Cloud Güvenlik Policy’si

Cloud Güvenlik Policy'si

Bir cloud güvenlik policy’si hazırlamanız şirketinizde uygulayacağınız en önemli uygulamalardan yalnızca birisidir. Cloud güvenliği stratejisi oluşturmak için policye önem vermelisiniz. Kuruluşunuzun kritik veri varlıklarınızı uygun şekilde depolamasını ve korunmasını sağlamaktadır. Ayrıca siber güvenliğin bütün noktalarından kimin sorumlu olduğunu gösterir, bulut hizmetlerine yaklaşım tarzınızı detaylandırır ve kurumsal verileri koruma taahhüdünüz için yazılı kanıt sağlar. Dahası, belgelendirilmiş bir cloud güvenlik policy belgesi, bazı uyumluluk mevzuatlarının gerekli bir parçasıdır.

Cloud güvenlik policysi tek başına bir belge oluşturmaz ayrıca veri güvenliği ve gizlilik policylerinde de olduğu gibi kuruluşunuzda bulunan diğer güvenlik policylerine bağlamanız gerekmektedir. Aşağıda sizlere açıkladığımız ve örneklerle anlattığımız cloud güvenlik policy şablonu sayesinde önemli bölümler için yol haritası oluşturmanızı sağlayacaktır. Düzenleyici ve benzersiz yasal olacak şekilde kuruluşunuza göre uyarlayabilirsiniz.

1. Cloud Güvenlik Policy’si Amacı

Bu bölümde policylerin geliştirilmesine ve sürdürülmesinin neden gerektiğini açıklamalısınız.

Örnek:

Bu policy, cloud bilişim hizmetleri kullanılarak depolanan, erişilen ve manipüle edilen verilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlar. Cloud bilişim için düzenleyici gereklilikleri ve güvenlik yönergelerini karşılamak için gereken bir sorumluluk ve eylemler çerçevesi oluşturur.

2. Kapsam

Bu bölüm, policynin ne kadar ve nerelerde geçerli olduğunu açıklar. Yani, belirli grupları, hizmetleri veya konumları görevlendiren bölümleri içerebilir.

Örnek:

Bu policy içindeki verileri işleyen sistemleri örneğin belgedeki, “3.1. Bilgi Türleri” bölümünü kapsamaktadır. Bu kategoriye giren cloud ortamındaki hizmetlerin hepsi, policyde belirtilmiş olan tüm gereksinimlerden sorumludur. Bu durum, e-posta, web erişimi veya işle ilgili diğer görevler için düzenli olarak kullanılan herhangi bir cihaz da dahil olmak üzere, bu tür verileri işleyen her sunucu, veritabanı ve diğer BT sistemleri için geçerlidir. Gereksinimler, yeni ve mevcut kurulumlar için geçerlidir. Şirketin BT hizmetleriyle etkileşime giren her kullanıcı bu policylere bağlıdır. Güvenlik kontrolü gereksinimleri, üründen bağımsızdır ve tüm onaylı cloud sistemleri için geçerlidir.

2.1. Bilgi Türleri

Bu policysinin kapsadığı bilgi türlerinin bir listesini hazırlayın. Kuruluşunuzun veri sınıflandırma uygulamalarını kullanmak işlediği verileri ve süreçleri etiketlemek en iyi uygulama olacaktır.

Örnek:

Bu policy, şirketin veri sınıflandırma politikası tarafından hassas olarak tanımlanmakta olan bütün müşteri verileri, kişisel veriler ve diğer şirket verileri için geçerlidir. Policynin kapsamakta olduğu hassas veri türleri şunlardan oluşmaktadır:

Kimlik ve kimlik doğrulama verileri:

  • Şifreler
  • Kriptografik özel anahtarlar
  • Hash tabloları

Finansal Veri:

  • faturalar
  • Bordro verileri
  • Gelir verileri
  • Alacak hesapları verileri

Özel veriler:

  • Yazılım testi ve analizi
  • Araştırma ve Geliştirme

Çalışan kişisel verileri:

  • İsimler ve adresler
  • Sosyal Güvenlik numaraları
  • Devlet tarafından verilen ehliyet numarası
  • Devlet tarafından verilen kimlik kartı numarası
  • Hesaba erişimi sağlayan güvenlik kodu, erişim kodu veya parola dahil finansal hesap numaraları
  • Tıbbi ve sağlık sigortası bilgileri

3. Mülkiyet ve Sorumluluklar

Bu bölümde, cloud güvenliği işlemlerini, kontrolleri ve prosedürlerle ilgili olan tüm görevlerin listesini oluşturun. Mesela; cloud güvenliği yöneticileri, veri sahipleri, kullanıcılar ve cloud sağlayıcıları gibi. Güvenli cloud kullanımı ve güvenlik bakımı için her görevi ve sorumlulukların tanımlarını yazın. Bu listeyi toparlarken aşağıda verilen soruları kullanın:

  • Cloud kullanıcısı kim?
  • Kuruluş kısmında ve sağlayıcıkısmında cloud hizmetinin sürdürülmesinden sorumlu olan kim?
  • Cloud güvenliğini sağlamaktan sorumlu olan kim?
  • Yeni cloud çözümlerini seçmekten sorumlu olan kim?
  • Önemli kararlar almaktan sorumlu olan kişi kim?

Örnek:

Cloud Güvenliği Yöneticisi:

Cloud hizmetleri güvenliğinin uygulanmasından, yapılandırılmasından ve bakımından sorumlu olan kişidir. Bu yöneticisinin dikkate alması gerekenler:

Yeni hizmetler için güvenlik uygulama

Cloud hizmeti güvenlik ayarlarının yapılandırmasını özelleştirme

Sağlanan her cloud hizmeti için erişim kontrolünün ve izin yönetiminin sürdürülmesi

Sonlandırılmış hizmetlerin kullanımdan kaldırılması

Hizmet Seviyesi Yöneticisi:

Hizmet düzeyi anlaşmalarını yönetmekten ve SLA sözleşmelerini danışmak ve cloud sağlayıcısının bu sözleşmelerin tüm koşullarını karşıladığından emin olmak için cloud sağlayıcısıyla bağlantı kurmaktan sorumlu kişidir.

4. Bulut Bilişim Hizmetlerinin Güvenli Kullanımı

Bu bölüm, cloud hizmetlerinin kabul edilebilir kullanımı için gerekenleri açıklar.

Örnek: Tüm cloud tabanlı hizmetler, satın alma işleminden ve dağıtımdan önce onaylanmış olmalıdır. Cloud hizmetlerinin güvenli bir şekilde uyum sağlanmasını ve kullanılmasını sağlamak için aşağıdaki verilen adımları uygulayın:

  1. Kuruluşa ait ihtiyaçları ve öncelikleri tanımlayın.
  2. Dahili ve harici hizmet kullanıcılarını tanımlayın.
  3. SaaS, PaaS ve IaaS çözümleri için fiziksel ve işlevsel özellikler de dahil benimsenmiş cloud hizmetinin türünü belirleyin.
  4. Depolanacak veri türlerini tanımlayın.
  5. Şifreleme, izleme, yedeklemeler vb. için gereken güvenlik çözümlerini ve yapılandırmalarını belirleyin.
  6. Cloud sağlayıcısını içeren geçmiş güvenlik olaylarının listesini hazırlayın.
  7. Mevcut güvenlik sertifikalarını isteyin.
  8. SLA’lar dahil sağlayıcı ile yapılan sözleşmelerin kopyalarını alın.

4.1 Envanter

Kuruluşunuzun hangi cloud güvenlik hizmetlerini kullandığını, izlem yöntemlerini ve stokları nasıl güncel tutacağını açıklayın.

Örnek:

Cloud güvenlik yöneticisi ve BT güvenlik yöneticisi, en az üç ayda bir kullanımda olan cloud hizmetlerinin stok durumunu kontrol etmelidir.

4.2. Onaylı Hizmetler

Onaylanmış hizmetlerin bir listesiyle bulut tabanlı altyapınızın bir özetini oluşturun.

Örnek:

Şirketin bir genel merkezi ve ülke genelinde çeşitli ofisleri bulunmaktadır. Bazı çalışanlar mobil cihazlarla uzaktan erişim sağlamaktadır. İnsan kaynakları, satış ve proje yönetimi gibi her departman bir veya birden çok cloud hizmeti kullanmaktadır. Tüm departmanlar, genel cloud güvenliği policylerine uyumlu olan, yetkili olan cloud satıcılarının ve hizmetlerinin bir listesini hazırlamalıdır.

Onaylanmış hizmetlerin listesi:

Donanım katmanı: <veri merkezlerini belirtin>

Altyapı katmanı: <Örnek: Amazon EC2>

Platform katmanı: <Örnek: Microsoft Azure, Google App Engine, Amazon SimpleDB/S3>

Uygulama katmanı: <Örnek: iş uygulamaları, web hizmetleri, multimedya>

4.3 Yetkisiz Hizmetler

İzin verilmeyen cloud tabanlı hizmetleri tanımını yapın.

Örnek:

Yalnızca bu belgenin 2. Bölümünde belirtilmiş onaylı hizmetler listesindeki cloud tabanlı çözümler kullanılabilir. Yetkisiz yazılımların kuruluş tarafından sahip olunan veya yönetilen kullanıcı uç nokta cihazlarına ve BT altyapı ağı ve sistem bileşenlerine yüklenmesi kısıtlanmıştır. Cloud güvenliği yöneticisi, kullanıma sunulmadan önce herhangi bir üçüncü taraf bulut hizmeti için yetki vermelidir. Herhangi bir yetkisiz bulut hizmetinin kullanıma sunulması, BT güvenliği için anında bir bildirim oluşturacak ve hizmetin kullanılmasını engelleyecektir.

5. Risk Değerlendirmesi

Cloud güvenlik policylerinizi kuruluşun risk değerlendirme policyleri ile bütünleştirebilmek için bu bölüm kullanılır. Bu aşamada, risk değerlendirmelerinin kapsamını ve programını açıklayın.

Örnek:

Veri Sınıflandırma Policysinin “Hassas” katmanından gelen veriler, araştırma ve denetim için yönetmelikler uyarınca her zaman bulunacak ve Cloud sağlayıcıları bu uyumluluk gereksinimlerine uyacaktır.

Cloud Güvenliği Yöneticisi ve BT Güvenliği ekibi, risk değerlendirmesi yapacağı zamanlar aşağıda belirtilmiştir:

  • Yeni bir cloud hizmeti uygulandıktan sonra,
  • Mevcut cloud hizmetinde yapılan upragrade veya updatelerden sonra,
  • Cloud hizmetinin konfigürasyonunda yapılan herhangi bir değişiklikten sonra,
  • Bir güvenlik olayını veya olayını takip ederken,
  • Mevcut tüm bulut hizmetleri için üç ayda bir,

Cloud güvenliği risk değerlendirmesi aşağıdakileri içermektedir:

  • Dahili ve harici denetim sonuçları (cloud sağlayıcı sistem güvenliği denetim sonuçları)
  • Tehdit ve güvenlik açığı analizi
  • Mevzuata uygunluk

6. Güvenlik Kontrolleri

Cloud güvenlik policy’si, kuruluş tarafından kullanılmakta olan ve kullanılabilir çeşitli güvenlik bileşenlerini belirtmektedir. Bu policy, teknik ve kontrol gereksinimleri, mobil güvenlik gereksinimleri, fiziksel güvenlik gereksinimleri ve güvenlik kontrolleri güvence uygulamaları da dahil edilerek belirli gereksinim gruplarını ayırmalı ve cloud hizmeti sağlayıcısının hem iç denetimlerini hem de güvenlik denetimlerini içermelidir.

Örnek:

Cloud hizmetinin uygulama esnasında ve bundan sonra üç ayda bir yapılacak periyotlarla, Cloud Güvenliği Yöneticisi, her bir hizmet düzeyi anlaşmasını kontrol etmelidir ve ayrıca yönetici cloud sağlayıcısının güvenlik denetimlerini talep edecek ve analiz edecektir.

6.1. Teknik Güvenlik Kontrolleri Gereksinimleri

Erişim yönetimi için teknik kontrollere ilişkin tüm gereksinimler belirtilir.

Örnek:

Firma, Cloud iş yükü koruması (CWP) araçları gibi cloud hizmeti altyapısının merkezi görünürlüğü için araçlar yerleştirmelidir. Araçlar, trafik analizi, konfigürasyon izleme ve değerlendirme ve konfigürasyon sorunları için uyarı yapar.

Kullanılacak erişim kontrol yöntemlerinin içermesi gerekenler:

  1. Şirket ağındaki herhangi bir cihazda oturum açma girişimlerinin denetlenmesi
  2. Dosya ve klasörlere Windows NTFS izinleri
  3. Rol tabanlı erişim modeli
  4. Sunucu erişim hakları
  5. Firewall izinleri
  6. Ağ bölgesi ve VLAN ACL’leri
  7. Web kimlik doğrulama hakları
  8. Veritabanı erişim hakları ve ACL’ler
  9. Beklemede ve uçuş modunda şifreleme
  10. Ağ ayrımı
  • Erişim kontrolleri tüm ağlar, sunucular, iş istasyonları, dizüstü bilgisayarlar, mobil cihazlar, bulut uygulamaları ve web siteleri, bulut depoları ve hizmetlerini kapsamaktadır.
  • Kimlik ve erişim kontrolleri, kimlik doğrulama, veri erişim standartları, kimlik bilgisi yaşam döngüsü yönetimi ve erişim segmentasyonunu içermektedir.
  • Denetim, yapılandırma ve değişiklik denetimini içerir.
  • Veri koruma, şifreleme, veri düzeltme, veri silme ve veri kurtarmayı içerir.
  • Diğer teknik kontroller, ağ güvenliği ve wireless güvenliği (VPN ve firewall gibi) içerir.

6.2. Mobil Güvenlik Gereksinimleri

Bu bölüm, mobil erişimi yapılandırma, sağlam bir kimlik oluşturma, cihaz izleme, kötü amaçlı yazılımdan koruma çözümlerini kullanma ve mobil cihaz yönetimi için kontrollerini içermelidir.

Örnek:

Cloud güvenliği, şirketin mobil cihazlarına ve şirketin cloud hizmetlerine erişmek için kullanılan özel sektöre ait cihazlarda kötü amaçlı yazılım bulaşmasını önleyebilmek için mobil güvenlik kontrollerini içerir. Anti-malware koruması bulunmayan cihazlar karantinaya alınacaktır.

6.3. Fiziksel Güvenlik Gereksinimleri

Fiziksel erişime ve ekipmana verilen zararlara karşı önlem tasarlama ve uygulama sebeplerini policyinize eklemelisiniz. Veri merkezi konumunda güç, sıcaklık, su ve diğer hizmetlerin korumasını vurgulayın. Fiziksel güvenlik, doğal ve insan kaynaklı afetlerden kaynaklanan sorunların çözümünü de kapsamaktadır.

Örnek:

Şirket, veri merkezinin iç sıcaklığını takip edecektir. Sıcaklık, referans değerden 5 dereceden fazla değişirse, fiziksel güvenlik sahibinin acil uyarı aldığından emin olmasınız.

6.4. Güvenlik Kontrolleri Güvencesi

Bu bölüm, güvenlik kontrollerinin hangi sıklıkla düzenli BT sağlık kontrolünden geçmesi gerektiğini belirtmelidir.

Örnek:

Aylık olarak, Cloud Güvenliği Yöneticisi, güvenlik kontrolü konfigürasyonlarının ve başarısız olmuş tüm yetkisiz erişim girişimlerinin değerlendirmesi yapılır.

7. Güvenlik Olayı İyileştirmesi

Bu bölüm, bir güvenlik olayı durumunda değerlendirme alanlarının belirlenmesine yönelik kuralları içerir ve cloud hizmeti ve veri kurtarma için öncelikleri belirler.

Örnek:

Bir veri ihlali yaşandığında, Cloud sağlayıcısı ve cloud güvenliği yöneticisi, software/malware aracılığıyla veya insan hatası yoluyla oluşan erişim yöntemini belirleyebilmek için olaya doğrudan veya dolaylı olarak dahil olan sistemler ve kullanıcılar üzerinde bir değerlendirme yapacaktır.

Raporlama gereksinimleri:

  • Günlük olay raporları, BT Güvenlik Departmanı veya Olay Müdahale Ekibi tarafından üretimi ve işlenmesi yapılacaktır.
  • Tüm olayları detaylandıran haftalık raporlar BT Güvenlik Departmanı tarafından üretilecek ve BT Müdürü veya Direktörüne gönderilecektir.
  • BT Güvenlik Departmanı tarafından keşfedilen yüksek öncelikli olaylar hemen iletilecektir; BT Yöneticisi ile mümkün olan en kısa sürede iletişime geçilmelidir.
  • BT Güvenlik Departmanı ayrıca BT güvenlik olaylarının sayısını ve çözülen yüzdeyi gösteren aylık bir rapor hazırlayacaktır.

Veri kurtarma için öncelikler:

  • Hassas olarak sınıflandırılan arşivlenmemiş tüm verilerin önceliği Yüksek (High) olarak kabul edilir.
  • Hassas olarak sınıflandırılan tüm arşivlenmiş verilerin Orta (Moderate) düzeyde bir önceliğe sahip olduğu kabul edilir.
  • Dahili olarak sınıflandırılan tüm verilerin Orta (Moderate) derecede önceliğe sahip olduğu kabul edilir.
  • Genel olarak sınıflandırılan tüm verilerin önceliğinin Düşük (Low) olduğu kabul edilir.

8. Farkındalık Artırma

Bu bölüm, firmanın hangi sıklıklarda güvenlik eğitimi yapması gerektiğini, eğitimden kimlerin geçmesi gerektiğini ve eğitimin yürütülmesinden kimin sorumlu olduğunu açıklamaktadır.

Örnek:

BT Güvenlik Yönetimi ofisi, cloud hizmetlerinin tüm kullanıcılarına üç ayda bir güvenlik eğitimi verecektir. Cloud hizmetlerinin tüm kullanıcılarının, izinleri ve hizmete erişimi sürdürmek için güvenlik eğitimi alması gerekmektedir.

9. Yürütme

Bu bölüm, politika ihlallerine ilişkin cezaların neler olduğunu ve nasıl uygulanacağını detaylıca açıklamaktadır.

Örnek:

Yetkisiz hizmetleri kullanmayı deneyen çalışanların izinleri güvenlik eğitimini geçene kadar iptal edilir.

10. İlgili Belgeler

Bu bölüm, cloud güvenlik policysi ve prosedürleriyle ilgili tüm belgeleri listeler.

Örnek:

  • Veri Koruma Policysi
  • Veri Sınıflandırma Policysi
  • Şifre Policysi
  • Risk Değerlendirme Policysi
  • Şifreleme Policysi
  • İş İstasyonu Güvenlik Policysi
  • Olay Müdahale Policysi
  • Veri İşleme Sözleşmesi

Revizyon Geçmişi

İlk uygulama ve her değiştirildiğinde girişlerle birlikte politika belgesinin geçmişini koruyun.

Örnek:

ModelRevizyon tarihi YazarAçıklama
1.002/01/2020 Elaine Parker, Cloud Security Adminİlk model
1.106/01/2020Elaine Parker, Cloud Security AdminEğitim sıklığındaki güncellemeler

Sizlerle bu yazımızda paylaştığımız cloud bilişim güvenlik policy örneklerini kullanarak kendi şirketiniz için hassas verileri korumaya sağlayan policyler oluşturabilirsiniz. Oluşturduğunuz policyi sağlam dinamik ve uygulanabilir şekilde anlaşılır kısa ve öz olacak bir şekilde hazırlamalısınız. Umarız ki bu yazımız işinize yarayacaktır.

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »