Bulut Güvenli mi? Neden Olmasın?
Bulut tabanlı ağ şu anda çok popüler ve ilgi çekici bir başlık. Amerika başta olmak üzere Avrupa ülkeleri ve diğer ülkelerde Meraki’nin bulut tabanlı ağ çözümlerine yönelik yatırımlar hızla artıyor. Türkiye’de de bu ilgi hızla artıyor. Fakat bu başlık insanların ilgisini çektiği kadar bazı önyargılar sebebiyle endişe duyulmasına da sebep oluyor. Bu yazıda elimden geldiğince bu önyargıları kırmaya, akıllardaki soru işaretlerini azaltmaya çalışacağım.
En çok korkulan konu Meraki’de kullanıcı trafiğinin bulutta bulunan sistemlere gideceği ve bunun yaratacağı gizlilik problemleri. İlk olarak bu konuyu açığa kavuşturalım. Meraki’de kullanıcı trafiği kesinlikle bulut sistemlerine gitmez. Bulut tarafından yönetilen her cihaz trafiği kendi üzerinde döndürür.
Buluta giden tek trafik yönetim trafiğidir. Yani yapılan konfigürasyon buluttan cihazlara gönderilir. Cihazlarla ilgili trafik istatistikleri ve olay günlükleri (event log) buluta gönderilir. Buluta gönderilen bilgiler içerisinde trafik akışları (flow bilgisi) ya da yazının sonunda değineceğim 5651 nolu yasa için anlamlı olan trafik logları kesinlikle bulunmaz. Bunlar istenildiğinde doğrudan cihazlar tarafından gönderilir. Yani sonuç olarak gizlilik için sorun yaratabilecek hiçbir veri bulut sistemlerine gitmez.
Bir diğer çok karşılaştığım önyargı ise iş sürekliliği ile ilgili. Buluttan yönetilen bir cihazın Meraki veri merkezinin erişelebilir olmaması ya da cihazın veri merkezine erişim sağlayamaması durumunda fonksiyonlarını yerine getiremeyeceği şeklinde bir endişe mevcut.
Öncelikle Meraki veri merkezleri %99.99’luk ayakta kalma garantisi veriyor. (Bknz. https://meraki.cisco.com/trust#data-centers) Geriye kalan %00.01 yani yılda 52dk.’lık kısımda da erişilemeyen yer sadece yönetim için kullanılan Meraki Dashboard. Ürünler veri merkezine erişemese dahi üzerindeki konfigürasyonla hizmet vermeye devam ediyor ve erişilemeyen durumda buluta göndermesi gereken istatistiki bilgileri önbelleğinde saklıyor. Erişim geri geldiğinde de bu bilgileri tekrar buluta gönderiyor. Aynı durum veri merkezinin ayakta olduğu ama cihazların buluta erişiminin sağlanamadığı durumda da geçerli. Yani sonuç olarak cihazların çalışması bulut erişiminin sağlanamaması durumundan etkilenmiyor.
Son önyargı ise kurum içinde bulunmayan bir yönetim platformuna erişimin güvensiz olacağı yönünde. Fakat bununla ilgili önlemler de Meraki tarafından alınmış durumda. Kısaca özetlersek;
- İstenirse bulut arayüzüne iki faktörlü kimlik doğrulaması ile girmeye olanak tanıyor
- Şifre politikaları, periyodik şifre değişimleri, üst üste hatalı girişlerde hesap kilitleme, vs.
- Bulut tabanlı yönetimin faydasını azaltsa da IP tabanlı filtreleme
- Yönetim hesaplarının yetki seviye ayarlamaları
- Konfigürasyon değişikliklerinde yapılan değişikliğin ayrıntılarını içeren e-posta bilgilendirmeleri
- Ayrıntılı değişiklik günlüğü ve yapılan değişikliklerin ayrıntıları
- SSL doğrulaması
- Aktivite olmadığında otomatik log out
Bunlar dışındaki PCI uyumluluğu, güvenlik testleri, güvenlik ödülleri programı, SLA ve gizlilik ile ilgili diğer konular için https://meraki.cisco.com/trust adresine gözatabilirsiniz.
5651 uyumluluğu
Çok duyduğumuz sorulardan birisi de Meraki’nin 5651 uyumlu olup olmadığı. Aslında buradaki doğru soru Meraki’nin sağladığı log’ların 5651 uyumlu bir platforma gönderilip gönderilemeyeceği ve log içeriği olmalı.
Meraki kablosuz erişim noktaları ve güvenlik duvarları kuruma ait herhangi bir 5651 ya da SIEM uygulamasına trafik log’larını gönderebilir.
Örneğin altta benim kendi evimde kullandığım Meraki kablosuz erişim noktasından dışarıda başka bir log sunucusuna gönderdiğim log’dan aldığım bir satırı görebilirsiniz.
- Mar 15 17:37:37233.139.175 logger: <134>1 0.0 OzgurEv urls src=192.168.1.22:59327 dst=85.111.27.167:80 mac=78:31:C1:CD:74:A4 request: GET http://www.milliyet.com.tr/
Bu log’un sadece kablosuz erişim noktasından alınmış durumda, ortamda bir güvenlik duvarı bulunmuyor. Burada benim bilgisayarımın public ve private IP adresleri, bilgisayarımın MAC adresi, zaman bilgisi ve yaptığım GET isteğinin URL ve IP bilgisi mevcut. Dolayısıyla Meraki’nin verdiği log’lar için 5651 uyumlu diyebiliriz. Daha da ayrıntılı trafik loğu almak için eğer istenirse “flow” loğu da gönderilebilir. Örnek;
- Mar 15 17:46:40 233.139.175logger: <134>1 0.0 OzgurEv flows allow src=192.168.1.22 dst=85.111.27.167 mac=78:31:C1:CD:74:A4 protocol=tcp sport=59327 dport=80
Aslında Bulut Tabanlı Ağ Güvenli ve Güvenilirmiş!
Tabi ki bir yazının içerisinde tüm soru işaretlerini yok etmek, bütün önyargıları kırmak mümkün değil ama bazı noktaları aydınlatabildiysem ne mutlu bana. Burada dokunamadığım konular veya aydınlanmayan noktalar için LinkedIn veya e-posta aracılığıyla bana ulaşabilirsiniz.
Özgür Güler
https://tr.linkedin.com/in/gulerozgur