Bunaltıcı bir sıcağın ardından süzülüyorum serin sayfalara doğru tekrar,
Kıyafetsiz tertemiz bir çocuk gibi kendilerine bahşedilecek senaryoyu oynamaya hazırlanıyor kağıtlar içten içe gülümseyerek.
Kalem mi tutukluluk yapmış ? Kağıt da şaşkın.. Bu sefer yazılmayacakmış kafiyeli sözler,
Gaye bulundurmadan öyle içimden geldiği gibi,
Dans da etmeyecek kelimelerim bu sefer,
Bir Can'la konuşuyorum sadece,
Kar soğuğunda donmayacak, bunaldığında serin kalabilecek kadar canlı..
Hani şu yorulmak bilmez sporcular olur ya, diskalifiye olurlar ortaya çıkınca aldıkları enerji verici maddeler..
Onlara benziyorum bu tarafımla, böyle yorulduğumu göremeyecekleri kadar koşabilirim gibime geliyor.
Kendimi övme satırlarım olmacak bu kısımlar hayır,
Komuta yetkisini de kullanarak söylemiyorum bunları, bu sefer düşman yok,
Yapılacaklar yok, emir ve rütbe ilişkisi de yok.
Hayır boş boş lafların döngüsüne de girmeye gerek yok.
Anaforlarda sıradan insanları eleyerek herkesin okumasını istememek amaç tam olarak.
Şimdi kapıyı kapatabilirsen sevinirim hırsla satırlarımda gezinen yabancı, ben.. sesleri dinliyorum..
Bilincini kaybetmeyeceğini ve düşmeyeceğini bilmek güven verici bir şey,
Küstahlığa yol açmasına da engel olunması gerekecek cinsten.
Korkulacak bir yönü yok aslında, aksine sıcacık, insanı akışına kaptıran, tatlı bir meltem gibi.
Günümüzde ortalığı kavuran bunaltılar gibi değil,
Isıtan ama yakmayan yakan ama terletmeyen terleten ama aslında serinleten bir tasvir bu, kelimeleri dahi bocalatabilecek kadar ilginç.
Kimisi yürek demiş zamanında kimisi akıl lakin bu kadar basite indirgenebilecek kadar sıradan değil durum.
Bir benlik söz konusu..
Ben ya da sen öznesine göre hareket etmesi çok zor şimdi, öncesi yok, biz..
Hareketlere dayalı o'dur budur bundan iyidir böylesi iyidir demek de kabak tadı verici hareketler.. Hiç gerek yok.
İki renk düşün lakin fırçasını da bir amatöre yakıştırma lütfen,
Zorla birbirine karıştırılmış gibi değil de mükemmel bir bilgisayar yazılımı ile kontrol edilerek dans edenleri olur ya hani böyle dakikalarca ağzından kaçırdığın garip efektlerle beraber izlersin.
Öyle bir şey tanımlamaya çalıştığım.
Hatası yok, doğrusu, yolu yok, çamuru yok, çukuru, tümseği, yapılması gerekenler yok, olmaması gerekenler yok.
Sadece kendin olmak var, sonrasında gelen garip bir uyum var.
Direnmek, çabalamak, asileşmek, kendini değişmemeye zorlamak da var.
Negatif tanımlamalar da içerebilir sorun değil, sadece bu ve benzerlerini sivri mızraklarla değil, sedefle kaplayarak sunmak var.
Batırmak, kanatmak, acıtmak vesaire yok bu hikayede.
Uyum.. Tıpkı uyuduğunda olduğun kadar savunmasız halinle içerisinde olduğun uyum.
Göz kapaklarını içine camlar batacağından çekinmeksizin rahatça kapatabilmek,
Nefessiz kalacağından korkmadan koşabilmek,
Üsümeyeceğini bilerek giyinebilmek,
Acıkacağını düşünmeden susuzluk çekmeyeceğini bilerek yaşayabilmek,
Kendine vakit ayırmasan da mutlu olabilmek,
Çenen kırılsa bile yüzüne gülümseyebilmek,
Üstüne çığlar da yağsa altından kalkabilmek,
Tüm Dünya saldırsa dahi hepsini püskürtebilmek kademesinde,
Tanımlaması zor bir güç bu. Süper karakterler bile halt etmiş yanımda dedirtebilecek kadar küstah gelen.
Adını Öyküm koydum, gerisi teferrüat.
İyi ki varsın ve benimlesin sevgilim.
4 Haziran 2011 Cumartesi
3 Haziran 2011 Cuma
Yine Tepki
Küstah duygular izinde tüketiyor insanlar evveli,
Toz ve dumanlar arasında birer acizler, sanıp büyük görüntüleri,
Bir boş kovanı arkada bırakıp çığlık çığlığa ilerleyen mermi misali,
Esen rüzgar eşliğinde arıyorlar bir bedeni.
Hevesleri sivrilten, delik deşik yaralarından kanayan egoları derdi.
Algıları karışık dalmış bu yola, ayırd edemez berkemali.
Hepsi geride kalmıştır onun için abi, kardeş, dost, arkadaş, sevgi,
Para, şöhret, ün peşinde karakter eritmeye devam eder ağustos böcekleri.
Toz ve dumanlar arasında birer acizler, sanıp büyük görüntüleri,
Bir boş kovanı arkada bırakıp çığlık çığlığa ilerleyen mermi misali,
Esen rüzgar eşliğinde arıyorlar bir bedeni.
Hevesleri sivrilten, delik deşik yaralarından kanayan egoları derdi.
Algıları karışık dalmış bu yola, ayırd edemez berkemali.
Hepsi geride kalmıştır onun için abi, kardeş, dost, arkadaş, sevgi,
Para, şöhret, ün peşinde karakter eritmeye devam eder ağustos böcekleri.
25 Nisan 2011 Pazartesi
İstemiyorum uzaklara gitmek
Zorla yolculuğa çıkarılmış çocuk,
Yol çizgisi takibinde, kaşları çatık,
Titrek eli gizler kalbi buruk,
Bulutlar ben yutkunmadan dağılın gözümden artık.
Özlemek dediğin basit bir kelime yokluğun karşısında,
Yamamaya çalıştığım boşluğum yırtılıyor adım adım uzaklaştıkça,
Sözlerim de artık çıkmıyorlar evinden dışarı,
Kısık bakıyorum ben de zaten sen yokken gün ışığına..
To be continued..
Yol çizgisi takibinde, kaşları çatık,
Titrek eli gizler kalbi buruk,
Bulutlar ben yutkunmadan dağılın gözümden artık.
Özlemek dediğin basit bir kelime yokluğun karşısında,
Yamamaya çalıştığım boşluğum yırtılıyor adım adım uzaklaştıkça,
Sözlerim de artık çıkmıyorlar evinden dışarı,
Kısık bakıyorum ben de zaten sen yokken gün ışığına..
To be continued..
30 Mart 2011 Çarşamba
Çıktık Yine Yollara - Norm
Çıktık yine yollara
Yaşıyor bu sözler
Anlat hadi onlara
Ne diyor bu gözler
Yollar anlatır her bedende farklı kavgası,
Beni de ağlatır yanmayan bu sokak lambası,
Damgasıdır dik yokuş şehre uzak bölgeler,
Köşe başinda 10 yaşinda kimlik ariyo gölgeler..
Doğmayan hayallerin, cehennemin tam ortası,
Seni de korkutur mu olmayan hayat sigortasi,
İlgisiz bu devletin bak ilgisiz konutlari,
Beşikten atlar uçuruma varoşlarin umutlari..
Kapitalist beyinlerin zekasinin bi sonucu bu.
Dengesiz terazi düşman etti insan oğlunu.
Ve sistem öyledir ki bedeni asgari çalıştırır.
Öküz de servetiyle görgüsüz sidik yarıştırır.
Boldur ülkemin politikayla kuyu kazanları,
Bi günde gündem estetik ve sosyetik sazanları,
Yazar mısın Beyaz Sarayda orucunu bozanları?
Yazar mısın ki sen "yazar" misin, basın kitaplari?
Çiktik yine yollara
Yaşiyor bu sözler
Anlat hadi onlara
Ne diyor bu gözler
Kavgalar ve zor yaşam sebeb geçim sıkıntısı,
Bir iş bir evdi sadece mutluluk takıntısı,
Sokaklarında büyüdüm hep adımlarımla büyüdü rap
Ve yürüdügümde sahnelerde belgesel gibiydi hep..
Kulaklarımda senfoni, çocuk, silah, siren sesi,
Dudaklarımda bir küfür ki bak hayat fakültesi,
Master'ım bu burjuva sanatta gerçek arıyosan,
Gözlerimde cümle çok yazma dilimi biliyosan..
Kalbinizle yüzleşin varsa bölsün uykumu,
Çelik kapıyla korumalar zekana denk çözüm bu mu?
Ülkemizde sayenizde gelecek oldu bilmece,
Onur, şeref bir erkek ismi değildir ve sadece...
Susmayın sanatçılar duydu işte kitleniz,
Söze gelince ortalık stardan hiç geçilmiyor,
Hesap sorun ve kafa yorun duyarlılıkta göreviniz,
Satış düşünce korsan almayın demekle bitmiyor.
Dinleyin siyasetin tepkisiz esirleri,
Caddelerde boş gezen çaresiz nesilleri,
Yarattiniz ne yaptiniz bu topluma bi çık ta gör,
Her sokakta korku her bedende farklı sorgu var..
Buna kader diyen kesim empati ile izlesin,
Bi çok beden hayalleri ile sahneden yok oldular,
Dikkat et hayat sana da böyle tablo çizmesin,
Renklerin degişmeşin bu rap sizinle ghettolar..
Yaşıyor bu sözler
Anlat hadi onlara
Ne diyor bu gözler
Yollar anlatır her bedende farklı kavgası,
Beni de ağlatır yanmayan bu sokak lambası,
Damgasıdır dik yokuş şehre uzak bölgeler,
Köşe başinda 10 yaşinda kimlik ariyo gölgeler..
Doğmayan hayallerin, cehennemin tam ortası,
Seni de korkutur mu olmayan hayat sigortasi,
İlgisiz bu devletin bak ilgisiz konutlari,
Beşikten atlar uçuruma varoşlarin umutlari..
Kapitalist beyinlerin zekasinin bi sonucu bu.
Dengesiz terazi düşman etti insan oğlunu.
Ve sistem öyledir ki bedeni asgari çalıştırır.
Öküz de servetiyle görgüsüz sidik yarıştırır.
Boldur ülkemin politikayla kuyu kazanları,
Bi günde gündem estetik ve sosyetik sazanları,
Yazar mısın Beyaz Sarayda orucunu bozanları?
Yazar mısın ki sen "yazar" misin, basın kitaplari?
Çiktik yine yollara
Yaşiyor bu sözler
Anlat hadi onlara
Ne diyor bu gözler
Kavgalar ve zor yaşam sebeb geçim sıkıntısı,
Bir iş bir evdi sadece mutluluk takıntısı,
Sokaklarında büyüdüm hep adımlarımla büyüdü rap
Ve yürüdügümde sahnelerde belgesel gibiydi hep..
Kulaklarımda senfoni, çocuk, silah, siren sesi,
Dudaklarımda bir küfür ki bak hayat fakültesi,
Master'ım bu burjuva sanatta gerçek arıyosan,
Gözlerimde cümle çok yazma dilimi biliyosan..
Kalbinizle yüzleşin varsa bölsün uykumu,
Çelik kapıyla korumalar zekana denk çözüm bu mu?
Ülkemizde sayenizde gelecek oldu bilmece,
Onur, şeref bir erkek ismi değildir ve sadece...
Susmayın sanatçılar duydu işte kitleniz,
Söze gelince ortalık stardan hiç geçilmiyor,
Hesap sorun ve kafa yorun duyarlılıkta göreviniz,
Satış düşünce korsan almayın demekle bitmiyor.
Dinleyin siyasetin tepkisiz esirleri,
Caddelerde boş gezen çaresiz nesilleri,
Yarattiniz ne yaptiniz bu topluma bi çık ta gör,
Her sokakta korku her bedende farklı sorgu var..
Buna kader diyen kesim empati ile izlesin,
Bi çok beden hayalleri ile sahneden yok oldular,
Dikkat et hayat sana da böyle tablo çizmesin,
Renklerin degişmeşin bu rap sizinle ghettolar..
17 Mart 2011 Perşembe
Öykümsun
Çığlık çığlığa heyecanımla sana göstermek istediğim öyle kareler var ki hayatımın özüne ilham veren bu şehirden,
Öylesine tasvir edilemeyecek, o kadar güzellik var ki kirpiklerimi üzerine çevirdiğim,
Es geçemem sensizliğin tütsüsü eşliğinde burnuma gelen deniz kokusunu da lakin,
Keşke nefesini de boynumda hissedebilseydim be sevgilim..
Koşarken de kolay değil artık nefesim daralıyor bariz üç beş durak gidince.
Turuncu yanağımdayken harala gürele gittiğim anlara nazaran hamladığımı düşünmek doğal olan biliyorum,
Sensiz yarım nefes alıyorum ağrıyıveriyor hemen ciğerlerim neyleyim.
Beş para da etmez sanmasınlar hemen aman ha..
O kadar ucuza kapatamaz kimse beni.
Gülümsedim hafiften bak hala mı biraz agresifim..
Tablo çok karamsar değil evell Allah iyileşiyorum bir yandan hızlı bir şekilde tabi ki de,
Bastıramıyorum bazen sesleri böyle ne yapayım seni çok özledim =(
Öylesine tasvir edilemeyecek, o kadar güzellik var ki kirpiklerimi üzerine çevirdiğim,
Es geçemem sensizliğin tütsüsü eşliğinde burnuma gelen deniz kokusunu da lakin,
Keşke nefesini de boynumda hissedebilseydim be sevgilim..
Koşarken de kolay değil artık nefesim daralıyor bariz üç beş durak gidince.
Turuncu yanağımdayken harala gürele gittiğim anlara nazaran hamladığımı düşünmek doğal olan biliyorum,
Sensiz yarım nefes alıyorum ağrıyıveriyor hemen ciğerlerim neyleyim.
Beş para da etmez sanmasınlar hemen aman ha..
O kadar ucuza kapatamaz kimse beni.
Gülümsedim hafiften bak hala mı biraz agresifim..
Tablo çok karamsar değil evell Allah iyileşiyorum bir yandan hızlı bir şekilde tabi ki de,
Bastıramıyorum bazen sesleri böyle ne yapayım seni çok özledim =(
26 Ocak 2011 Çarşamba
Önsözü yitik kişi: Ü
Bugünlerde umursamaz kalışım andırmasın dargınlık artığı râdı,
Korkun olmasın leydim, akıtmasın yaşlarını,
Dünden efkarlı garez içim levhi,
Sanma endişe ve gusse içinde yaşarım ikilemi.
Kabr azabı yasla burulsa ebsâr, takat misal eritse karı,
Bırakma enginlerine naaşımı,
Savunsa eller nâmerdçe idamımı,
Düş üstüme n'olur yaralı adam layığı asıl rahm almalı.
Deliden emsal gül insanlara, şad mamulü esprilerimi zayıf kişi eşgallerine nescet,
Kuş aklı yoksunlara bol olsun lakin mecaz anlamayana n'olur anlat,
lgisiz zihinlere iyimserlik nakşet,
Vecd etki rüyasına mimarlık et mirât.
Velhasıl eşsizim,
Ben unutulursam neyleyim uykuyu?
Şarkılar içinde ismim raks dahi etse,
Aşk lâl güller ıtrını, levniyi alır,
Mizan ayarlanmaz susmaz asla nevha..
Daimi aşk,
Ben ızdırapların lânetiyle mütemerrid eylerim lakin
Istarla savaşların içindeki necmisakıp
Kanaâtkârâne ihtiyarlamazsa..
Sensin ebdâ nisâ iftihara..
Derler 'ey leylî insan, lahzada erişirsin rabba'.
Güzel 'inci'lirse buraya indirilsin,
Sonum en vicdansız işkencelerde, yokluğundan olur; rahat uyuyabilecek misin?
Ümit Can TÜRKER
Korkun olmasın leydim, akıtmasın yaşlarını,
Dünden efkarlı garez içim levhi,
Sanma endişe ve gusse içinde yaşarım ikilemi.
Kabr azabı yasla burulsa ebsâr, takat misal eritse karı,
Bırakma enginlerine naaşımı,
Savunsa eller nâmerdçe idamımı,
Düş üstüme n'olur yaralı adam layığı asıl rahm almalı.
Deliden emsal gül insanlara, şad mamulü esprilerimi zayıf kişi eşgallerine nescet,
Kuş aklı yoksunlara bol olsun lakin mecaz anlamayana n'olur anlat,
lgisiz zihinlere iyimserlik nakşet,
Vecd etki rüyasına mimarlık et mirât.
Velhasıl eşsizim,
Ben unutulursam neyleyim uykuyu?
Şarkılar içinde ismim raks dahi etse,
Aşk lâl güller ıtrını, levniyi alır,
Mizan ayarlanmaz susmaz asla nevha..
Daimi aşk,
Ben ızdırapların lânetiyle mütemerrid eylerim lakin
Istarla savaşların içindeki necmisakıp
Kanaâtkârâne ihtiyarlamazsa..
Sensin ebdâ nisâ iftihara..
Derler 'ey leylî insan, lahzada erişirsin rabba'.
Güzel 'inci'lirse buraya indirilsin,
Sonum en vicdansız işkencelerde, yokluğundan olur; rahat uyuyabilecek misin?
Ümit Can TÜRKER
24 Ocak 2011 Pazartesi
Kral eve döndü..
Önümüz bahar,
Neşe, sevinç, güzel haber beklentilerinin arttığı bir dönem,
Şimdiden bir şehvete kaptırmış kendini insanlar,
Bilmiyorlar dünyayı çevrelediğini sandıkları arsaları bir dönüm,
Bilmiyorum belki de alışılagelmişlikle benden de aynısını bekliyorlar..
Anlamıyorlar havanın soğuk olduğunu ve insanların üşüyebileceğini,
Anlamıyorum hiç mi kafasını kaldırıp da yukarı bakmıyorlar?
Tam ortasındayım ve dinleyebiliyorum yine sanırım yalnızlığın sessizliğini,
Onlar eğlenedursun, kapıma yığılmış karları temizlemekle meşgulüm.
Sobanın küllerini karıştıp köz görme çabasındayken gözlerim,
Sen şöminenin kenarında hediyelerini bekleyebiliyorsan,
Soğuktan çivi kesilse eller ve kar tutsa da kirpiklerim,
Ağlamam bile, en kötüsü burnumu çeker, gözlerimi kapatır giderim.
ÜcT
Neşe, sevinç, güzel haber beklentilerinin arttığı bir dönem,
Şimdiden bir şehvete kaptırmış kendini insanlar,
Bilmiyorlar dünyayı çevrelediğini sandıkları arsaları bir dönüm,
Bilmiyorum belki de alışılagelmişlikle benden de aynısını bekliyorlar..
Anlamıyorlar havanın soğuk olduğunu ve insanların üşüyebileceğini,
Anlamıyorum hiç mi kafasını kaldırıp da yukarı bakmıyorlar?
Tam ortasındayım ve dinleyebiliyorum yine sanırım yalnızlığın sessizliğini,
Onlar eğlenedursun, kapıma yığılmış karları temizlemekle meşgulüm.
Sobanın küllerini karıştıp köz görme çabasındayken gözlerim,
Sen şöminenin kenarında hediyelerini bekleyebiliyorsan,
Soğuktan çivi kesilse eller ve kar tutsa da kirpiklerim,
Ağlamam bile, en kötüsü burnumu çeker, gözlerimi kapatır giderim.
ÜcT
23 Ocak 2011 Pazar
Hey aşk..
Başlayan hatırlamaz, başta yoktu son bile.
Gelmiyordu söz dile ve görmüyordu göz bile.
Hiç bişey benim değildi hiç bişey de ben değildi,
Sen değildin sen bile. ben demezdim ben bile..
Yokluğun denizlerinde var oldum bir oltaya,
Tav oldum bir noktaya ve çekti beni de kuytuya.
Soyut somut bir similatörde dalmışım bir uykuya,
Çok garip bir yerdeyim et kemik bir haldeyim.
Tanrının bu sanatını insan harbi zorlamış,
Yapmacık bi sistemin hiç bi amacı kalmamış,
Hayat tiyatro sahnesi, dünya oyun bahçesi,
Oynayan çocukların neden sıfırlı karnesi..
Hep kötüydü derslerim, komikti üni. yıllarım..
Fiziği sevmemiştim hiç, dedim ki bomba yapmicam,
Evrenin bu sorununu duygusal cevapladım,
Çok güzeldi espirim de sevmemişti kel hocam..
Göze batınca susmayınca bana da kanca taktılar,
Sanki şimdi susuyorum.. Korkmam hiç bi kaçıktan !!
Ben bir mumdum aslanım, beni de böyle yaktılar,
Bende hırs yapıp bitirdim okulu sonra uzaktan..
Hiç bi oyunu ciddiye almamaktı tek suçum,
Pes etmedim ve bak hayat da ağlamaklı başlıyor..
Tayfalarca küfredin.. Sayfalarca vur koçum,
Çünkü Can çekiştikçe yerden daha da güçlü kalkıyor........
Hey aşk !! Sözlerimde saklı hep, sen elekle tart kumu,
Tam rüyaya daldım derken kim kaçırdı uykumu?
İlerledikçe yol kesen garip bi yolcu gitmiyor,
Gider dedikçe rol kesen bu yol senaryo bitmiyor..
Oynuyordu cellatı o göz görünce dağlayan,
Ellerinde bir çocuktum hıçkırıpta ağlayan,
Bak ayrılık kazanmadı ve sevgim hiç azalmadı..
Mesafelerde yetmedi o bugünü yarına bağlayan..
Dervişin semazenin hakka doğru döndüğü,
Yarım kalan bir çok kulun hasretinden öldüğü,
Düşünde kör bir ressamın hisleriyle gördüğü,
Küfr-ü aşk bu şairin mısralarda sövdüğü..
Hepsi sensin ay güneş gidince kalbe kim batar?
Ben bi çığlığım kulaklarında duyduğun kadar,
Sensizim ki bensizim ben aşka başka dairim,
Varlığın güzel bir sayfa bende böyle şairim.. ♪♫♪♫
Gelmiyordu söz dile ve görmüyordu göz bile.
Hiç bişey benim değildi hiç bişey de ben değildi,
Sen değildin sen bile. ben demezdim ben bile..
Yokluğun denizlerinde var oldum bir oltaya,
Tav oldum bir noktaya ve çekti beni de kuytuya.
Soyut somut bir similatörde dalmışım bir uykuya,
Çok garip bir yerdeyim et kemik bir haldeyim.
Tanrının bu sanatını insan harbi zorlamış,
Yapmacık bi sistemin hiç bi amacı kalmamış,
Hayat tiyatro sahnesi, dünya oyun bahçesi,
Oynayan çocukların neden sıfırlı karnesi..
Hep kötüydü derslerim, komikti üni. yıllarım..
Fiziği sevmemiştim hiç, dedim ki bomba yapmicam,
Evrenin bu sorununu duygusal cevapladım,
Çok güzeldi espirim de sevmemişti kel hocam..
Göze batınca susmayınca bana da kanca taktılar,
Sanki şimdi susuyorum.. Korkmam hiç bi kaçıktan !!
Ben bir mumdum aslanım, beni de böyle yaktılar,
Bende hırs yapıp bitirdim okulu sonra uzaktan..
Hiç bi oyunu ciddiye almamaktı tek suçum,
Pes etmedim ve bak hayat da ağlamaklı başlıyor..
Tayfalarca küfredin.. Sayfalarca vur koçum,
Çünkü Can çekiştikçe yerden daha da güçlü kalkıyor........
Hey aşk !! Sözlerimde saklı hep, sen elekle tart kumu,
Tam rüyaya daldım derken kim kaçırdı uykumu?
İlerledikçe yol kesen garip bi yolcu gitmiyor,
Gider dedikçe rol kesen bu yol senaryo bitmiyor..
Oynuyordu cellatı o göz görünce dağlayan,
Ellerinde bir çocuktum hıçkırıpta ağlayan,
Bak ayrılık kazanmadı ve sevgim hiç azalmadı..
Mesafelerde yetmedi o bugünü yarına bağlayan..
Dervişin semazenin hakka doğru döndüğü,
Yarım kalan bir çok kulun hasretinden öldüğü,
Düşünde kör bir ressamın hisleriyle gördüğü,
Küfr-ü aşk bu şairin mısralarda sövdüğü..
Hepsi sensin ay güneş gidince kalbe kim batar?
Ben bi çığlığım kulaklarında duyduğun kadar,
Sensizim ki bensizim ben aşka başka dairim,
Varlığın güzel bir sayfa bende böyle şairim.. ♪♫♪♫
3 Ocak 2011 Pazartesi
Cloud Computing
Cloud Computing
Cloud Computing Risk and Security Assessment Bulut Bilişim Risk ve Güvenlik Değerlendirmesi
Cloud Computing son dönemde yaygın olarak konuşulan bir teknolojidir. Ancak her ne kadar yeni yeni konuşulmaya ve hatta ürün olarak bizlere sunulmaya başlansa da Hosting ve grid computing olarak bildiğimiz eski iki teknolojinin birleşmesinden meydana gelmiştir. Yani Cloud Computing marka olarak yeni ancak teknoloji olarak eskidir. Buradan kastımız tabi ki çözümlerin günümüz ihtiyaçları için yetersiz olduğu değildir. Özetle cloud computing dediğimiz zaman, kendi bilgisayarlarımız yerine verilerimizi global oyuncuların ( Microsoft, Google, IBM, Vmware vb ) bilgisayarlarında saklamak olarak özetlenebilir. Zaten bu makalemde genel olarak cloud computing nedir konusuna değinmeyeceğim. Çünkü bu konuda gerek makale, gerek webcast gerekse podcast’ ler yapmıştım ve nedir bu cloud computing derseniz aşağıdaki kaynakları kullanabilirsiniz
Podcast
http://www.cozumpark.com/blogs/podcast/archive/2010/05/02/podcast-cloud-computing-bulut-bili-imi.aspx
Webcast
http://www.cozumpark.com/blogs/videolar/archive/2010/10/18/webcast-cloud-computing.aspx
Seminer
http://www.cozumpark.com/blogs/videolar/archive/2010/11/07/seminer-cloud-computing-green-_3101_t.aspx
Makale
http://www.cozumpark.com/blogs/cloud_computing/archive/2010/12/26/cloud-computing-bulut-bili-im.aspx
Evet bu kadar temel bilgiden sonra asıl konumuz olan Cloud Computing güvenliği hakkında konuşmaya başlayabiliriz. Cloud Computing sunduğu yeni hizmetler ve esnek yapısı yanında bir takım riskler’ de taşımaktadır. Bizde bu makalemizde bu konuya odaklanacağız.
CC’ in sahip olduğu risklerin bir kısmı aslında geleneksel bilişim alt yapımız ile ortak risklerdir. Yani birazdan değineceğimiz bir takım riskler aslında mevcut it alt yapılarımız içinde geçerli olan risklerdir. Ancak tabiki verilerin ortak bir alanda tutulmasından doğan riskler tamamen CC’ ye özel risklerdir.
CC’ in risklerini daha iyi anlamak için özellikle Public Cloud üzerinden hareketle incelemelerimizi yapacağımızı unutmamamız gerekiyor. Bu nedenle kısa özetle tekrar CC çeşitlerine aşağıdaki resimden görebiliriz
Public Cloud; internet üzerindeki sunucular ile verilen cloud hizmetidir.
Private Cloud; Şirket bünyesinde oluşturulmuş sunucular ile verilen cloud hizmetidir.
Community Cloud; Burada bulut bilişim alt yapısı belirli kurum ve ortak hareket eden kuruluşlar tarafından paylaşılmaktadır. Topluluk üyeleri uygulama ve verilere erişebilmektedir.
Hybrid Cloud; Bir şirketin verilerin güvenliği vb nedenlere göre hem public hem de private cloud kullanması ile ortaya çıkan yapıdır.
Buradaki riskler genelde ortak olsa bile güvenlik konuları daha çok public cloud için geçerlidir.
Peki, nedir bu riskler ve bunları kaç ana başlık altında toplayabiliriz. Bu konuda dünya genelince kabul görmüş çalışmaları olan temelde iki firma bulunmaktadır. Bunlar Gartner ve Cloud Security Alliance’ dır.
Gartner bu konuda 7 ana başlık sunarken CAS ise 15 ana başlık ile konuyu incelemektedir. Ben ise bu makalemde sizlere Türkiye şartlarını da düşünerek en geçerli olarak kabul ettiğim ve her iki firmanın çalışmalarının özeti olan 8 ana başlık ile konuyu anlatacağım.
Bu başlıklar aşağıdaki gibidir.
1. Veri Güvenliği ve Gizliliği
2. Kimlik ve Erişim Yönetimi
3. Fiziksel ve Personel Güvenlik
4. Erişilebilirlik
5. Uygulama Güvenliği
6. Yasal Uyumluluk
7. Hizmet Sağlayıcı Bağımlılığı
8. Bant Genişliği ve Veri Transferi
Veri Güvenliği ve Gizliliği
Hizmet sağlayıcı müşteri verilerinin güvenliğinden sorumludur.
Public Cloud düşünüldüğü zaman ortak platformları kullanan müşterilerin birbirlerinin verilerini göremiyor ve değiştiremiyor olması gerekmektedir. Public Cloud için en büyük risk veri gizliliğidir. Bu konudaki tüm sorumluluk servis sağlayıcıya aittir. Bu noktada veri izolasyonunu başarılı bir şekilde yapması gerekmektedir. Bunun için kullanılabilecek pek çok yöntem bulunmaktadır ( şifreleme, sanallaştırma veya erişim yönetimi alt yapısı kullanılması gibi ). Yine servis sağlayıcı firma saklamış olduğu bu verileri yüksek erişilebilirlik hizmetlerinden kaynaklı olarak dünya üzerindeki diğer veri merkezlerine taşınması sırasında yine bu verilerin güvenliğinden ve sızdırılmamasından sorumludur.
Kimlik ve Erişim Yönetimi
Verilerin korunması kadar doğru kişilerin ulaşmasını sağlamakta önemlidir.
Burada bahsedeceğimiz risk aslında geleneksel it alt yapılarında da mevcut olan kimlik erişim yöntemleridir. Nasıl şirket organizasyonunuzda hangi verilere kimlerin erişebileceğiniz Access Control List ( ACL )’ ler ile belirliyorsanız aynı durum cloud içinde geçerli olmak zorundadır. Burada temelde iki çözüm bulunmaktadır, ilki mevcut cloud yapısına taşıyacağınız sistemleriniz için var olan kimlik erişim yönetiminin federasyon servisleri üzerinden cloud kimlik erişim yönetim sistemleri ile entegrasyonu veya cloud hizmeti veren firmaların size bu alt yapıyı sunması ile sağlanabilir. Örnekle açıklamak gerekir ise, bir portal uygulamanızı cloud’ mimarisine taşımadan önce var olan doküman kütüphaneleriniz ve buradaki izinler ya cloud üzerindeki portal alt yapısı ile izin bazında entegre çalışmalı ( mevcut izinleri alıp tanıyabilmeli ) veya sizin yapıyı bu mimariye taşımadan önce size sunulan web ara yüzlerinden kullanıcıları tanımlamalı ve ondan sonra taşıma işlemlerini gerçekleştirmelisiniz.
Fiziksel ve Personel Güvenliği
Yine bu konuda mevcut it alt yapılarımız için bahsedebileceğimiz risk ve güvenlik zafiyetlerindendir. Cloud mimarisinde ise fiziksel güvenlik çok üst düzeyde olduğu için bu konuda aslında çalışan ( personel ) güvenliği daha ön plana çıkmaktadır. Çünkü Cloud için kurulmuş veri merkezlerinin güvenlik önlemleri gerçekten çok üst düzeydedir. Ancak bu güvenliği geçebilen kişiler firma personeli olduğu için aslında her an böyle bir risk bulunmaktadır.
Bunun yaşanmış örneklerini ne yazık ki daha önce gördük, bir çalışan üzerinden sızdırılan chat konuşmaları veya başka örnekler, özetle burada cloud firmasına çok büyük iş düşmektedir. Kimlerin hangi verilere ulaştığını sağlıklı bir şekilde takip edebiliyor olması gerekmektedir ve tabi ki böyle bir sızıntı sonrası firma zararının tespiti ve bunun ödenmesi, siber sigorta kapsamına girip girmemesi gibi durumlarında netleştirilmiş olması gerekiyor ki bu konulara makalenin ilerleyen bölümlerinde değineceğim.
Erişilebilirlik
Tüm verilerinizin internet ortamında olduğu düşünülürse olası her kesinti sizin verdiğiniz servislerdeki kesinti olarak size geri dönecektir.
CC’ in bizlere sunduğu en büyük hizmetlerden biri aslında HA yani yüksek erişilebilirliktir. Bizlerin inanılmaz maliyetler ile sağlayacağı bu yapıyı hali hazırda kurmuş olan global bir oyuncunun ( Microsoft, Amazon, Vmware, IBM vb ) platformuna geçmek son derece karlı bir iştir. Çünkü bizim böyle bir yapı sunmamız için yedekli internet hatları, yedekli sunucular, yedekli jeneratör, felaket anı için benzer bir veri merkezi ve sürekli olarak bu veri merkezlerinin güncel tutulması gibi çok ciddi maliyetlerle erişebileceğimiz up time ( çalışma süresi ) lara var olan CC veri merkezileri ile %99.9 ile ulaşılabilmektedir.
Hizmet sağlayıcılar bizlere sundukları tüm hizmetlerin kesintisiz bir şekilde çalışması için gerek felaket senaryoları, gerek donanım veya platformda oluşacak sorunlar gerekse dış tehditler sonucu oluşacak tüm servis kesintilerine karşı korumak zorundadır.
Uygulama Güvenliği
CC mimarisini hatırlayacak olursak uygulamaları biz SaaS olarak nitelendiriyorduk. Bu yapıda güvenlik tamamen servis sağlayıcıya aittir. Bu konuyu daha iyi anlamak için yine CC makalesinden kısa bir alıntı yapmak istiyorum.
CC bize 3 farklı servis modeli sunmaktadır.
SaaS – Software as a Service
PaaS – Platform as a Service
IaaS -Infrastructure as a Service
Bunlardan bizi ilgilendiren ise SaaS modelidir.
SaaS – Software as a Service
Yazılımı bir servis olarak sunan bu son iş modelinde alıştığımız yazılımları artık bulut bilişim üzerinden temin edebiliyoruz. Kiralama usulü ile ihtiyaç duyduğumuz süre boyunca kullanabildiğimiz tüm programların cloud versiyonlarını yakın zaman içerisinde görebileceğiz. Örneğin şu anda satışı yapılan Office 365 ürünü ile Office uygulamalarını platform bağımsız olarak internet üzerinden istediğiniz yerden kullanabiliyorsunuz. Yani yanınızda laptop vb bir aygıt taşımanıza gerek yok. Ayrıca ihtiyacınız olduğu kadarını alıp gereksinimleriniz bittiği anda artık ürünü kullanmak zorunda değilsiniz ve tatbikî ücretini de ödemeye gerek kalmıyor. Özetle SaaS ile artık kurumlar kullandıkları kadar ödeyecek, her yerden yazılımlara ulaşabilecek, cloud üzerinden çalıştığı için bu yazılımların yükleme bakım vb sorunları ile zaman ve para kaybetmeyecektir. Buna hizmetlere diğer örneklerde Online ofis uygulamaları noktasında Google Docs ve Zoho, CRM yazılımları konusunda SalesForce.Com, insan kaynakları yazılımları konusunda Taleo.com’ dur.
Bu noktadan bakıldığı zaman tüm alt yapı CC servis sağlayıcısı tarafından sunulduğu için bu konudaki tüm önlemleri de CC servis sağlayıcısı almak zorundadır. Bunu bir örnek ile açıklamak gerekirse, örneğin aldığınız bir cloud hizmeti olan Google apps üzerinde çok önemli dokümanlarınızı saklıyor, işliyor ve belki de paylaşıyorsunuz. Google firmasından kaynaklı uygulama tarafındaki bir hatadan dolayı sizin dokümanlarınız başka kişilerce görünebilir bir hale gelirse bu çok ciddi bir güvenlik zafiyeti doğurur. Bu nedenle servis sağlayıcıları bu konuda çok ciddi önemler alıyor olması gerekmektedir. Ancak yine bu risk mevcut uygulamalarımızda da bulunmaktadır. Yine örnek olarak basit bir pdf okuyucusu dediğimiz Adobe Acrobat reader bile sürekli olarak güvenlik yamaları çıkarmaktadır. Yani yazılımlardan doğan güvenlik zafiyetleri aslında cloud ile gelen yeni bir risk değildir. Ancak sorun bu gibi bir programdan kaynaklı bir sorun belki bazı dokümanlarınızın gizliliğini tehlikeye atarken cloud üzerindeki uygulamalarda oluşacak bu tür bir sorun tüm dokümanlarınızı tehlikeye atabilir.
Yasal Uyumluluk
Verilerinizi Bulut’ a gönderirken düşünmeniz gereken bir noktada yasal zorunluluklardır!
CC’ in belki de en karışık ve anlaşılması zor olan risk – güvenlik modeli, kanunlar ile başlamaktadır. Türkiye de henüz aktif olarak sunulan hizmetler olmadığı için bu konuda hazır bir kanun yoktur. Sadece finans kuruluşları için mevcut finans datalarına özel olarak BDDK tarafından verilerin yurt dışında saklanamama durumu söz konusudur. Böyle bir durum BDDK ile kurumunuz arasında soruna yol açacaktır ( olası bulgu nedeni ). Bunun dışında ne yazık ki ülkemizde henüz hazır bir kanun bulunmamaktadır. Ancak dünya örnekleri üzerinden ilerleyebiliriz.
Cloud konusunda dünya üzerinde oturmuş yasalarda en çok göze çarpan sorular aşağıdaki gibidir.
Verilerin Fiziksel Lokasyonu
Fiziksel olarak verileriniz nerede saklanıyor?
Anlaşmazlık halinde mahkeme yeri neresi olacak?
Verilerin Sorumluluğu
Veri merkezi felaket ile karşı karşıya kalırsa ne olacak?
Gizlilik ihlaline ilişkin herhangi bir sorumluluk kapsama alanı var mı?
Veri merkezi atak alırsa ( hacking ) ne olacak?
Fikir Mülkiyeti Hakları
Verilerinizin fikir mülkiyetleri yasalar ile korunuyor mu?
Ticari sırlar ne kadar güvende?
Üçüncü Şahısların Erişimleri?
Bu maddelerin açıklamaları ise aşağıdaki gibidir.
Fiziksel olarak verileriniz nerede saklanıyor?
Verilerinizin fiziksel olarak hangi lokasyon da olduğunu aslen bilemiyorsunuz. Dünya üzerindeki farklı veri merkezlerinde replikasyon ile verileriniz sürekli yer değiştiriyor. Ancak içinde bulunduğunuz ülkenin kanunları gereği verilerinizin tam olarak nerede olduğunu biliyor olmanız gerekmektedir.
Anlaşmazlık halinde mahkeme yeri neresi olacak?
Cloud hizmeti veren kurum ile müşteri arasında bir anlaşmazlık çıkması halinde hangi ülkenin kanunları geçerli olacak ? Örneğin Çin de ticaret yapan bir firmanın cloud vender ı olarak Amerikan bir şirket seçmesi durumunda eğer bir anlaşmazlık olursa cloud venderı tabiki Amerikan yasalarını tercih edecektir, peki Çinli üretici?
Veri merkezi felaket ile karşı karşıya kalırsa ne olacak?
Olası bir felaket anında veri merkezi iş görmez duruma düşerse sorumluluk kimde olacak ve bundan doğan zararı sigorta şirketi karşılayacak mı?
Gizlilik ihlaline ilişkin herhangi bir sorumluluk kapsama alanı var mı?
Bulut bilişim altyapısından kaynaklanan bir veri sızması durumunda sorumluluklar net belirtilmiş durumda mı ? Yani cloud satıcısının kendi hatasından kaynaklı bir sızma durumunda ne yapacağına dair bir politika sahibi mi ? Bu konuda siber sigorta düşünülebilir.
Veri merkezi atak alırsa ( hacking ) ne olacak?
Her ne kadar veri merkezleri bu saldırılar için sürekli olarak tedbir alıyor olsa da hiçbir güvenlik sistemi mükemmel değildir. Bu nedenle olası ve hacking sonrası müşteri karlılığı konusunda bir yorum ile hizmet sağlayıcıya dava açabilir mi?
Verilerinizin fikir mülkiyetleri yasalar ile korunuyor mu? Eğer Korunuyor ise hangi ülke kurallarına göre korunmaktadır.
Telif hakları, eserin meydana getirilmesiyle kendiliğinden doğar. Siz bir eser ( sizin verileriniz ) meydana getiriyorsanız bunu meydana getirdiğiniz ülkenin yasaları tarafından korunmaktadır. Fikri mülkiyet hakları ülkesel olarak korunmaktadır. Ülkesellik ilkesine göre, bir fikri mülkiyet hakkı, hangi ülkede korunması isteniyorsa o ülkenin mevzuatı çerçevesinde ve sadece o ülkenin sınırları içinde korunur. Ancak ülkesellik ilkesi, yabancıların Türkiye’de, Türk Hukuku çerçevesinde korumadan yararlanmasına engel değildir. Benzer şekilde Türk vatandaşları da yabancı ülkelerde korumadan belli şartlar çerçevesinde yararlanır.
Ticari sırlar ne kadar güvende?
Ticari sırlarınızın başka kişilerse görüntülenmemesini nasıl sağlayacaksınız, bunun için izleme günlüklerini sizde görebilecek misiniz?
Şahısların Verilere Erişimi
Cloud sağlayıcısı bazı durumlarda destek firmaları, teknoloji firmaları veya başka amaçla 3. şahıslarca eğer datalarınıza erişim izni verecek ise bunu mutlaka size bildirmesi gerekmektedir. Eğer bu sözleşenizde yok ise mutlaka bu konuya dikkat edin.
Hizmet Sağlayıcı Bağımlılığı
Sahip olduğunuz verilerin başka bir firma sunucularında tutuluyor olmasının risklerini görmezden gelemeyiz!
Eğer global oyuncular ile bu oyunu oynarsanız muhtemel sorun yaşamayacaksınızdır. Tabi ki bu demek değildir ki hiç sorun yaşamayacaksınız! Bundan önceki örneklere baktığımız zaman günümüze kadar gelen ve tüm global oyuncuların sunduğu cloud servislerinde ciddi manada toplamda 10’ a yakın sorun vakası görülmüştür ve bunlar 8 – 10 saatleri bulan ve bazen de ne yazık ki veri kayıplarına neden olan vakalardır. Bu durumların nadir de olsa olabileceğini ve bunun CC’ in bir riski olduğunu unutmayın. Bu nedenle mutlaka siber sigorta konusunu iyi araştırmalı, global oyuncu ile yukarıdaki kanuni gereksinimler konusunda çok iyi bir anlaşma yapmalı ve her zaman için bir B planınızın olması gerektiğini unutmayın. Buradaki en büyük risk tüm verilerinizi cloud servisi sağlayan firmaya gönderdiğiniz için aslında firmanızın geleceğinizde bu firmaya bir nevi bağlamış oluyorsunuz.
Bant Genişliği ve Veri Transferi
Eğer yüksek bir bant genişliğine sahip değilseniz aldığınız servis kalitesi de düşecektir.
Bu tür durumlar için mutlaka şirket olarak bir felaket politikamız olmak zorundadır. Türkiye şartlarını düşündüğümüz zaman Cloud servisi veren firmanın hiçbir zaman kesinti göstermemesi halinde bile sizden kaynaklı sorunların olabileceğini unutmayın. Bu nedenle bu tür kesintilerde verilerinize ulaşamayacağınızı ve hizmet veremeyeceğinizi düşünmeniz, bunun doğrultusunda bir takım aksiyon planları hazırlamanız gerekmektedir.
Evet buraya kadar temel olarak Cloud Computing Risk ve Güvenlik zafiyetlerinden bahsettik, ancak bu riskler ve zafiyetler aslında aldığınız cloud hizmetlerine göre farklılık göstermektedir. Yani makalemin başında da belirttiğim gibi public, private veya hybrid cloud hizmetlerinin birbirinden farklı mimariler sunması nedeni ile riskleri farklı olacaktır. En büyük risklerin public cloud üzerinde olduğunu ve bu nedenle bu başlık üzerinden ilerlediğimizi belirmiştim. Bu bölümde ise bir farklılık üzerinde daha durmak istiyorum. Bu da aldığınız cloud hizmetinin modeline göre değişen güvenlik ve risk durumlarıdır. Bildiğiniz gibi hangi cloud yapısını alırsanız alın yine bu cloud yapısı içerisinde size sunulan temelde 3 servis modeli vardır. Her servis modelinin ise kendine özgü güvenlik zafiyetleri ve risk sorumluluk dağılımları söz konusudur.
Bu modellere göre sorumluluklar aşağıdaki şekilde özetlenebilir
Software as a Service (SaaS): Güvenliğin sağlanmasındaki en büyük sorumluluk servis sağlayıcıya düşmektedir.
Infrastructure as a Service (IaaS): Güvenliğin sağlanmasındaki en büyük sorumluluk müşteriye aittir.
Platform as a Service (PaaS): Güvenliğin sağlanmasındaki sorumluluk servis sağlayıcı ve müşteri arasında hemen hemen eşit seviyede paylaşılmaktadır.
Yani özetle piramit’ in tepesine doğru çıkıldıkça servis sağlayıcıların sorumluluğu artarken ( sundukları hizmet artmaktadır ve buna paralel olarak riskleri de artmaktadır ), aynı şekilde piramit’ in tabanına doğru inildikçe müşteri riskleri artmakta çünkü servis sağlayıcının sunduğu hizmetler azalırken müşterinin kendi sağladığı hizmetler artmaktadır.
Evet, bu kadar bilgiden sonra makalemi özet bir sonuç ile bitiriyorum
Sonuç
• Altyapısı oturmuş bir hizmet.
• Güvenlik konusunda, sunduğu hizmetler kadar öncü ve esnek değil.
• Gerek servis konusunda gerekse bu servislerin güvenliği konusunda bir standart yok.
• Türkiye de yaygın olarak sunulan bir hizmet veya destek yok.
Umarım faydalı bir makale olmuştur. Bir sonraki makalemde görüşmek dileği ile.
Orjinal Link:
http://www.cozumpark.com/blogs/cloud_computing/archive/2011/01/02/cloud-computing-risk-and-security-assessment-bulut-bili-im-risk-ve-g-venlik-de-erlendirmesi.aspx
by: Hakan Uzuner
Cloud Computing Risk and Security Assessment Bulut Bilişim Risk ve Güvenlik Değerlendirmesi
Cloud Computing son dönemde yaygın olarak konuşulan bir teknolojidir. Ancak her ne kadar yeni yeni konuşulmaya ve hatta ürün olarak bizlere sunulmaya başlansa da Hosting ve grid computing olarak bildiğimiz eski iki teknolojinin birleşmesinden meydana gelmiştir. Yani Cloud Computing marka olarak yeni ancak teknoloji olarak eskidir. Buradan kastımız tabi ki çözümlerin günümüz ihtiyaçları için yetersiz olduğu değildir. Özetle cloud computing dediğimiz zaman, kendi bilgisayarlarımız yerine verilerimizi global oyuncuların ( Microsoft, Google, IBM, Vmware vb ) bilgisayarlarında saklamak olarak özetlenebilir. Zaten bu makalemde genel olarak cloud computing nedir konusuna değinmeyeceğim. Çünkü bu konuda gerek makale, gerek webcast gerekse podcast’ ler yapmıştım ve nedir bu cloud computing derseniz aşağıdaki kaynakları kullanabilirsiniz
Podcast
http://www.cozumpark.com/blogs/podcast/archive/2010/05/02/podcast-cloud-computing-bulut-bili-imi.aspx
Webcast
http://www.cozumpark.com/blogs/videolar/archive/2010/10/18/webcast-cloud-computing.aspx
Seminer
http://www.cozumpark.com/blogs/videolar/archive/2010/11/07/seminer-cloud-computing-green-_3101_t.aspx
Makale
http://www.cozumpark.com/blogs/cloud_computing/archive/2010/12/26/cloud-computing-bulut-bili-im.aspx
Evet bu kadar temel bilgiden sonra asıl konumuz olan Cloud Computing güvenliği hakkında konuşmaya başlayabiliriz. Cloud Computing sunduğu yeni hizmetler ve esnek yapısı yanında bir takım riskler’ de taşımaktadır. Bizde bu makalemizde bu konuya odaklanacağız.
CC’ in sahip olduğu risklerin bir kısmı aslında geleneksel bilişim alt yapımız ile ortak risklerdir. Yani birazdan değineceğimiz bir takım riskler aslında mevcut it alt yapılarımız içinde geçerli olan risklerdir. Ancak tabiki verilerin ortak bir alanda tutulmasından doğan riskler tamamen CC’ ye özel risklerdir.
CC’ in risklerini daha iyi anlamak için özellikle Public Cloud üzerinden hareketle incelemelerimizi yapacağımızı unutmamamız gerekiyor. Bu nedenle kısa özetle tekrar CC çeşitlerine aşağıdaki resimden görebiliriz
Public Cloud; internet üzerindeki sunucular ile verilen cloud hizmetidir.
Private Cloud; Şirket bünyesinde oluşturulmuş sunucular ile verilen cloud hizmetidir.
Community Cloud; Burada bulut bilişim alt yapısı belirli kurum ve ortak hareket eden kuruluşlar tarafından paylaşılmaktadır. Topluluk üyeleri uygulama ve verilere erişebilmektedir.
Hybrid Cloud; Bir şirketin verilerin güvenliği vb nedenlere göre hem public hem de private cloud kullanması ile ortaya çıkan yapıdır.
Buradaki riskler genelde ortak olsa bile güvenlik konuları daha çok public cloud için geçerlidir.
Peki, nedir bu riskler ve bunları kaç ana başlık altında toplayabiliriz. Bu konuda dünya genelince kabul görmüş çalışmaları olan temelde iki firma bulunmaktadır. Bunlar Gartner ve Cloud Security Alliance’ dır.
Gartner bu konuda 7 ana başlık sunarken CAS ise 15 ana başlık ile konuyu incelemektedir. Ben ise bu makalemde sizlere Türkiye şartlarını da düşünerek en geçerli olarak kabul ettiğim ve her iki firmanın çalışmalarının özeti olan 8 ana başlık ile konuyu anlatacağım.
Bu başlıklar aşağıdaki gibidir.
1. Veri Güvenliği ve Gizliliği
2. Kimlik ve Erişim Yönetimi
3. Fiziksel ve Personel Güvenlik
4. Erişilebilirlik
5. Uygulama Güvenliği
6. Yasal Uyumluluk
7. Hizmet Sağlayıcı Bağımlılığı
8. Bant Genişliği ve Veri Transferi
Veri Güvenliği ve Gizliliği
Hizmet sağlayıcı müşteri verilerinin güvenliğinden sorumludur.
Public Cloud düşünüldüğü zaman ortak platformları kullanan müşterilerin birbirlerinin verilerini göremiyor ve değiştiremiyor olması gerekmektedir. Public Cloud için en büyük risk veri gizliliğidir. Bu konudaki tüm sorumluluk servis sağlayıcıya aittir. Bu noktada veri izolasyonunu başarılı bir şekilde yapması gerekmektedir. Bunun için kullanılabilecek pek çok yöntem bulunmaktadır ( şifreleme, sanallaştırma veya erişim yönetimi alt yapısı kullanılması gibi ). Yine servis sağlayıcı firma saklamış olduğu bu verileri yüksek erişilebilirlik hizmetlerinden kaynaklı olarak dünya üzerindeki diğer veri merkezlerine taşınması sırasında yine bu verilerin güvenliğinden ve sızdırılmamasından sorumludur.
Kimlik ve Erişim Yönetimi
Verilerin korunması kadar doğru kişilerin ulaşmasını sağlamakta önemlidir.
Burada bahsedeceğimiz risk aslında geleneksel it alt yapılarında da mevcut olan kimlik erişim yöntemleridir. Nasıl şirket organizasyonunuzda hangi verilere kimlerin erişebileceğiniz Access Control List ( ACL )’ ler ile belirliyorsanız aynı durum cloud içinde geçerli olmak zorundadır. Burada temelde iki çözüm bulunmaktadır, ilki mevcut cloud yapısına taşıyacağınız sistemleriniz için var olan kimlik erişim yönetiminin federasyon servisleri üzerinden cloud kimlik erişim yönetim sistemleri ile entegrasyonu veya cloud hizmeti veren firmaların size bu alt yapıyı sunması ile sağlanabilir. Örnekle açıklamak gerekir ise, bir portal uygulamanızı cloud’ mimarisine taşımadan önce var olan doküman kütüphaneleriniz ve buradaki izinler ya cloud üzerindeki portal alt yapısı ile izin bazında entegre çalışmalı ( mevcut izinleri alıp tanıyabilmeli ) veya sizin yapıyı bu mimariye taşımadan önce size sunulan web ara yüzlerinden kullanıcıları tanımlamalı ve ondan sonra taşıma işlemlerini gerçekleştirmelisiniz.
Fiziksel ve Personel Güvenliği
Yine bu konuda mevcut it alt yapılarımız için bahsedebileceğimiz risk ve güvenlik zafiyetlerindendir. Cloud mimarisinde ise fiziksel güvenlik çok üst düzeyde olduğu için bu konuda aslında çalışan ( personel ) güvenliği daha ön plana çıkmaktadır. Çünkü Cloud için kurulmuş veri merkezlerinin güvenlik önlemleri gerçekten çok üst düzeydedir. Ancak bu güvenliği geçebilen kişiler firma personeli olduğu için aslında her an böyle bir risk bulunmaktadır.
Bunun yaşanmış örneklerini ne yazık ki daha önce gördük, bir çalışan üzerinden sızdırılan chat konuşmaları veya başka örnekler, özetle burada cloud firmasına çok büyük iş düşmektedir. Kimlerin hangi verilere ulaştığını sağlıklı bir şekilde takip edebiliyor olması gerekmektedir ve tabi ki böyle bir sızıntı sonrası firma zararının tespiti ve bunun ödenmesi, siber sigorta kapsamına girip girmemesi gibi durumlarında netleştirilmiş olması gerekiyor ki bu konulara makalenin ilerleyen bölümlerinde değineceğim.
Erişilebilirlik
Tüm verilerinizin internet ortamında olduğu düşünülürse olası her kesinti sizin verdiğiniz servislerdeki kesinti olarak size geri dönecektir.
CC’ in bizlere sunduğu en büyük hizmetlerden biri aslında HA yani yüksek erişilebilirliktir. Bizlerin inanılmaz maliyetler ile sağlayacağı bu yapıyı hali hazırda kurmuş olan global bir oyuncunun ( Microsoft, Amazon, Vmware, IBM vb ) platformuna geçmek son derece karlı bir iştir. Çünkü bizim böyle bir yapı sunmamız için yedekli internet hatları, yedekli sunucular, yedekli jeneratör, felaket anı için benzer bir veri merkezi ve sürekli olarak bu veri merkezlerinin güncel tutulması gibi çok ciddi maliyetlerle erişebileceğimiz up time ( çalışma süresi ) lara var olan CC veri merkezileri ile %99.9 ile ulaşılabilmektedir.
Hizmet sağlayıcılar bizlere sundukları tüm hizmetlerin kesintisiz bir şekilde çalışması için gerek felaket senaryoları, gerek donanım veya platformda oluşacak sorunlar gerekse dış tehditler sonucu oluşacak tüm servis kesintilerine karşı korumak zorundadır.
Uygulama Güvenliği
CC mimarisini hatırlayacak olursak uygulamaları biz SaaS olarak nitelendiriyorduk. Bu yapıda güvenlik tamamen servis sağlayıcıya aittir. Bu konuyu daha iyi anlamak için yine CC makalesinden kısa bir alıntı yapmak istiyorum.
CC bize 3 farklı servis modeli sunmaktadır.
SaaS – Software as a Service
PaaS – Platform as a Service
IaaS -Infrastructure as a Service
Bunlardan bizi ilgilendiren ise SaaS modelidir.
SaaS – Software as a Service
Yazılımı bir servis olarak sunan bu son iş modelinde alıştığımız yazılımları artık bulut bilişim üzerinden temin edebiliyoruz. Kiralama usulü ile ihtiyaç duyduğumuz süre boyunca kullanabildiğimiz tüm programların cloud versiyonlarını yakın zaman içerisinde görebileceğiz. Örneğin şu anda satışı yapılan Office 365 ürünü ile Office uygulamalarını platform bağımsız olarak internet üzerinden istediğiniz yerden kullanabiliyorsunuz. Yani yanınızda laptop vb bir aygıt taşımanıza gerek yok. Ayrıca ihtiyacınız olduğu kadarını alıp gereksinimleriniz bittiği anda artık ürünü kullanmak zorunda değilsiniz ve tatbikî ücretini de ödemeye gerek kalmıyor. Özetle SaaS ile artık kurumlar kullandıkları kadar ödeyecek, her yerden yazılımlara ulaşabilecek, cloud üzerinden çalıştığı için bu yazılımların yükleme bakım vb sorunları ile zaman ve para kaybetmeyecektir. Buna hizmetlere diğer örneklerde Online ofis uygulamaları noktasında Google Docs ve Zoho, CRM yazılımları konusunda SalesForce.Com, insan kaynakları yazılımları konusunda Taleo.com’ dur.
Bu noktadan bakıldığı zaman tüm alt yapı CC servis sağlayıcısı tarafından sunulduğu için bu konudaki tüm önlemleri de CC servis sağlayıcısı almak zorundadır. Bunu bir örnek ile açıklamak gerekirse, örneğin aldığınız bir cloud hizmeti olan Google apps üzerinde çok önemli dokümanlarınızı saklıyor, işliyor ve belki de paylaşıyorsunuz. Google firmasından kaynaklı uygulama tarafındaki bir hatadan dolayı sizin dokümanlarınız başka kişilerce görünebilir bir hale gelirse bu çok ciddi bir güvenlik zafiyeti doğurur. Bu nedenle servis sağlayıcıları bu konuda çok ciddi önemler alıyor olması gerekmektedir. Ancak yine bu risk mevcut uygulamalarımızda da bulunmaktadır. Yine örnek olarak basit bir pdf okuyucusu dediğimiz Adobe Acrobat reader bile sürekli olarak güvenlik yamaları çıkarmaktadır. Yani yazılımlardan doğan güvenlik zafiyetleri aslında cloud ile gelen yeni bir risk değildir. Ancak sorun bu gibi bir programdan kaynaklı bir sorun belki bazı dokümanlarınızın gizliliğini tehlikeye atarken cloud üzerindeki uygulamalarda oluşacak bu tür bir sorun tüm dokümanlarınızı tehlikeye atabilir.
Yasal Uyumluluk
Verilerinizi Bulut’ a gönderirken düşünmeniz gereken bir noktada yasal zorunluluklardır!
CC’ in belki de en karışık ve anlaşılması zor olan risk – güvenlik modeli, kanunlar ile başlamaktadır. Türkiye de henüz aktif olarak sunulan hizmetler olmadığı için bu konuda hazır bir kanun yoktur. Sadece finans kuruluşları için mevcut finans datalarına özel olarak BDDK tarafından verilerin yurt dışında saklanamama durumu söz konusudur. Böyle bir durum BDDK ile kurumunuz arasında soruna yol açacaktır ( olası bulgu nedeni ). Bunun dışında ne yazık ki ülkemizde henüz hazır bir kanun bulunmamaktadır. Ancak dünya örnekleri üzerinden ilerleyebiliriz.
Cloud konusunda dünya üzerinde oturmuş yasalarda en çok göze çarpan sorular aşağıdaki gibidir.
Verilerin Fiziksel Lokasyonu
Fiziksel olarak verileriniz nerede saklanıyor?
Anlaşmazlık halinde mahkeme yeri neresi olacak?
Verilerin Sorumluluğu
Veri merkezi felaket ile karşı karşıya kalırsa ne olacak?
Gizlilik ihlaline ilişkin herhangi bir sorumluluk kapsama alanı var mı?
Veri merkezi atak alırsa ( hacking ) ne olacak?
Fikir Mülkiyeti Hakları
Verilerinizin fikir mülkiyetleri yasalar ile korunuyor mu?
Ticari sırlar ne kadar güvende?
Üçüncü Şahısların Erişimleri?
Bu maddelerin açıklamaları ise aşağıdaki gibidir.
Fiziksel olarak verileriniz nerede saklanıyor?
Verilerinizin fiziksel olarak hangi lokasyon da olduğunu aslen bilemiyorsunuz. Dünya üzerindeki farklı veri merkezlerinde replikasyon ile verileriniz sürekli yer değiştiriyor. Ancak içinde bulunduğunuz ülkenin kanunları gereği verilerinizin tam olarak nerede olduğunu biliyor olmanız gerekmektedir.
Anlaşmazlık halinde mahkeme yeri neresi olacak?
Cloud hizmeti veren kurum ile müşteri arasında bir anlaşmazlık çıkması halinde hangi ülkenin kanunları geçerli olacak ? Örneğin Çin de ticaret yapan bir firmanın cloud vender ı olarak Amerikan bir şirket seçmesi durumunda eğer bir anlaşmazlık olursa cloud venderı tabiki Amerikan yasalarını tercih edecektir, peki Çinli üretici?
Veri merkezi felaket ile karşı karşıya kalırsa ne olacak?
Olası bir felaket anında veri merkezi iş görmez duruma düşerse sorumluluk kimde olacak ve bundan doğan zararı sigorta şirketi karşılayacak mı?
Gizlilik ihlaline ilişkin herhangi bir sorumluluk kapsama alanı var mı?
Bulut bilişim altyapısından kaynaklanan bir veri sızması durumunda sorumluluklar net belirtilmiş durumda mı ? Yani cloud satıcısının kendi hatasından kaynaklı bir sızma durumunda ne yapacağına dair bir politika sahibi mi ? Bu konuda siber sigorta düşünülebilir.
Veri merkezi atak alırsa ( hacking ) ne olacak?
Her ne kadar veri merkezleri bu saldırılar için sürekli olarak tedbir alıyor olsa da hiçbir güvenlik sistemi mükemmel değildir. Bu nedenle olası ve hacking sonrası müşteri karlılığı konusunda bir yorum ile hizmet sağlayıcıya dava açabilir mi?
Verilerinizin fikir mülkiyetleri yasalar ile korunuyor mu? Eğer Korunuyor ise hangi ülke kurallarına göre korunmaktadır.
Telif hakları, eserin meydana getirilmesiyle kendiliğinden doğar. Siz bir eser ( sizin verileriniz ) meydana getiriyorsanız bunu meydana getirdiğiniz ülkenin yasaları tarafından korunmaktadır. Fikri mülkiyet hakları ülkesel olarak korunmaktadır. Ülkesellik ilkesine göre, bir fikri mülkiyet hakkı, hangi ülkede korunması isteniyorsa o ülkenin mevzuatı çerçevesinde ve sadece o ülkenin sınırları içinde korunur. Ancak ülkesellik ilkesi, yabancıların Türkiye’de, Türk Hukuku çerçevesinde korumadan yararlanmasına engel değildir. Benzer şekilde Türk vatandaşları da yabancı ülkelerde korumadan belli şartlar çerçevesinde yararlanır.
Ticari sırlar ne kadar güvende?
Ticari sırlarınızın başka kişilerse görüntülenmemesini nasıl sağlayacaksınız, bunun için izleme günlüklerini sizde görebilecek misiniz?
Şahısların Verilere Erişimi
Cloud sağlayıcısı bazı durumlarda destek firmaları, teknoloji firmaları veya başka amaçla 3. şahıslarca eğer datalarınıza erişim izni verecek ise bunu mutlaka size bildirmesi gerekmektedir. Eğer bu sözleşenizde yok ise mutlaka bu konuya dikkat edin.
Hizmet Sağlayıcı Bağımlılığı
Sahip olduğunuz verilerin başka bir firma sunucularında tutuluyor olmasının risklerini görmezden gelemeyiz!
Eğer global oyuncular ile bu oyunu oynarsanız muhtemel sorun yaşamayacaksınızdır. Tabi ki bu demek değildir ki hiç sorun yaşamayacaksınız! Bundan önceki örneklere baktığımız zaman günümüze kadar gelen ve tüm global oyuncuların sunduğu cloud servislerinde ciddi manada toplamda 10’ a yakın sorun vakası görülmüştür ve bunlar 8 – 10 saatleri bulan ve bazen de ne yazık ki veri kayıplarına neden olan vakalardır. Bu durumların nadir de olsa olabileceğini ve bunun CC’ in bir riski olduğunu unutmayın. Bu nedenle mutlaka siber sigorta konusunu iyi araştırmalı, global oyuncu ile yukarıdaki kanuni gereksinimler konusunda çok iyi bir anlaşma yapmalı ve her zaman için bir B planınızın olması gerektiğini unutmayın. Buradaki en büyük risk tüm verilerinizi cloud servisi sağlayan firmaya gönderdiğiniz için aslında firmanızın geleceğinizde bu firmaya bir nevi bağlamış oluyorsunuz.
Bant Genişliği ve Veri Transferi
Eğer yüksek bir bant genişliğine sahip değilseniz aldığınız servis kalitesi de düşecektir.
Bu tür durumlar için mutlaka şirket olarak bir felaket politikamız olmak zorundadır. Türkiye şartlarını düşündüğümüz zaman Cloud servisi veren firmanın hiçbir zaman kesinti göstermemesi halinde bile sizden kaynaklı sorunların olabileceğini unutmayın. Bu nedenle bu tür kesintilerde verilerinize ulaşamayacağınızı ve hizmet veremeyeceğinizi düşünmeniz, bunun doğrultusunda bir takım aksiyon planları hazırlamanız gerekmektedir.
Evet buraya kadar temel olarak Cloud Computing Risk ve Güvenlik zafiyetlerinden bahsettik, ancak bu riskler ve zafiyetler aslında aldığınız cloud hizmetlerine göre farklılık göstermektedir. Yani makalemin başında da belirttiğim gibi public, private veya hybrid cloud hizmetlerinin birbirinden farklı mimariler sunması nedeni ile riskleri farklı olacaktır. En büyük risklerin public cloud üzerinde olduğunu ve bu nedenle bu başlık üzerinden ilerlediğimizi belirmiştim. Bu bölümde ise bir farklılık üzerinde daha durmak istiyorum. Bu da aldığınız cloud hizmetinin modeline göre değişen güvenlik ve risk durumlarıdır. Bildiğiniz gibi hangi cloud yapısını alırsanız alın yine bu cloud yapısı içerisinde size sunulan temelde 3 servis modeli vardır. Her servis modelinin ise kendine özgü güvenlik zafiyetleri ve risk sorumluluk dağılımları söz konusudur.
Bu modellere göre sorumluluklar aşağıdaki şekilde özetlenebilir
Software as a Service (SaaS): Güvenliğin sağlanmasındaki en büyük sorumluluk servis sağlayıcıya düşmektedir.
Infrastructure as a Service (IaaS): Güvenliğin sağlanmasındaki en büyük sorumluluk müşteriye aittir.
Platform as a Service (PaaS): Güvenliğin sağlanmasındaki sorumluluk servis sağlayıcı ve müşteri arasında hemen hemen eşit seviyede paylaşılmaktadır.
Yani özetle piramit’ in tepesine doğru çıkıldıkça servis sağlayıcıların sorumluluğu artarken ( sundukları hizmet artmaktadır ve buna paralel olarak riskleri de artmaktadır ), aynı şekilde piramit’ in tabanına doğru inildikçe müşteri riskleri artmakta çünkü servis sağlayıcının sunduğu hizmetler azalırken müşterinin kendi sağladığı hizmetler artmaktadır.
Evet, bu kadar bilgiden sonra makalemi özet bir sonuç ile bitiriyorum
Sonuç
• Altyapısı oturmuş bir hizmet.
• Güvenlik konusunda, sunduğu hizmetler kadar öncü ve esnek değil.
• Gerek servis konusunda gerekse bu servislerin güvenliği konusunda bir standart yok.
• Türkiye de yaygın olarak sunulan bir hizmet veya destek yok.
Umarım faydalı bir makale olmuştur. Bir sonraki makalemde görüşmek dileği ile.
Orjinal Link:
http://www.cozumpark.com/blogs/cloud_computing/archive/2011/01/02/cloud-computing-risk-and-security-assessment-bulut-bili-im-risk-ve-g-venlik-de-erlendirmesi.aspx
by: Hakan Uzuner
Kaydol:
Kayıtlar (Atom)