Ana içeriğe atla

Cloud computing riskleri

Öncelikle, bilişim teknolojilerinin bulunduğu ortamlarda riskin her zaman var olduğu ve yüzde yüz güvenliğin sözkonusu olmadığını hatırlatmak isteriz.
Bu nedenle doğası gereği riskli olan bir alanda yapılması gereken, risklerin neler olabileceğini bilmek ve bunların olası etkilerini alınacak önlemlerle Kabul edilebilir bir düzeye düşürmektir.
        Cloud computing daha çok getirdiği riskleriyle gündemdedir. Gerçeği söylemek gerekirse, halen gelişmekte olan bir süreç olduğundan geçiş sürecine özgü riskleri vardır. Ancak, şimdiye kadar riskler ve alınacak önlemleri değerlendiren değişik çalışmalar yapılmış ve Cloud computing’e geçişin güvenli şekilde yapılması için rehberler hazırlanmıştır. Bu çalışmalar kabul edilecek standartlara ulaşana kadar da devam edecek gibi görünmektedir. Bu risklerin bazılarının incelenmesi gereklidir.
        Belirtilen risklerin en önemlilerinden birisi, kurumun hizmet aldığı firmaya bağımlı hale gelmesidir. Kurumlar bilişim hizmetlerini dış kaynak yoluyla (outsourcing) üçüncü taraflardan almaya karar verirken, belirli riskleri değerlendirmeye tabi tutmaları gerekir. Bir bilişim hizmetinin bir kez dış kaynak yoluyla alınması, o hizmetin sürekli dış kaynak yoluyla alınmasını zorunlu kılacaktır. Çünkü geri dönüş, başta maliyet olmak üzere birçok zarara yol açabilir.
        Cloud computing yeni gelişmekte olan bir süreçtir ve henüz standartları oturmuş değildir. Bu nedenle sözleşme veya hizmet düzeyi anlaşmalarının sona ermesi veya nitelikli hizmetin alınamaması nedeniyle iptal edilmek istenmesi durumunda, kurumsal verilerin bir başka kuruma taşınabilmesi veya yeniden kurum içine alınmasında zorluklar yaşanacaktır. Bu durumda da hizmet sağlayıcıya bir bağımlılık oluşacaktır. Ancak Cloud computing’e geçmeden önce yapılacak araştırmalarda hizmet sağlayıcının nitelikleri ve referanslarının iyi incelenmesi, inceleme sonuçlarına bağlı olarak öncelikle hassas olmayan veriler ve hizmetlerden başlayarak aşamalı olarak geçiş yapılması, riskleri bir ölçüde düşürebilecektir.
        Bir diğer risk konusu, kendi verilerimizi kontrol edememe, hatta nerede tutulduğunu bilememe ve böylece yasal yükümlülüklerimizi yerine Getirememe durumudur. Bu bizim gibi ağır yasal mevzuatlara bağlı olan şirketler için hayati önem taşımaktadır. Cloud computing’e taşıdığımız veriler, artık hizmet sağlayıcının uzman elemanlarına bırakılmıştır. Hizmet sağlayıcının yeterli niteliklere sahip uzmanları ihtiva ettiğinin belgelendirilmesi ve fiilen çalışmaların izlenmesi ve varsa gerekli sertifikaların bulunması, hatta sözleşme Ve ya hizmet düzeyi anlaşmalarına hükümler konmasının yerinde olacağı kanaatindeyiz.
        Cloud computing’in en önemli özelliği, her nerede olunursa olunsun, internet erişimli cihazla verilere veya yazılımlara ulaşma imkanının bulunmasıdır. Bu gerçekleşirken, hizmetin yerinin neresi olduğunu bilmek gerekmemekte, istenildiğinde erişim sağlanabiliyorsa sorun yok demektir. Ancak bazı durumlarda, verilerin tutulduğu yer önemli olabilir. Denetim elemanlarınca veriler üzerinde ve hizmet sağlayıcının güvenliği konusunda yapılacak denetimlerde, veriler ve hizmet sağlayıcının belirli adreslerinin olması istenir. Bir de verilerin kaybolması durumunda yasal hakların takip edilebilmesi için yapılacak sözleşmeler veya hizmet düzeyi anlaşmalarında hizmeti sağlayacak sunucuların belirli ülke veya bölge sınırları içerisinde tutulması istenebilir ve/veya istenmelidir. Burada yasal yükümlülüklerin
yerine getirilmesinin aksatılması, hizmet sağlayıcının değil, hizmeti alanın
Sorumluluğundadır ve sonuçlarına o katlanacaktır. Dolayısıyla bu durum, sistemi buluta taşırken yapılacak değerlendirmelerde göz önünde bulundurulmalıdır.
        Bir başka konu da, verilerin hizmet sunulan diğer kişilere ait olan verilerle birlikte tutulması nedeniyle ayırımın açık şekilde yapılamamasıdır. Bu nedenle herhangi bir felaket durumunda, verilerin güvenliğinin sağlanması ve sistemin sürdürülebilirliğinin güvence altına alınması, her zaman mümkün Olmayacaktır.
        Hizmet sağlayıcılar hizmetleri paylaşımlı ortamlarda şifreli olarak tutmaktadırlar. Ancak zaman zaman veriler ya denetim elemanlarınca ya da kurum yönetimince doğrudan denetime alınmak istenebilir. Böyle durumlarda veriler başkalarına ait verilerle tutulduğu için, bunlar üzerinde yapılacak incelemeler diğer verilere de zarar verebilir ya da görülmesi istenmeyen veriler, bu tür incelemeler sırasında açığa çıkabilir. Bu nedenle, yapılacak sözleşme veya hizmet düzeyi anlaşmalarında bu hususlara yer verilerek, gerektiğinde hizmet sağlayıcının bize ait verilere sadece bizim erişmemize imkan tanıması ve başkalarının bu verilere erişebilme olanaklarını ortadan kaldırması istenmelidir.
        Bununla bağlantılı olarak hizmet sağlayıcı, herhangi bir felaket durumunda erişimimizin sürdürülebilir olmasını sağlamalıdır. Bu konuda acil durum ve iş sürekliliği uygulamalarının yerinde olduğunun incelenmesi veya bağımsız denetimlere ilişkin sertifikaların istenmesi gerekir. Düzenlenecek sözleşme veya hizmet düzeyi anlaşmalarında sistemin tekrar kullanılabilir olma zamanlarının belirlenmesi gerekmekte olup, ayrıca zaman zaman buna ilişkin testlerin gerçekleştirilmesi önem taşımaktadır.
       Burada değerlendirilmesi gereken bir başka konu ise, hizmet sağlayıcının uzun süre varlığını sürdürebilecek yapı ve maddi güce sahip olmasıdır. Bulut hizmetlerin giderek daha çok kullanılması, bu hizmeti gerektiği gibi veremeyecek bir çok sağlayıcının pazara girmesine yol açmaktadır. Ancak bunların bir çoğunun yeterli niteliklere sahip olmaması nedeniyle bir süre sonra ya kapanmakta ya da başka büyük hizmet sağlayıcılar tarafından alınmaktadır. Bu tür durumlarda bile erişimin sürdürülmesi, veri ve yazılımların kullanıma açık tutulması gerekmektedir. Bu konuda sözleşme veya hizmet düzeyi anlaşmalarına hükümler konması gerekir.
       Sözleşme veya hizmet düzeyi anlaşmalarının da belirlenen riskleri ne kadar karşıladığı tartışmalıdır. Çünkü hizmet sağlayıcının belirlenen koşullara bağlı kalmasını gerektirecek yasal düzenlemeler henüz gerçekleştirilememiştir.
       Cloud computing’in en önemli safhası bu sözleşme veya hizmet düzeyi anlaşmalarının gerektiği şekilde hazırlanması ve uygulamalarının takip edilmesidir. Bu durum, Cloud computing’in geleneksel bilişim iş ve beceri yapısını değiştireceğinin bir göstergesidir. Bu sözleşmeler, uzun görüşmelerin yapılmasını, daha çok hukuk bilgisini, sözleşme sonrası ortaya çıkacak sorunların karşılıklı görüşmeler yoluyla çözülmesini gerektirdiği için farklı becerileri öne çıkaracaktır. Bu nedenle geleneksel bilişim uzmanlığının etkinliği azalacak ve yerini giderek bir miktar teknik bilgisi olan idarecilere bırakacaktır.
       Sözleşme ve hizmet düzeyi anlaşmalarının hukuki geçerliliğinin etkin olduğu alanlara ilişkin de çalışmalar sürdürülmektedir. Örneğin Avrupa Birliği, vatandaşlarının kişisel bilgilerinin AB sınırları dışına çıkarılmasını yasaklamıştır. Bu nedenle hizmetin AB sınırları içerisinde verilmesi gerektiğinden, yapılacak sözleşmeler veya hizmet düzeyi anlaşmaları koşullarının yasal olarak takip edilebilmesi yürürlükteki ülke ve AB
mevzuatları çerçevesinde mümkün olacaktır. Bu tür düzenlemelerin ülke mevzuatlarında yer alması veya sözleşmelere hüküm konulması sorunları ortadan kaldırabilecektir.
       En yalın biçimiyle, Cloud computing’e konu olacak varlıklar iki unsurdan
oluşmaktadır: Veri ve uygulamalar/işlevler/süreçler. Yani buluta ya bilgi, ya
da işlem/süreçleri taşımaktayız. Bunlara kurum varlıkları olarak bakılmaktadır.
       Bu nedenle Cloud computing’e geçişte, varlık geniş ölçüde yaygınlaştırılır ve
paylaştırılsa; bulut hizmet sağlayıcıların bir çalışanı varlığa erişirse; süreç/işlev
dışarıdaki biri tarafından manipule edilirse; süreç/işlev beklenen sonuçları karşılamada başarısız olursa; bilgi/veri beklenmeyen bir şekilde değiştirilirse; varlığa belirli bir zaman erişilemezse, ya da benzeri bir durum gerçekleşirse, kurumun nasıl ve ne kadar zarar göreceğinin öncelikle değerlendirilmesi gerekir. Esas olarak bu değerlendirme, bilginin gizlilik, bütünlük ve kullanılabilirlik ihtiyacına binaen yapılmaktadır.
        Belirlenen risklerin etkilerini düşürecek önlemlerin başında, kurumların Cloud computing’e geçiş için bir strateji hazırlamaları gelmektedir. Bu stratejinin ilk adımı, seminerlere katılma, hizmet sağlayıcılarıyla görüşmeler yapma, bulut bilişime ilişkin yazıların okunması gibi yollarla bulut bilişimin esasları hakkında bilgilenmedir. Bir sonraki adım olarak, bilişim yönetiminin mevcut bilişim ihtiyaçları, yapısı ve kapasite kullanımı ve Cloud computing ortamındaki ihtiyaçlar ve talepler konusunda bir değerlendirme yapılması gerekir.
        Daha sonra, belirlenen bir uygulamanın pilot olarak buluta taşınması gelir. Sonraki aşama ise, pilot uygulamaların değerlendirilmesinden sonra, bilişim yönetiminin kapsamlı hazırlık değerlendirmesini yapmasıdır. Bu aşamada, kurumun veri ve uygulamalarının hangilerinin bulut ortama alınacağı ve bulut ortamın hangi formunda tutulacağına ilişkin kurallar belirlenir. Diğer bir aşama da, kurum üst yönetimi, bilişim yönetimi ve diğer paydaşların katılımıyla her bir bulut projesinin fayda maliyet değerlendirmeleri ile hedefler ve ilerlemeler hususundaki değerlendirmelerin yapılıp, bir uygulama stratejisinin belirlenmesidir. Son aşamada ise, belirlenen veri ve uygulamaların bulut ortama taşınması gerçekleştirilir. Burada bir kez daha vurgulamak gerekirse, risk değerlendirme faaliyetleri bilgiyi sürekli bir yaşam döngüsü olarak ele almalı ve riskler düzenli olarak veya herhangi bir değişim durumunda yeniden değerlendirilmelidir.

        Bu sürecin belirlendiği şekilde yürütülmesi durumunda bulut bilişime geçiş aşamasında karşılaşılacak risklerin önemli bir kısmının etkisi azaltılmış olacaktır. Ancak yapılan denetimlerde, sistem geliştirme ve değişim yönetimine ilişkin standartlar bulunmasına; bilişim projelerinin başarısızlık nedenleri ve başarı koşulları konusunda detaylı çalışmalar yapılmış olmasına rağmen, yukarıda belirtilen süreçlerin takip edilmesi ve yürürlüğe konulan projelerin, belirlenen kaynaklar ve süre dahilinde kullanıcı gereksinimlerini karşılayacak şekilde sonuçlandırılamadığı görülmektedir.

Bu blogdaki popüler yayınlar

Cloud Computing Reference Architecture: An Overview

The Conceptual Reference Model Figure 1 presents an overview of the NIST cloud computing reference architecture, which identifies the major actors, their activities and functions in cloud computing. The diagram depicts a generic high-level architecture and is intended to facilitate the understanding of the requirements, uses, characteristics and standards of cloud computing. As shown in Figure 1, the NIST cloud computing reference architecture defines five major actors: cloud consumer, cloud provider, cloud carrier, cloud auditor and cloud broker. Each actor is an entity (a person or an organization) that participates in a transaction or process and/or performs tasks in cloud computing. Table 1 briefly lists the actors defined in the NIST cloud computing reference architecture. The general activities of the actors are discussed in the remainder of this section, while the details of the architectural elements are discussed in Section 3. Figure 2 illustrates the intera
Devamı

Cloud Architecture

The cloud providers actually have the physical data centers to provide virtualized services to their users through Internet. The cloud providers often provide separation between application and data. This scenario is shown in the Figure 2. The underlying physical machines are generally organized in grids and they are usually geographically distributed. Virtualization plays an important role in the cloud scenario. The data center hosts provide the physical hardware on which virtual machines resides. User potentially can use any OS supported by the virtual machines used.  Operating systems are designed for specific hardware and software. It results in the lack of portability of operating system and software from one machine to another machine which uses different instruction set architecture. The concept of virtual machine solves this problem by acting as an interface between the hardware and the operating system called as system VMs . Another category of virtual machine is called
Devamı

CLOUD COMPUTING – An Overview

Resource sharing in a pure plug and play model that dramatically simplifies infrastructure planning is the promise of „cloud computing‟. The two key advantages of this model are easeof-use and cost-effectiveness. Though there remain questions on aspects such as security and vendor lock-in, the benefits this model offers are many. This paper explores some of the basics of cloud computing with the aim of introducing aspects such as: Realities and risks of the model  Components in the model  Characteristics and Usage of the model  The paper aims to provide a means of understanding the model and exploring options available for complementing your technology and infrastructure needs. An Overview Cloud computing is a computing paradigm, where a large pool of systems are connected in private or public networks, to provide dynamically scalable infrastructure for application, data and file storage. With the advent of this technology, the cost of computation, application hosting, c
Devamı