Bulut bilişim sistemlerinin kullanımı günümüzde giderek yaygınlaşmaktadır. Özellikle Covid-19 pandemisi sonrası çoğu kuruluş sistemlerini “on-premise” dediğimiz mahallinde tutulan bilgi işlem sistemlerinden, bulut hizmet sağlayıcıları tarafından barındırılan bulut bilişim sistemlerine geçirmiştir. Bulut bilişim teknolojisi, bireylerin, kurumsal şirketlerin ve hatta hükümetlerin bilgi ve verilerini, uzaktan erişim marifetiyle kolayca veri merkezlerinde depolayabilmelerini ve işleyebilmelerini sağlamaktadır. Ayrıca bulut bilişim, son kullanıcıların BT altyapılarını, platformları ve yazılımları, merkezi bir sitem vasıtasıyla, bir iletişim ağı üzerinden kullanmalarına ve işlemelerine imkan veren, düşük maliyetle ileri teknolojiye erişim sağlayan, cazip bir bilişim uygulaması olarak karşımıza çıkmaktadır. Günümüzde farklı özellikleri olan çeşitli bulut bilişim modelleri bulunduğundan, gerek ticari gerek sosyal yaşamda sıkça karşılaştığımız bulut bilişim çözümleri ve hizmet modellerinin genel çerçevesi hakkında kısa bir değerlendirme yapılması uygun olacaktır.

Bulut Bilişim Altyapıları

Bulut bilişim hizmetleri dört farklı kategori altında sunulmaktadır:

Açık/Genel Bulut (Public Cloud)

Genel Bulut altyapısında, depolama ve diğer kaynaklar bir hizmet sağlayıcı tarafından kamuya/genel kullanıcılara sunulmaktadır. Bu modelde, bilgi işlem faaliyeti bir hizmet sağlayıcının kurduğu altyapı üzerinde Hizmet alan tarafından kiralanan kaynaklar üzerinde yürütülür. Bu çözüm özellikle bireysel kullanım/tüketiciler için de uygun bir çözümdür. Diğer bulut alt yapılarına nazaran daha düşük güvenlikli bir yapı olduğu söylenebilir. Genel Bulut altyapısı nispeten düşük maliyetli çözümler sunmakta olup, genellikle kullandığın kadar öde sistemiyle çalışır. Hatta bireysel kullanıcılara/tüketicilere ücretsiz dahi sunulabilmektedir.

Özel Bulut (Private Cloud)

Özel Bulut alt yapısı yalnızca tek bir kurum/organizasyon için kurulur ve işletilir; kamuya/üçüncü şahısların erişimine kapalıdır. Bu alt yapı mimarisinde, altyapı kuruluşun içinde dâhili olarak tutulabileceği gibi, bahse konu kuruluş adına üçüncü bir tarafça da barındırılabilir. Özel Bulut alt yapısı çoğunlukla kurumsal/büyük şirketler ve veri güvenliğini ön planda tutan kuruluşlara hitap etmektedir. Genel bulut altyapısına nazaran daha maliyetli olmasında rağmen, bilgi işlem yatırım ve giderlerinde cazip avantajlar sağladığı söylenebilir.

Karma/Melez Bulut (Hybrid Cloud)

Karma/Melez bulut altyapısında; özel, topluluk veya genel bulutun ikisi veya hepsinin birleşimi söz konusudur. Karma bulutun özel bulut kısmınaa nispeten daha hassas, gizli veriler ve kritik uygulamalar; genel bulut kısmına ise daha az güvenlik kaygısı duyulan uygulamalar yerleştirilebilir.

Topluluk Bulutu (Community Cloud)

Topluluk bulutu; ortak amacı paylaşan, aynı güvenlik ve uyumluluk gereksinimleri olan, özel bir topluluktaki çeşitli organizasyonlar arasında bulut altyapısının paylaşılması olarak tanımlanabilir. Topluluk bulutu genel bulut veya özel bulut olarak tasarlanabilir.

Bulut Bilişim Hizmet Modelleri

Hizmet olarak Yazılım (Software as a Service, SaaS)

SaaS, hizmet sağlayıcı tarafından, sunucu üzerinde bulundurulan yazılım uygulamasının birden fazla hizmet alanın kullanımına sunulmasıdır. Hizmet alanlar, uygulamalara erişmek için kendi sistemlerine herhangi bir kurulum yapmadan, web tarayıcıları gibi ara yüzler aracılığı ile internete bağlı bir ortamdan, bulut üzerindeki uygulamalara erişerek çalışma ve işlemlerini gerçekleştirebilmektedir. SaaS’da, yazılımlar internet üzerinden birer hizmet olarak sunulur ve hizmet, kullanım bazlı olarak ücretlendirilir. SaaS modelinde hizmet alan, alt yapıdaki ağ, sunucu, işletim sistemi ve depolama aygıtları gibi bileşenleri yönetmez veya denetlemez. Hizmet alana, sadece hizmet olarak aldığı uygulamaya has konfigürasyon/yapısal ayarlarını değiştirebilme yetkisi verilir.

Hizmet olarak Yazılım Geliştirme Ortamı/Fonksiyon (Platform and Function as a Service, PaaS- FaaS)

PaaS bulut bilişim sisteminde hizmet sağlayıcı, hizmet alana; Hizmet sağlayıcı tarafından sunulan programlama dilleri, yazılım kütüphaneleri, servisler ve araçlar kullanılarak, kendi uygulamasını geliştirip, çalıştırabileceği bir platform ve hatta tamamlayıcı hizmetler sunar. PaaS modelinde Hizmet alanın, platform altyapısını oluşturan sunucular, işletim sistemleri, depolama alanı ve benzeri bileşenler üzerinde herhangi bir kontrolü ve yönetim imkânı yoktur. Hizmet alanın yetki alanı, bulut altyapısına aktardığı yazılıma ilişkin her türlü düzenleme ve bu yazılımın çalıştığı ortama ilişkin konfigürasyon ayarlarıdır.

Hizmet Olarak Fonksiyon, FaaS, programcıların sunucu bulundurmadan prosedür olarak yazılım uygulamaları oluşturmalarını ve çalıştırmalarını sağlayan bir bulut bilişim çözümüdür. Bu sistem, müşterilerinin uygulama oluşturmasına ve özellikler geliştirmesine imkan verirken, yalnızca söz konusu özellikler kullanıldığı zaman hizmet sağlayıcı tarafından faturalandırılmaktadır. FaaS ve PaaS sistemleri temelde performans, ölçeklenirlik, ve maliyet açısından farklılık göstermektedir.

Hizmet olarak Altyapı (Infrastructure as a Service, IaaS)

IaaS modelinde Hizmet alan, ihtiyacı olan işlemci, depolama, ağ kaynağı ve diğer temel bilişim kaynaklarını kendisi yapılandırabilmekte ve bunların üzerine ihtiyacı olan işletim sistemini ve uygulamaları kurabilmektedir. Hizmet alanın fiziki alt yapı üzerinde yönetimi ve tam kontrolü yoktur. Ancak Hizmet alanın depolama, işletim sistemi seviyesinde sisteme hâkimiyeti bulunmaktadır ve belirli ağ bileşenlerini yönetebilmektedir. IaaS modeli bazı kaynaklarda “Servis Olarak Donanım” (Hardware as a service, HaaS) olarak da tanımlanmaktadır.

Bulut Bilişim’e İlişkin Güvenlik Sorunları

Bulut bilişim altyapısı ve iş modelleri; sistemin paylaşımlı ya da tek bir kuruluşa özgü olması, sistemin kuruluşun içinde ya da dışında barındırılması, müşterinin hizmetin mimari altyapısına müdahale edebilme imkanının olup olmaması ve sistemin müşteri ihtiyaçlarına adaptasyon kapasitesi bakımından farklılık arz etmektedir. Bu iş modelleri öncelikle hizmet alanlar tarafından maliyet, sistem üzerinde kullanıcıya verdiği kontrol imkanı ve ölçeklenirlik yönlerinden değerlendirilmektedir. Bulut bilişim, şüphesiz interneti kullanma yöntemleri bakımından devrim niteliğinde bir yenilik olarak kabul edilmelidir ancak her yeni sistemde olduğu gibi, avantajlarının yanı sıra, zorlukları ve dezavantajları da vardır.

Yukarıda kısaca değindiğimiz altyapı ve hizmet modelleri değerlendirildiğinde, bulut bilişimdeki en büyük problemin "veri güvenliği" olduğu söylenebilir. Keza, kurumların ya da bireylerin bilgi ve verilerini üçüncü taraf hizmet sağlayıcıların sistemlerinde barındırmaları kendiler için fazlasıyla endişe vericidir.

Bu konu kişisel verilerin korunması mevzuatı açısından ele alındığında, bulut sistemlerin kullanımının, bulut ortamlarda saklanan kişisel verilerin güvenliğini sağlamakla yükümlü olan "veri sorumluları" için birtakım riskleri beraberinde getirdiği söylenebilir. Bu nedenle, bulut hizmet sağlayıcısı tarafından alınan güvenlik tedbirlerinin yeterli ve kapsamlı olup olmadığının veri sorumluları tarafından değerlendirilmesi gerekmektedir. Bu konuda Kişisel Verileri Koruma Kurumu ("KVKK") tarafından yayınlanan "Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)" güvenlik tedbirlerine ilişkin somut öneriler getirmiştir. KVKK, bulut sistemlerinde saklanan kişisel verilerin tespit edilebilir olmasını, her daim yedeklenmesini ve senkronizasyonunun sağlanmasını tavsiye etmektedir. KVKK ayrıca bu tür verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanmasını önermektedir. Bunun yanı sıra, kişisel verilerin bulut sistemlerinde depolanması ve kullanımı sırasında kriptografik yöntemlerle şifrelenmesini ve bu şifreleme sonrasında bulut ortamlarına aktarılmasını, mümkünse hizmet alınan her bir bulut çözümü için ayrı şifreleme anahtarının kullanılmasını gerekli görmektedir. Son olarak, bulut bilişim hizmet ilişkisi sona erdiğinde, kişisel verileri kullanılır hale getirmek için kullanılabilecek şifreleme anahtarlarının tüm kopyalarının da imha edilmesini önermektedir.

Bulut sistemlerinin tercih edilme sebeplerinin başında veri depolama maliyetlerinin diğer sistemlere göre daha düşük olması gelmektedir. Özellikle yurt dışında barındırma hizmeti veren firmaların daha yüksek güvenlik standartlarına sahip sistemleri daha düşük maliyetlerle sundukları rahatlıkla gözlemlenebilmektedir. Bu da, Türkiye'deki teknoloji şirketlerinin, sunucularını (ve dolayısıyla verileri) yurtdışında barındıran bulut hizmet sağlayıcılar ile çalışmayı tercih etmelerine neden olmaktadır.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda kişisel verilerin yabancı ülkelere aktarımı hususu düzenlemiştir. Buna göre, kişisel verilerin yurtdışına aktarımı; (i) verinin aktarıldığı ülkede yeterli korumanın bulunması, (ii) Türkiye'deki ve ilgili yabancı ülkedeki veri sorumluları tarafından yeterli bir korumanın yazılı olarak taahhüt edilmesi ve bu taahhüde ilişkin olarak KVKK’nın onayının bulunması veya (iii) veri sahibinin açık rızasının bulunması, hallerinde gerçekleştirilebilmektedir. Ancak KVKK’nın bugün itibariyle yeterli korumayı sağlayan ülkeleri listeleyememiş olması ve KVKK nezdindeki onay prosedürünün tercih edilen bir prosedür olarak görülmemesi nedeniyle şimdilik en geçerli yöntem veri sahiplerinden açık rıza alınması olarak görünmektedir. Yukarıda değindiğimiz nedenlerle, Türkiye’deki veri sorumlularının, sunucularını yurt dışında bulunduran bulut hizmet sağlayıcıları ile çalışmak konusunda zorluklar yaşadıkları bilinmektedir.

Bu bağlamda, paylaşımlı ve uzaktan erişimli sistemlerin getireceği güvenlik riskleri ve veri koruma mevzuatı gerekliliklerinin temkinli bir şekilde değerlendirilmesi uygun olacaktır. Böylece her kuruluş kendisine en uygun bulut alt yapısı ve hizmet modelini tespit ederek, buna göre bilişim sistemini en ekonomik şekilde yeniden yapılandırabilecek ve teknolojiyle uyumlu hale getirebilecektir.

Av. Beril Çelebi Cem