3. 2
Giriş
Yaşamımızın hemen her alanına girmiş bulunan bilişim teknolojilerinin artık günlük
işlerimizi sürdürmemizdeki desteği vazgeçilmezdir. Ancak, sistemin sürekliliğinin
sağlanmasında ortaya çıkan maliyet, esnek olamama ve karmaşıklık gibi bir takım problemler
kullanıcıları giderek zorlamaktadır. Bununla birlikte bilişim dünyası yapısı gereği teknolojinin
hızlı değiştiği ve bu değişimin de yeni yapıları sürekli olarak gündeme getirdiği bir dünyadır.
Teknolojik gelişmeler şimdiye kadar bilişim kaynaklarının dev terminallerin yer aldığı
merkezi noktalarda tutulmasından giderek mini bilgisayarlara hatta kişisel bilgisayarlara
doğru uzaklaşma yönündeydi. Şimdilerde ise, daha ucuz ve güçlü işlemciler ile daha hızlı ve
her yerde bulunan ağların bir araya gelmesiyle oluşturulan büyük veri merkezleri, bilişim
dünyasını tekrar merkezileştirmektedir. Bunun yanında, bilgiye erişim için kullanılan
araçların boyutları ise giderek küçülmektedir. Bilişim hizmetlerinin internet erişimine açık
hale getirilmesiyle de ihtiyaç duyulan yer ve zamanda tüketilebilmesinin yolu açılarak yeni
bir model oluşturulmasının adımları atılmıştır. Microsoft, Google, IBM gibi dev teknoloji
şirketlerinin de rekabet süreci içinde yatırımlarıyla hız verilen, bilişim dünyasında bu yeni
modele bulut bilişim (cloud computing) olarak adlandırılmıştır. Başka bir deyişle, teknolojik
gelişmelerin şikayet konusu olan hususlara verdiği cevap, şimdilerde bulut bilişim olarak
ifade edilmektedir. Bu nedenle, bilişim hizmetlerinin sunumu ve alt yapısında önemli
değişikliklere yol açacak bir model olarak bulut bilişime ilişkin gelişmelerin dikkatle
izlenmesini gerektirmektedir.
Şekil -1- Geçmişten günümüze bilişim teknolojilerinde bulut bilişimin süreci
4. 3
Şekil -2- Bulut bilişime gelen süreçte kullanılan teknolojiler
Cloud Computing/Bulut Bilişim nedir?
Geniş bant internetin gelişmesiyle birlikte web tabanlı uygulama ve servislerin sayısı
gün geçtikçe artmaktadır. Web tabanlı bu uygulama ve servisler “Cloud Computing” olarak
adlandırılmaktadır.
Uygulama ve servislerin internetteki bir sunucuda (bulutta) bulunup, internete bağlı
herhangi bir cihaz ile bu uygulama ve servislerin çalıştırılması olayıdır. Cloud computing ile
bilgisayarınızda bulunan ofis, resim düzenleme ve arşivleme, ajanda, yabancı dile çeviri
programları ve kişisel dosyalarınız, internetteki bir sunucuya taşınıyor ve internete bağlı
olduğunuz her yerden bu programlara ulaşıp işinizi görüyorsunuz. Cloud computing
uygulama ve servislerine örnek vermek gerekirse Google Mail, Apple MobileMe, Ubuntu
One, Picasa, Flickr, Google Docs olarak sıralanabilir. Bu uygulama ve servislerin hepsi web
tabanlı olduğundan dolayı cloud computing olarak örnek verilebilinir.
Cloud Computing’in Temelleri
Bulut hesaplamanın temelinde hosting mantığı ve Grid computing vardır.
Uygulamalar uzaktaki dev sunucu çiftliklerine (server farms) göndererek depolanmaktadır.
Uygulamaların ihtiyaç duyduğu işlem gücü ise, dağıtık sistemler tarafından karşılanmaktadır.
Yani, birden fazla bilgisayara paylaştırılıyor. Buna grid computing denilmektedir.
5. 4
Bulut hesaplama kümelerinde bulunan uygulamalar ise, yine bu hizmeti sunan
şirketler tarafından belirlenmektedir. Microsoft .Net platformuna destek verirken Sun’da Java
platformunu desteklemektedir. Sizin ihtiyacınız olan uygulamaları (Örneğin, SqlServer,
Oracle gibi) kiralayarak kullanıyorsunuz. Buna Utility computing denilmektedir. Uzaktaki
sunucu kümelerine ise, kullandığınız disk alanına ve işlem kapasitesine göre ödeme
yapılabilmektedir.
Görüldüğü üzere bulut hesaplamanın aslında yeni bir tarafı yok. Bilişim sektöründe
alışık olduğumuz üzere, yapılan birkaç şeyi birleştirip, yeni bir yapıymış gibi sunulması
mantığıdır.Bulut hesaplama konsepti Adobe Air gibi platformları oldukça yaygınlaştırabilinir.
Bilindiği üzere Adobe Air, internet üzerindeki uygulamaların, sanki bilgisayarınıza kurulan
bir yazılım gibi masaüstünüzde çalıştırabilmesi esasına dayanmaktadır.
Güncel Cloud Computing Servisleri
1) Microsoft Azure: Windows Azure, kısaca, geliştirdiğiniz uygulamaların Microsoft
sunucularında barındırılması esasına dayanıyor. Bu sunucularda Azura servislerinden (geneli
.Net platformu destekli) faydalanabilinmektedir. Bunlar içerisinde .Net framework
hizmetleri, Sql Server Hizmetleri, Live servisleri, SharePoint servisleri ve Dynamics
(Microsoftun CRM yazılımı) servisleri bulunuyor. Sonuçta geliştirdiğiniz uygulamalar
yukarıdaki servislerden(Utility computing) belirli bir ücret karşılığı yararlanabiliyorlar. Sizde
işlemci kullanım oranınıza ve depolama alanı ihtiyacınıza göre bir ücret ödüyorsunuz.
2) Sun Open Cloud: Sun Open Cloud ise, sektördeki ilk açık kaynak bulut hesaplama
sistemi olmaktadır. Sunduğu servisler; Java platformu desteği, Mysql ve OpenSolaris. Bu
platformun temel amacı, uygulamalarınızın aynı platform üzerinde bulunan uygulamalarla
entegre çalışması. Bu sayede bir topluluk bilinci oluşturulması amaçlanıyormuş. Yine
Windows Azure’de olduğu gibi Sun OpenCloud’da da iki servis mevcut ve siz bunları
kullanma oranınıza göre para ödüyorsunuz. Bu servisler, Sun Cloud Storage Service (Bulut
Veri Depolama Servisi) ve Sun Cloud Compute Service (Bulut Bilgi işleme Servisi). 2009
yazında faaliyete başlayacak servis şimdiden oldukça ses getirmektedir.
3) Google App Engine: Google tarafından sunulan Google App Engine, daha çok
Pyhton üzerinde Django çatısıyla kullanılıyor. Bu platformun esnekliği diğerlerine göre
oldukça düşük. Ama yinede oldukça yenilikçi fikirleri var. Google bu servisiyle maliyeti
düşük uygulamalar için bir kapı açmış oluyor. Google App Engine ile uygulama geliştirmek
için, App Engine SDK’sını edinmeniz gerekiyor. Bu Api’ler içerisinde Google’ın diğer
servislerine entegrasyon ve Veritabanı işlemleri, Kullanıcı işlemleri veya Önbellekleme
işlemleri gibi çoğu işlem için hazır destek var.
Cloud Computing/Bulut Bilişim modelleri
Bu gün 4 bulut servis modelinden bahsedebiliriz.
SaaS – Bulut yazılımı: Servisi sağlayanın yazılımı bulut altyapısı üzerinde çalışır ve
tüketicideki çeşitli cihazlardan web tarayıcısı gibi thin client ara yüzüyle ulaşılır.
6. 5
Tüketici sadece kullanıcıya özel yazılımın yapısal ayarlarını sınırlı olarak
değiştirebilir.
PaaS – Bulut Platformu : Tüketici servis sağlayıcı tarafından sunulan yazılım dilleri
ve araçlarını kullanarak bulut altyapısı üzerinde kendi yazılımlarını geliştirebilir ve
sadece kendi geliştirdiği yazılımlara ve yazılımın barındırılması için gerekli çevre
birimleri üzerinde kontrol ve yönetime sahiptir.
IaaS – Bulut alt yapısı:Tüketiciye depolama, ağ ve diğer ana bilgisayar kaynaklarına
erişmesi ve işletim sistemi dahil yazılımları geliştirip çalıştırabilmesi sağlanır.
Tüketicinin bulut altyapısı üzerinde yine yönetim ve kontrolü yoktur, ama işletim
sistemi, depolama, kullanılan yazılımlar üzerinde yönetim ve kontrole sahiptir ve
firewall, yük eşleyiciler gibi ağ parçalarını seçme hakkı vardır.
Cloud as a service – Servis olarak Bulut : Tüketiciye ticari ürünler, servisler ve
çözümler internet üzerinden gerçek zamanda sağlanır.
Cloud Computing Avantajları
Düşük Donanım Maliyeti: Web tabanlı uygulamaları çalıştırmak için netbooklar dahi
fazlasıyla yeterli. Çünkü uygulama bulutta çalıştırılıyor. Dolayısıyla minimum kaynak
kullanımıyla günümüzün en güçlü kişisel bilgisayarlarının performanslarına
erişebilebiliniyor. Bu yüzden cloud computing kullanan bilgisayarların düşük
kapasiteli sabit diske, belleğe ve işlemciye sahip olması, performans kaybı yaşamanıza
neden olunmaz. Düşük donanım da düşük donanım maliyetini beraberinde getirir.
Gelişmiş Performans: Klasik programlara oranla çok daha az sistem kaynağı tükettiği
için sisteminizde herhangi bir performans kaybı yaşanmaz. Gerekli tüm işlemler
bulutta yapılır.
Düşük Yazılım Maliyeti: Her bilgisayar için ayrı ayrı yazılım paketleri almak yerine
sadece kullanıcıların ihtiyaç duyduğu uygulamalara erişim sağlanır. Ayrıca büyük
işletmelerde programların yüklenmesi ve yönetimi de ayrı bir maliyettir. Cloud
computing ile program yüklenmesine ihtiyaç duyulmadığı için herhangi bir maliyeti
yoktur. Ayrıca yazılımları satın almak yerine kiralayabilir ve bu şekilde tasarruf
edebilirsiniz.
Anında Güncelleme: Kullandığınız web tabanlı uygulamanın yeni sürümü çıktığında
veya bazı açıkları kapatmak için güncelleme yayınlandığı anda siz de en güncel
sürümü edinmiş olursunuz. Bunun için ayrıca ücret ödemenize gerek kalmaz ve/veya
bu güncellemelerin yüklenmesi için herhangi bir teknisyeni çalıştırmak zorunda
kalmazsınız.
Sınırsız Depolama Kapasitesi: “Sınırsız” kelimesi biraz iddialı gibi görünse de
kişisel bilgisayarlar için üretilmiş 1,5 TB’lık sabit diskler PB’lık (1 Peta Byte= 1
milyon GB) depolama kapasiteli sunucuların kapasiteleriyle boy ölçüşemez. Bu
duruma en güzel örnek yerli bir firmanın put.io adlı çözümü. Put.io servisine aylık
belirli bir miktar ödeme yapmanız koşuluyla size GB’larca depolama alanı sunuluyor.
Artırılmış Veri Güvenliği: Bir çoğumuzun sabit diski en az bir kez arıza yapıp
kullanılamaz hale gelmiş ve içerdiği tüm veriler ulaşılamaz hale gelmiştir. Cloud
computing ile verilerimiz internette depolandığından dolayı herhangi bir veri kaybı
söz konusu değildir. Çünkü buluttaki her verinin bir kopyası otomatik olarak başka bir
sunucuya da kopyalanır.
İşletim Sistemleri Arasında Geliştirilmiş Uyum: Windows yüklü bir bilgisayarda
bulunan dosyaların Mac veya GNU/Linux yüklü bir bilgisayarın arasında ağ bağlantısı
7. 6
kurmak oldukça zordur. Cloud computing’te veriler sunucuda bulunduğu için herhangi
bir işletim sistemiyle bu dosyalara sorunsuz bir şekilde ulaşabilirsiniz.
Artırılmış Dosya Formatı Uyumu: Cloud computing sayesinde oluşturduğunuz bir
belgenin diğer bilgisayarlarda nasıl görüneceği, açılıp açılmayacağı gibi dertleriniz
olmaz. Örneğin Google’ın döküman hizmeti ile oluşturulan bir döküman her
bilgisayarda aynı şekilde görünür ve çalışır. Oysa ki Microsoft Office 2007’de
oluşturulan bir belgenin Microsoft Office 2003’te açılmasını sağlamak oldukça zordur.
Grup Çalışması: Cloud computing’in en büyük avantajlarından biri aynı belge
üzerinde aynı anda birden çok kişinin düzenleme yapabilmesidir. Örneğin Google
Docs’un hesap tablosu uygulaması aynı belge üzerinde aynı anda birden çok kişinin
çalışmasına imkan veriyor. Bunun yanında dosyalar kişisel bilgisayarlar yerine bulutta
depolandığı için kullanıcılar, internet bağlantısına sahip olan herhangi bir bilgisayar
ile belgenin en güncel haline her an ulaşabiliyor.
Gizlilik ve Güvenlik: Eğer bilgilerinizi bulutta saklıyorsanız, bilgileri yanınızda
taşımanıza gerek kalmaz. Dizüstü sisteminizin düşüp bozulması, kaybolması ya da
çalınması, bilgilerinizin kaybı ile sonuçlanmaz zira önemli her şey buluttan geri
yüklenebilir. Bulut sayesinde bilgilerinizi, ticari sırlarınızı sanal ortamda
‘gizleyebilirsiniz’.
Cloud Computing Dezavantajları
Sabit İnternet Bağlantısı Gerektirmesi: Eğer internete bağlı değilseniz web tabanlı
uygulama ve servisleri kullanamazsınız. İnternete bağlı değilseniz bulutta bulunan
belgelerinize ulaşamayacağınız için işleriniz aksayabilir. 3G’nin yaygınlaşmasıyla
birlikte bu durum büyük oranda geçerliliğini yitirse de cloud computing için hala
büyük bir dezavantajdır.
Düşük Hızlarda Düzgün Çalışmaması: Web tabanlı uygulamalar geniş bant
internete göre tasarlandığı, için Dial-up veya GPRS ile internete bağlanıyorsanız cloud
computing servis ve uygulamaları normalden çok daha yavaş çalışıyor ve bu
uygulamaları kullanmak insanı farklı dertlere gark ediyor. Aynı durum geniş bant
internet bağlantınızın yavaşlaması durumunda da yaşanabilir. Ek olarak geniş bant
internet bağlantınızın düşük yükleme hızı sunması da veri yedekleme de uzun süre
beklemenize yol açacaktır.
Uygulamanın Yavaş Çalışması: Hızlı bir bağlantıya sahip olsanız dahi eğer web
tabanlı uygulama ve servisi çalıştıran sunucu aşırı yoğunsa kullandığınız uygulama
normalden daha yavaş çalışabilir.
Güvenlik Açıkları: Tüm belgelerinizin bulutta bulunması her ne kadar iyi bir şey olsa
da kötü niyetli kişiler bulut sunucularına çeşitli saldırılar düzenleyip kişisel verilerinizi
ele geçirebilir veya kullanılmaz hale getirebilirler.
Sistem Güncellemeleri: Bulut üzerinde bir yazılım çalıştırıyorsanız, bulut altyapısı
güncellendiğinde, kullandığınız yazılım bu güncelleme ile sorun yaratabilir. Bulutu
çalıştıran sistem sizin kontrolünüzde olmadığı için, bulut üzerine kurduğunuz yazılım,
klasik sunuculu sisteme göre daha az kontrolünüz altındadır.
Kullandığınız Programın Özellikleri: Yazı boyunca bir kaç kez Google Docs’tan
bahsettik. Google Docs her ne kadar tüm ofis programı ihtiyacınızı giderecek olsa da
Microsoft Office ve/veya Open Office’in tüm özelliklerini bünyesinde barındırmaz.
8. 7
Cloud computing tabanlı uygulamalara geçmeden önce bu programların ihtiyacınızı
tam olarak karşıladığından emin olun.
Cloud Computing Riskler
Risk 1 – Hizmet Devamlılığı ve Kullanılırlığı: Bulut Bilişim hizmet sağlayıcılarda
hizmet kesintisine sebebiyet verebilecek bir sorun yaşanması durumunda, bu hizmet
sağlayıcıdan hizmet tedariki yoluna gitmiş tüm şirketler birden bundan etkilenecek ve kesinti
sonuçlanana kadar, şirketlerin müşterilerine hizmet veremez hale gelmelerine sebep olacaktır.
Eğer şirketler tüm teknolojik altyapı ve hizmetleri tek bir Bulut Bilişim (Cloud Computing)
hizmet sağlayıcıdan temin ediyorlarsa, oluşabilecek bir kesinti, şirketin tüm işletme ve
ekonomik faaliyetlerinin durmasına sebebiyet verebilir. Her ne kadar Bulut Bilişim (Cloud
Computing) hizmet sağlayıcı firmalar bu tür durumlara karşı hazırlıklı olsalar da, Haziran
2008’de Google AppEngine’de meydana gelen bir programlama hatasından dolayı 6 saat,
Temmuz 2008’de ise Amazon S3’te tek bir bit hatasından kaynaklanan bir hatadan
kaynaklanan 8 saatlik hizmet kesintileri yaşanmıştır.
Tek bir hata noktasına (“single point of failure”) dayanmaktan kaçınarak, şirketlerin
ihtiyaç duydukları hizmetlerini farklı hizmet sağlayıcılardan tedarik etmeleri, şirketlerin riski
dağıtmasına, hizmet sağlayıcılarda oluşabilecek kesintilerden ve hatta hizmet sağlayıcıların
iflası gibi durumlardan en az etkilenmelerine imkân tanıyacaktır.
Bulut Bilişim (Cloud Computing) hizmet sağlayıcılarında meydana gelebilecek hizmet
kesintileri, hizmet sağlayıcıları içindeki yazılımsal, donanımsal ya da mimari bir hatadan
kaynaklanabileceği gibi, dışarıdan gelebilecek saldırılardan da kaynaklanabilir. Genelde
dışarıdan yapılan saldırılar, dağıtılmış hizmet dışı bırakma saldırıları (“DDoS”) olarak tabir
edilen, birçok bilgisayarın aynı anda aynı noktaya istekleri yönlendirilip, sunucuların bu
isteklere cevap veremez hale getirilmesi ilkesine dayanan saldırılardır. Suçlular, “DDoS”
saldırıları düzenleyip, Cloud Computing hizmet sağlayıcıların hizmetlerini kesintiye
uğratacakları tehdidi ile hizmet sağlayıcı firmalardan para talep edebilmektedirler. Bu
saldırılarda kullanılan bilgisayarlar “bot” adı verilen, bilgisayar korsanları tarafından zararlı
yazılımlar yüklenip ele geçirilmiş ve kullanıcısının farkında olmadan istenildiği an istenen bir
noktaya saldırması sağlanan bilgisayarlardır. İnternet üzerinde karaborsada, ele geçirilmiş bir
bilgisayarın (“bot”) 0.03 dolar gibi düşük bir fiyatla bir hafta süreyle kiralanabildiği
bilinmektedir. Bu sayede kolay bir şekilde, düşük bir harcama ve çok büyük sayıda ele
geçirilmiş bilgisayar kullanılarak (“bot”), etkili hizmet dışı bırakma saldırılarının (“DDoS”)
düzenlenebilmesi, hizmet sağlayıcılar için önemli tehlike ve risk oluşturmaktadır. Fakat Bulut
Bilişim hizmet sağlayıcılarının bu tür saldırılara karşı koyacak koruma mekanizmalarını
oluşturma yoluna gitmesi, ihtiyaç anında hızlı ve dinamik kaynak ayırabiliyor olmaları
sayesinde, gelen “DDoS” saldırılarına karşı koyabilmeleri, saldırının geldiği noktaları tespit
edip engelleyebilmeleri mümkün olmaktadır.
Risk 2 – Veri Güvenliği ve Gizliliği: Bulut Bilişim hizmetlerindeki önemli
kaygılardan birini de, hizmet sağlayıcılar ile paylaşılan özel ve gizli bilgilerin, Bulut içindeki
diğer hizmet kullanıcısı olan şirketlerden nasıl korunacağı, veri gizliliğinin nasıl sağlanacağı
konusu oluşturmaktadır. Bulut içindeki bir kullanıcı için mümkün olan veri gizliliği seviyesi
çoğu durumda, masaüstü uygulama kullanıcılarına göre daha düşük olmaktadır.
9. 8
Cloud Computing hizmetlerinin aynı anda birçok kullanıcı tarafından kullanılması ve
fiziksel kaynakların tüm kullanıcılar tarafından ortak olarak kullanılıyor olması veri gizliliği
ve güvenliği için riskler barındırmaktadır. Bulut içindeki farklı kullanıcıların, ortak kaynaklar
üzerindeki depolama, bellek alanlarını birbirinden ayırmaya yarayan iç mekanizmalarda
ortaya çıkabilecek açıklık ve hatalar, yapılacak saldırılar sonucu kullanıcıların özel ve gizli
verilerinin ele geçirilmesine sebebiyet verebilir. Ayrıca, Cloud Computing ’te kaynakların
dinamik olarak ayrılıp bırakıldığı düşünüldüğünde, çoğu işletim sisteminde uygulandığı gibi,
silinen verilerin fiziksel olarak silinmeyip sadece mantıksal seviyede silinmesi durumunda,
bırakılan depolama kaynağının başka bir kullanıcıya tahsis edilmesi sonucu, bu fiziksel olarak
silinmeyen verinin başka kullanıcılar tarafından ele geçirilmesi mümkün olabilmektedir.
Bulut Bilişim’in dağıtık mimaride olması sebebiyle, içerisinde hizmetler arası yoğun
veri trafiği ve veri iletişimi gerektirmektedir. Bunun sonucu olarak, Bulut içinde
bulunabilecek kötü niyetli kullanıcılar, zararlı yazılımlar çalıştırıp, açık kapı (“Port”) taraması
yaparak elde edeceği bilgilerle, olası veri kaçaklarını ve veri iletişimini dinleyip, gizli verileri
ele geçirebilirler.
Bulut Bilişim hizmet sağlayıcı firmaların, belirli özelleşmiş görevleri dışarıdan 3.
Parti firmalardan tedarik yoluna gitmesi, hizmet sağlayıcıların aldıkları tüm güvenlik
önlemlerine rağmen sistemlerinin güvenlik seviyesini, 3. Parti firmalarla kurulan bağlantının
ve bu firmaların sistemlerinin güvenlik seviyesine bağlı hale getirerek, veri güvenliği ve veri
kontrolünün kaybedilmesine sebebiyet verebilir.
Yukarıda sayılan veri gizliliğine zarar verebilecek davranışların büyük bölümü, Bulut
içinde verileri şifreli şekilde saklama, sanal yerel ağlar kullanımı ve ağ içi güvenlik duvarı
kullanımı yöntemleri ile engellenebilir. Örnek olarak, verilerin Bulut Bilişim hizmet
sağlayıcısına (Amazon) şifrelenip gönderilmesi yöntemi, hastaların hassas sağlık bilgilerine
erişime sahip olan TC3 adlı bir sağlık firması tarafından başarıyla kullanılmıştır.
Risk 3 –Veri Denetlenebilirliği, Uygunluğu ve Yasal Düzenlemeler : Bir çok şirket,
sertifikasyonu sağlamak, rekabet avantajı elde etmek, endüstri standartlarını karşılamak veya
yasal zorunluluklardan dolayı, belirli standartlara uyma konusunda büyük yatırımlar
yapmaktadırlar. Fakat Bulut Bilişim hizmet sağlayıcılarının, bu standartların gereklerini
yerine getirmeye yönelik, kendi uygunlukları (“compliance”) konusunda kanıt sunamamaları
ve Bulut kullanıcılarına bunlara ilişkin denetim izni vermediği durumlarda, yapılan yatırımlar
riske atılmış olabilir. Örnek olarak, Amazon EC2 hizmet sağlayıcısı kullanıcılarını,
platformları üzerinde PCI Veri Güvenlik Standardına uygunluğu sağlamada zora
düşebilecekleri konusunda uyarmaktadır. Bu sebeple, EC2 üzerinde faaliyet gösteren
hizmetler, kredi kartı işlemlerini yerine getirememektedir.
Cloud Computing (Bulut Bilişim) hizmetlerinin dağıtılmış olarak çalışan küresel
hizmetler olduğu düşünüldüğünde, farklı ülkelerden kullanıcılar, farklı iş kültürlerine ve yasal
düzenlemelere sahip olarak iş görmektedirler. Cloud Computing (Bulut Bilişim) hizmet
sağlayıcılarının farklı ülkelerde ve bölgelerde veri merkezleri bulundurması, bulunduğu
ülkedeki yasal düzenlemelere de uyum sağlamasını gerektirebilir. Veri gizliliği ve denetimi
konusunda ülkelerin farklı yasal düzenlemelere sahip olması, Cloud Computing (Bulut
Bilişim) hizmet sağlayıcılarının hizmetlerini yerine getirirken, farklı yasal düzenlemelere
uyum sağlamada sorunlara neden olabilir. Avrupa Birliği ülkeleri ve Amerika Birleşik
Devletleri arasında bile, kişisel gizlilik ve kişisel gizliliği koruma türleri konusunda belirgin
10. 9
farklılıklar bulunmaktadır. Ayrıca, bulunduğu ülke dışındaki başka bir ülkede yerleşik bir
Cloud Computing hizmet sağlayıcısından hizmet alan şirketler, dolaylı olarak bu ülkenin
yasalarının kapsamına girdiği için, burada saklanan verilerine hizmet sağlayıcının bulunduğu
ülke tarafından adli yargı yoluyla erişilebilir ve verilerinin gizliliği tehlikeye girebilir. Örnek
olarak, Amerika Birleşik Devletleri hükümeti, A.B.D. Vatanseverlik Yasası, Yurtiçi Güvenlik
yasası benzeri yasaları kullanarak, gelişmiş bilgi toplama teknolojilerinin yardımıyla her türlü
bağlamdaki elektronik veriye erişebilmektedir.
Bulut Bilişim mimarisine, veri denetimi özelliği kazandırabilmek ve bu yolla belirli
standartları ve yasal zorunlulukları sağlayabilmek için, sanal misafir işletim sisteminin
erişemeyeceği, ayrı bir veri denetimi katmanı eklenebilir. Bu sayede veri denetimi ve
uygunluğu merkezileştirilmiş tek bir mantıksal katman üzerinden sağlanabilir [4].
Risk 4 – Hizmet Sağlayıcı Bağımlılığı ve Veri Kilitlenmesi: Bir Cloud Computing
(Bulut Bilişim) hizmet sağlayıcısından diğerine geçiş yapmak istenmesi durumunda, Bulut
Bilişim hizmet sağlayıcılarının; yazılım programlama ara yüzlerini (API) istenen seviyede
standartlaştırmamış olmaları, verilerin hizmet sağlayıcılara özel veritabanı şemalarında
tutulmaları gibi sebeplerle, veri ve yazılımların taşınmasında büyük zorluklarla
karşılaşılmaktadır. Bunun sonucu olarak şirketlerin, Cloud Computing (Bulut Bilişim)
hizmet sağlayıcılarına bir anlamda bağımlı durumuna geldikleri görülmektedir. Bu bağımlılık
farklı hizmet modelleri için, farklı şekillerde olabilmektedir. Bir Servis olarak Yazılım
(“SaaS”) modelinde, şirket verilerinin hizmet sağlayıcının tasarladığı özel bir veri tabanının
şemasında saklanması, verinin taşınmasını güçleştirirken; belirli alanda uzmanlaşmış
uygulamaların bulunması, şirketlerin uygulama değiştirmelerini zorlaştırmaktadır. Servis
olarak Platform (“PaaS”) modelinde ise, şirketler hizmet sağlayıcıların yazılım geliştirme ara
yüzlerine (“API”) ve bileşenlerine bağımlı hale gelirlerken, Servis olarak Altyapı modelinde
(“IaaS”) ise, kullanılan donanımsal kaynaklara bağımlı hale geldikleri görülmektedir.
Bir Cloud Computing (Bulut Bilişim) hizmet sağlayıcısına, depolanan veri ve kullanılan
uygulamalar dolayısıyla bağımlı olmak, uygulanan fiyat politikalarına karşı esnek
olamamaya, hizmet sağlayıcısının mimarisinde var olabilecek açıklık ve zayıflıklar sonucu
oluşabilecek arıza ve saldırılardan dolayı veri kaybına uğramaya sebebiyet verebilir. Ayrıca,
bir Cloud Computing (Bulut Bilişim) hizmet sağlayıcısının bir diğeri tarafından satın
alınması sonrasında gerçekleşebilecek olan hizmet veya kullanım şartnamesi değişiklikleri,
şirketleri zora sokabileceği gibi; bir hizmet sağlayıcının yaşadığı teknik ve ekonomik
zorluklar sonucu batması, hizmet alan şirketlerin büyük veri ve itibar kaybına uğramalarına
neden olabilir. Her ne kadar bu zor bir ihtimal olarak görülse de, Linkup adlı çevrim içi veri
depolama hizmetinin, 8 Ağustos 2008 tarihinde, müşteri verilerinin %45’ini kaybettikten
sonra batması bu riskin var olduğuna örnek olarak verilebilir.
Risk 5 – Yönetim Ara yüzü ve Uzaktan Erişim : Cloud Computing (Bulut Bilişim)
hizmet sağlayıcıların kullanıcılarının hizmetlerini yönettikleri ara yüzler, internet üzerinden
erişilebilir olmaları ve geniş yönetim imkânları barındırmaları sebebiyle, internet tarayıcıların
ve uzaktan erişimin zayıflıkları düşünüldüğünde, yüksek güvenlik riski taşımaktadırlar.
Uzaktan erişim sırasında, saldırganlar tarafından koklama (“sniffing”), yanıltma (“spoofing”)
ve araya girme (“man-in-the-middle”) gibi saldırı yöntemleri kullanarak, iletişimin ve
taşınan verinin dinlenmesi, kullanıcı oturumunun elde edilmesi ve kullanıcı şifrelerinin
çalınması mümkün olabilmektedir. Eğer saldırgan kullanıcı şifre ve bilgilerini ele geçirirse,
yapılan işlemleri izleyebilir, verileri silebilir, veriler üzerinde oynayabilir, hatalı veri
11. 10
döndürülmesine sebep olabilir ve hatta müşterileri zararlı sitelere yönlendirebilir. Ayrıca
saldırgan, ele geçirdiği kullanıcı hesabını veya kullanılan hizmetleri, daha ileri ve geniş
saldırılar yapmak için bir merkez olarak kullanıp, kullanıcıya duyulan güveni ve kullanıcının
itibarını kullanarak, başka kişiler ve Bulut Bilişim hizmet sağlayıcısını da etkileyebilecek
daha büyük saldırılar gerçekleştirebilmektedir.
Bulut Bilişim hizmet sağlayıcılar tarafından, bulut temelli güvenlik modeli oluşturulmasına
başlanıp, Cloud Computing (Bulut Bilişim) kullanıcılarının anti virüs ve güvenlik
yazılımları kurmasına gerek bırakmayan, Bulut-içi (”in-the-cloud”) tarama hizmetleri
başlatıldı. Bu sayede, bulut kullanıcılarının zararlı yazılımlara, sistemdeki açık kapılara
(“loophole”), zayıflıklara ve araya girme (“man-in-the-middle”) saldırılarına karşı
korunmasına, bulut içindeki saldırıların engellenmesine çalışılmaktadır.
Risk 6 – Bant Genişliği ve Veri Transferi: Bulut Bilişim’in temelinde yatan ana
fikirlerden biri olan, kullanıcıların veri işleme ve saklama faaliyetlerinden arındırılıp, verilerin
merkezi bir Bulut içine toplanması ve buradan gerekli işlemlerin yapılabilmesi fikri,
uygulamaların giderek daha yoğun veri kullanmaya başlamasıyla, verilerin kullanıcıdan
Cloud Computing (Bulut Bilişim) hizmet sağlayıcısına taşınmasında zorluklara sebep
olmaktadır. Cloud Computing (Bulut Bilişim) hizmet sağlayıcısına geçiş sırasında
şirketlerin tüm verilerini hizmet sağlayıcısına taşıması gerekliliği, kullanılabilir bant
genişliğinin sınırlı olması, veri transferinin uzun sürmesi ve veri transfer maliyetlerinin
yüksek olması, şirketlerin Cloud Computing (Bulut Bilişim) yoluyla hizmet almasının
önündeki önemli engellerdendir. Örnek olarak, Amazon S3 hizmet sağlayıcısına veri
transferinde ortalama bant genişliğinin 5 ile 18 Mbit arasında olduğu ölçülmüştür. 10 TB’lık
bir veriyi, ortalama değerin üzerinde 20 Mbit/saniye hızda S3 hizmet sağlayıcısına
gönderilmesi işleminin, toplamda 45 günden fazla süreceği hesaplanmaktadır.
Bant genişliğinin belirli limitlerin üzerine çıkamaması, dolayısıyla büyük veri transferlerinin
çok uzun sürmesi ve maliyetinin yüksek olması gibi sorunlara karşı, veri disklerinin kargo
şirketleri tarafından 1 günde teslim edilmek üzere fiziksel olarak yollanması gibi çözümler
önem kazanmıştır.
Bulut Bilişim hizmet sağlayıcılarının düzenli bir internet bağlantısına ve yüksek bant
genişliğine ihtiyaç duymaları sebebiyle, Bulut Bilişim hizmet sağlayıcılarına gerekli internet
altyapısını ve bant genişliğini sağlayan İnternet hizmet sağlayıcılar (“ISP”), uyguladıkları
fiyat politikaları yoluyla Bulut Bilişim hizmet sağlayıcılarını ekonomik baskı altına alabilirler.
Hatta bazı İnternet hizmet sağlayıcılar, hali hazırda büyük ağ ve veri merkezleri bulundurma,
kendi veri iletişim altyapılarına sahip olma, yüksek bant genişliği kullanabilme gibi
avantajları sebebiyle, haksız rekabete yol açabilecek şekilde, Bulut Bilişim hizmetleri verme
yoluna gidebilir.
Değerlendirme, kendi görüş ve önerilerim:
Önümüzdeki süreçte bulut bilişimin, yeni bir hizmet modeli olarak tüm kurum ve
kuruluşların ilgi alanına gireceği ve bunların organizasyon yapıları ve iş süreçlerini derinden
etkileyeceği açıkça görülmektedir. Birçok durumda mevcut riskleri küçümseme, ancak yeni
riskleri gereğinden büyük gösterme eğilimi vardır. Her zaman olduğu gibi, süreklilik yanlısı
güçlerle değişiklik yanlısı güçler yeni bir mücadele alanında yine karşı karşıyadır. Bu
mücadelenin, bulut bilişimin risklerinin abartılması konusunda da yaşanacağı açıktır. Ancak,
12. 11
bulut bilişimin güvensiz bir ortam oluşturduğu görüşüne tümüyle katılmak mümkün değildir.
Çünkü bu hizmeti verecek kuruluşlar gerçekten önemli kaynaklar ayırarak büyük yatırımlar
yapmış ve yapmaya da devam etmektedirler. Aynı zamanda alanındaki en iyi bilişim
uzmanları ile çalışan bu kuruluşlar, teknolojinin getirdiği tüm güvenlik uygulamalarını çok iyi
bilmekte ve bu uygulamaları hayata geçirmektedir. On yıl önce kablosuz ağlardaki güvensiz
durumun bugün için gündemde olmaması ve bu ağların giderek daha fazla kullanılmaya
başlanması, bulut bilişim güvenliğinin de aynı şekilde giderek arttırılacağının bir
göstergesidir. Ancak risk vardır ve hep olacaktır, önemli olan bu risklerin düzenli şekilde
değerlendirilmesi ve yönetilmesidir. Risk değerlendirmesinde bulunurken, her riskin bir fırsat
ile eşlenmiş olduğu unutulmamalı, bulut bilişim tarafından sunulan fırsatların getirisi ile göze
alınan riskin sonucunda karşı karşıya kalınabilecek zararın değerlendirmesi, her kurumun
kendine özel şartları, dinamikleri ve faaliyet alanlarından başlayarak, tüm ilgili bileşenler göz
önünde bulundurularak iyi yapılmış olmalıdır. Riskler her kurum için aynı önemde ve
öncelikte olmadığı gibi, bazı kurumlar için geçerli de olmayabilir. Bir riskin kurum için önem
derecesini, kurumların içyapıları, ilişkide bulundukları veya faaliyet gösterdikleri alanlar ve
olası özel durumları belirlemektedir. Ayrıca, aralarında güven ilişkisi bulunan iki kurum
arasında kurulan bulut (“community/private cloud”) ile aralarında herhangi bir güven ilişkisi
bulunmayan iki kurum arasında kurulan bulutun (“public cloud”) risk derecesi farklı
olacaktır. Bu sebeple kurum dışı faktörlere ve bulut bilişim hizmet sağlayıcı ile kurulacak
ilişkinin türüne göre risklerin önemi değişecektir. Bulut bilişimin olanakları, ülkemizde tüm
ve kuruluşlar için de önemli fırsatlar sunmaktadır. E-posta, belge yönetimi gibi bazı
hizmetlerden bulut ortamda yararlanmaya başlayacakları ve giderek yazılımların paylaşılması,
acil durum ve iş sürekliliğinin gereği olarak verilerin başka noktalarda tutulması, daha sonra
bu verilerin işlenmesi, uygulama geliştirme alt yapısının oluşturulması ve uygulamaların
devreye alınmadan önce burada testlerinin yapılması gibi çok farklı alanlara kaymaları
beklenmektedir. Bulut bilişim, büyük küçük tüm idarelerin aynı yazılımları, aynı veritabanını,
aynı altyapıyı hem günün her saatinde, hem de internet erişimi olan her noktadan
kullanabilmelerini sağlayarak, her kurumun bağımsız şekilde kendisine verilen kaynakların
kullanımı konusunda hesap verebilmesinin önünü açacaktır.
Yararlanılan Kaynaklar:
http://www.pcrehberi.org
http://www.cozumpark.com/
http://www.bilgiguvenligi.gov.tr/
http://www.bida.com.tr
http://www.sectit.com
Sayıştay Dergisi Sayı:74-75