Bulut güvenliği
Bulut güvenliğine odaklanın: dijitalleşen bir dünyada hassas şirket verilerini korumaya yönelik stratejiler, mimariler ve sözleşme modelleri
Veri, modern dijital ekonominin bir aracı ya da şirketlerin (özel sektör) ve aynı zamanda devletin (kamu sektörü) yeni altınıdır. Günümüzün dijitalleşen dünyasında, internette çok sayıda bulunan yeni veri setlerinin durdurulamaz bir akışı vardır. Bu veri kayıtlarından bazıları dijital kimliği temsil eden kişisel verilerle ilgilidir. Bir şirketteki gerçek sanat, bu verileri dikkatlice filtrelemek ve her şeyden önce depolamaktır. Bu kısa makalenin amacı, bir buluttaki verileri ve bunların bir şirket perspektifinden nasıl işlendiğini göstermektir. Buna ek olarak, bu kısa makale, sektörün kendi veri işlemesi için sağlam bir temele sahip olmak amacıyla hangi tür sözleşmeler, mimariler ve siber saldırılara karşı uygun güvenlik önlemleri aldığını göstermektedir. Doğrudan bulut güvenliği konusuna girmeden önce, bulut bilişim, nasıl çalıştığı ve bir bulutun nasıl yapılandırıldığı hakkında birkaç temel gerçeği öğrenmek önemlidir: "Bulut bilişim, yapılandırılabilir bilgi işlem kaynaklarının (ör. ağlar, sunucular, depolama sistemleri, uygulamalar ve hizmetler) paylaşılan bir havuzuna bir ağ üzerinden istenildiği zaman ve istenildiği yerden rahatça erişmek için kullanılabilen bir veri işleme modelidir. Bunlar hızlı bir şekilde ve minimum idari çaba veya hizmet sağlayıcı etkileşimi ile kullanılabilir hale getirilebilir. Bulut üç farklı şekilde kullanılabilir (Hizmet olarak Altyapı (IaaS), Hizmet olarak Platform (PaaS), Hizmet olarak Yazılım (Saas)). Bulut türü, sağlama türüne (özel bulut, topluluk bulutu, genel bulut, hibrit bulut) bağlı olarak farklılık gösterir" [1]. Bulut bilişim alanında, farklı sağlama türleri, yani bulut sağlayıcılarının bulut hizmetlerini kullanıcılarına nasıl sundukları vardır. Bulut bilişim ile ilişkili dört ana model vardır: 1. genel bulutGenel bulut, tüm kullanıcıların aşağıdaki gibi bilgisayar kaynaklarına erişmesini sağlardonanım (işletim sistemi, CPU, bellek) veya yazılım (uygulama sunucusu, veritabanı) abonelik veya kullandıkça ödeme esasına göre. Pratik kullanım örnekleri arasında dosya paylaşımı ve e-posta hizmetleri gibi kritik ve kritik olmayan görevler için uygulamaların geliştirilmesi ve test edilmesi yer almaktadır. 2. özel bulutÖzel bulut genellikle tek bir kuruluş tarafından açık bir şekilde kullanılır ve kurum içinde yönetilebileceği gibi harici bir BT hizmet sağlayıcısı tarafından da yönetilebilir. Özel bulutlar, satın alma ve bakım yatırımları nedeniyle genellikle genel bulutlardan daha pahalı olsalar da kuruluşların güvenlik ve veri koruma endişelerini daha etkili bir şekilde ele alırlar. 3. hibrit bulut (fiziksel bir veri merkezi veya harici bir özel bulut ve/veya bir genel bulutun hibrit şekli)Hibrit bulut, hem özel hem de genel bulut altyapılarını kullanır. Şirketler, BT altyapılarını gerektiğinde hızla genişletmek için bu modeli seçmektedir. Örneğin, çevrimiçi bir perakendeci tatil sezonunda özel bulutunun kapasitesini desteklemek veya hafifletmek için genel bulut kaynaklarını kullanabilir. 4. topluluk bulutuTopluluk bulutu , bilgisayar kaynaklarını birlikte kullanan çeşitli kuruluşları destekler . Bunlar arasında örneğin belirli araştırma alanlarında işbirliği yapan üniversiteler veya kaynakları paylaşan bir bölgedeki polis departmanları gibi devlet aktörleri yer alır . Bir topluluk bulutuna erişim, topluluk üyeleriyle sınırlıdır. Genel bulutlarda son kullanıcı için maliyetler geleneksel olarak düşüktür ve büyük bir yatırıma gerek yoktur. Öte yandan özel bulutlar aşağıdakileri gerektiriryatırımlar, ancak kendi altyapılarının işletme maliyetlerine kıyasla temel tasarruflar sunar.Prensipte tasarruf. Özel bulutlar ayrıca daha fazla güvenlik ve uyumluluk sağlargenel bulutlara kıyasla uyumluluk desteği. Bu nedenle bazı kuruluşlar iş açısından kritik veya daha hassas veriler ve uygulamalar için özel bulutları; uygulama geliştirme, test ortamları ve e-posta hizmetleri gibi temel görevler içinse genel bulutları kullanmaktadır.[2] Hibrit bulut çözümü, siber saldırı risklerini en aza indirmek veya çeşitlendirmek için iyi bir yoldur. Bu, genel bir bulutun saf kullanımına kıyasla kendi güvenliğiniz üzerinde daha fazla kontrol sunar. Ayrıca hibrit bulut altyapısı, özel sunucularda bireysel güvenlik standartları belirleme ve özelleştirilmiş yazılım yapılandırma seçeneği sunar.Özel sunucularda özelleştirilmiş yazılım yapılandırması. Bu dağıtım, sistem güvenilirliğinin artmasına ve sistem sorunlarının daha iyi değerlendirilmesine yol açar. Buna ek olarak, maliyet verimliliği, sunucuların yerinde satın alınması ve bakımının yapılmasından daha yüksektir.[3] Bulut hizmet mimarisi modelleriHibrit bulut çözümünün artan güvenlik kontrolünden gelişmiş güvenilirliğe kadar uzanan bu faydaları göz önünde bulundurulduğunda, farklı bulut hizmeti mimarilerini anlamak önemlidir. Hizmet Olarak Altyapı (IaaS), Hizmet Olarak Platform (PaaS) ve Hizmet Olarak Yazılım (SaaS) olarak adlandırılan bu mimariler, farklı hizmet sunumu seviyeleri sunar ve uyumluluk için farklı sorumluluklar tanımlar. 1. Hizmet olarak altyapı (IaaS)IaaS sağlayıcıları temel bilgi işlem, depolama ve ağ altyapısının yanı sıra sanallaştırma için hipervizör sağlar.sanallaştırma için hipervizör. Kullanıcılar sanal örnekler oluşturmaktan ve yönetmekten, işletim sistemleri kurmaktan, uygulama ve veri sağlamaktan ve tüm yapılandırmadan sorumludur. IaaS hem küçük hem de orta ölçekli şirketler için ilgi çekicidir. Şirket içinde işletilmeyen bir bulut altyapısının basit işletimi, kendi donanımınızı satın almaya göre uygun maliyetli bir alternatiftir. Örnekler: DigitalOcean, AWS, Azure, Google Compute Engine. 2 Hizmet Olarak Platform (PaaS)PaaS sağlayıcıları, işletim sistemleri ve ara katman yazılımları (örneğin veritabanları) ekleyerek uygulama yığınını IaaS'den daha fazla genişletir. Kullanıcılar daha çok uygulama geliştirmeye odaklanır. Platform altta yatan altyapıyı yönetir. Örnekler: AWS Elastic Beanstalk, Google App Engine. 3. Hizmet olarak yazılım (SaaS)SaaS sağlayıcıları eksiksiz bir uygulama yığını sunar. Kullanıcılar tamamen barındırılan uygulamaya bir web tarayıcısı üzerinden erişebilir. Kullanıcılar uygulama tarafından oluşturulan veriler üzerinde açık kontrole sahipken, iş yüklerinin ve BT kaynaklarının yönetimi tamamen SaaS sağlayıcısının kontrolü altındadır. Örnekler: aBusiness Suite, Salesforce, Dropbox, Google Workspace.[4] Sözleşme hukukunda bulutSaaS sözleşmeleri yasa koyucu tarafından henüz açıkça ele alınmamıştır. Bugüne kadar, bir SaaS sözleşmesi yasal olarak yalnızca hizmet, iş ve kira sözleşmelerinin yönlerini içeren karma bir sözleşme olarak kategorize edilebilir. Bu nedenle uygulanacak hukuk alanı, sözleşmenin ilgili hizmet bölümüne bağlıdır. Bir SaaS sözleşmesinin ana bileşeni öncelikle kira hukukunda yatmaktadır, çünkü yazılımın sağlanması en iyi şekilde kira hukuku kapsamında mülkün devredilmesiyle karşılaştırılabilir. Yazılım, kiracılık hukuku anlamında bir "şey" olarak kabul edilmediğinden, mevcut görüş SaaS sözleşmelerinin kullanım için geçici bir devri temsil ettiği yönündedir. Bu, düzenlemelerle ve kiracılık hukukunun izlediği amaçla uyumludur.[5] PaaS sözleşmeleri büyük ölçüde hizmet seviyesi anlaşmaları (SLA'lar) ile karakterize edilir.asgari hizmetleri ve her iki sözleşme tarafının hak ve yükümlülüklerini tanımlar. PaaS hizmetleri genellikle hassas verilerin işlenmesini içerdiğinden, veri koruma ve veri güvenliği çok önemli bir rol oynamaktadır. Sözleşme aşağıdaki konularda açık hükümler içermelidirkişisel verilerin korunması. Sözleşmede, oluşturulan uygulamaların fikri mülkiyetinin kime ait olduğunun belirtilmesi de önemlidir; kullanıcı normalde uygulamaların mülkiyetini elinde tutarken sağlayıcı platformun mülkiyetini elinde tutar.[6] Sonuçİster bir startup, ister bir risk sermayesi şirketi, ister bir KOBİ veya daha büyük bir şirket olun, bulut güvenliği her kuruluş için çok önemlidir. Bir şirket olarak hangi bulut sağlayıcılarıyla çalışmak istediğinizi düşünmek sadece önemli değildirsağlayıcılar değil, aynı zamanda hangi çerçeve koşullarının belirlendiği de önemlidir. Nihayetinde güvenlik yalnızca bulut teknolojisi hizmet sağlayıcısının sorumluluğunda değildir, şirket çalışanları da bulutun güvenlik boyutunda eşit derecede önemli bir rol oynamaktadır. Çalışanların güvenlik politikaları ve prosedürleriyle başa çıkmak için gerekli bilgi birikimine sahip olmalarını sağlamak amacıyla düzenli olarak eğitime ve duyarlılığa yatırım yapmak önemlidir. Bununla birlikte, bulutun tüm potansiyelinden faydalanmak için şirketler hem kendi sistemlerinin hem de harici ortakların sistemlerinin bakımına ve yeni BT personelinin işe alınmasına yatırım yapmalıdır. Bu şekilde bir şirket sistem güvenliğini sağlayabilir ve böylece müşteri memnuniyetini artırarak uzun vadede şirketin itibarını yükseltebilir. Harici bir bulut sağlayıcısı seçerken karşılaşılan en önemli sorunlardan biri her zaman şirketinyabancı sağlayıcılara ve onların veri koruma düzenlemelerine bağımlılık. Şirketler bu zorluğun üstesinden veri koruma kılavuzlarının kapsamlı bir şekilde incelenmesi, riski en aza indirmek için hibrit bulut yaklaşımları, güvenlik önlemlerinin ve sağlayıcı sertifikalarının değerlendirilmesi, veri koruma etki değerlendirmeleri, düzenli izleme ve denetimler ve olası veri koruma ihlallerine karşı hazırlık gibi önlemlerle gelmektedir. Stratejiler şirketin büyüklüğüne ve sektöre bağlı olarak değişir, ancak hepsi veri koruma uyumluluğunu sağlama ve harici bulut hizmetleriyle çalışırken potansiyel riskleri en aza indirme amacına hizmet eder. Kaynakların listesi
Bulutu anlamak - genel bulutun ne olduğunu ve hibrit bulutun ne olduğunu biliyor musunuz? (2023) IaaS nedir? Tanım ve ilginç gerçekler Hizmet Olarak Platform (PaaS) (2022) SaaS sözleşmelerini hazırlarken nelere dikkat etmelisiniz (2022) Hizmet olarak platform sözleşmeleri (PaaS sözleşmeleri): Bir rehber (2023) [1] cf. https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist[3] cf. / (2023) [4] cf. https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/ ve https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS (2022) [5] bkz. https://www.top.legal/wissen/saas-vertraege (2022) [6] bkz. https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html (2023) Önemli olanı güvence altına alın Sunucularınızı koruyun. Günün her saati.Konuyla ilgili makalelerOptimise edilmiş iş süreçleri şirketiniz için neden önemlidir?Verilerim için hangi yedekleme türü en iyi seçimdir? Veri yedekleme gerçek hayatta işte bu kadar önemlidir Bu makale konuları kapsamaktadır: |
|