Süregelen kullanım senaryolarında merkeziyetsizlik ile, yazılım ve uygulamalar artık yerinde (On-prem) barındırılmaktansa, bulut (Cloud) ortamlarına taşınmaktadır. On-prem sistemler güvenlik ve yönetilebilirlik açısından büyük avantajlar sağlamaktadır, ancak CAPEX ve OPEX olarak adlandırdığımız maliyetler açısından yüksek masraflara yol açmaktadır. Donanım yatırımları, elektrik, soğutma, veri merkezi maliyetleri, yerinde bakım personeli, yenileme ücretleri, donanım ömrü, donanımsal hata kesinti maliyetler, yedek ürün maliyetleri gibi birçok kalem bu maliyetlere örnek gösterilebilir.
Halbuki bulut sistemlerinde ölçeklenebilir ve sadece OPEX maliyetlerle çok küçük kaynaklarla projelere başlanarak, aylık maliyet güncellemeleri ile büyüme kontrol altına alınabilmektedir. Yedeklilik, erişilebilirlik, ürün garantileri, bakım maliyetleri, donanım maliyetleri gibi tüm kalemler, çok daha uygun fiyatlı aylık giderlere bölünerek sermaye korunması sağlanabilmektedir.
Ancak daha önce bahsettiğimiz üzere, bir bulut sistemindeki güvenlik altyapısını, yerinde bir sistemin güvenliği ile karşılaştırmak neredeyse imkansızdır. Buradaki güvenlik ihtiyacını karşılamak için güçlü şifreleme, yüksek performanslı şifre çözme, veri bütünlüğü, kullanıcı doğrulama, anahtar ve sertifika yönetimi gibi işlevleri en üst güvenlik mekanizmaları ile karşılayan HSM’ler karşımıza çıkmaktadır.
Peki, bulut hizmetleri kapsamında HSM ile neler yapılabilir; bununla ilgili birkaç örneğin üzerinden geçelim:
1) Uçtan Uca Güvenlik: HSM’ler anahtar oluşturma yetileri sayesinde kullanıcı ve uygulama arasında güvenli bir kanal açılmasını sağlayan tünelleme anahtarlarını oluşturarak hem kullanıcıyı hem de sistemi korur.
2) Kimlik Doğrulama: Bulut hizmetlerine giriş yapan kullanıcıların kimlik ve gerekirse sertifika doğrulamaları HSM’ler vasıtasıyla gerçekleştirilir; böylece sadece yetkili kullanıcıların sistemlere erişimi sağlanabilir.
3) Sertifika Güvenliği: SSL/TLS sertifikaları, kurumların kimliği yerine geçer. Bu sertifikalar ile gerçekleştirilen işlemler, kurumun kendisinin ilgili işlemi yaptığına dair kanıt niteliği taşır. Güncel, geçerli ve güvenli şekilde saklanan bir sertifika, kurumlar için hayati önem taşır. HSM’ler, yapıları gereği özellikle izin verilmediği takdirde sertifikaları asla bir dış kaynak ile paylaşmaz. Gerekli şifreleme ve imzalama işlemleri HSM içinde gerçekleşir, sertifikalar dışarıya gösterilmez.
4) SSL Offloading: SSL işlemleri, özellikle yüksek uç noktalı sistemlerde yoğun bir işlemci yükü oluşturmaktadır. Genellikle bu yük, asıl işi sunucular arasında optimum veri paylaşımı sağlayan yük dengeleyicilere (load balancer) yüklenir. Bu da ilgili çözümün performansında ağır etkiler oluşturur. HSM’ler, gelen şifreli trafiğin şifresini çözerek yük dengeleyici ile paylaştığında hem kaynak optimizasyonu hem de performans artışı gözlemlenir.
Sonuç
Bulut hizmetlerinde farklı kurumların altyapılarına güvenmek gereklidir; ancak sistemin öz güvenliği yine de kurumun kendisine aittir. Bu yüzden HSM ile sağlanacak kademeli güvenlik önlemleri, veri güvenliğini artıracak mahiyettedir ve süper bilgisayarlar, kuantum bilgisayarlar gibi gelişmiş tehditlere karşı gerek algoritma gerekse de diğer önlemler ile en yakın müttefikiniz olacaktır.
