Solution for Your Systems

Risk analizi, riski tahmin etmek amacıyla yapılan sistematik çalışmalardır. Yapılan risk tahminleri karşı önlemlere karar verilmesi aşamasında önemli bir parametre olarak kullanılırlar. Risk analizi yapılmadan tesis edilen karşı önlemlerin ihtiyacı karşılayamaması veya gereğinden fazla karşılaması ihtimali büyüktür.
 

Bilgi güvenliği risk analizi konusunda akademik yayınlarda bir çok metot önerilmiştir. Akademik yayınlar dar problem alanlarına yönelmekte ve belli bir durum için daha etkin çözüm önerileri getirmeye çalışmaktadır.  Bu nedenle akademik yayınlardaki öneriler kurumsal beklentileri karşılayacak düzeyde olmamaktadır. [1] Bilgi güvenliği risk analizi sürecini otomatikleştirmeye ve kolaylaştırmaya yönelik bir çok ticari yazılım mevcuttur.  Ticari yazılımlar ise her kurum tarafından tercih edilmemektedir. Bunun nedenleri arasında, yazılımın pahalı bulunması, tam olarak kurumun ihtiyaçlarına yönelmemesi, yazılımın karmaşık olması ve kurumun yazılım çerçevesinde  kalmak istememesi  yer almaktadır [2].
 

Akademik yayınlar ve ticari yazılımlar risk analizi sürecinin belli başlı zorluklarına değinirler, bu zorlukların nasıl aşılabileceği, risk analizi sürecinin nasıl etkin ve kolay yürütülebileceği konusunda öneriler getirirler.
 

1. Bilgi Güvenliği Risk Analizinin Temel Zorlukları

Riskin bir olasılık olması: Risk, kesin ve somut bir değer değildir. Risk bir olasılık olduğu için risk analizi temelde bir olasılık analizidir. Bu nedenle, risk analizi yapılırken tahminler yapılmalıdır. Tahminler, bir risk modeli ile belli bir çerçevede ele alınırlar. Eğer risk modeli nicel ise kullanılan matematikten dolayı zorluklar yaşanmakta, nitel ise risk analizi sürecinde tahminler subjektif olabilmektedir.

Riskin, varlık, açıklık ve tehdit değerlerini girdi olarak alan bir olasılık fonksiyon olması: Risk, hesaplaması basit bir olasılık değeri değildir. Risk, bir varlıktaki bir açıklığın bir tehdit tarafından kullanılma olasılığıdır.  Bu olasılık, “Risk=F(Varlık, Açıklık, Tehdit)” formülü ile ifade edilebilir. Bu formüldeki fonksiyon (F) risk modelini temsil etmektedir. Sonuç olarak risk modelinin hesaba katması gereken üç temel parametresi bulunmaktadır.

En temel ve önemli varlık olan bilginin soyut olması: Bilgi kurumlar tarafından risk analizlerinde farkına en zor varılan varlıktır. Bunun yanında, bilgi aynı zamanda en dikkatli analizi yapılması gereken en önemli varlıktır.  Sunucular, depolama medyaları gibi fiziksel varlıklar risk analizi yapan kişiler tarafından kolaylıkla tanımlanabilirken, bilgi soyut bir kavram olduğu için tanımlanmasında ve gizlilik, bütünlük, süreklilik değerlerinin verilmesinde güçlükler yaşanabilmektedir.
 

Bilginin bir çok değişik formda bulunması: Bilgi donanım ve yazılımlar tarafından işlenir, elektronik ve manyetik medyada depolanır, yazılı dokümanlar bilgi içerir, bir kurumda çalışanlar zihinlerinde, düşüncelerinde ve konuşmalarında bilgiyi taşırlar. Sonuç olarak, bilgi elektronik, manyetik, kağıt, ses gibi bir çok değişik formada işlenir. Risk analizinde bir çok farklı formda depolanan bilginin ele alınması gerekmektedir.
 

Bilgi sistemlerinin karmaşık ve yaygın bir yapıda olması: Bilgi sistemleri, 1970 ve 1980’lerdeki merkezi ve basit yapıda değildirler. Günümüzdeki, tüm kurumlarda, hemen hemen her çalışana bir bilgisayar düşmektedir. Kurumların hemen hemen tüm iş süreçleri, az veya çok bilgi işlem altyapısı ile kesişmektedir.

Varlık, açıklık, tehdit ve karşı önlemler arasındaki ilişkiler: Herhangi bir varlıktaki veya varlık kategorisindeki (Örnek kategoriler: donanım, yazılım, medya, basılı doküman, personel) bir açıklık, başka bir varlık veya varlık kategorisi için tehdide dönüşebilir. Bir tehdit birden çok varlığı veya varlık kategorisini farklı oranlarda etkileyebilir. Bütün ilişkiler, risk analizi metodunda değerlendirilmelidir.

2. İdeal Bilgi Güvenliği Risk Analizinin Özellikleri

Hızlı sonuçlar vermesi: Risk analizi sürecinin uzun sürmesi özellikle iş gücü maliyetlerini artırır. Ayrıca, sürekli gelişen ve değişen bir bilgi işlem altyapısında çok uzun süren risk analizlerinin sonuçları tutarlı olmayabilir. Risk analizi metodunun süresi, kurumun tolere edebileceği bir seviyede olmalıdır.
 

Maliyet etkin olması: Kurumlar, getirdiği maliyetten dolayı da risk analizi sürecine uzak durabilmektedirler. Genel olarak bilgi güvenliği kurumlar tarafından lüks olarak görülebilmektedir. Bu nedenle, risk analizi sürecinde  maliyet etkin araçların kullanılması ve sürecin kendisinin maliyet etkin olması önemli bir beklentidir.
 

Objektif sonuçlar vermesi: Risk analizi sürecinin farklı kişiler tarafından tekrarlandığı zaman benzer sonuçlar vermesi önemli bir özelliktir. Planlama, uygulama, kontrol etme ve önlem alma döngüsü içerisinde tekrarlanacak olan risk analizinin tutarlı sonuç vermesi bilgi güvenliği yönetim sistemlerinin düzgün bir şekilde yürütülmesinin garantilerinden biridir. [3]
 

İş süreçleri odaklı olması: Hedefin BT altyapısı olduğu risk analizleri odağını kaybetmiş risk analizleri olarak değerlendirilebilir. Örneğin bilgi işlem altyapısındaki, donanımların gizlilik, bütünlük ve süreklilik değerlerinin  ortaya konulduğu ve bu donanımlardaki açıklıkların ve bu donanımları etkileyebilecek tehditlerin ortaya konulduğu ve bunlara göre belli bir risk seviyesinin tespit edildiği bir risk analizi süreci, bu donanım üzerinde hangi iş süreçlerinin işletildiğini hesaba katmadığı için doğru ve tutarlı sonuçlar vermeyecektir. Risk analizinde en temelde incelenmesi gereken iş süreçleridir. Günümüzde, bilgi işlem odaklı risk analizleri bilgi güvenliği yönetişiminin uygulanmadığı kurumlarda gerçekleştirilmekte ve faydası sınırlı olmaktadır.
 

Bilgi odaklı olması: Süreç odaklı yaklaşıma benzer olarak, bilgiyi göz ardı eden risk analizi süreçleri tutarlı sonuç vermezler. Bu risk analizi metotları bilgiyi işleyen donanım ve yazılımlara öncelik verirler ve sadece bunları değerlendirirler. Bu durumda da risk tahminleri  tutarsız olacaktır.
 

Kurum personelinin katılımına imkan vermesi: Bütün risk analizi sürecinin kurumdaki çalışanlar tarafından gerçekleştirilmesi beklenemez. Ancak, risk analizi sürecinin iş süreçlerinde önemli görevleri olan personelin katılımına imkan verecek bir yapıda olması gerekmektedir. Diğer bir ifadeyle, analizin belli başlı yerlerinde kurum çalışanlarının fikirlerinin ve düşüncelerinin alınması ve bunun risk analizi takımı tarafından değerlendirmeye sokulması gerekmektedir.
 

Risk modelinin açık olması: Risk modelinin açık olması, kurumların bilgi güvenliği risk analizi metoduna duyduğu güvenli artıracaktır. Ayrıca, kurum ihtiyaçlarını karşılayacak şekilde risk modelinde değişiklikler yapmasına imkan sağlanmış olacaktır.

3. Çerçeve Metot Önerisi

Bu bölümde, bilgi güvenliği risk analizinin zorluklarını göz önüne alan ve risk analizi sürecinden beklenen özellikleri yerine getirebilecek bir risk analizi metodunda yer alabilecek hususlara tablo-1 ve tablo-2’de değinilmiştir.

 

Zorluk	Ne şekilde önüne geçilebilir?
Riskin karmaşık bir olasılık olması	Nicel olması
Bilginin soyut olması ve çok değişik formlarda olması	Süreçsel yaklaşımlar
Bilgi sistemlerinin karmaşık ve yaygın bir yapıda olması	Süreçsel yaklaşımlar
Varlık, açıklık, tehdit ve karşı önlemler arasındaki ilişkiler	Nicel olması, süreçsel yaklaşımlar

Tablo 1: Temel zorluklar ve ne şekilde önüne geçilebilecekleri

 

Özellik	Nasıl karşılanır?
Kurum personelinin katılımına imkan vermesi	Anketler
Hızlı sonuçlar vermesi	Risk modelinin karmaşık olmaması
Maliyet etkin olması	Ticari olmaması
Objektif sonuçlar vermesi	Nicel olması
İş süreçleri odaklı olması	Süreçsel yaklaşımlar
Bilgi odaklı olması	Süreçsel yaklaşımlar

Tablo 2: Temel özellikler ve nasıl karşılanacakları

Sonuç olarak, süreçleri dikkate alan ve modelleyen, kurum bünyesinde çalışanların fikirlerini anketler yardımıyla ele alan,  karmaşık matematiksel araçları içermeyen nicel bir risk analizi yöntemi günümüzde kurumların ihtiyacını karşılabilecektir.

Bilge Karabacak

http://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/kurumsal-bilgi-guvenliginde-etkin-risk-analizi.html

Yazar ceyhun çamlı \\ tags: etkin risk analizi, kurumsal bilgi güvenliği, risk analizi, varlıklar

Günümüz bilgisayarlarının sonu gelmek üzere. Bu öngörü için nedenlerimiz var.Sürekli daha hızlı çalışan işlemciler (CPU) ve nihai olarak Moore yasası gereği hızın iki katına çıkarılması isteği,  işlemci üreticilerini malzemenin sınırlarına getirdi.

45 nanometre aralıkla tasarlanan işlemcilerde, iletişim yolları bakır, aliminyum, altın için daha yakın mesafelere inmek, elektriksel bazı sorunlara yol açmakta.

Nano teknoloji ile yeni meta malzemeler bulunması, belki bu sorunu aşabilir.Yine de metal-ametal ve alaşım bazlı malzelerin sınırlarına yaklaşılmakta.

Bilgisayar hızlarının bizleri ilgilendiren, en önemli özelliği hızlı işlem kabiliyeti ve benzetim (simulation) yeteneği.

Yüksek hızlara çıktıkça, ısı artışı hala tasarımın önündeki en büyük engel.

Yeni arayışlar, günümüzde kullandığımız bilgisayar tanımını, kökten değiştirecek gelişmelere doğru ilerliyor.

Yakın zamanda DNA temelli biyo-kimyasal bilgisayar ve kuantum bilgisayar kavramlarını daha sık duymaya başlayacağız.

Tüm bu araştırmaları körükleyen nedenlerin başında, askeri hedefler ve güvenlik ihtiyacı var.

Çünkü,  mevcut şifreleme sistemleri belirli akışlara (algoritma) göre çalışıyor.Bu akışlardan en ünlüsü RSA ; ticari ve askeri birçok alan da kullanılıyor.Şifreleme hızı en son 4 Mbit (4.096 bit) sınırına kadar geldi.

Mevcut şifreleri çözebilmenin iki yöntemi var.

İlk yöntem çok hızlı hesaplama yapabilen paralel bilgisayarlar, işlemciler tasarlamak.Yukarıda izah ettiğimiz süreç birazda bu nedenle hızla ilerliyor.

Diğer yöntem ise, ülke olarak pek önemsemediğimiz, matematik bilimine ait.

Bir matematikçi ortaya çıkarak, asal sayıların hesaplanması ve  şifreleme anahtar akışları (çarpanlara ayrılması) konusunda zarif bir hesaplama yöntemi bulursa,   şu an kullandığımız dünyanın en güvenilir şifrelerinin,  çözülmesini ve bilimsel gelişmelerin hızlanmasını sağlayacak.

Doğal olarak bunu başaran ülke, istihbaratta öne geçecek.

İşte tüm bu nedenlerden, dünyanın gelişmiş ülkeleri  daha hızlı çalışabilen bilgisayarlar ve şifreleme teknolojileri üzerinde çalışıyorlar.

Optik elektroniği ve kuantum kuramını bir arada kullanacak bilgisayarlar, şifreleme teknolojileri için çalışmalar yapılıyor.

Geçen yıl, Las Vegas' ta  (A.B.D) katıldığım Blackhat 2008 USA, hacker konferansında, Singapur Ulusal Üniversitesi , NIST (Amerikan Ulusal Teknoloji ve Standartlar Enstitüsü) ve DARPA (Amerikan Savunma Bakanlığı İleri Araştırmalar Projeleri Ajansı)  tarafından yapılan, Kuantum Kriptoloji deneylerine katılarak, gelişmeleri yerinde görme şansım oldu. Detay için ( http://qubit.nist.gov, http://www.havephotonswilltrvel.com, http://www.physics.nus.edu.sg/corporate/researchgallery/  adresleri ziyaret edilebilir. )

Şimdilik, laserle atmosfer ve fiberoptik ortamlarda foton haberleşmesine dayalı, Kuantum şifreleme ve anahtar dağıtımı teknolojileri deneniyor.

Gelelim hızlı çalışacak ve şifre çözecek bilgisayarlara.Bu amaçla kuantum bilgisayarın yapılabilmesi için de araştırmalar devam ediyor.Yazımın başında altın, gümüş ve bakıra dayalı işlemci tasarım teknolojilerinde, malzemenin sınırlarına gelindiğini ifade etmiştim.Günümüzde, çok çekirdekli işlemcilere ve 64 bit işlem gücüne yönelme  bu yüzden devam ediyor.

İşte bu nedenlerden,  tümleşik devreler için yeni bir  transistör ihtiyacını karşılamak için fizik laboratuvarların da araştırmalar hızla ilerliyor.Bunlara optik transistör, yani ışıkla açılıp kapanabilen, işlem yapabilen, ışığı depolayıp, davranışlarından hafıza elde edilen devre elemanları diye biliriz.

Elektronun, silikon yonga ve transistörde yaptığı görev neyse, fotonunda aynı şekilde iş göreceği yeni bir tip  transistör temelli tümleşik devreler, ışık hızında çalışacak yeni optik bilgisayarlara giden yolu açacak.

"İsviçre Federal Teknoloji Enstitüsü’nden Vahid Sandoghdar ve meslektaşları, sıvı helyum ile soğutulmuş kristalin bir matris içindeki hidrokarbon boya molekülünü havada asılı tutmayı başardı. Daha sonra zayıf bir turuncu lazer ışını ile bu moleküle nişan alarak enerjisinin büyük bir kısmını emdi. Bu arada hidrokarbon molekülüne zayıf bir yeşil ışın gönderdikleri zaman turuncu ışığın geri yansıdığını gördüler (Nature, DOI:10.1038/natureo8134). Ekip bu transistoru optik devre yapımında kullanmak istiyor."

Kuantum bilgisayar için çalışmalar bir yandan devam ederken, diğer taraftan da mevcut fiber optik kablolar  da  iletilen kuantum  anahtar dağıtımına ait kriptoloji çalışmaları gelişmiş ülkelerde somut hale getiriliyor.

200 kilometre standart fiberoptik kablo kullanılarak, Viyana’daki 6 noktayla Saint Pölten kentini birbirine bağlayan şebekede kullanılan , kuantum şifreleme tekniği, bugünün bilgisayar ağlarında kullanılan güvenlik sistemlerinden tamamıyla farklı özelliklere sahip.

Gelecek tüm hızıyla yaklaşırkan,  kullandığımız bilgisayarlar ve şifreler için yaşanan bilimsel gelişmeler her şeyi ters yüz edecek nitelikte olacak.

Kuantum kuramını hayatımıza kazandıran, Heissenberg ve Einsten sonrası, günümüzde Newton mekaniğiyle açıklanamayan bir çok evren gizemi daha anlaşılır hale geldi.

Bilim de, felsefe de, hayatta karşılığı inanılmaz sarsıcı olacak olan kuantum kuramı, bizleri foton kuşağına taşıyacak nitelikte gelişmelere haberci.

Kuantum kriptoloji beraberinde  kriptografiyi de zorlayacak.

Kırılamaz şifreler için tarih boyunca yapılan çalışmalar ve savaşların kaderini değiştiren şifre çözücüler, yeniden gündeme gelecek.

Tek kez kullanılan ve yakalanmak için müdahale edilen süreçte konumunu ve değerini değiştiren foton ve  şifre akışları, Kuantum Kriptoloji araştırmaları için ülke olarak kaynak ayırmamızı gerektirecek.

Askeri haberleşme ve güvenli elektronik ticaret ortamları için, kuantum anahtar dağıtımı: rastsal  sayı üretimine dayanan araştırmalar, bugün, A.B.D, İsviçre, İngiltere, Avusturya, Türkiye gibi ülkelerde hızla günlük hayatta kullanılır hale getiriliyor.

Kuantum şifrelemeyi kısaca izah edersek "Kuantum Mekaniğinin temel kuramlarından olan Heisenberg Belirsizlik Prensibine göre kuantum boyutlarındaki bir sistemde bir değişkenin, belli bir niceliğinin ölçülmesi, diğer nicelikleri değiştirir: kısacası gözlem, gözlenen olayı etkiler. Bu etkileşimin iletişimde uygulanması neticesinde dinlenilmesi imkansız veya imkansıza yakın iletişim hatları mümkün olmuştur. Kuantum iletişim hatları daima değiştirilen şifrelerin kullanıcılar arasında iletilmesi için şu nedenlerden dolayı idealdir:

1. Veri transferi genel iletişim hatları üzerinden yapılabilir,

2. Kuantum iletişim hattı üzerinden transfer edilen şifrelerin, dinlenme ihtimali sıfır veya sıfıra yakındır,

3. Uzun süreli kullanılan “sabit” şifrelerde olduğu gibi genel hatlardan geçen verinin kaydedilip şifrenin hesaplanması mümkün değildir.

Kuantum Temelli Rastsal Sayı Üretimi, Kuantum kriptoloji uygulamalarında şifre anahtarı olarak kullanılacak rastsal sayı dizinlerinin üretilmesi için Türiye'de yapılan araştırma projesinde, değişik bir teknik önerilmiştir. Bu teknik polarizasyon bölücüye 45 derece açı ile gelen bir fotonun tamamen rastsal olarak dikey ya da yatay polarizasyon çıktısına sapmasını kullanır. Bu tekniğin avantajı fotonların polarizasyon kuantum hal belirsizliğinin kullanılmasıdır, bu sayede elde edilen sayı dizinin elektriksel değil optik kaynaklı olmasından dolayı kripto ağ güvenliğinin daha da güçlenmesi beklenir. Deneylerde standart fiber optik telekom dalgaboyu olan 1550 nm kullanılmıştır, bu dalgaboyunda fiberin soğurma katsayısı 0.2 dB/km dir. Üretilen rastsal sayı dizininin hızını sınırlayan etkenler fotodetektör karanlık akımı ve darbe sonrası etkiler ile kullanılan lazerin çıktı güç sabitliğidir. Bu teknikle yaklaşık 10 kbit/s hızında rastsal sayı dizini (RSD) üretimi başarılmıştır. Bu RSD kuantum anahtar dağıtımı ağlarında tek kullanımlık şifre olarak kullanılabilecektir. (Kaynak: İletişim Ağ Güvenliğinde Son Aşama: Kuantum Kriptografi ve Fiber Optik Ortamda Kuantum Temelli Rastsal Sayı Üretimi  A. Behzat Şahin, Gökhun Selçuk, 104E042 numaralı TÜBİTAK Projesi)

Organik temelli, DNA bilgisayar araştırmaları da, diğer taraftan devam etmektedir.Temel de  canlılarda gerçekleşen, biyo-kimsasal ve elektriksel olayları, yapay bir hesaplayıcı hücre gibi kullanma fikrine dayanan bu araştırmalar, DNA molekülünün kendini kopyalaması ve beynin haberleşme sistemi olan sinirler aracılığıyla hayata geçirilmeye çalışılıyor.

1994 yılında ortaya konulan DNA'ya dayalı bilgisayar kavramı, kombinasyon temelli problemlerin çözümünü hedefliyor. Yaşamın temel taşı olan ve en basitten en karmaşığına bütün canlıların fonksiyonlarını kodlayan DNA molekülünün basit ve kararlı yapısı, karmaşık matematik problemlerinin çözümü olarak önerilmiş. DNA bilgisayarları ‘Hamiltonian Path Problem’ olarak adlandırılan ve DNA'nın yapısını kullanarak çözüm üreten bir sistem. Kombinasyon temelli problemleri seri olarak çözmeye çalışan geleneksel bir bilgisayarın, paralel olan DNA bilgisayarının hızına erişmesi teorik olarak mümkün olamaz.

DNA bilgisayarı, geleneksel silikon yapı bileşenleri yerine DNA ve moleküler biyoloji teknolojilerinden yararlanan yeni nesil bilgisayarlardır. Hacmi sadece 1 cm³ olan 1 gram DNA, canlılara dair 750 terabayt bilgi barındırabilir.

1996 ’da biyomedikal mühendis Theodore W. Berger , hippocampusun aktivitesini üretebilen, özel olarak tasarlanmış bir DNA çipi üretti. Şimdi ise mikro elektrodlarla bu çipi beyin hücrelerine (neuron ) bağlamayı hedefliyor. Berger, kendi kara kutusunu inşa ederek beyni kopya edebilmek ve hippocampusun her algısı karşılığında ürettiği cevabın kusursuz olarak aynısını üretebilmeye çalışıyor. Hippocampusun özel bir bölgesi olan ‘dentate gyrus’ dokusunun taklidi bu yolla yapılmış bulunuyor. Böylece beynin her bölümünün fonksiyonlarını yerine getirebilecek çiplerin yapılabileceği de kanıtlanmış oluyor. Bu yaklaşımı kullanarak gerçek nöronları ve gerçek beyin sistemlerini kurabilmeyi amaçlayan Berger’in ümidi sadece belleği ve öğrenmeyi değil, hareketi ve algıları yöneten beyin bölgelerini de çözümleyebilmek.

1997 ’de CALTECH ’te bir araştırma grubunun sonuçlanan araştırmalarının açıklanmasıyla, geliştirilen neurochip metodunun canlı beyin hücrelerine bağlanması başarıldı. Ayrıştırılan hippocampus hücresinin, yine in vitro olarak neurochipin bulunduğu ortama yerleştirilmesiyle ve beslenmesi için gerekli ortamın sağlanmasıyla, hücre dendritler ve akson geliştirdiğinde hemen yanındaki hücrenin akson ve dendirtleriyle elektrik bağlantısı kurup bilgi iletimini kurar. Bu gelişme neural networkler üzerine yapılan araştırmalarda çok önemli bir adımı belgeliyor.

İsrailli bilim adamları saniyede 330 trilyon işlem gerçekleştirebilen ve en hızlı PC'den 100 bin kat daha hızlı olan bir bilgisayar geliştirdiler. 2003' te  Weizmann Bilim Araştırma Enstitüsünde İsrailli bilim adamları, mikroskobik silikonlar yerine enzimlerden oluşan programlanabilir moleküler bir bilgisayar üretmişlerdi.

Bu sistemi zamanla geliştiren bilim adamları, tek bir DNA molekülü ile bir bilgisayarı çalıştırmayı başardılar. Bu yeni aygıtta, tek bir DNA molekülü bilgisayara ihtiyacı olan tüm yakıtı sağlıyor. DNA molekülü, hem işlem yapıyor hem de gerekli enerjiyi üretiyor. Geliştirilen mikroskobik bilgisayarın veri giriş çıkış kapıları ile yazılım ve donanımı tamamen, canlı organizmalardaki kodlanmış bilgiyi depolayan, DNA moleküllerinden oluşuyor. Yeni bilgisayarda veriler, DNA ipliğindeki molekül çiftleri tarafından temsil ediliyor ve doğal olarak oluşan 2 enzim, kodları okumak ve kopyalamak için  görev üstleniyor. Tüm DNA bilgisayarları bir tüpte toplandığında,  moleküler girdiler üzerinde, işlem yaparak gerekli çıktıları hesaplıyor.

DNA bilgisayarlarla birlikte hayatımıza, yeni şifre kavramlarıda girecek.Organik temelli şifreler.

Cenk Ceylan

http://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/gelecegin-bilgisayarlari-sifre-sistemleri-ve-kuantum-kriptoloji.html

Yazar ceyhun çamlı \\ tags: dna şifreleme, geleceğin bilgisayarları, kriptografi, kuantum şifreleme, şifreleme sistemleri

   Bu yazıda Microsoft’un yeni sunucu işletim sistemi Windows Server 2008 R2’nin temel güvenlik özellikleri incelenmiştir. Bu kapsamda sanallaştırma, kimlik yönetimi, web, depolama ve Windows 7 ile beraber kullanım konuları ele alınmıştır.

Microsoft’un yeni sunucu işletim sistemi Windows Server 2008 R2, 22 Ekim tarihinde yayınlandı. Kullanıcı bilgisayarları işletim sistemi versiyonu olarak Windows 7 ile uyumlu çalışabilen bu yeni işletim sistemi, Microsoft tarafından yayınlanan ilk sadece-64-bit çalışan işletim sistemi olarak yayınlandı. Bu yeni versiyonla beraber IIS 7.5 da yayınlanmış oldu. Şimdi Windows Server 2008 R2 ile birlikte gelen bazı önemli güvenlik özelliklerini konu bazında inceleyelim.

Sanallaştırma

Operasyonel güç ve güç tüketimini azaltmak amacıyla sunulan sanallaştırma teknolojisinde Windows Server 2008 R2 ile birlikte gelen yeni güvenlik özelliklerinden başlayalım. Tek başına kullanıldığında Hyper-V ile sunucu sanallaştırması gerçekleştirilirken, Virtual Desktop Infrastructure (VDI) ile beraber kullanıldığında hem sunucu hem istemci bilgisayar sanallaştırması gerçekleştirilebilmekte.

Uzak bağlantı servisinin RemoteApp’siyle sağlanan Presentation Virtualization teknolojisiyle de proseslerin I/O ve grafiklerden izole edilmesi ve bir uygulamanın bir lokasyondan çalıştırılıp başka bir lokasyondan kontrol edilmesi mümkün. Bu yeni işletim sistemiyle sanal datacenter’lar için güvenliğin en önemli parametrelerinden olan sürekliliğin arttırılması ve iyileştirilmesi planlanmış. Windows Server 2008 R2 ile birlikte gelen Hyper-V’deki geliştirilmiş Live Migration özelliğiyle, herhangi bir hizmetin çalışması kesilmeksizin sanal bir makinayı başka bir sanal makinaya aktarmak mümkün.

Kimlik Yönetimi

Windows Server 2008 R2 işletim sistemiyle kimlik yönetimi anlamında Active Directory Domain Services (ADDS) ve Active Directory Federated Services (ADFS) sunucu rollerinde önemli iyileştirmeler yapılmıştır. Bu yeni versiyonla beraber yeni bir forest functional level da tanımlanmış olup pek çok yeni özellik bu yeni functional level’ın olmasını zorunlu tutmaktadır.

Bunun yanı sıra aktif dizin sunucu rollerini tam anlamıyla yönetebilmek amacıyla PowerShell komutları geliştirilmiştir. Ayrıca aktif dizin sunucu rollerini izleme ve yönetebilme amacıyla System Center Manager 2007 Management Pack güncellenmiştir.

Güncellenmiş R2 forest functional level kullanımıyla beraber, silinmiş objelerin geri dönüşümünü sağlamak amacıyla geri dönüşüm kutusu özelliği gelmiştir. Böylece aktif dizinden bir obje yanlışlıkla silindiğinde geri dönüşüm kutusunu kullanarak bu objeyi geri yüklemek artık mümkün.

Artık etki alanına dahil edilecek bilgisayarların, ağa bağlı olmadan etki alanına dahil edilmeleri de offline domain join özelliği sayesinde mümkün. Böylece etki alanına dahil etme işi tamamen otomatize olacak. Domain adminlerin sadece bir XML dosyası hazırlamaları yeterli.

Servis hesaplarıyla ilgili Windows Server 2008 R2 işletim sisteminin getirdiği yenilik olarak şu söylenebilir: Herhangi bir servis hesabının şifresi değiştiğinde, managed servide account özelliği otomatik olarak o servis hesabını kullanan tüm servislerin şifrelerini güncelliyor.

Federated etki alanlarında kimlik doğrulaması yapan hesaplar için kimlik doğrulama politikalarını inşa edebilen ve ADFS’nin içerdiği yeni bir özellik olan authentication assurance ile akıllı kartlar gibi gelişmiş kimlik doğrulama senaryoları kurmak mümkün.

Web

Windows Server 2008 R2 işletim sistemiyle beraber IIS 7.5 versiyonu da yayınlandı. Artık Windows PowerShell Provider for IIS kullanarak IIS ile ilgili yönetimsel görevleri ve IIS konfigürasyonu yapmak mümkün.

IIS 7.5 ile yeni gelen Configuration Logging özelliği ile gelişmiş IIS değişiklikleri ve uygulama konfigürasyonu denetimi yapmak, böylece test ve üretim ortamındaki konfigürasyon değişikliklerini izleyebilmek mümkün kılınıyor. Bu özellik sayesinde hem okuma hem yazmaları, logon girişimlerini ve dosya oluşturma işlemlerini loglayabilmek mümkün.

Her IIS 7.5 application pool’u artık tek ve daha az haklara sahip kimliklerle çalışacak. Bu özellik sayesinde de uygulamaların ve servislerin güvenlik özelliklerini sıkılaştırmak mümkün olacak.

Depolama

Windows Server 2008 R2 işletim sistemiyle beraber depolama çözümleriyle ilgili performans, süreklilik ve yönetilebilirlik açısından pek çok iyileştirme sunulmuştur. R2 sayesinde artık depolama ortamına daha az işlemci tüketimiyle ve wire speed ile (teorik olarak kablonun ya da diğer iletim ortamlarının sağladığı maksimum veri aktarım hızı) erişebilmek mümkün.  Ayrıca artık depolama alanınıza 32’ye kadar farklı yolu tanımlayıp yük dengelemesi politikaları ile depolama çözümünüzün performansını optimize edebiliyorsunuz.

Eğer sunucularınız ve depolama alanınız arasında birden fazla yol varsa ve eğer birincil yolun kullanılması başarısız oluyorsa, Windows Server 2008 R2 işletim sistemi alternatif bir yolu kullanabilir. Ayrıca yük dengeleme politikalarını konfigüre ederek failover priority de belirlenebiliyor.

Bunun yanı sıra R2, depolamayla ilgili konfigürasyon snapshotlarını alabilmenizi ve konfigürasyon değişikliğinde herhangi bir sorunla karşılaştığınızda mevcut snapshotlardan geri dönüş yapabilmenizi sağlıyor, böylece depolama sürekliliği anlamında önemli bir adım atmış oluyor.

Ayrıca bir diski hatalara karşı aramak için kullanılan ya da bilgisayarı düzgün kapatmadığımızda devreye giren Chkdsk’nin performansı, R2’de işletim sisteminin daha hızlı ayağa kalkmasını sağlayacak şekilde optimize edilmiş.

Windows 7 ile Beraber Kullanım

Windows Server 2008 R2 işletim sisteminin, Windows 7’yi kullanan istemci bilgisayarına özgü pek çok özelliği de bulunmakta. Sadece ve sadece Windows Server 2008 R2 ve Windows 7’nin beraber kullanılmasıyla gelen bazı güvenlik özelliklerini aşağıda sıralıyorum:

DirectAccess özelliği sayesinde basitleştirilmiş uzak bağlantı

Presentation Virtualization özelliğini kullanarak daha güvenli uzak bağlantı

BranchCache özelliği sayesinde uzak ofisler için iyileştirilmiş performans

Agile VPN özelliği sayesinde siteler arası daha yüksek hata toleranslı bağlantılar

Bitlocker To Go şifreleme özelliği sayesinde çıkarılabilir sürücüler için geliştirilmiş koruma

Offline Folders özelliği sayesinde mobil kullanıcılar için geliştirilmiş veri kaybı engellemesi

Bu konuda daha detaylı bilgi için Windows 7 İşletim Sistemi Güvenlik Özellikleri-1 isimli makaleme bakabilirsiniz.

Sonuç

Windows 7 işletim sistemiyle beraber gelen ve yalnızca R2 ile birlikte çalışabilen güvenlik özelliklerini de göz önünde bulundurarak, istemci ve sunucu olarak Windows işletim sistemleri kullanan askeri, kamu ya da özel tüm kurumların, ortamlarında bulunan sunucuları Windows Server 2008

 http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/windows-server-2008-r2-isletim-sistemi-guvenlik-ozellikleri.html

Tolga MATARACIOĞLU     

Yazar ceyhun çamlı \\ tags: hyper v, iis 7.5, powershel 2.0, windows server 2008 r2