Cisco Türkiye Blog
Share

Meraki Bulut Güvenliği ve Gizlilik Üzerine…


March 29, 2018


Daha önce Meraki bulut önyargıları ve Meraki’nin 5651 uyumluluğu üzerine bir yazı yazmıştım. Aldığım geri bildirimler o yazının oldukça faydalı ve yeterli olduğu şeklindeydi. Fakat son zamanlarda bulut tabanlı sistemlerin güvenliği ve kişisel verilerin gizliliği ile ilgili endişeler yoğunlaştı. Bunu bazı yasal düzenlemeler de takip edince bu yazıyı yazmak artık bir gereklilik haline geldi.

Buluta taşınan veri anlamında; e-posta, veri tabanı, döküman, müşteri yönetimi vb. sistemler ile karşılaştırıldığında, Meraki’nin bulut veri merkezlerine taşınan içeriği oldukça zayıf ve masum kalıyor.  Türkiye’de bir veri merkezinin olmaması bir dezavantaj gibi görünse de, veri merkezi yedeklilik ve senkronizasyon gereklilikleri sebebiyle, lokal veri merkezlerinin yurtdışına çıkan bilgi anlamında pek de faydalı olduğu söylenemez.

Tüm bunların ışığında; Meraki’nin kişisel verinin gizliliğine, güvenliğe ve ülkelerin hassasiyetlerine ne kadar önem verdiğini açıklamak istedim ve en çok duyduğumuz soruları cevaplayabilmek adına, biraz soru-cevap formatında bir yazı hazırladım. Eğer sizlerin de burada cevabını bulamadığınız sorularınız olursa yazının altındaki yorum bölümünü kullanabilirsiniz.

 

Soru: Meraki ürünlerinin üzerinden geçen trafik buluttaki veri merkezlerine iletilmekte midir?

Cevap: Hayır, kullanıcı trafiği bulut sistemine iletilmemektedir. Kullanıcı trafiği Meraki ürünlerin lokalinde işlenmekte ve ağa iletilmektedir. Çalışma prensibinin klasik ağ cihazlarından hiçbir farkı bulunmamaktadır. Detaylı bilgi için tıklayınız.

Soru: Meraki ürünlerinin bulut sistemi ile ilişkisi neleri kapsar?

Cevap: Meraki ürünler bulut sistemi üzerinde hazırlanmış olan konfigürasyonları çekerler ve üzerlerinden geçen trafikle ilgili istatistiki bilgiler ile “event log” bilgilerini bulut sistemine iletirler. Detaylı bilgi için tıklayınız.

Soru: Hangi bilgiler Meraki ürünlerden bulut veri merkezlerine iletilmektedir?

Cevap: Alttaki bilgiler Meraki bulut sistemine iletilmektedir ve bu bilgiler kişisel bir veri içermemektedir.

  • İstemci MAC Adresi
  • İstemci IP Adresi (Private IP)
  • İstemci işletim sistemi ve üretici (IOS, Apple, Android, Samsung, vs.)
  • İstemcinin bulunduğu VLAN ID
  • Data kullanım miktarı (byte cinsinden)
  • Kablosuz ise SSID ismi ve bağlanılan cihazın adı

Soru: Türkiye’de satılan ve kurulan Meraki ürünler hangi ülke veya ülkelerdeki Meraki veri merkezlerini  kullanmaktadır?

Cevap: Türkiye’de satılan ve kurulan Meraki ürünleri Frankfurt, Münih ve Dublin’deki veri merkezlerini kullanmkatdır. Avrupa bölgesi veri merkezleri hakkında bilgi için tıklayınız.

Soru: Hizmet alınan veri merkezinin yerinden bağımsız olarak, buluta iletilen bilgiler hangi ülkelerdeki veri merkezlerine senkronize olmaktadır? 

Cevap: Türkiye’nin de dahil olduğu Avrupa Birliği bölgesine hizmet veren Frankfurt, Münih ve Dublin veri merkezlerindeki bilgiler yedeklilik ve olağanüstü durumlar dahil olmak üzere başka hiçbir veri merkezine senkronize olmamaktadır. Detaylı bilgi için tıklayınız.

Soru: Meraki bulut sistemi Avrupa Birliği Veri Koruma Yönergesi’ne uygun mudur?

Cevap: Evet. Bu uygunluğu gösteren dökümana bu bağlantıdan ulaşabilirsiniz: Avrupa Birliği Veri İşleme Sözleşmesi 

Gerektiğinde bu döküman müşteri ve Meraki arasında bir sözleşme olarak karşılıklı imzalanabilir.

Soru: 5651 yasası kapsamında Meraki ürünlerden alınan log bilgileri bulut sisteminden mi temin edilmektedir?

Cevap: Hayır. Ürünlerin üzerinden geçen trafikle ilgili bilgileri içeren URL ve flow logları doğrudan ürünlerden log kayıt sunucularına gönderim yaparlar. Bu loglar bulut sistemine iletilmezler.

Soru: SNMP, netflow gibi yönetim protokolleri Meraki bulut sistemi üzerinden mi veri iletmektedir?

Cevap: Hayır. SNMP ve netflow protokolleri ile cihazlardan alınan data doğrudan kuruma ait lokal yönetim sistemlerine gönderilir. Bulut sistemi bu iletişimin bir parçası değildir.

Soru: Meraki bulut sistemine iletilen kullanıcı adı, telefon numarası vb. kişisel bilgi içeren verilerin gizlenmesi mümkün müdür? 

Cevap: Kimlik doğrulaması ile ağa dahil olunan durumlarda, Radius tabanlı bir lokal sistem ağ cihazına Radius cevabını iletirken bu bilgileri maskeleyebilir, anonimleştirebilir ya da hiç göndermeyebilir. Böylelikle bulut sistemine bu tip bilgilerin hiçbirisi iletilmez.

Soru: Meraki bulut sistemine iletilen ağ kullanım istatistik verilerinin saklanması engellenebilir mi? 

Cevap: Eğer istenirse günlük olarak bu bilgilerin otmatik olarak silinmesi sağlanabilir.

Soru: İstemcilerin ağ kullanım ayrıntılarının bulut sistemine gönderilmesi engellenebilir mi?

Cevap: Evet. Tüm trafik analizi bilgilerinin bulut sistemine iletimi kapatılabilir ve ağ cihazları bulut sistemine bu bilgilerin gönderimini durdurur. İleride açılmak dahi istense geçmişe dönük bilgilere ulaşılamaz. 

Soru: Lokasyon Analitiği için alınan veriler kişisel veri içermekte midir?

Cevap: Hayır. Bu özellik için kullanılan MAC adresleri tek yönlü bir hash fonksiyonundan geçirilerek anonim olarak tutulur. Açıklamanın detayı için tıklayınız.

Soru: Lokasyon Analitiği verilerinin bulut sisteminde tutulması tamamen engellenebilir mi?

Cevap: Evet. Lokasyon analitiği özelliği kapatılarak bu verinin bulut sistemine iletilmesi engellenebilir.

Soru: Meraki bulut yönetim arayüzlerinin yetki güvenliği nasıl sağlanmaktadır?

Cevap: SMS ile iki faktörlü kimlik doğrulama, SAML kimlik doğrulama, rol bazlı yetkilendirme, şifre güvenliği politikaları ve oturum açık kalma süreleri güvenlik ihtiyaçları doğrultusunda tanımlanabilir. Detaylar için tıklayınız.

Soru: Internet bağlantısı olan ve gerekli bilgileri elde eden herkes bir kurumun yönetim arayüzüne erişebilir mi?

Cevap: Hayır. Kurum kendi Meraki yönetim arayüzüne hangi IP adreslerinden erişilebileceğini tanımlayabilir.

 

Soru: Cisco/Meraki çalışanları bir kurumun Meraki bulut yönetim arayüzlerine erişebilir mi?

Cevap: Hayır. Kurumun yönetim arayüzüne Meraki support ekibinin dahi erişimi engellenebilir. Bu konudaki açıklama için tıklayınız.

Meraki support ekibinin erişiminin kapatılması ve gereken durumlarda açıklması ile ilgili dökümana da buradan ulaşabilirsiniz.

Soru: Meraki ürünleri ile bulut arasındaki iletişimin güvenliği nasıl sağlanmaktadır?

Cevap: Meraki ürünleri ile bulut sistemi arasındaki iletişim SSL tabanlı şifrelenmiş bir protokol aracılığıyla yapılmaktadır. Detaylı bilgi için tıklayınız.

Soru: Meraki veri merkezlerinin güvenlik ve sürekliliği nasıl sağlanmaktadır?

Cevap: Meraki veri merkezlerinde klasik güvenlik önlemlerinin yanında günlük zafiyet ve sızma testleri yapılmaktadır. Ayrıca veri merkezleri ISO 9001:2008, ISO 27001, PCI DSS, SSAE16 ve ISAE 3402 (SAS70) sertifikasyonlarına sahiptir. Veri merkezleriyle ilgili detaylı bilgi almak için tıklayınız.

Soru: Meraki bulut sistemleri siber saldırılara karşı nasıl korunmaktadır?

Cevap: Klasik yöntemlerin dışında Meraki bir güvenlik açığı ödüllendirme program sunmaktadır. Meraki’ye raporlanan güvenlik açıkları açığın seviyesine göre ödüllendirilmektedir. Ödül programı ile ilgili detaylı bilgi almak için tıklayınız.

Soru: Bulut veri merkezlerine ulaşımda bir sorun olması durumunda Meraki ürünleri fonksiyonlarını yitirir mi? 

Cevap: Hayır. Tüm Meraki ürünler üzerlerindeki son konfigürasyon ile çalışmaya devam ederler. Bulut bağlantısı gelene kadar konfigürasyon ve yazılım güncellemesi alamazlar, istatistik ve event log bilgilerini iletemezler. Davranış hakkındaki detaylar için tıklayınız.

 

 

Avrupa Birliği kişisel veri gizliliği regulasyonları için hazırlanmış Meraki dökümantasyonları:

Veri İşleme Sözleşmesi

Teknik ve Organizasyonel Detaylar

Meraki AB Gizlilik SSS

 

 

 

Tags:
Leave a comment

1 Comments

  1. Cok guzel bilgiler tesekkurler