Bu günlerde, çoğu büyük şirket ve birçok orta ölçekli şirket, tipik olarak veri saklama ve imha etme politikalarını içeren bir tür veri yönetimi programına sahiptir. Müşteri verilerine yönelik artan saldırılar ve ayrıca müşteri verilerinin korunmasını zorunlu kılan eyalet ve ulusal yasalar nedeniyle bir zorunluluk haline geldiler. “Her şeyi sonsuza kadar sakla” şeklindeki eski zihniyet, “Ona sahip değilseniz, onu ihlal edemezsiniz” şeklinde değişti.
Bazı açılardan, veri tutma ilkelerini yönetmek bulutta uygulamak hiç bu kadar kolay olmamıştı. Bulut satıcıları, verilerinizi belirli bir süre boyunca saklamak ve ardından yarı çevrimdışı soğuk dijital depolamaya veya doğrudan bit kovasına (silme) taşımak için genellikle kolay şablonlara ve tıklama kutusu ayarlarına sahiptir. Tıklayın, yapılandırın ve bir sonraki bilgi güvenliği önceliğine geçin.
Sil’e Tıklamanız Yeterli mi?
Ancak, bir süredir aklımda yanan garip bir soru soracağım. “Sil”i tıkladığınızda bu verilere gerçekte ne olur? bir bulut hizmetinde mi? Şirket içi donanım dünyasında, cevabı hepimiz biliyoruz; bulunduğu diskteki kaydı silinecektir. “Silinen” veriler, işletim sistemi görünümünden kaldırılmış olarak sabit sürücüde durur ve boşluk gerektiğinde üzerine yazılmayı bekliyor. Gerçekten silmek için, bitlerin üzerine rasgele sıfırlar ve birler yazmak için ekstra adımlar veya özel yazılımlar gerekir. Bazı durumlarda, silinen verilerin hayali elektronik izlerini gerçekten silmek için bunun birden çok kez yapılması gerekir.
Ayrıca, ABD hükümeti veya diğer düzenlenmiş kuruluşlarla iş yapıyorsanız, aşağıdakilere uymanız gerekebilir: Savunma Bakanlığı standardı 5220.22-MYükleniciler için veri imha gerekliliklerine ilişkin ayrıntıları içeren. Yönetmelikler tarafından zorunlu tutulmasa da bu uygulamalar yaygındır. İhlal durumunda artık ihtiyacınız olmayan verilerin size musallat olmasını istemezsiniz. Twitch oyun akışı hizmetinin ihlaliBilgisayar korsanlarının, neredeyse şirketin kuruluşuna kadar uzanan tüm verilerine – iyi ücretli akış müşterileri hakkındaki gelir ve diğer kişisel ayrıntılar da dahil olmak üzere – erişebildikleri, burada uyarıcı bir hikaye ve diğer raporlar son birkaç yılda terk edilmiş veya sahipsiz veri dosyalarının ihlali.
Doğrulamak için Erişim Eksikliği
Bu nedenle, şirket içi sunuculara kıyasla çoğu bulut hizmetinde politikaları ayarlamak ve yönetmek daha kolay olsa da, bunun DoD standardına uygun şekilde yapılmasını sağlamak bulut hizmetlerinde çok daha zor veya imkansızdır. Altta yatan donanıma fiziksel erişiminiz olmayan bir bulut altyapısında düşük düzeyli disk üzerine veri yazma işlemini nasıl yaparsınız? Yanıt şu ki, en azından bizim eskiden yaptığımız şekilde – yazılım yardımcı programları veya fiziksel disk sürücüsünün tamamen imha edilmesiyle – yapamazsınız. AWS, Azure veya Google Bulut Hizmetleri, ayrı donanımlarda çalışan özel örneklerinde bile bunu yapan herhangi bir seçenek veya hizmet sunmaz. Bunu yapmak için gereken erişim düzeyine sahip değilsiniz.
Başlıca hizmetlere erişim ya göz ardı edildi ya da verilerinizi nasıl koruduklarına dair genel ifadelerle yanıtlandı. AWS veya Azure gibi bir bulut hizmetinde “serbest bırakılan” verilere ne olur?? Dizinlenmemiş ve üzerine yazılmayı bekleyen bir diskte mi oturuyor, yoksa hizmetteki kullanılabilir depolamaya geri gönderilmeden önce kullanılamaz hale getirmek için bir tür “bit blender”dan mı geçiriliyor? Bu noktada kimse bilmiyor veya kayıtlara geçmeye istekli görünmüyor.
Yeni Gerçekliğe Uyum Sağlayın
geliştirmeliyiz DoD standartlarını karşılayan bulut uyumlu bir imha yöntemi yoksa rol yapmayı bırakıp standartlarımızı bu yeni gerçekliğe göre ayarlamalıyız.
Belki de bulut sağlayıcıları, yalnızca temeldeki donanıma doğrudan erişime sahip olduklarından, bu yeteneği sağlamak için bir hizmet bulabilirler. Ücretlendirilecek yeni hizmetler icat etmekten hiçbir zaman çekinmediler ve uygun imha sertifikaları sağlanmışsa, pek çok şirket kesinlikle böyle bir hizmet için ödeme yapmaya istekli olacaktır. Sertifikalı fiziksel imha hizmetleri sağlayan bazı şirketler tarafından alınan ücretlerden muhtemelen daha ucuz olacaktır.
Amazon, Azure, Google ve herhangi bir büyük bulut hizmetinin (hizmet olarak yazılım sağlayıcıları bile) bu sorunları şaşırtma ve pazarlama konuşmalarıyla değil, gerçek yanıtlarla ele alması gerekir. O zamana kadar, zeki bir bilgisayar korsanının bu yetim verilere nasıl erişeceğini henüz çözmediyse bile çözmemesi için dua ederek sadece rol yapıyor ve umut ediyor olacağız. Her iki durumda da, bulut verilerinin yok edilmesiyle ilgili zor soruların sorulması ve yanıtlanması gerekirer ya da geç.