Bulut bilişim, gündemde olmaya devam ediyor. Bu yaklaşımın iş dünyasına sağladığı avantajlar, bilişim dünyasındaki en önemli konulardan biri. Özellikle maliyet, esneklik ve hizmet kalitesi bulut bilişimi her zamankinden daha önemli kılıyor. Teknoloji ve dijitalleşme ile birlikte hayatımızın büyük bir alanını kaplayan bulut bilişimin gücünü Fortune Türkiye Dijital Masa Toplantıları’nda bu kez Microsoft, Palo Alto Networks ve SoftwareONE Turkey’in destekleriyle gerçekleştirdik. Gündemimiz, “Dijitalleşmede Bulut Bilişimin Gücü ve Bulut Güvenliği” idi. Kurumların dijital dönüşümde bulut teknolojileri adaptasyonu ve buluttaki güvenlik gündemlerini ele alırken, bulut güvenliğinde nasıl bir gelecek bizleri bekliyor, şirketler prisma cloud ile bulut evriminde nasıl avantaj sağlıyor, bulut teknolojilerinin makro ekonomik görünümü ve container çözümleri neler olduğu konularına dair pek çok soruya yanıt aradık.
ŞULE LALELİ
‘GELECEK 10 YILDA SUNUCUSUZ YAPILAR GÜNDEMDE OLACAK’
“Dijitalleşme yatırımlarını yapan kurumlar bu yeni sürece hızla adapte olurken diğer yandan siber risklerle de karşı karşıya kaldılar. Kurumlar siber risklerini en etkin şekilde yönetmeye, siber tehditlerine karşı korunmak için de standartlar, politikalar ve stratejiler geliştirmeye başladılar” diyen Coca Cola İçecek Bilgi Güvenliği Lideri CISO Alen Bohcelyan, kurum genelinde alınacak her bir kararın veri güvenliği perspektifinden bakılması gerektiğinin altını çiziyor.
Siber riski etkin şekilde yönetirken ve güvenlik risklerini değerlendirirken nelere odaklanıyor ve yeni nesil otomasyon çözümlerinde verimliliği maksimuma çıkarmak üzere hangi aksiyonları devreye alıyorsunuz? “Konunun özü tehdit yüzeyini ve buna bağlı tehdit modellerini doğru şekilde yönetebilmekte. Çok hızlı değişen bir dünyadayız ve pandemi de ne kadar hızlı değişebileceğimizi, bize kanıtlamış oldu. Durmaksızın devam eden değişimle birlikte, her geçen gün sunduğumuz yeni kabiliyetlerle, yaptığımız yeni süreçsel değişikliklerle veya her yeni girişimle, tehdit yüzeyimizin değişmesine sebep oluyor buna bağlı olarak tehdit modellerimiz farklılaşıyor. Değişimin hızı ile orantılı şekilde tehditleri modelleyebilir ve önlem alabiliyorsanız, değişimin hızı bir dezavantaj olmaktan çıkmaya başlıyor. Verilen kararların ilk andan itibaren değerlendirilmesi yapılmaması halinde, değişiklik hayata geçtiği anda risk doğuyor ve güvenlik ekipleri durumu olması gerektiği hale getirene kadar risk sizinle birlikte yaşamaya başlıyor. O nedenle kurum genelinde alınacak her bir kararı, veri güvenliği perspektifinden değerlendirmek gerek.
Gelecek öngörüsü olarak, globalde güvenlik ekiplerinin sesinin ve becerisinin kuruma daha çok ve güçlü yayılacağı, bir 10 yıllık perspektif gözlemliyoruz. İkincisi teknik tarafta, yazılım geliştirme döngüsünde. O da şu; yazılım geliştiricilerin bütün kabiliyet geliştirme adımlarını olabildiğince hızlandırmaya odaklanıyoruz ki, daha hızlı servis getirelim, pazarda daha hızlı yarışalım ve daha çok katma değer üretelim. Tam bu noktada hızlı geliştirme, genişletme perspektiflerinden ötürü sunucusuz (serverless) altyapıların hayatımıza daha fazla girmeye başlayacağını öngörüyoruz. Bütünleşik olarak sunucu güvenliği, container güvenliği, sunucusuz altyapıların güvenliğinin yönetilebileceği çözümler maksimum verimlilik için temel bir teknoloji ihtiyacı olacağı görüşündeyiz.”
Gelecek döneme ilişkin Coca Cola İçecek olarak güvenlik konusundaki çözümleriniz neler?
“DevSecOps günümüz için kaçınılmaz bir işletme tekniği olmak ile birlikte kritik olan halen geliştirme döngüsünün (Software Development Life Cycle) olgunluğudur. Kurumların sürecin tamamını adım adım doğru anlamış olması, doğru şekilde tasarlamış olması ve bunların nasıl bir harmonide yerine getirileceğini belirlememişsek DevSecOps bir
çözüm olmayacaktır. DevOps aslında sadece ve sadece bir otomasyon yöntemi veya tekniği değil, bütün standartları, sürecin kurumsallığının oluşturulmasını zorlayan ve ondan sonra bunları bir teknolojiyle harmanlayıp, en efektif şekilde yerine getirmenize yarayan bir mantalite ve haliyle bu da kurumsal bir kültür demek. Yani hem yazılım geliştirici hem operasyon hem de güvenlik ekiplerinin bu kültürü anlaması ve aynı zamanda da katkı göstermesi gerekiyor. Geliştirme döngüsüne ilişkin benim altını çizmek istediğim iki konu var.
Biri, “shifting security left” çünkü bizim gördüğümüz kadarıyla bir sorun, bir zayıflık test aşamasında teşhis edildiğinde, maliyet 6 kat ila 15 kat daha fazla oluyor ve operasyonel efektifliği ciddi anlamda etkiliyor. Shifting security left, yazılmış kodun teknik zayıflıklarını anında teşhis etmekten başlayarak tüm süreci baştan sona kapsayacak bir mantalite olmalı. Kapsamda tehdit modelleme çalışmalarının daha otonom hale getirilmesi, secret vault ve daha otonom servis hesabı yönetimi, açık kaynak modüllerini teşhis etme ve denetleme gibi birçok kabiliyeti içeriyor.
İkinci konu da, bug bounty programların öneminin dijital işletmeler için arttığına inanıyoruz. Çünkü bütün uygulama geliştirme sürecini işlettiniz, bir çıktı var, artık bu çıktıyı danışmanlık hizmeti alarak binlerce kişiye denetletmeniz efektif ve sürdürülebilir değil. Bug bounty programlar ile bütün süreçte yaptığımız geliştirmeler ve sıkılaştırmaların sonucunu, yüzlerce uzmanın görüşüne açmanın ve onlardan görüş toplamanın, başarılı ve efektif bir denetim yöntemi olduğuna inanıyorum.”
‘KONTEYNER VE BULUT GÜVENLIĞINE AĞIRLIK VERECEĞIZ’
Dijital dönüşümü yakalayıp, trendleri hayata geçirirken, her yenilikte, her gelişimde olduğu gibi; güvenlik alanına da yatırım yapma ihtiyacı doğuyor. SoftwareONE Turkey DevOps Çözümleri Lideri Altuğ Yıldırım bu ihtiyacı prisma cloud ve konteyner güvenliği ile açıklıyor ve gelecek dönemi anlatırken, kurumların özel, çoklu ve hibrit buluta yakın olması gerektiğine dikkat çekiyor. Yıldırım, gelecek dönem için SoftwareONE Turkey’in konteyner ve bulut güvenliğine daha fazla ağırlık vereceğini, bununla beraber sunucusuz bilişim teknolojilerindeki güvenlik önlemleri konusuna da yatırım yapacaklarına değiniyor.
“Dijital dönüşümü uygulama ve altyapı modernizasyonu olarak iki gruba ayırdık. Bu iki grubu da DevOps metodolojisiyle bağladık. Böylece, Dijital Dönüşüm sürecinde müşterilerimize uçtan uca hizmet verebilmeye, daha doğru ve başarılı çıktılar elde edebilmeye başladık. Birçok güvenlik ürününü incelediğimizde yatırımlarını resmin bütününe göre yapmadıklarını, bir kutu içerisinde kaldıklarını fark ettik. Halbuki bizlerin, DevOps süreçlerinin olabildiğince her noktasına değinebileceğimiz ve “Shift Left” metodolojisini uygulayabileceğimiz bir ürüne ihtiyacımız vardı.Bu sebeple; Prisma Cloud Compute (Twistlock) ile birlikte odağımızı Prisma Cloud ailesine çevirdik.
Palo Alto, Twistlock’ı Prisma Cloud ailesine kattı, Ardından da Aporeto dediğimiz, kimlik tabanlı mikro segmentasyon (identity based microsegmentation) tarafında bir güvenlik duvarı çözümüyle, konteynerlerin birbirleriyle konuşmasını güvenli hale getirdik. Ardından son olarak Bridgecrew ile beraber “IaC Security” dediğimiz alana yatırım yaparak, bünyesine büyük bir oyuncuyu dahil etti. Bugün neredeyse her müşterimiz bize diyor ki; artık altyapılarımızı kod olarak dağıtmak, Terraform, ARM kullanmak istiyoruz. Özellikle halihazırda kullanılan deklarasyon dosyalarıyla (YAML, Helm Chart vb.) beraber bu akım, güvenlik ekiplerinin yeni dönemde radarında olacağı kesin. Bu sebeple Bridgecrew ürününü çok önemsiyoruz ve Prisma Cloud ailesine katılmış olmasına çok seviniyoruz. Tabii tüm bu özelliklerin yanı sıra; bizler Prisma Cloud’u kurumumuza entegre ederek Azure kullanımını ve diğer çoklu bulut kullanımların güvenliğini ustaca sağlayabiliyoruz. Prisma Cloud bizim buradaki en büyük yardımcımız konumunda. Prisma Cloud, tek bir portal üzerinden neredeyse tüm yazılım yaşam döngünüze (SDLC) dokunabildiğinden bu sorunu da ortadan kaldırıyor. Özetleyecek olursak; hem altyapınızı, hem konteynerlarınızı, hem de ağ güvenliğinizi, hatta ve hatta yazmış olduğunuz “IaC” kodlarınızın güvenliğini tek bir platform üzerinden yapabiliyorsunuz. Prisma Cloud aslında kendini bir siber güvenlik platformu olarak değerlendiriyor. Microsoft’un da ve Palo Alto’nun da yoğunlaştığı bir diğer üçüncü altyapı var; o da sunucusuz bilişim ve şu anda karşılaşacağımız en niş güvenlik açıklarına neden olacak, konulardan biri olabilir. Bu noktada, hem Azure Functions da, hem de bunun müadili yapılarda Prisma Cloud sizlere uçtan uca bir altyapı güvenliği sağlıyor. Konteyner güvenliğine biraz daha değinecek olursak, Palo Alto Networks’ün kendine has bir veri tabanı ve buna ait bir zafiyet ve uyum yönetimi mekanizması var. Kendi istihbarat veritabanı sayesinde 7/24 sistemleriniz en güncel ataklardan haberdar oluyor ve buna göre savunma mekanizması kurgulanabiliyor. Bu çok büyük bir artı.
Son olarak sizler kendi ortamlarınızda konteyner güvenliği ürünü konumlandırmak istiyorsanız, öncelikli dikkat etmeniz gereken hususlar; özel, çoklu ve hibrit buluta yakın olabilmesi, Microsoft gibi üretici firmalarla sıkı çalışıyor olması ve bence en önemlisi bu işe kafa yoran bir istihbarat ekibi ve buna bağlı olarak kendine özgü bir veritabanına sahip firmalar olmasıdır.”
KONTEYNER VE BULUT GÜVENLIĞINE AĞIRLIK VERECEĞIZ
“2022 ile beraber biz ne yapacağız? Öncelikle konteyner ve ekosistemi ile çalışmaya ve bu alana yatırım yapmaya devam edeceğiz. Buradaki kullanacağımız ortamlar; özel, genel ve hibrit bulut olacak. Bunların güvenliğine daha da çok ağırlık vereceğiz. Prisma Cloud ailesine daha fazla yatırım yapacağız. Bu ekosistemin etrafına yeni bileşenler koymayı ihmal etmeyeceğiz çünkü artık yeni bir dünya geliyor, geldi. Bu noktada yeni altyapılar da geliyor. Sunucusuz bilişim bunlara örnek. Tüm bu çerçevede yeni yılda buluta, konteynera ve tabii bunların güvenliğine daha fazla yatırım yapacağız.”
Palo Alto Networks, Bölge Sistem Mühendisliği Lideri Burak Sadıç, önümüzdeki 5-10 yıl içinde yaşanması beklenen gelişmelerin pandeminin etkisiyle birkaç ayda yaşandığını belirtirken, birçok kurumun, çalı- şanlarının uzaktan çalışmaya başla- masıyla güvenlik çözümlerine daha fazla ihtiyaç duyduğunu ve bu süreci de kısa sürelerde kurumlarına adapte ettiklerini ifade ediyor.
Palo Alto Networks olarak bilginin kurumun iş önceliklerine uygun olarak gizliliği, bütünlüğü ve erişilebi- lirliğinin sağlanmasına nasıl yardımcı oluyorsunuz?
“Normal şartlarda 2025 ya da 2030 yılında hayatımıza girecek gelişmeleri pandeminin etkisiyle birkaç ayda yaşamaya başladık. Geleneksel yapılarda uzaktan çalışma kavramı; kısıtlı sayıda çalışana verilen laptoplar, bunların VPN ile kuruma ulaşması ve çalışanların da cep telefonlarından kurum e-maillerine erişmesinden ibaretti. Şimdi ise çalışanların hangi saatte, nereden, hangi cihazlardan çalıştığı çok da önemli değil. Palo Alto Networks olarak, ‘yarının güvenliğini bugünden sağlamak’ vizyonuyla, tam da bu noktada kurumların yardımına yetiştik. Çalışanları uzaktan ama güvenli olarak çalışmaya ihtiyaç duyan birçok kurumun, bunu geleneksel güvenlik çözümleriyle sağlaması mümkün değildi ve biz bu geçişi günler, haftalar diyeceğimiz bir süreçte sağladık.
Güvenliği sağlama konusuyla ilgili üç konunun altını çizmek isterim. Bunlardan ilki bulut güvenliği. Buluta devşirilmiş değil, bulut için yazılmış bir güvenlik platformu oluşturma vizyonuyla yola çıktık ve şu anda da üçüncü versiyonu olan olgun bir güvenlik platformu haline geldik.
İkinci konu network güvenliğinin dönüşümü. Kurumsal sınırlar ortadan kalktı, bu dünyada da eski güvenlik çözümlerini kullanmak çok mümkün değil. Bizim kurumlara, müşterilerimize sağladığımız en büyük avantajlarından biri şu oldu; ihtiyacınız bir güvenlik duvarı (firewall) olabilir ama biz güvenlik duvarınızı, kapsamlı bir network güvenliği platformu haline dönüştürdük. Orta ölçekteki bir kurumda 30 ile 50 arasında güvenlik çözümü kullanılıyor ama bizim kurumlara sağladığımız avantaj, bunların hepsini tek bir network güvenlik platformu ile sağlayabilmemiz.
Üçüncü ve son konu ise, güvenlik operasyonlarının yönetimi. Yeni nesil güvenlik operasyon merkezlerinde artık gerekli insan kaynağını mümkün olduğunca aza indiren teknolojiler kullanılmalı ve sadece izleme değil müdahale yetenekleri de devreye alınmalı. o noktada da otomasyon ve erken müdahale, dolayısıyla da XDR, XSOAR ve atak yüzeyi yönetimi anahtar kelimeleri öne çıkıyor. Saldırganlar kurumlarımıza nerelerden saldırabilir, bunu saldırganlardan önce bizim keşfetmemiz ve engellemek için otomatik aksiyonlar alabilmemiz çok önemli. Bu konuda da kurumlara yeni nesil güvenlik operasyonları yönetimi platformumuzla yardımcı olmaya çalışıyoruz.
Özetle, Palo Alto Networks olarak, network güvenliği, bulut güvenliği ve güvenlik operasyonları yönetimi platformları sunuyoruz. Ve bu platformları kullanan müşterilerimize hem zaman, hem personel ihtiyacı, hem de güvenlik seviyesi açısından önemli avantajlar sağlıyoruz.”
Palo Alto Networks’ün vizyonu, ‘yarının güvenliğini bugünden sağlamak.’ İş ortaklarınızla beraber üst seviye müşteri memnuniyeti için hangi bulut güvenliği çözümleri gündeminizde?
“Bulutta güvenlik denildiği zaman ilk ve en önemli adımlar görünürlük ve uyumluluk. Uyumluluk derken bu bir regülasyon uyumluluğu olmak zorunda değil, bu kendi kurum standartlarımız da olabilir. Ama yarını bırakın bugün bile bu iki adım da yeterli değil. O nedenle, zafiyet yönetimi, API güvenliği, erişim kontrolü ve CI/CD entegrasyonu da muhakkak düşünülmeli. Bunlar olmazsa olmaz ve DevSecOps’ta da tıpkı DevOps gibi en temel öncelik Shift Left olmalı. Bulut, yazılım parçalarından oluşan karmaşık bir yapı, siz bu kod parçalarının oluşturulması ve özellikle devreye alınmasını güvenli olarak yapabilmelisiniz. Sürecin mümkün olduğunca başından başlayarak, özel ya da genel bulut ayrımı yapmadan ve birden çok genel bulut sağlayıcısının ya da konteyner orkestrasyon yapısının güvenliğini sağlayabilen bir bulut güvenliği platformu kullanmak çok önemli.”
‘INSAN ZEKASINI ISRAF ETMEYIN’
Kurumlar için bilgi ve iletişim tek- nolojilerinde başarılı ve kalıcı olmanın en önemli şartından biri de nitelikli
ve sürdürülebilir iş gücüne sahip olmak. Bu nedenle kendi ihtiyaçlarına yönelik olarak kurumlar, doğru insan kaynağını bulmak, işe almak ve en iyi performans gösteren çalışanını elinde tutmak istiyor. Türkiye İş Bankası BT Güvenlik Yönetimi Müdür Yardımcısı Emre Alptekin, çalışanın aidiyetini ve katkısını arttıracak çözümler bulmak gerektiğinin altını çizerken, çalışanın zekasının da israf edilmemesi gerektiğinin üzerinde duruyor.
Yeni normal ve yeni nesil bankacılık bankalar için farklı hizmet modelleri ve yeni nesil altyapıların adaptasyonunu hızlandırdı. Bu yeni mimari konseptinde risk yönetim stratejisini nasıl hayata geçiriyorsunuz?
“ISC2 (International Information Systems Security Certification Consortium), 2021 Cloud Security Raporu’nda, bulut güvenliği konusunda kaç firmanın endişe duyduğu üzerine bir analiz yayınlıyor. Bulut güvenliği konusunda endişeli olup olmadıkları sorusuna, katılımcı kurumların yüzde 96’sı çok endişe duyduklarını söylüyor. Bu sorunun ardından, “Peki yeterli seviyede misiniz?” sorusunaysa, kurumların yüzde 72’si, “Hayır, yeterli seviyede değilim.” diye yanıtlıyor.
Endişe hep aynı… Veri kaybı yaşayacak mıyız, gizli veriler ifşa olacak mı, kullanıcılarımın kimlikleri ele geçecek mi? Her birimizin veri merkezinde zaten halihazırda aldığı önlemler var. DDoS koruması kullanıyoruz. WAF, IPS, uç
nokta korumalarımız var. Üstüne yetmiyor EDR, EPP koyuyoruz. Bulut sağlayıcılarının sahip olduğu IP’ler zaten Google’da çok basit bir aramayla bulunabiliyor. Nasıl kendi ortamımızda güvenlik operasyonu yapıyorsak, saldırganlar da benzer araçlarla bu adresleri tarıyorlar ve bir açık olduğu zaman saldırıyorlar. Öncelikle bir temelimiz olmalı. Kendi kendimize kurallar koymalıyız ve ilk başta şu sözü vermeliyiz: Ben ayrıcalık tanımayacağım. Örneğin; yeni bir hesap oluşturduğumda, hemen ikinci faktörünü etkinleştireceğim ve sadece Kimlik Erişim Yöneticisi tarafında oluşturduğum yöneticiye yetki vermek için kullanacağım. Onlara çok faktörlü kimlik doğrulamayı, zorunlu kılacağım diye başlarsak, çok sıkı temeller oluşturmaya başlarız. Temelim var ama benim yıllarca geliştirdiğim WAF tecrübem, IPS imzaları konusunda çok güzel prosedürlerim de var. Çünkü eski donanım ve işletim sistemlerinize destek sunan ortamınızı kapatamıyorsunuz ve WAF kullanıyorsunuz. Şirket içinde biz konteyner altyapısı kuracaksak, bir otomasyon sağlayacaksak, onun güvenliğini sağlayacaksak niye biz bulut da da kullanabileceğimiz bir uygulama seçmeyelim? Klasik ortamlarda işlettiğiniz sürüm süreçleri, DevOPS uyumlu hale getirilebilir, bu sayede hem bulut ortamını da kapsayacak hem de veri merkezinizdeki uygulamalarınızı güncelleyeceğiniz bir sürüm süreciniz olabilir.”
Yeni güvenlik sorunlarıyla başa çık- mak için bulut güvenliği konusunda yetenekli siber güvenlik elemanlarının istihdamı konusunda hangi tedbirleri alıyorsunuz?
“Az emek değil uğraşıyorsunuz, didiniyorsunuz her çalışanı bir yere getiriyorsunuz. Belirli bir seviyenin üstüne çıkarttığınız anda, ‘ben gidiyorum’ diyor. Çalışanın kurumunuzda kalması için ilk madde; ücret-maaş-prim üçlüsüdür. İkincisiyse kurumunuzda sizi en çok bağlayan, kurumunuzun size ne verdiği değil, kuruma ne verdiğinizdir. Eğer siz kurumun vizyonuna, hedeflerine katkı sunduğunuzu hissediyorsanız ve alınan sonuçlarda benim de imzam var diyebiliyorsanız, oradaki aidiyet duygusu yükseliyor.
Çalıştırdığınız kişilerin zekası, yapay zekayı geliştirebilen, size otomasyon sürecini yazabilecek bir zekayken, onları düz operasyon süreçlerinde kullanamazsınız. Bunun yerine onun aidiyetini ve katkısını arttıracak çözümler bulunmalı. Bunu da güvenlik ya da IT operasyon araçlarıyla yapacağız. İş yapışımızı değiştirmeliyiz, doğru araç ve doğru geliştirme imkanı varsa, elinizdeki insan zekasını bu araçları kullanarak artık operasyonu, otomasyona çevirecek seviyeye getirmek gerekiyor. Bu insanlar bunu başarabildiği zaman da kendini daha bağımlı hissedecek. Çünkü hoşuna gitmeye ve paylaşmaya başlayacak. Diyecek ki, eskiden günde 10 iş yapabiliyorduk, benim geliştirdiğim kodla saatte 10 iş yapıyoruz. Bunu dedirtebildiğinizde işte ücret döngüsündeki dalgalanmalardan daha az etkilenmeye başlayacaksınız. Siz onun aidiyetine dokunamadıysanız, o size bir şeyler verebildiğine inanmıyorsa, daha onu birinci maddeden kaybedeceğiniz kesin. O nedenle, operasyona feda ederek, insan zekasını israf etmeyin diyorum. Güvenlik ve altyapı otomasyon araçlarına yönelin.”
‘30’UN ÜZERİNDE FARKLI ÇÖZÜMLE BULUT GÜVENLİK SERVİSLERİNE ÖNCÜLÜK EDİYORUZ’
Bulut Bilişim, bilgi işlem hizmetlerinin internet üzerinden sağlanmasının yanı sıra, daha hızlı inovasyonun, kaynaklara esnek erişimin ve ekonomik bir şekilde ölçeklendirmenin sunulması anlamına geliyor. Bulut bilişimle birlikte, bilgi teknoloji işletim maliyetlerinizi düşürebilir, altyapınızı daha verimli bir şekilde çalıştırabilir ve anlık değişen iş gereksinimlerinize uygun şekilde ölçeklendirme yapabilirsiniz” diyen Microsoft Bulut Çözüm Uzmanı Hakkı Öğretmen, sağladıkları bulut bilişim çözümlerinin dijitalleşen gelecekteki en önemli adımlara kolay ve hızlı erişimin yolu olduğunu söylüyor.
Buluta yazılım geliştiricilerin güvenli bir şekilde entegre olması konusunda Microsoft hangi çözümleri sunuyor?
“Bulutta, IaaS (Infrastructure as a Service), PaaS (Platform as a Service) ve SaaS (Software as a Service) olarak adlandırdığımız temelde üç kavram var. IaaS (infrastructure as a Service altyapı hizmetine ait katmanlar bulut sağlayıcı tarafından yönetilmektedir), klasik sanal veri merkezine en yakın olarak tanımlayabileceğimiz bir kavram. Bulut sağlayıcı farketmeksizin IaaS tercih edilen senaryolarda, paylaşılan bir güvenlik yaklaşımı bulunmaktadır. Altyapı adına; donanım, sanallaştırma ortamı, depolama ve network ağının güvenliği bulut sağlayıcılar tarafından yönetilirken, sanal sunucu üzerine kurulu uygulama ve veritabanı güvenliği müşteriler tarafından sağlanmalıdır. Elbette, klasik bir bulut sağlayıcıya kıyasla Microsoft Azure ek güvenlik yaklaşımlarını da sunmaktadır. PaaS servisleri ise başta güvenlik olmak üzere; operasyonel maliyetler, esneklik, otomasyon gibi bulut kullanımının en önemli avantajları olarak nitelendirdiğimiz kazanımlara ulaşmamızı da sağlamaktadır.
Microsoft Azure ile hem küresel hem de yerel bulut sağlayıcılara göre esnek bir çözüm yelpazesi sunmaktadır. Bu çözümlerin güvenliği de arttıracak çözümleri beraberinde geliştirmektedir. Uygulama ya da veritabanı servislerini PaaS olarak tercih ettiğinizde işletim sisteminin güvenliği, yama yönetimi, ara katman ya da veritabanının güncellenmesi gibi bir çok güvenlik ile ilişkili operasyonlar tamamen yönetilen bir servisle, Microsoft Azure tarafından veriliyor.
Bizim belki de müşterilerimizde en çok konuştuğumuz çözümlerimizden birisi de DevOps. Bu alanda, Azure DevOps ve GitHub ürünlerimiz ve DevOps’u destekleyecek farklı bulut servislerimiz ve yazılım geliştirme ürünlerimizle destek oluyoruz. DevOps yaklaşımında en basit anlamda bir kod geliştirdiğimizde, uygulamayı test ortamına teslim etmeden önce bir güvenlik taramasından, kalite kontrolünden geçirip, testler uyguluyoruz.
Bizim kurum ya da ekip içerisinde belirlediğimiz başarı ve güvenlik hedeflerimize uygun değilse Yazılım geliştirme sürecini o aşamada kesip, başarı kriterini etkileyecek kod iyileştirmelerini uygulamaktı. Bu da tekrar tekrar kod derleme, acil kod teslimatlarında başarı kriterlerinin bypass edilmesine yol açabiliyordu. GitHub herhangi derlemeye gerek kalmadan daha değişiklik versiyon kontrol uygulamasına gönderildiği anda “dependabot” ismini verdiğimiz yapay zeka destekli yaklaşımızla birlikte güvenlik taramalarını yapıyor. Kod içerisinde parola var mı yok mu, bağımlılık grafikleri çıkarıp, bütün bağlı olduğu, açık kaynak projelere ve bu projelerin güvenli versiyonda olup olmadığını kontrol ediyor. Bunlarla ilgili bizlere uyarılar veriyor ya da doğrudan “pull request” ile proje sahibine yönlendirmelerle birlikte dönüş yapıyor.
Sadece DevOps ürünü olarak değil, bulut üzerinde konumlandırdığımız uygulama ve veritabanı ortamlarımız için 30’un üzerinde farklı çözümle hızlı, esnek, maliyet odaklı çözümler sunuyor. Güvenlik açısından olmazsa olmaz olarak tanımlayabileceğimiz, SIEM çözümünden, DDoS koruma çözümüne, WAF’dan, EDR çözümüne, güvenlik duvarı çözümüne kadar farklı çözümlerle birlikte farklı bulut güvenlik servisimiz bulunuyor. Bu çözümlerin yanı sıra çok sayıda iş ortağımızın çözümünü de kullanıma hazır “marketplace” uygulaması modelinde müşterilerimize sağlayayabiliyoruz. Kısacası yazılım geliştiricilerin kişisel bilgisayından, uygulamaların son kullanıcıya hizmet verdiği canlı ortama kadar aşamayı ele alarak doğru bir altyapı ve güvenlik mimarisi için müşterimizle çok yakın çalışıp, en güvenli ve maliyet odaklı yapıyı sunmaya gayret ediyoruz.”
‘YETIŞMIŞ INSAN KAYNAĞINA ÜLKEMIZ VE DÜNYA GENELINDE IHTIYAÇ OLDUĞU AŞIKARDIR’
Günümüzde sektörü fark etmeksizin her kurum bulut teknolojisini çok çeşitli alanlarda kullanıyor. Bunun içinde yetişmiş insan kaynağına her zamankinden daha fazla ihtiyaç duyuluyor. Yapı Kredi Teknoloji Veri ve Uç Nokta Güvenliği Müdürü Serkan Kırkkulaç, yetişmiş insan kaynağına hem ülkemiz hem dünya genelinde ihtiyaç olduğunu belirtirken, yetkinliklerin de disiplinler arası geçişken olmasının oldukça önemli olduğunu söylüyor.
Geleneksel güvenlik mimarisine sahip kurumların bulut mimarisine ve güvenliğine geçişte hangi bakış açılarına sahip olması gerekir?
“Sorunuza insan, teknoloji ve süreç boyutlarında cevap vermenin konunun anlaşılması adına faydalı olacağını düşünüyorum. İnsan boyutunda; “Yetişmiş insan kaynağına hem ülkemiz hem dünya genelinde bir ihtiyaç olduğu aşikar.” Uzmanlaşmış insan kaynağını, erken evrede birer bulut güvenlik mühendisi, mimarı, analisti olarak yetiştirmenin, kurumlar açısından bulut mimarisine ve güvenliğine geçişte önemli bir strateji ve öncelik olduğunu düşünüyorum.
Teknoloji boyutunda; bulut mimarisine geçiş ile birlikte geleneksel olarak nitelendirdiğimiz teknolojilerin bir çoğu yerini “Cloud Native” ya da konumlandırması itibariyle geleneksel mimari de görece olarak alışkın olmadığımız bütünleşik güvenlik özellikleri sunan teknolojilere bırakmaktadır. Bugün kurumlar konteyner güvenliği, kubernetes güvenliği, SASE (Secure Access Service Edge), ZTNA (Zero Trust Network Access), CASB (Cloud Access Security Broker) ya da benzer nitelikte bulut sağlayıcılarının sağlamış olduğu güvenlik çözümlerini değerlendirmekte
ya da kullanmaktadır. Bundan hareketle kurumların bulut dönüşüm stratejilerini de göz önünde bulundurarak, hedefledikleri mimari için konumlandıracakları güvenlik teknolojilerini, tüm güvenlik disiplinlerinin bir arada olacağı, disiplinler arası bakış perspektifiyle zenginleştirecekleri etkin çalışma gruplarıyla, erken evrede bu teknolojilere adaptasyonun sağlanması adına oldukça önemli görüyorum.
Süreç boyutunda; belki de bu dönüşümde en az önem verilen ancak diğer iki boyut kadar önemli bir konu olduğunu düşünüyorum. Bu nedenle kurumların geleneksel güvenlik mimarisinde inşa edilen süreçlerini, bulut mimarisine geçiş ve dönüşümle paralel olacak şekilde ele alması ve kontrollerini uygulaması oldukça önemlidir. Aksi taktirde sağlıklı bir dönüşümden bahsetmemiz mümkün olmayacaktır.
Altyapı Güvenliği ve Yazılım Geliştirme döngüsünde ise konuyu ele alacak olursak; yaşanılan dönüşümle birlikte altyapılar tamamen belirli bir kod blokları üzerinde çalışacak şekilde “Infrastructure as a Code” haline dönüşmekte ve ölçeklenebilir mikro servislerle birlikte çalışmaya başlamaktadır Hatta birçok kurum kendi mimarilerini bu yapılar üzerinde aktif olarak çalıştırarak kullanmaktadır. Yazılım geliştirme süreçlerinde ortaya çıkacak güvenlik kusurlarını görünür hale getirecek, zafiyetlerin tespit edilmesini sağlayacak, belirli uyum kontrollerini yapma yeteneği olan ve genel güvenlik duruşunu gösterebilecek yetenekte, bütünleşik güvenlik çözümlerine olan ihtiyaç eskisine nazaran daha fazla ve bu tip çözümlerin kullanılmasına daha fazla ihtiyaç bulunuyor.
Diğer yandan yetkinliklerin disiplinler arası geçişken olması da bir o kadar önemlidir. Artık bir yazılım uzmanına güvenlik yetkinliği ya da güvenlik uzmanlarına yazılım geliştirme yetkinliği kazandırılmasının kaçınılmaz hale geldiğini görmekteyiz.”
Karma bulut ve orkestrasyon yapılarında ortak güvenlik standartlarını nasıl yönetiyorsunuz?
“Yaşanılan dönüşümle beraber atak yüzeyi buluta doğru genişleyerek evrildi. Dolayısıyla kullanmış olduğumuz bulut ortamlarında ve orkestrasyon yapılarında güvenlik standartlarını uygulamak oldukça önemli hale geldi. Bu nedenle karma bulut ortamlarında desteklenen yenilikçi ve bütünleşik güvenlik kontrolleri sunan çözümler aracılığıyla; güvenlik standartlarını belirli endüstri çerçeveleriyle uyumlu olacak şekilde oluşturmak, takip etmek ve otomatize olarak yönetmek önemli bir gerekliliktir. Bununla beraber her bir güvenlik standardının ortamlarımızda birebir uygulanması da mümkün olmamaktadır. Bu nedenle; özenle her bir kontrolü içselleştirmek, ortamlarımıza uyarlamak üzere değerlendirmek ve uygulamak ayrıca önemlidir.”
‘BULUT, MALİYETLERİN ŞEFFAFLAŞMASINI SAĞLIYOR’
İnternet üzerinden, istediğiniz anda, istediğiniz yerde her türlü bilgi ve kişisel veriye erişimi mümkün
kılan bulut teknolojisiyle kurumlar hız, ölçek ve maliyet avantajlarından yararlanıyor. Borusan Holding Bilgi Teknolojileri Altyapı Direktörü Tayfun Deniz; bulutun on-prem altyapılara göre çok daha entegre ve güçlü güvenlik araçları sunduğunu belirtir- ken, maliyetleri de şeffaflaştırdığını ifade ediyor.
Borusan Holding olarak dijitalleşme stratejilerinizde hızla büyüyen yeni nesil altyapıların genişletilmesi ve büyütülmesinde neleri gündeme aldınız? Bu süreçte bulut teknolojilerini nasıl değerlendiriyorsunuz?
“Borusan Holding olarak 2015’te hibrit bulut stratejisini benimsedik ve bugüne kadar birçok alanda paralel projeler gerçekleştirdik. Office 365’in yanı sıra, HR ve CRM alanında SaaS; veri merkezleri, felaket kurtarma ve diğer uygulamalar tarafında da Azure hizmetlerini kullanıyoruz. Bulut projelerini bir plan çerçevesinde hayata geçirmek önemli. Bir anda yapmaya çalıştığınızda, büyük güvenlik açıklarına maruz kalıyorsunuz. IoT, HPC, AI gibi büyük projeler gerçekleştiriliyor. Bu projelerin şirket içinde hayata geçirilmesi, bizim gibi teknoloji firması olmayan holdingler için kolay değil. Kendi veri merkezimizde bu teknolojileri kurmak, işletmek ve güncellemek zaman alan, maliyetli işler olduğu için biz bulutun sağladığı hazır servislerden yararlanıyoruz. Ayrıca yaklaşık 15 yıldır, sanallaştırma projeleriyle uğraşıyoruz. Sanallaştırma bize esneklik ve hız sağlıyor, ama geldiğimiz noktada artık sanallaştırmanın hızı ve esnekliği bizim için yeterli değil. Burada da bulut servisleri bize büyük faydalar getirirken, maliyetlerin şeffaflaştırılmasını sağlıyor. Bulutun yazılımcıları özgürleştirdiğini, yükleri- ni azalttığını ve kod yazmaya odak- lanmalarını sağladığını düşünüyorum. Bulut, on-prem altyapılara göre daha entegre ve güçlü güvenlik araçları sağlıyor. Ancak bu araçları doğru kul- lanmayı ve tasarlamayı öğrenmeniz gerekiyor.
Önümüzdeki dönemde bu stratejiyi maliyet esnekliği, uygulama taşınabilirliği ve cloud lock-in gibi konuları adresleyebilmek adına, multi cloud stratejisine dönüştürme gibi bir planımız var. Ancak önce mevcut cloud provider’larda belirli bir olgunluğa ulaşmak gerekiyor. Türkiye’deki mevcut yetenek havuzu ve maliyetlere karşı hassasiyet düşünüldüğünde multi cloud’a daha yolumuz var.”
Mevcut işlerinizde, yeni iş modelleri- ni geliştirmek ve iş süreçlerinizi daha hızlı, verimli ve düşük maliyetli bir yapıya kavuşmak için bulut teknolo- jilerini devreye alırken nelere dikkat ettiniz?
“Bulut teknolojilerini devreye almak teknik bir iş gibi gözüküyor ancak yalnızca %20-25’i teknik projeden oluşuyor. Geri kalanı eğitim, kültür, süreçler ve yönetişim. Bu konularda tüm büyük bulut sağlayıcılarının adoption framework’lerinden faydalanılabilir. Bulut devreye alınmadan önce kapsamlı bir programla ekiple- rin eğitilmesi gerekiyor çünkü bulut, ancak iyi bilindiği zaman ucuz bir yer. Öğrenme maliyeti de yüksek. Ayrıca süreçler çok önemli. Dolayısıyla bulut süreçlerini güncellemek için çaba harcamak gerekiyor. Öte yandan bulut mükemmellik merkezi ile bulut yönetişimi ilkelerini belirleyen bir yapı oluşturmak, organizasyon açısından çok faydalı.
Bulut yönetişiminin maliyet yönetimi, kaynak yönetimi, kimlik yönetimi, temel güvenlik ve otomasyon olmak üzere dört-beş ayrı disiplini var. Bu konulardaki politikalarınızı belirlemeniz; hatta belirlemek yetmez; bunu bulutun içine gömmeniz lazım. Yani otomasyondan bahsediyoruz. Siz bunu yapmazsanız bulut güvenli değil. Bulut sizi güvenli hale getirmek için gerekli servisleri sağlar; bunları tasarlamak, kurmak ve işletmek size kalır.
“Ben bunu buluta attım artık konuyu Microsoft çözsün” değil olay. Bulutta keskin çizgiler kalkmış durumda, şimdi DevSecOps’tan bahsediyoruz. Tek bir portal var, herkes işini oradan yapıyor. Bu nedenle rol bazlı erişim kontrolü yapmak çok kritik. Kuralları belirleyip uyguladıktan sonra servislerin güvenlik politikalarının netleştirilmesi gerekiyor. Diğer bir önemli konu da buluta nasıl bağlandığınız. Türkiye’de bir hiper ölçekli bulut sağlayıcı bulunmadığından güvenli ve erişilebilir bir bağlantı mimarisi belirlemelisiniz.
Son olarak “IaaS pahalıdır”, “PaaS ucuzdur”, “Uygulamaları cloud-native taşımak en verimli” gibi cümlelere takılmadan, her şirketin kendi ihtiyaçları ve altyapısına göre tasarım yapmak ve karar almak gerekir. Bu önermeleri kendinize göre test etmeden karar alırsanız, yanlış bir noktada olduğunuzu fark ettiğinizde çok geç olabilir.”
