Bulut Bilgi İşlem Süreçlerinde Güvenlik Problemlerinin Çok Katmanlı Sınıflandırılması

21 Nisan 2017 Cuma / 11:02 | GÜVENLİK 190. Sayı (Nisan 2017)

19 kez okundu

Bulut teknolojilerinde bazı temel güvenlik gereklilikleri farklı tehditler altında kalabilmektedir. Bu tehditler genel olarak gizlilik ihlali, veri sızmaları ve farklı bulut kademelerinde yetkisiz erişim şeklinde görülmektedir. Bu makale farklı bulut hizmetlerinin her bir katmanında farklı güvenlik saldırılarının yeni bir çok katmanlı sınıflandırmasını sunmaktadır. Bu çalışma aynı zamanda bu katmanlarda farklı bulut hizmetleri ile bağlantılı olan saldırı türlerini ve risk seviyelerini de tespit etmektedir. Bu riskler düşük, orta ve yüksek olarak derecelendirilmektedirler. Bu risk seviyelerinin yoğunluğu bulut katmanının pozisyonuna bağlıdır. Saldırılar, altyapı ve platformun sürece dahil olduğu daha düşük seviyelerde daha şiddetli olmaktadır. Bu risk seviyelerinin yoğunluğu aynı zamanda şifreleme, çoklu-kullanım, veri gizliliği, kimlik doğrulama ve farklı bulut hizmetleri için yetkilendirme anlamındaki güvenlik gereklilikleri ile de bağlantılıdır. Çok katmanlı sınıflandırma modeli her bir bulut katmanı için dinamik güvenlik kontratının sağlanması anlamına gelmektedir ve bu dinamik güvenlik kontratı bulut tüketicisi ve sağlayıcı için geçerli olan güvenlik gerekliliklerine dinamik şekilde karar verir.

1. GIRIŞ

Bulut bilgi işlem, depolama hizmetleri ve platform yazılımı sağlamaya yönelik modellere dayalı geniş bir paradigmayı temsil etmektedir. Bulut bilgi işlem kavramı halihazırda e-posta sunucuları, web depolama ve barındırma hizmetleri için kullanımda olan dağıtılmış ve ızgara sistem bilgi işlem alanlarından ortaya çıkmıştır. NIST tarafından tanımlandığı hali ile bulut bilgi işlem şu şekilde ifade edilmektedir: Paylaşılan bir yapılandırılabilir bilgi işlem kaynakları havuzuna (örneğin ağlar, sunucular, depolama, uygulamalar ve hizmetler) yaygın, kullanımı kolay ve talebe bağlı ağ erişimi sağlamaya yönelik olan ve minimal yönetim eforu veya hizmet sağlayıcı etkileşimi ile hızlı şekilde sağlanabilen bir model.

Bulut bilgi işlemde bulutlar farklı katmanlarda tanımlanabilmektedir, örneğin SaaS (Hizmet olarak Yazılım), Paas (Hizmet olarak Platform) ve Iaas (Hizmet olarak Altyapı). Her ne kadar bulut teknolojilerine yönelik uygulamalar henüz geliştirme aşamasında olsa da, bulutlar üzerinde veri ve hizmet anlamında güvenlik gereklilikleri araştırmacıların ilgisini çekmektedir ve bir bulutun her bir katmanının olası saldırılara karşı dikkate alınması bir gereklilik halini almıştır. Burada belirtilmesi gereken bir nokta ise bulut bilgi işlem sistemlerinin pek çok avantajları olduğu ancak büyük organizasyonların ise hala güvenlik konuları ve riskleri sebebi ile sistemlerini buluta geçirme konusunda isteksiz olmalarıdır.

Bu sebeple bulut sistemlerindeki güvenlik konu ve problemlerinin analiz edilmesi ve bulut çözümlerinin daha yaygın şekilde kabul görmesinin sağlanması için bir çözüm bulunması önemlidir. Ancak, bulut teknolojileri daha yeni bir alan olduğu için, bulut sistemlerinin güveliği ile ilgili gereklilikler ve konular hakkında araştırmalar henüz çok erken aşamalarındadır. Literatürde, bulut güvenlik saldırılarına yönelik farklı sınıflandırmalar söz konusudur ve bunlar spesifik bir bulut hizmetini veya belirli bir bulut sistemini hedeflemektedir. Bu sebeple her bir katmanda olmak üzere çok farklı bulut hizmetleri boyunca güvenlik saldırılarının daha kapsamlı bir sınıflandırmasına ihtiyaç vardır. Bu makale farklı bulut hizmetlerine yönelik güvenlik saldırılarının çok katmanlı sınıflandırmasını ve farklı bulut katmanlarında bunlarla bağlantılı riskleri ortaya koymaktadır. Bu çalışma aynı zamanda bulut tüketicisi ve sağlayıcı için güvenlik gerekliliklerine dinamik şekilde karar veren ve her bir bulut katmanı için ayrı olan dinamik güvenlik kontratlarının sağlanmasını da değerlendirmektedir. Çalışmanın geri kalanı şu şekilde yapılandırılmıştır: Bölüm 2’de ilgili çalışmalar sunulmuştur. Bölüm 3’te bulut bilgi işlem süreçlerinde güvenlik problemlerinin çok katmanlı sınıflandırması verilmiştir. Bölüm 4 dinamik güvenlik kontrat kavramını açıklamaktadır. 

Makalenin Devamı İçin: http://www.yanginguvenlik.com.tr/edergi/5/190/index.html#64

 

---