Network

[TR] Bulut Sistemleri

[TR] Bulut Sistemleri

Bulut sistemleri nedir? Bulut sistemleri nasıl işler? Bulut sistemleri  güvenliği nasıl  sağlanır? Bu konular üzerinde bolüm bolüm yazacağım.

Bulut Sistemleri nedir?

İnternet üzerinden ücretli ya da ücretsiz bir şekilde aboneliğine göre veya lisanslanmaya göre paylaşılan sistemlerdir. Çeşitli karışık sistemlerinin bulunduğu ve çeşitli güvenlik önlemlerinin alındığı bu sistemler günümüz çağını oldukça iyi yönden etkilemiştir. Bunlara örnek olarak Office programları, uzak bilgisayar sistemleri, takvim uygulamaları sizin hakkınızda bilgi bulunduran buna benzer programlar örnek verilebilir. Bulut sistemlerin farklı kategorilere ayrılmıştır. SAAS servisi, IAAS, PAAS servisi ve Özel servisler. Bu servisleri barındıran şirketler kendi içerisindeki güvenliği sağlamalıdır.

SAAS Servisleri:

SaaS yazılımları genel bulut hizmetlerine dahildir. İnternet üzerinden bağlanmasını ve bunları İnternet üzerinden kullanmasını sağlar. SaaS uygulamalarından biri olan elektronik takvim, email, office programları gibi programlardan kaydedilen bilgileriniz 3. tarafça barındırılır ve ihtiyacınız olduğu zaman bu bilgilerinize ulaşabilmeniz için uygulamanın sunucularında barındırılıyor.

Eğer bir SaaS kullanıyorsanız bunun bütün güvenlik önlemlerini yapımcılar sorumluluk alanlarındandır. Bu güvenliği şirketler sadece uygulamalar üzerinden pentest yapmamalı aynı zamanda network üzerinden de pentest çalışmaları yapılmalıdır. Aynı zamanda şirket içerisinde bilişim bölümünün yetkilerinin düzenlenmeyen cihazlar erişememesi lazım bunu için ağ kontrollerinin sağlamaları lazım. Bulut kullanıcıların varsayılan olarak az erişim verilesi lazımdır. Diğer alt yapılara erişim verilmemeleridir.

SaaS örnekleri: BigCommerce, Google Apps, Salesforce, Dropbox, MailChimp, ZenDesk, DocuSign, Slack, Hubspot.

IAAS ve PAAS Servisleri:

 

IAAS ve PAAS servisleri abonelik ya da kullandığın kadar öde mantığına sahiptir. IaaS kullandığın kadar öde türünde çalışır. Depolama örneği verilebilir, depolamada ne kadar kullanırsan o kadar ödersin. IaaS, kullanıcılara şirket içi altyapıya bulut tabanlı alternatifler sunar, böylece işletmeler pahalı yerinde kaynaklara yatırım yapmaktan kaçınabilir. IaaS örneklerinden biri ise letmeleak.com’dur cloud üzerinden alınan kullanıcı datalarını sunucu üzerine iletir ve çıktıyı site üzerine bastırır.

IaaS örnekleri: AWS EC2, Rackspace, Google Compute Engine (GCE), Digital Ocean.

PaaS için ise abonelik mantığı dayalıdır. Bir PaaS satıcısı internet üzerinden donanım ve yazılım araçları sağlar ve insanlar bu araçları uygulama geliştirmek için kullanır. Bir çok hizmeti kendisinde bulunduran PaaS satıcıları çeşitli aboneliklerle hizmetlerini sunar. Bu durumlarda ise yetki yükseltme sorunları ortaya çıkar. Kullanıcın yetkisi olmayan hizmetlere erişmemesi lazım. İşinizin boyutuna uygun çeşitli kaynak katmanları arasından seçim yapabilirsiniz. Uzak masa üstü teknolojisi üzerine inşa edilmiştir. Altyapı hizmetlerinin üzerinde başka bir katman olarak çalışıyor ve kapasite sağlama, yük dengeleme, ölçeklendirme ve uygulama durumu izleme ayrıntılarını otomatik olarak yönetiyor.

PaaS örnekleri: AWS Elastic Beanstalk, Heroku, Windows Azure (çoğunlukla PaaS olarak kullanılır), Force.com, OpenShift, Apache Stratos.

Bulut sistemlerinin büyük bir bölümü Api üzerinden diğer sunuculara aktarılır bu Api’ler üzerinden cıkan bir bozuk yapılandırma yada yetki sorunları cloud üzerinde bulunun bilgileri büyük risk derecesine taşır. Bu bilgiler şifreleniş bir şekilde Api’ler üzerinden iletilmelidir. Bu gibi durumlara data çok fazla ise PaaS tabanlı uygulamalardan olan  Elastic Search kullanılmalıdır.

Private servisler:

 

Kişilerin isteği üzerine bilgisayarların ayarlanması bu bilgisayarların özeliklerinin kişi arzusu üzerinde olan uzak masa üstü ortamlarıdır. Buradaki bütün güvenlik olayları(uzak masa üstü yapılandırması ve iç ağ güvenlik sorunları harici) kullanıcı tarafından alınmalıdır. Kullanıcı tarafına oluşturulan bu özel bilgisayarlar istediği her şeyi yapma hükmüne sahiptir.

 

Devran Atuğ

Merhabalar ben Devran, lise iki öğrencisiyim. Web ve mobil güvenliği üzerine çalışmalar yapıyorum, aktif olarak Bug-Bounty yapıyorum.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu