Veri merkezi katmanlı güvenlik tasarımı ile etkin olay analizi ve yönetimi

Abstract

Bilgisayar iletişim ve ağ teknolojilerinin gelişmesiyle birlikte siber saldırıların da çeşitliliği artmış ve farklı güvenlik problemleri ortaya çıkmıştır. Bu problemlere karşı bilgi güvenliği kavramının önemi daha da artmıştır. Bilginin güvenliğini sağlamak amacıyla kurumlar çeşitli güvenlik ürünleri kullanmaktadırlar. Kurumlarda kullanılan güvenlik ürünlerinin amacı, bilginin işlenirken, taşınırken veya depolanırken yetkisiz erişimlere karşı gizliliğini sağlamak, bozulmasını, değiştirilmesini veya silinmesine karşı bütünlüğünü korumak ve ihtiyaç duyulan sürede istenilen bilgiye ulaşabilmek, eksiksiz kullanabilmek için erişilebilirliği sağlamaktır. Güvenlik ürünleri, bir problem esnasında ( siber tehditler, hatalı yapılandırma değişiklikleri, sistem arızası vb. ) sorunun tespitinin sağlanabilmesi için, kullanıcıların erişimleri, sistem ve güvenlik olaylarını, yasal sebepler veya standartlara uyum sağlamak amacıyla kayıt altına almaktadırlar. Siber saldırıların çeşitliliğinin artması sebebiyle bu kayıtların tutulması günümüz için tek başına yeterli değildir. Siber olaylarla mücadele edebilmek, sistemler içerisinde anomali olayları tespit edebilmek, siber olay öncesi tedbir alabilmek için bu olay kayıtlarının (log) analiz edilebilmesi gerekmektedir. Kritik veri merkezleri bünyesinde kritik bilgilerin saklanması, işlenmesi ve korunması için birçok güvenlik (güvenlik duvarı, tehdit önleme sistemi vb.), ağ ( anahtar, yönlendirici vb.) ve uygulama (veritabanı, web sunucu vb. uygulama sunucuları) cihazları barındırmaktadır. Bu cihazlar her gün sayısız log üretmektedir. Eğer bu loglar merkezi bir noktada toplanmazsa yönetimi hem çok zor olacak hem de bir problem esnasında çözümün süresini uzatacaktır. Yalnızca logların toplanması elbette yeterli değildir. Her bir kaynaktan gelen logların, saldırı öncesi tespiti, sistem probleminin çözümü gibi durumlarda iyi analiz edilmesi gerekmektedir SIEM (Security Information and Event Management) ile birden çok kaynaktan gelen günlük veriler toplanarak ve bunlar analiz edilerek bir tehdide maruz kalındığında bilgi güvenliği yaklaşımına bütüncül bir bakış açısı kazandırılabilir. SIEM çözümlerinin korelasyon, raporlama, log toplama gibi yetenekleri sayesinde yasalara ve standartlara uyum sağlanması amacıyla loglar toplanmakta, sistemler içerisinde şüpheli davranışlar, siber saldırılar, sistem olayları kısacası BT (Bilgi Teknolojileri) bileşenlerinin nasıl bir tehditle karşı karşıya kaldığının anlaşılması sağlanmaktadır. Bu çalışmada SIEM ile kritik alt yapıya sahip veri merkezlerinde SIEM yönetiminde maksimum faydanın sağlanabilmesi amaçlanmıştır. Bu doğrultuda örnek güvenlik tasarımı ve önerileri, etkin korelasyonlar örnekleri, SIEM proje süreçlerinde dikkat edilmesi gibi konular ele alınmış olup, bir devlet kurumuna ait veri merkezi örnek uygulaması ile bu çalışma desteklenmiştir.

With the development of computer communication and network technologies, the variety of cyber attacks has increased and different security problems have emerged. Against these problems, the importance of the concept of information security has increased. Institutions use various security products to ensure the security of information. The purpose of the security products used in the institutions is to ensure the confidentiality of unauthorized access while the information is processed, transported or stored, to protect its integrity against corruption, alteration or deletion, and to provide accessibility in order to be able to access and use the required information in the required time. Security products record users' access, system and security incidents to comply with legal reasons or standards so that the problem can be detected during a problem (cyber threats, incorrect configuration changes, system failure, etc.). Keeping these records alone is not enough for today due to the increasing variety of cyber attacks. In order to combat cyber incidents, to detect anomaly events within systems, to take precautions before cyber incident, these event records (log) should be analyzed. Critical data centers contain many security (firewall, threat prevention system etc.), network (switch, router etc.) and application (database, web server etc. application servers) devices for storing, processing and protecting critical information. These devices produce numerous logs every day. If these logs are not collected at a central point, its management will be very difficult and will extend the duration of the solution during a problem. Collecting logs alone is of course not enough. Logs from each source should be analyzed well in situations such as pre-attack detection, solution of the system problem. With SIEM (Security Information and Event Management), when collecting daily data from multiple sources and analyzing them, a holistic perspective can be gained in the information security approach. Thanks to the capabilities of SIEM solutions such as correlation, reporting and log collection, logs are collected in order to comply with laws and standards, and it is provided to understand how threats, cyber attacks, system events, IT (Information Technologies) components face in systems. In this study, it is aimed to provide maximum benefit in SIEM management in data centers with critical infrastructure with SIEM. In this regard, topics such as sample security design and suggestions, examples of effective correlations, attention to SIEM project processes were addressed, and this study was supported by a government agency data center sample application.