1. Ana Sayfa
  2. Microsoft Office 365
  3. OneDrive ve SharePoint Online’daki Verilerin Güvenliği

OneDrive ve SharePoint Online’daki Verilerin Güvenliği

082019_1634_OneDriveveS1.jpg

, kullanıcılara dosyalarını bulut ortamında depolama, farklı kişilerle ve farklı yetki seviyeleriyle paylaşma, yerine göre Office Online uygulamalarıyla düzenleme, internete bağlanılabilen hemen her yerden ve güvenle erişme olanağı sağlayan bir hizmet. SharePoint Online için ise en basit haliyle, OneDrive’ı da bir nevi alt kitaplık/site gibi bünyesinde bulunduran, dosya, içerik, bilgi ve hatta uygulama yönetimi ve paylaşımı hizmeti diyebiliriz. Global anlamda milyonlarca kullanıcının ve farklı ölçekteki organizasyonun kullandığı, büyük-küçük, hassas ve kritik verilerin depolanmasını sağlayan popüler ürünlerden bahsedilince, bu ürünlerin güvenliği de ciddi şekilde irdelenmesi gereken ve sorgulanan konuların başında geliyor.

Öncelikle, genel itibariyle bulut ile gerçekleşen veri trafiğindeki duruma kısaca değinelim. Microsoft, kullanıcı ve/veya şirket verileri lokal ortamlar ile bulut arasında akarken, bu verileri korumak üzere şifreleme yöntemlerine başvuruyor. Microsoft’un datacenter’ları, veri alışverişi için kendileriyle iletişime geçen client’larla haberleşirken, güçlü bir kimlik doğrulama, gizlilik ve bütünlük kontrolü sunan ve aynı zamanda “masquerade”, “man-in-the-middle”, “bucket brigade”, “rollback” ve “replay” gibi saldırılara karşı korumayı sağlamlaştıran (Transport Layer ) protokolü kullanılıyor. Bu haberleşmeler ve alışverişler sırasında ayrıca (Perfect Forward Secrecy) teknolojisi kullanılarak benzersiz (unique) anahtarlarla işlem yapılması sağlanıyor. Söz konusu şifreleme anahtarlarının, RSA tabanlı 2.048-bit uzunluğunda anahtarlar olduğunu da belirtmekte fayda var.

Konuya OneDrive ve SharePoint Online özelinde baktığımızda, farklı katmanlarda ve çok geniş ölçekte güvenlik önlemleriyle korunan bir ortam görüyoruz. Internet üzerinden OneDrive for Business ve SharePoint Online ile tüm iletişim, 2048-bit’lik anahtarlar kullanılarak ve /TLS bağlantılarıyla gerçekleşiyor. Buna ek olarak, kullanıcıların ve/veya organizasyonların dosyaları ve verileri, bulutta, yani Microsoft’un ilgili datacenter’larında, hem dosya hem disk seviyesinde şifreleniyor.


Resim-1

Microsoft, disk seviyesinde koruma için OneDrive ve SharePoint Online hizmeti genelinde datacenter’larında Drive Encryption‘ı dağıtmış durumda. Lokal ortamlardaki Windows tabanlı sistemlerde de verileri korumak için sıklıkla kullanılan BitLocker, disk üzerindeki tüm verileri şifreliyor. Dolayısıyla halihazırda fiziksel olarak yüksek güvenlik önlemleriyle korunan bu datacenter’lara inanılmaz ve öngörülemez bir saldırı olsa ve belli veriler çalınsa dahi; BitLocker, sistemden bu kullanıcı verilerine erişilmesine ve bunların kullanılmasına izin vermiyor.

Dosya seviyesinde ise, aynı kullanıcı verileri, boyutlarına göre ayrı yığınlar halinde ve daha küçük parçalara bölünüyor. “” da denilen bu yığınlar “blob” olarak “blob store”larda tutuluyor, her biri ayrı anahtarlarla şifreleniyor ve datacenter’da farklı Microsoft Azure Storage Container’lara (blob container) dağıtılıyor. Yığınları şifreleyen anahtarlar, ayrı bir “master key” ile kendilerini de şifreliyorlar. Ek olarak tüm bu anahtarlar sık aralıklarla yenilenip değiştiriliyorlar. Bu şifreleme işlemlerinin her aşamasında, 256-bit’lik anahtarlarla Advanced Encryption Standard (AES) kullanılıyor. Yığınlar (blob store), anahtarlar () ve bunları işleyip orijinal veriyi/dosyayı bir araya getirmek için kullanılan map’lerin bulunduğu içerik veritabanı (), fiziksel olarak birbirlerinden ayrı konumlarda tutuluyor. Bu farklı bileşenlerde tutulan hiçbir veri, tek başına kullanılabilir veya işlenebilir durumda olmuyor. Bu bileşenlerin tamamına erişilemediği sürece, yığınlara ulaşmak için anahtarları bulmak, anahtarların şifrelerini çözmek, anahtarları doğru yığınlarla eşleştirmek, yığınların şifrelerini çözmek, eşleşen yığınları tespit etmek ve gerekli bileşenleri bir araya getirip ana veriye ulaşmak gibi işlemler imkansız hale geliyor.

Microsoft datacenter’larındaki tüm cihazların, sürekli olarak güvenlik yamalarıyla ve anti-virüs imzalarıyla güncel tutulduğunu zaten biliyorsunuzdur veya en azından tahmin ediyorsunuzdur. Tüm bunlara ek olarak, Microsoft’ta “Kırmızı Ekip” (Red Team) ve “Mavi Ekip” (Blue Team) olarak adlandırılan ve tam zamanlı güvenlik çalışanlarından oluşan iki ekipten de bahsetmek lazım. Bu ekiplerin parçası olabilmek için sayısız test ve sınavdan geçmek gerekiyor. Ekiplerden “kırmızı” olanın görevi, son saldırı trendlerini ve yöntemlerini takip etmek ve hatta yenilerini geliştirmek, sistemdeki olası açıkları tespit edip siber atak simülasyonları gerçekleştirmek ve verilere sızmaya çalışmak. Aynı oluşumda yer alan ve yine tecrübeli güvenlik uzmanlarının meydana getirdiği “Mavi Ekip” ise, Kırmızı Ekibin denediği ve gerçekleştirdiği saldırıları, simülasyonları savuşturup önlemek, olası açıkları tespit edip kapatmak ve hem kalıcı hem önleyici çözümler için aksiyonlar almak gibi görevleri üstleniyor. Eğlenceli görünüyor, değil mi? Güvenliğe yönelik sayısız prosedür, taktik ve önlemin arasında bu örnek de Microsoft’un bu işi ne kadar ciddiye aldığının kanıtlarından biri.

Tüm bu kombinasyonlar ve güvenlik kontrol setlerinden yola çıkarak, SharePoint Online ve OneDrive’ın, arka planda son derece güçlü bir teknolojiyle sağlam bir güvenlik sunduğunu söyleyebiliriz. Bunu, OneDrive Admin Center ve SharePoint Admin Center üzerinden yönetilecek doğru paylaşım ve güvenlik ayarlarıyla, doğru kısıtlamalarla, Office 365 Security & Compliance Center üzerinden yürütülecek düzenli denetim (auditing) kontrolleriyle ve belki de en önemlisi, tüm kullanıcıların doğru şekilde eğitilip bilinçlendirilmesini sağlayacak politikalar geliştirerek desteklemeyi de kesinlikle ihmal etmemek gerekiyor.

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

TAGs: , office 365, onedrive, sharepoint, security, guvenlik, , ssl, tls, pfs, bitlocker, chunk, blob, blob store, key store, content database

Yorum Yap

Yazar Hakkında

Burak Varol, İstanbul'da doğup büyümüş ve tüm eğitim hayatına aynı şehirde devam etmiştir. Bilişim sektöründeki profesyonel kariyeri boyunca Metis, Microsoft Türkiye, PeakUp gibi önemli organizasyonlarda, teknik destek mühendisliği, bilişim danışmanlığı, forum ve içerik moderatörlüğü, mentorluk, ekip liderliği gibi farklı görevlerde başarıyla bulunmuştur. Çoğunluğu mesajlaşma hizmetlerine yönelik olmak üzere farklı Microsoft ürün ve hizmetlerini konu alan pek çok projede aktif rol almıştır. Çalışma hayatına, 10'dan fazla ülkede faaliyet gösteren Coca-Cola İçecek'te (CCI), Kıdemli Bulut Danışmanı olarak devam etmektedir. Genel olarak tüm Microsoft teknolojileriyle ilgilenmekle birlikte, asıl uzmanlık alanı bulut teknolojileri ve Microsoft Office 365 evrenidir ve "MCSA: Office 365" gibi birçok sertifikaya sahiptir.

Yorum Yap