusu olabilir. Bu yüzden bulut şirketlerinde özellikle sizin altyapınızı da doğru yönlendiren, yetkinliği olan şirketleri tercih ederseniz, hem kendi şirketinize bir değer katıyor olursunuz, hem bulut şirketine fayda sağlamış olursunuz. Bu arada yukarda bahsettiğim bulut şirketlerinin detayları, aynı şekilde sizin şirketleriniz için de geçerli olabilir. Yani şirketinizde basit bir Firewall ya da Antivirüs ile sıyrılamayacağınızı artık unutmamanız gerekiyor :)

Son sözlerimi paylaşırken aslında temel özeti; artık tüm şirketler olarak hepimiz cebimizde para tutmak yerine, göze batmamak için doğru teknolojik yatırımlarını, güvenlik yatırımlarını yapmamız gerekiyor. Bugün büyük şirketlerin başına gelen itibar ve veri kayıpları, yarın sizin başınıza gelmeme garantisi yok :)

Son sözüm olarak ise, eğer bir danışmandan destek almak isterseniz, o danışmanın Influencer olmasından çok, alanında ne kadar vaka tecrübesi olduğuna bakmayı sakın unutmayın. Dijital dünyada yazmak kolay, içeriye girdiğinde karışık kabloları görünce baygınlık geçirecek danışmanları tercih etmeyin :))

Sevgi ve selamlar :)

datacenter verimerkezi bulut cloud cloudsystem bulutbilisim bulutteknoloji teknoloji dijitaldonusum yerlivemilli iso27001 iso27701 kvkk gdpr hipaa pcidss pentest şifreleme encryption siem dlp farkındalikegitimi
ÖNCEKİ

Lütfen Site Dili Seçiniz

Türkçe English