OneDrive, kullanıcılara dosyalarını bulut ortamında depolama, farklı kişilerle ve farklı yetki seviyeleriyle paylaşma, yerine göre Office Online uygulamalarıyla düzenleme, internete bağlanılabilen hemen her yerden ve güvenle erişme olanağı sağlayan bir hizmet. SharePoint Online için ise en basit haliyle, OneDrive’ı da bir nevi alt kitaplık/site gibi bünyesinde bulunduran, dosya, içerik, bilgi ve hatta uygulama yönetimi ve paylaşımı hizmeti diyebiliriz. Global anlamda milyonlarca kullanıcının ve farklı ölçekteki organizasyonun kullandığı, büyük-küçük, hassas ve kritik verilerin depolanmasını sağlayan popüler ürünlerden bahsedilince, bu ürünlerin ve depoladıkları verilerin güvenliği de ciddi şekilde irdelenmesi gereken ve sorgulanan konuların başında geliyor.

Veri Trafiğinde Güvenlik

Öncelikle, genel itibariyle bulut ile gerçekleşen veri trafiğindeki duruma kısaca değinelim. Microsoft, kullanıcı ve/veya şirket verileri lokal ortamlar ile bulut arasında akarken, bu verileri korumak üzere şifreleme yöntemlerine başvuruyor. Microsoft’un datacenter’ları, veri alışverişi için kendileriyle iletişime geçen client’larla haberleşirken, güçlü bir kimlik doğrulama, gizlilik ve bütünlük kontrolü sunan ve aynı zamanda “masquerade”, “man-in-the-middle”, “bucket brigade”, “rollback” ve “replay” gibi saldırılara karşı korumayı sağlamlaştıran TLS (Transport Layer Security) protokolü kullanılıyor. Bu haberleşmeler ve alışverişler sırasında ayrıca PFS (Perfect Forward Secrecy) teknolojisi kullanılarak benzersiz (unique) anahtarlarla işlem yapılması sağlanıyor. Söz konusu şifreleme anahtarlarının, RSA tabanlı 2048-bit uzunluğunda anahtarlar olduğunu da belirtmekte fayda var.

OneDrive ve SharePoint Online’da Güvenlik

Konuya OneDrive ve SharePoint Online özelinde baktığımızda, farklı katmanlarda ve çok geniş ölçekte güvenlik önlemleriyle korunan bir ortam görüyoruz. Internet üzerinden OneDrive for Business ve SharePoint Online ile tüm iletişim, 2048-bit’lik anahtarlar kullanılarak ve SSL/TLS bağlantılarıyla gerçekleşiyor. Buna ek olarak, kullanıcıların ve/veya organizasyonların dosyaları ve verileri, bulutta, yani Microsoft’un ilgili datacenter’larında, hem dosya hem disk seviyesinde şifreleniyor.

SPO Secure Communication
Resim-1

Disk Seviyesinde Koruma

Microsoft, disk seviyesinde koruma için OneDrive ve SharePoint Online hizmeti genelinde datacenter’larında BitLocker Drive Encryption‘ı dağıtmış durumda. Lokal ortamlardaki Windows tabanlı sistemlerde de verileri korumak için sıklıkla kullanılan BitLocker, disk üzerindeki tüm verileri şifreliyor. Dolayısıyla halihazırda fiziksel olarak yüksek güvenlik önlemleriyle korunan bu datacenter’lara inanılmaz ve öngörülemez bir saldırı olsa ve belli veriler çalınsa dahi; BitLocker, sistemden bu kullanıcı verilerine erişilmesine ve bunların kullanılmasına izin vermiyor.

Dosya Seviyesinde Koruma

Dosya seviyesinde ise, aynı kullanıcı verileri, boyutlarına göre ayrı yığınlar halinde ve daha küçük parçalara bölünüyor. “Chunk” da denilen bu yığınlar “blob” olarak “blob store”larda tutuluyor, her biri ayrı anahtarlarla şifreleniyor ve datacenter’da farklı Microsoft Azure Storage Container’lara (blob container) dağıtılıyor. Yığınları şifreleyen anahtarlar, ayrı bir “master key” ile kendilerini de şifreliyorlar. Ek olarak tüm bu anahtarlar sık aralıklarla yenilenip değiştiriliyorlar. Bu şifreleme işlemlerinin her aşamasında, 256-bit’lik anahtarlarla Advanced Encryption Standard (AES) kullanılıyor. Yığınlar (blob store), anahtarlar (key store) ve bunları işleyip orijinal veriyi/dosyayı bir araya getirmek için kullanılan map’lerin bulunduğu içerik veritabanı (content database), fiziksel olarak birbirlerinden ayrı konumlarda tutuluyor. Bu farklı bileşenlerde tutulan hiçbir veri, tek başına kullanılabilir veya işlenebilir durumda olmuyor. Bu bileşenlerin tamamına erişilemediği sürece, yığınlara ulaşmak için anahtarları bulmak, anahtarların şifrelerini çözmek, anahtarları doğru yığınlarla eşleştirmek, yığınların şifrelerini çözmek, eşleşen yığınları tespit etmek ve gerekli bileşenleri bir araya getirip ana veriye ulaşmak gibi işlemler imkansız hale geliyor.

“Red Team” ile “Blue Team”

Microsoft datacenter’larındaki tüm cihazların, sürekli olarak güvenlik yamalarıyla ve anti-virüs imzalarıyla güncel tutulduğunu zaten biliyorsunuzdur veya en azından tahmin ediyorsunuzdur. Tüm bunlara ek olarak, Microsoft’ta “Kırmızı Ekip” (Red Team) ve “Mavi Ekip” (Blue Team) olarak adlandırılan ve tam zamanlı güvenlik çalışanlarından oluşan iki ekipten de bahsetmek lazım. Bu ekiplerin parçası olabilmek için sayısız test ve sınavdan geçmek gerekiyor. Ekiplerden “kırmızı” olanın görevi, son saldırı trendlerini ve yöntemlerini takip etmek ve hatta yenilerini geliştirmek, sistemdeki olası açıkları tespit edip siber atak simülasyonları gerçekleştirmek ve verilere sızmaya çalışmak. Aynı oluşumda yer alan ve yine tecrübeli güvenlik uzmanlarının meydana getirdiği “Mavi Ekip” ise verilerin güvenliği noktasında bir koruyucu rolünde; Kırmızı Ekibin denediği ve gerçekleştirdiği saldırıları, simülasyonları savuşturup önlemek, olası açıkları tespit edip kapatmak ve hem kalıcı hem önleyici çözümler için aksiyonlar almak gibi görevleri üstleniyor. Eğlenceli görünüyor, değil mi? Güvenliğe yönelik sayısız prosedür, taktik ve önlemin arasında bu örnek de Microsoft’un bu işi ne kadar ciddiye aldığının kanıtlarından biri.

Özet

Tüm bu kombinasyonlar ve güvenlik kontrol setlerinden yola çıkarak, SharePoint Online ve OneDrive’ın, arka planda son derece güçlü bir teknolojiyle sağlam bir güvenlik sunduğunu söyleyebiliriz. Verilerin güvenliği için Microsoft’un bu önlem ve politikalarını, OneDrive Admin Center ve SharePoint Admin Center üzerinden yönetilecek doğru paylaşım ve güvenlik ayarlarıyla, doğru kısıtlamalarla, Office 365 Security & Compliance Center üzerinden yürütülecek düzenli denetim (auditing) kontrolleriyle ve belki de en önemlisi, tüm kullanıcıların doğru şekilde eğitilip bilinçlendirilmesini sağlayacak politikalar geliştirerek desteklemeyi de kesinlikle ihmal etmemek gerekiyor.

Keyifli, güvenli çalışmalar!

Ayrıca Bakınız

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir