Günümüzde çoğu büyük şirket ve birçok orta ölçekli şirket, genellikle veri saklama ve imha politikalarını içeren bir tür veri yönetimi programına sahiptir. Müşteri verilerine yönelik saldırıların artması ve ayrıca müşteri verilerinin korunmasını zorunlu kılan eyalet ve ulusal yasalar nedeniyle bunlar bir zorunluluk haline geldi. “Her şeyi sonsuza kadar sakla” şeklindeki eski düşünce yapısı, “Eğer ona sahip değilsen, onu ihlal edemezsin” şeklinde değişti.
Bazı açılardan veri saklama politikalarını yönetmek, bulutta uygulamak hiç bu kadar kolay olmamıştı. Bulut satıcıları genellikle verilerinizi belirli bir süre boyunca saklamak ve ardından yarı çevrimdışı soğuk dijital depolamaya veya doğrudan bit kümesine (silme) taşımak için kolay şablonlara ve tıklama kutusu ayarlarına sahiptir. Sadece tıklayın, yapılandırın ve bir sonraki bilgi güvenliği önceliğine geçin.
Sadece Sil'e mi tıklayın?
Ancak bir süredir kafamı kurcalayan garip bir soru soracağım. "Sil"e tıkladığınızda bu verilere gerçekte ne olur? bir bulut hizmetinde mi? Şirket içi donanım dünyasında hepimiz cevabı biliyoruz; bulunduğu diskteki kaydı silinir. "Silinen" veriler hala sabit sürücüde duruyor, işletim sistemi görünümünden çıkıyor ve alana ihtiyaç duyulduğunda üzerine yazılmayı bekliyor. Bunu gerçekten silmek için, bitlerin üzerine rastgele sıfırlar ve birler yazmak için ekstra adımlara veya özel yazılıma ihtiyaç vardır. Bazı durumlarda, silinen verilerin hayalet elektronik izlerini gerçekten silmek için bunun birden çok kez yapılması gerekir.
ABD hükümeti veya diğer düzenlemeye tabi kuruluşlarla iş yapıyorsanız, aşağıdaki kurallara uymanız gerekebilir. Savunma Bakanlığı standardı 5220.22-MYüklenicilere yönelik veri imha gereksinimlerine ilişkin ayrıntıları içeren. Bu uygulamalar, mevzuatta zorunlu kılınmasa bile yaygındır. Artık ihtiyacınız olmayan verilerin bir ihlal durumunda sizi rahatsız etmek için geri gelmesini istemezsiniz. Twitch oyun akışı hizmetinin ihlaliBilgisayar korsanlarının, şirketin neredeyse kuruluşundan bu yana temel olarak tüm verilere (gelir ve iyi ücretli yayın yapan müşterilerinin diğer kişisel ayrıntıları da dahil olmak üzere) erişebildiği, diğer raporlarla birlikte burada uyarıcı bir hikaye. Son birkaç yılda terk edilmiş veya sahipsiz veri dosyalarının ihlali.
Doğrulamaya Erişim Eksikliği
Bu nedenle çoğu bulut hizmetinde politikaların belirlenmesi ve yönetilmesi şirket içi sunuculara göre daha kolay olsa da, bunun DoD standardına uygun şekilde yapılmasını sağlamak bulut hizmetlerinde çok daha zor veya imkansızdır. Temel donanıma fiziksel erişiminizin olmadığı bulut altyapısındaki verilerin üzerine düşük düzeyde disk üzerine yazma işlemini nasıl yaparsınız? Bunun cevabı, en azından bizim eskiden yaptığımız gibi, yazılım yardımcı programlarıyla veya fiziksel disk sürücüsünün tamamen yok edilmesiyle yapamayacağınızdır. AWS, Azure veya Google Bulut Hizmetleri, ayrı donanım üzerinde çalışan özel örneklerinde bile bunu yapan herhangi bir seçenek veya hizmet sunmamaktadır. Bunu yapmak için gereken erişim düzeyine sahip değilsiniz.
Büyük hizmetlere yapılan yardımlar ya göz ardı edildi ya da verilerinizi nasıl koruduklarına ilişkin genel ifadelerle yanıtlandı. AWS veya Azure gibi bir bulut hizmetinde "yayınlanan" verilere ne olur?? Basitçe bir disk üzerinde mi duruyor, dizine eklenmemiş ve üzerine yazılmayı mı bekliyor, yoksa hizmetteki kullanılabilir depolama alanına geri gönderilmeden önce onu kullanılamaz hale getirmek için bir tür "bit karıştırıcıdan" mı geçiriliyor? Bu noktada hiç kimse bunu bilmiyor veya kayıtlara geçmeye istekli görünmüyor.
Yeni Gerçekliğe Uyum Sağlayın
Bir geliştirmeliyiz Savunma Bakanlığı standartlarını karşılayan bulut uyumlu bir yıkım yapma yöntemi bulmalı ya da öyleymiş gibi davranmayı bırakıp standartlarımızı bu yeni gerçekliğe göre ayarlamalıyız.
Belki bulut sağlayıcıları bu özelliği sağlayacak bir hizmet bulabilirler çünkü temeldeki donanıma yalnızca kendilerinin doğrudan erişimi vardır. Ücret karşılığında yeni hizmetler icat etmekten hiçbir zaman çekinmediler ve eğer uygun imha sertifikaları sağlanmışsa, pek çok şirket kesinlikle böyle bir hizmet için ödeme yapmaya istekli olacaktır. Muhtemelen sertifikalı fiziksel imha hizmetleri sağlayan bazı şirketlerin talep ettiği ücretlerden daha ucuz olacaktır.
Amazon, Azure, Google ve herhangi bir büyük bulut hizmetinin (hizmet olarak yazılım sağlayıcıları bile) bu sorunları kafa karıştırıcı ve pazarlama söylemleriyle değil, gerçek yanıtlarla ele alması gerekiyor. O zamana kadar, sadece öyleymiş gibi davranacağız ve parlak bir bilgisayar korsanının bu yetim verilere nasıl erişeceğini henüz bulamadıysa bile bulmamasını umarak dua edeceğiz. Her iki durumda da Bulut veri imhasına ilişkin zor soruların sorulması ve yanıtlanması gerekiyor, er ya da geç.
