“Cloud Computing” günümüz İnternet dünyasında ön plana çıkan yeni kavramların başında geliyor. Büyük teknoloji devleri bu kavrama çok büyük yatırımlar yapıyor. Bu altyapı üzerinden sunulan uygulama ve servislere hergün yenileri ekleniyor. (Resim 1)

Resim 1: Cloud computing servisleri

Türkçe makalelerde bulutsu bilişim, net-işlem, bulutsu bilgi işlem gibi birçok farklı çeviriyle karşımıza çıkan “cloud computing” mobilitenin sınırlarını daha da genişletiyor. Bu yaklaşımla, artık ister kişisel verilerinize olsun, ister kurum içi uygulamalarınıza veya verilerinize olsun, platform veya lokasyon bağımsız erişim sağlanıyor. Dünyanın neresinde olursanız olun, İnternet erişiminizin olduğu herhangi bir yerden, platform bağımsız bir bilgisayardan, hatta cep telefonundan dokümanlarınıza erişebilirsiniz. Hatta İnternet üzerinden servisi verilen kurum uygulamanıza herhangi bir yerden bağlanıp çalışabilirsiniz.

Bu sayede, kurumlar kendi teknolojik altyapılarını, kendi lokasyonlarında barındırmak için harcadıkları yüklü maliyetlerden kurtulup, ihtiyaç duydukları her türlü servisi, uygulamayı, hatta teknolojik altyapıyı sadece kullandığın kadar öde gibi paketlerle, İnternet üzerindeki bulutsu yapı üzerinden kullanarak maliyet avantajı sağlayabiliyorlar.

Cloud Computing Hizmet Modelleri

 United States Institute of Science and Technology (NIST) “cloud computing” kavramını 3 hizmet modeliyle açıklıyor (Resim 2):

1) Servis olarak Yazılım (Software as a Service), bulutsu altyapı üzerinden uygulamaların sunulması hizmetidir. Kullanıcılar, bu uygulamalara kendi sistemlerine bir şey yükleme gereği duymadan, İnternet’e bağlandıkları herhangi bir noktadan, bulutsu yapı üzerindeki uygulamalarına erişip çalışabilirler. Bu tip servislere en yaygın örnekler; mail servisleri, ofis yazılımları, doküman paylaşımı ve müşteri yönetimi gibi uygulamalardır.

2) Servis olarak Platform (Platform as a Service), hizmetinde servis sağlayıcı, müşteriye kendi uygulamasını geliştirip, çalıştırabileceği bir platform sunar. Bu platform uygulamanın geliştirileceği, çalıştırılacağı ortamla birlikte tamamlayıcı servisleri ve gerekli teknolojik altyapıyı da kapsar. 

3)      Servis olarak Altyapı (Infrastructure as a Service), müşterilere altyapı servislerinin sanallaştırma ortamı gibi sunucu çiftlikleri üzerinden verilmesi hizmetidir.

Resim 2: Hizmet modelleri

Cloud computing yapısıyla hayatımıza giren teknolojik gelişim ve değişimle birlikte ortaya çıkan güvenlik risklerini iyi belirleyebiliyor olmalıyız. Cloud computing çözümlerini geliştirirken, uygularken, seçerken, kullanırken veya işletirken yasal uyumluluk ve risk yönetimi, kimlik ve erişim yönetimi, uç nokta güvenliği, bulutsu yapıda tutulan bilginin gizliliği ve erişilebilirliği gibi birçok kriteri göz önünde bulundurmak gerekiyor.

Kurumların güvenlik yaklaşımına ve beklentilerine uygun olacak şekilde riske ayarlı güvenlik kontrollerinin uygulanıyor olması gereklidir. Network, sistem, uygulama ve fiziksel olacak şekilde farklı katmanlarda güvenlik önlemlerinin uygulanması gerekmektedir.

Bu noktada, bilginin güvenliğini sağlamak amacıyla gerek servis sağlayıcıların, gerekse de bu servisi kullanan kurumların üstüne birçok yükümlülükler düşmektedir. Bulutsu bilişim güvenliği için uygulanacak güvenlik kontrollerinin sorumluluğu kullanılan servis modeline bağlı olarak servis sağlayıcıda veya müşteride olacaktır.

Örneğin; IaaS servis modelinde, altyapının güvenliği, servis sağlayıcının sorumluluğunda iken, üst katmanlardaki güvenlik müşterinin sorumluluğundadır. Benzer şekilde, PaaS servis modelinde müşteriye kendi uygulamasını geliştirip, çalıştırabileceği bir platform sunulmaktadır. Bu yapıda, sunulan platformun güvenliği servis sağlayıcının sorumluluğunda iken, üzerinde geliştirilen uygulamaların güvenliği ve güvenli şekilde geliştirilmesi müşterinin sorumluluğundadır. SaaS yapılarında ise; servis seviyelerinin ve taahhütlerinin, güvenlik, gizlilik ve uyum kriterlerinin yasal sözleşmeler dahilinde tanımlanması gereklidir. 

      Software as a Service (SaaS): Güvenliğin sağlanmasındaki en büyük sorumluluk servis sağlayıcıya düşmektedir.

Infrastructure as a Service (IaaS): Güvenliğin sağlanmasındaki en büyük sorumluluk müşteriye aittir.

Platform as a Service (PaaS): Güvenliğin sağlanmasındaki sorumluluk servis sağlayıcı ve müşteri arasında hemen hemen eşit seviyede paylaşılmaktadır.