KVKK: Linux Sistemleri için Teknik İhtiyaçlar

kvkk-header

KVKK Kimler için geçerlidir?

Kişiler hakkında bilgi toplayıp bu kişisel bilgileri saklayan her kuruluş için KVKK geçerlidir. Türkiye de bulunan tüm kurumlar en azından bünyelerinde çalıştırdıkları personelleri hakkında kişisel verileri kaydetmektedir.

Kişilere hizmet veya ürünler sunduğunuzda ise müşterilerinizin kişisel verilerine sahip olur ve bunları veri tabanlarında kayıt altına alırsınız. Bu tür durumlarda hassas kişisel verileri korumak için ek önlemler almalısınız. Aşağıda KVKK kurallarına uyumlu olması gereken bazı şirketlere örnekler verebiliriz.

  • Arkadaşlık Siteleri
  • E-Ticaret Siteleri
  • Hosting Şirketleri
  • Alış-Veriş Siteleri
  • Web Mağazaları

görsel1

KVKK Teknik Uyumluluğu:

Bilgi Güvenliği, “gizlilik”, “bütünlük” ve “erişilebilirlik” olarak üç ana unsurdan oluşur. Her bir unsur bir diğerini besler ve bu sistem doğru kullanıldığında sürekli bilgi güvenliği sağlar. Bu üç ana unsur KVKK politikalarında belirtilen teknik uyumluluk çalışmalarınızda size yardımcı olacaktır.

Denetim ve Olaylar:

KVKK politikalarında önemli konulardan biri ihlallerle ilgilidir. Her kurumun ağı içerisinde büyük olasılıkla çok fazla zayıf bileşen bulunmaktadır. Korumaya çalıştığınız sistemin bir ihlal sonucunda alacağı hasarı düşünerek önlemler almalı ve hareket etmelisiniz. Olası ihlalleri belirleyebilmek için tüm kullanıcı ve network aktivitelerinin önceden kayıt altına alınması gerekmektedir. Çoğu LINUX işletim sistemi varsayılan ayarlar ile etkinleştirilir ve kullanılır. Ancak bazı durumlarda farklı konfigürasyonlar yapılması gerekebilir. Bu durum SSH üzerinden veya ayrıca kimlik doğrulama isteyen diğer tüm uygulamalar için geçerlidir.

Linux için uygulama ipuçları (Denetim ve Loglama):

Linux için “Linux Audit Framework” kullanmak ve şüpheli aktiviteleri izlemek,

Kayıt altına alınan günlük dosyalarının kullanılabilir halde olduğundan ve üçüncü şahıslar tarafından uzaktan silinemeyeceğini garantilemek,

Günlükleri inceleyebilmek ve yönetebilmek için merkezi bir yönetim ara birimi kullanmak.

Kullanılabilirlik ve Yedeklemeler:

Verilerin sürekli kullanılabilir ve çalışır halde olmaları için “High-Available” yazılım çözümlerini kullanmak gerekir. Bu çözüm verilerin işlenmesinde uzun süreli ve yüksek çalışma performansları için yardımcı olsa da verileri kendi başına korunması için tam olarak yeterli değildir.

Yedekleme sistemleri ise teknik açıdan daha farklı çalışır. Yedekleri güvenli şekilde oluşturup orijinal yedekler kadar iyi çalışabilir halde korumak gerekir. Bir sonraki aşama ise alınan yedeklemelerin şifreli olarak saklanmasıdır. Yedekleme verileri yalnızca yetkili ve erişim iznine sahip kişiler tarafından okunabilir olmalıdır.
Yedekleme işlemlerinde genelde gözden kaçırılan konu “geri yükleme” konusudur. Ve yine geri yükleme işlemleri yedekleme işlemleri kadar değerlidir. Yedeklerini aldığınız verileri periyodik bir şekilde test ederek çalışabilir durumda olduğundan emin olmalısınız. Otomatik yedekleme seçeneğini kullanmak alınan yedeklemelerin yüzde yüz çalışır halde olduğunu göstermez. Mutlaka periyodik şekilde denetleyerek yedeklemelerin çalışabilir olduğundan emin olmanız gerekir.

Ağ Filtreleme ve Güvenlik Duvarları:

Kurum içerisinde ki veri haberleşmesi mutlaka doğru adresleme ile gereken yerlere aktarılır halde olmalıdır. Birçok kurum hali hazırda güvenlik duvarı sistemleri kullanmaktadır. Ancak aynı network içerisinde ki haberleşme trafiği filtrelenmemektedir. Tek bir ağ bileşenindeki veri ihlali diğer ağ sistemlerinin de ihlal edilmesine sebep olacağından, bu durum ciddi bir risk oluşturmaktadır.

Linux sistemlerde “iptables” kullanımı veri akışını minimuma indirgemek için basit bir çözüm olabilir. Sadece sisteminizin ve ihtiyaçlarınıza bağlı olarak ulaşılabilecek servislere ve protokollere izin verin.

Ağ Filtreleme ve Güvenlik Duvarları için Öneriler:

  • Varsayılan olarak “REDDET” kullanın.
  • Güvenlik duvarını güncel tutun.
  • Güvenlik duvarı konfigürasyonlarını düzenli olarak denetime tabi tutun.
  • İstisna durumları düzgünce işaretleyin ve bir kontrol veya bitirme tarihi belirleyin.

image2

Yazılım Yamaları:

Gezegenimizde ki hemen hemen her yazılım paketinin kusurları vardır. Bu kusurların çoğu büyük bir güvenlik zafiyetine sebebiyet vermez. Hataların küçük bir yüzdesi kötüye kullanılabilecek güvenlik sorunlarının ortaya çıkmasına sebep olur. Neredeyse tüm Linux dağıtımlarının güvenlik yamalarını ve yazılımlarını sağlamanın bir yolu vardır.

İlk olarak güvenlik yamalarını test etmek ve dağıtmak için bir süreç hazırlamalısınız. Mümkün olabildiğince merkezi yönetime ve dağıtıma olanak sağlayan çözümler kullanmaya çalışın. Örnek olarak, Red Hat Satallite için RHEL, Ubuntu sistemler için Canonical Landspace.

Yazılım Yamaları için Öneriler:

  • Güvenlik yamalarını olabildiğince hızlı uygulayın
  • Test yazılımları için kademelendirme
  • Düzenli aralıklarla yazılımları çalıştırma

Veriler için “Soğuk Kahve” İlkesi:

Çoğu kişi bir fincan soğuk kahve içmekten hoşlanmaz. Bununla birlikte verilere gelince sürekli temkinli davranmaya ve yıllarca saklama alışkanlığına devam etme eğilimindeyiz. Soğuk kahveyi ısıtmamamız gerektiği gibi verileri de uzun süre saklamayın. Mümkün olduğunca hassas verilerin depolanma riskini azaltmalıyız. Örneğin, verileri tutmak için gerçek bir gereklilik kalmadığında bu verileri prosedüre uygun şekilde silin.

Verileri saklama süresi farklıdır ve temelde yapılan işin amacına dayanmalıdır. Örneğin, muhasebe verileri ve mali tablolar gibi düzenleyici ve önleyici nedenlerden dolayı muhafaza etmemiz gerekiyorsa bu süre biraz daha uzun tutulabilir. Adli bilişim amaçlı olarak gelen bazı veriler aylarca yararlı olabilir. Örneğin, günlük ve olay kayıtları gibi. Dolayısıyla veri türlerinin her biri için, cinsine bağlı olarak güvenli şekilde silinebileceği bir takvim oluşturun. Mümkün olduğunca bu tür verileri silin.

Ayrıca donanım ve depolama cihazlarını göz ardı etmeyin. Donanım ve depolama cihazları eski verileri içerebilir. Uygun şekilde silme adımları uygulanmalıdır. Çıkarılabilir, taşınabilir diskler ve depolama ortamındaki verilerde güvenli bir şekilde silinmelidir.

Parolalar:

Güçlü şifrelerin “welcome1” den daha iyi olduğunu biliyoruz. Yine de çoğu sistem ve yazılım zayıf parola seçmemize izin verir. Güçlü şifrelerin kullanılmasını sağlamak için “pam_cracklib” veya “pam-pwquality” gibi bir modül kullanın.

Güçlü parolaların yanı sıra iki faktörlü kimlik doğrulama metotlarını planlayın. Bu, kimliğinizi ispatlamak için 2 farklı kimlik doğrulama formuna ihtiyacınız olduğu anlamına gelir. İlki kullanıcı adınızın ve şifrenizin birleşimidir. İkincisi ise cep telefonunuzda üretilen bir parola olabilir. Google Authenticator PAM gibi bir sistemi kullanabilirsiniz. Bu sistem SSH ve diğer kimlik doğrulama yöntemleri ile birlikte kullanılabilir.

Linux sistemlerde başarısız birkaç giriş denemesinden sonra erişimi engellemek iyi bir fikirdir. Bu, şifre deneme saldırıları riskini azaltır.

Benzersiz Kullanıcı Kullanımı:

Sistem yönetimi için fonksiyonel hesaplar kullanmayın. Bunun yerine her yöneticiye kendi adlarına açılmış hesaplar verin. Bu denetime yardımcı olur ve kullanıcıların sistemi kullanırken daha dürüst davranmalarını sağlar. İnsanlar kendi adları üzerinden açılmış hesapları kullanırken daha dikkatli olma eğilimindedirler.

Güvenli Protokoller:

Günümüz sistem yönetiminde telnet ve diğer düz metin protokollerinin kullanımı önlenmelidir. SSH gibi daha güvenli alternatifleri kullanın. Mümkün olduğunca kullanılan her hizmete şifreleme ekleyin. Bunlar arasında en önemlilerinden biri e-postaları göndermek için kullanılan SMTP protokolüdür. Büyük e-posta barındırıcıları SMTP protokolleri için şifreleme özelliğini açtı. Ancak çoğu e-posta sunucuları varsayılan ayarları ile kullanılmakta ve SSL protokolü içermemektedir.

Kaynak: linux-audit.com