Bizim Güvenlik Yaklaşımımız

Güvenlik riskini minimuma düşürebilmek için, iyi planlanmış bir güvenlik gereklidir. Bizim güvenlik yaklaşımımız sisteme tehditlerin açık ve net tanımını yapılmasıyla başlıyor.

Güvenlik tehditleri, bir uygulamanın sahip olduğu arayüzünü kullanan kayda değer kullanıcısının dış dünyaya bağlanmasına müsade edildiği çeşitli noktaların oluşur. Örneğin müşterileriniz, bayileriniz, bizim personelimiz, ve internette dolaşan kullanıcılar ve 3.parti serverlar zamanın birinde bizim sistemler ile etkileşime geçerler. Bu aktorlerin herbiri farklı ulaşım seviyelerine ve farklı haklara ve izinlere sahiptir.

Güvenlik hedefleri

Özel Bilgi - Bizim altyapımız ve sistemimiz içindeki bilgiler sadece yetkili kişiler tarafından ulaşılabilen bilgilerdir.

Bütünlük - Bizim altyapımız altındaki veri ve bilgiler yetkisiz herhangi bir kullanıcıya teslim edilmez

Veri Koruma - Sistem içindeki verilere zarar verilemez, silinemez ve bozulamaz.

Kimlik tespiti ve belgelendirme - Sistemin herhangi bir kullanıcının taklidinin yaratılma şansını yok ettiğimize emin olabilirsiniz.

Network Servis Koruma - Network ekipmanlarının zararlı yoketme saldırılarına veya kesintisizliği azaltan ataklara karşı korunduğuna emin olabilirsiniz.

Bizim Güvenlik Modelimiz

Biz sağladığımız tüm servislerin güvenliğinden emin olmak için Güvenlik sistemlerimizi, güvenlik sistemi ekipmanları ¹, Güvenlik prosedürleri ve deneyimleri ² ve bilgilendirme işlemleri ³ den oluşturduk ve bu güvenliği değişik seviyeli işlem hareketlilikleri kontrol edebilecek şekilde 7 farklı seviyede oluşan bir güvenlik Platformuna dönüştürdük.

Bizim global Veri Merkezi ortaklığımız, karma çalışan işlemlerin bir sonucudur. Güvenlik ve ölçeklenebilirlilik bu çalışan işlemlerde en önemli iki değişkendir. Tüm Veri Merkezlerimiz gözlem altında tutan kamera, biometrik kilitler v.b.ekipmanlar ile donatılmıştır. Belgelendirmeye dayanan ulaşım tedbirleri, sınırlı veri merkezi ulaşım, güvenlik personeli, ve benzer standartlarda güvenlik ekipmanları, işlemler ve operasyonlar. Bizi diğerlerinden ne ayırır gerçeği ise güvenlik doğrultusunda veri merkezlerinin kurumsal yapıya uygun olarak çalışmasını sağlamamızdır. Bunun ölçüsü olarak güvenlik araştırmaları ve çalışmaları için veri merkezlerinde geçen süre, müşteri geri besleme bilgileri ve başarı hikayeleri ve geçmiş çalışmalarımızın değerlendirilmesidir.

Bizim global altyapı geliştirmelerimiz, atak tespit sistemleri, ve güvenlik duvarları sadece bir günde bile 3 kere DDOS ataklarına ve çökeltme operasyonları yaşayabiliyor.

Servisleri yoketme amaçlı saldırılara karşı korunma (DDoS)
Servisleri yoketme amaçlı saldırılar, sanal krizden dolayı finansal kayıpların en üstte tutmayı amaçlayan saldırılarıdır. Servisleri yoketme amaçlı saldırıların amacı websitenizin, email veya web uygulamanızın operasyonunu durdurarak iş faaliyetlerinizi durdurmak yada yoketmektir. Bu bandgenişliği, işlemci veya bellek gibi anahtar kaynakların aşırı yüklenmesini bu şekilde network veya serverların çalışılabilirliğini azaltılmasını veya yokedilmesini amaçlar. Bu tür hareketlere neden olan kavram zorla alma isteği, böbürlenme yada politik ifadeler veyahutta bu camiadaki zararlı yarıştır. Sanal olarak tüm organizasyonlar internete bağlanırlar. İnternet bu ataklarla dolu bir dünyadır. İnternetteki bu devasa olarak adlandırılabilecek DoS ataklarının işimize yaptığı darbe ise kazancımızı kaybettirmektir, müşteri memnuniyetsizliğidir ve üretkenlik kayıpları ve benzeridir. Kimi zaman bir DoS atağın size zararı faturalarınızda görebileceğiniz devasa bandgenişliğinden kaynaklanan limit aşımlarıdır.

Servisleri yoketme amaçlı saldırılara karşı koruma sistemimiz Sizin internet ile yüzleşen altyapılarımızda DoS ve DDoS ataklarına karşı rakipsiz koruma sağlar. yani websitenize, email sisteminize Teknolojimiz atak başladığı gibi devreye girer. DDoS koruyucularımız sadece istediğimiz trafiğin içeriye girmesini sağlar diğerlerini bloklarız. Bu sistemler sizin kendi işinize odaklanmanızı sağlar. geçmişte 300+ Mbps lerde bazı firmaların saldırılara mahruz kaldığı bilinmektedir.

Güvenlik duvarı koruması
Bizim güvenliğimizin ilk hattı güvenlik duvarlarıdır. Yetkisiz network ulaşımlarını engelleyerek website, email ve web uygulamalarınız, verinizin korunabilmesi için ileri düzey atak tespit sistemleri kullanır. Bu cihazlar verilerinizi tutan serverlar ile işin gereği güvenliğin sağlanması gerekli olan internek arasında bağlantıyı korur.

Network Atak tespit sistemleri
Bizim Network Atak tespit sistemleri, hedefli ataklara karşı, trafik anormalliklerine karşı, bilinmeyen solucanlara karşı, ajanlara karşı, network viruslerine karşı hızlı, düzenbaz uygulamalara karşı, sıfır gün kahramanlıklarına karşı doğru ve etkili koruma sağlarlar. Sistem ultramodern yüksek performansta netwok işlemcileri ile her pakette binlerce çeki eşzamanlı gerçekleştirir. Paketler bizim sistemimize geçer iken, Onlar geçmesi gerekenler mi zararlılar mı komple tetkik edilerek karar verilir. Bu anlık koruma zararlı atakların istedikleri hedeflerine ulaşmamaları için en etkili korumadır.

Donanım standartı yüksek düzeyde güvenlik standardı sağlamak ve kalite desteğini alabilmek için ürünlerimizi belirlediğimiz donanım imalatçılarından alırız. Cisco, Juniper, HP, Dell v.b. bu markalar bizim altyapımız ve verimerkezi ortaklarımızın çoğunun kullandığı markalardır.

Host Tabanlı Atak tespit sistemleri
Güvenlik duvarları gibi port engelleyici çevre savunma sistemleri sayesinde kurumlar kendi Host tabanlı atak tespit sistemlerini (HIDS) kurabiliyorlar. Ve bunlar sayesinde mevcut sistemin takibi ve analizine odaklanabilirler. Bizim Host-tabanlı atak tespit sistemimiz sistem veya konfigürasyon dosyalarında oluşan değişiklikleri tespit ve bulmamıza yardımcı olur - kaza ile mi oldu, tahrif eden zararlı bir saldırımı, veya dış saldırımı - mevcut tarayıcılar incelenerek, host log bilgilerine bakılarak, ve sistem faaliyetlerine incelenerek tespiti yapılır. Potensiyel zararın riskini azaltma şansını yakalamak, ve sorunları gidermek ve kayıplar var ise geri kazanmak, bundan dolayı komple darbeyi azaltmak ve sistemin mevcudiyetini korumak ve güvenliği iyileştirmek.

Bizim uygulamalarımız myriad server yazılımları ile yazılmış olup myriad systemlerde çalışırlar. versiyonları Apache, IIS, Resin, Tomcat, Postgres, MySQL, MSSQL, Qmail, Sendmail, Proftpd v.b. olan Linux, BSD, Windows işletim sistemlerini kullanan sistemlerdir.

güncelemelerin zamanında yapılması, Bugları sabitleme ve Güvenlik yamaları
Tüm serverlar mümkün olan en kısa zamanda yeni korunmasızlıkların ilk çıktığı anda ve en son güvenlik yamaları ile hazır olması için otomatik güncelleştirmelere kayıtlıdır. Bilinen korunmasızlık konfigurasyon hatalarının sonucu oluşan ataklar sayısı gerçekten çok fazladır. CERT'!e göre, sistemler ve networkler yayınlandığı vakit yamaların uygulanmamısından kaynaklanan bir sürü problemli vaka vardır.

Biz yamaların ve güncelleme yönetimlerinin güçünü çok iyi kavramışızdır. İşletim sistemleri ve server yazılımları daha kompleks hale gelir iken, her yeni iyileştirme güvenlik açıklıkları ile gelmektedir. Nerede ise günlük olarak bu yeni iyileştirmelerin yeni güvenlik tedbirleri için güncelemeler çıkmaktadır. Biz bizim sistemimizin her zaman ayakta kalabilmesi için güvenilir bilgilendirme ve raporlama ortamını oluşturduk ve uyguluyoruz.

Periodik Güvenlik Taraması
Sık kontroller herhangi bir serverin herhangi bir korunmasızlığı varmı diye karar vermek için kurumsal güvenlik yazılımımız çalışır. Bu serverlar bilinen korunmasızlıklar veritabanlarına ulaşarak taranırlar. Bu bizim bir atak oluşmadan önce tespit edilmiş güvenlik açıkları yada korunmazlıklara karşı işimize devam etmemize emin olmamızı sağlamaktadır.

Önceden güncelleme test işlemleri
Yazılım güncelemeleri yazılım sağlayıcıları tarafından sık sık yayınlanırlar Herbir sağlayıcı kendi test işlemlerini herhangi bir güncelleme yayınlanmadan önce gerçekleştirir. Onlar farklı yazılımlar ile oluşabilecek problemleri test etmezler. Örneğin yeni bir veritabanının yeni sürümü veritabanı sağlayıcısı tarafından test edilebilir. Ancak bunu uygulamanın FTP, Mail, Web Server ve diğer yazılımların kullanıldığı çalışan bi sistem üzerinde test edilmez. Bizim sistem yönetici takımımız bi dizi yazılım güncelelemelerinin analizini dokümente eder. Eğer bunlardan herhangi birinde yüksek risk algılanırsa, canlı ortama taşımadan önce beta test laboratuvarlarımızda bunları test ederler.

Bu platformda kullanılan tüm uygulama yazılımları bizim tarafımızdan yazılırlar. Biz geliştirme işlemini dışarıya vermeyiz. Herhangi bir 3. parti ürün veya componentin Mimarisi ve yorumlanması ile ilgili bilgi procedürlerden geçtikten sonra deneme ve testlerinden sonra bizim ekibimiz tarafından transfer edilir. Bu da bize herhangi bir ürün hakkında tam kontrol sağlar. Tüm uygulamaların güvenliği üretim mühendisliği yöntemleri ile gerçekleştirilir. Her uygulama çeşitli parçalara ayrılır - Kullanıcı Arayüzü, API çekirdeği, Arka plan veritabanı v.b. İşlemlerin her aşamasında kendisine ait güvenlik çekleri yapılır. Tüm hassas veri encrypted formatta saklanır. Bizim mühendislik ve geliştirmelerimiz tüm uygulama yazılımları için en üst düzey güvenliği sağladığımıza emin olmamızı sağlar.

Bir güvenlik zincirindeki en zayıf halka güvendiğiniz insandır. Personnel, Bölüm şefi, Sağlayıcı, yada sisteminize ulaşabilen herhangi biri. Bizim güvenlik yaklaşımımız "İnsan Faktörünü" minimize etmeye dayalıdır. Bilgi sadece bilinene verilmesi gerekendir. Yetklendirme gereksinimlerinin sona ermesi durumunda yetkilendirilenlerin zararları söz konusudur.

Serverlarımızın herhangi birine yönetici olarak giriş yetkisine sahip olan herhangi bir kişi arka planda oldukça karmaşık bir çekten geçer. İşletmeler bunu atlayarak kendi müşterilerine ait önemli veri ve bilgileri riske alırlar. Üst düzey güvenlik çözümleri için yapılan yatırımların neye malolabileceğine bakmaksızın işlerini riske atmaktadırlar. En son nokta da yanlış bir ucun yada yanlış yetkilendirilmiş bir kişinin bir dış ataktan daha fazlasını yapabileceği unutulmamalı

Global olarak dağılmış serverlardaki muazzam gelişmelerden, bilgilendirme işlemlerinde işlem tekrarlamalarına ve disipline emin olmak gerekmektedir. Tüm serverler düzenli yamalanıyor mu? Tüm yedekleme programcıkları her zaman çalışıyormu? İstenilen yedekler istenildiği gibi alınıyormu? Tüm belirlenen referans çekler tüm personel için uygulanıyormu? güvenlik ekipmanları acaba düzenli alarmları gönderebiliyormu? Bu ve benzeri bir sürü soru düzenli olarak soruluyor ve görüşmeler yapılıyor atakla tespit ediliyor araştırılıyor araştırılıyor. Bizim bilgilendirme alarmları, sorun olan her ne ise dış kullanıcılarımız tarafından keşfedilmeden önce bizim güvenlik işlemlerimize takılıyor.