Günümüzde “veri tabanı” kelimesi, neredeyse hepimiz tanıdık gelen bir kelime olmuştur. Wikipedia veri tabanı kelimesini “Yapılandırılmış bilgi veya verilerin depolandığı alanlardır.” şeklinde tanımlıyor.

Elimizde bir çok veriyi biriktirdiğimiz bir depo var. Bu depo büyük ya da küçük olabilir ancak içinde barındırdıkları bizim için önemlidir. Bize aittir…

İster küçük ister büyük bir veri deponuz olsun fark etmez. İçindeki bilgiyi korumak isteyebilirsiniz.

Buna bir örnek vermek gerekir ise, telefonlarımızdaki “kişi listesi” de bir veri tabanı kullanır. Yaptığımız aramaların bilgilerini tutar, kişiler hakkında ad, soyad, eposta ve elbette telefon numarasını barındırır.

İzniniz olmadan birinin size ait bilgileri görmesini ister miydiniz?

Cevabı muhtemelen hayır olacaktır. Peki bunun için ne yaparsınız?

Buna da cevabınız şifre koymak olabilir. Bir telefonda yapılabilecek en basit koruma, girişte şifre sormasını sağlamaktır. Bunun yanında biyometrik şifreler de son dönemde epeyce popüler. Parmak izleri, yüz tanıma sistemleri. Tüm bunlar cebimizde taşıdığımız cihazda mevcut.

Peki siz uyurken birinin telefonunuzu yüzünüze tutarak yüz tanımayı etkinleştirdiğini ve bilgilere ulaştığını düşünün. Neden olmasın?

Telefonuna, banka kartına, 1111 olarak şifre koyan çok kişi var. Siz uyurken parmak izinizi telefona okutsalar belki de ruhunuz duymayacak…

Buna benzer senaryolar sadece telefonlarda değil milyon dolarlık sunucularda da yaşanıyor.

Basit şifreler, kontrolsüz ve geniş yetkilendirmeler. Sosyal mühendisliği de işin içine kattığımızda bir çok kişi görmesi gerektiğinden fazla bilgiye erişebiliyor.

Erişsin, yetkili kullanıcı sonuçta ne olacak ki? Demek ile olmuyor maalesef. Günümüzde adına regülasyon dediğimiz bazı kural ve kaideler mevcut. Şirketler tabi oldukları bu kurallara uymazlarsa hatırı sayılır büyüklükte cezalar ödemektedirler. Bunu sadece maddi değil aynı zamanda itibar kaybı gibi daha zedeleyici zararları olabiliyor. Kurumsal kimliğin zedelenmesi elbette istenmeyen bir durumdur. Ancak sadece istememekle olacak bir şey de değil. Sıkı önlemler almak gerekli.

Veri ihlali, şirket yöneticilerin en büyük kabusu durumunda diyebiliriz. Haberiniz bile yokken birileri verilerinizi oradan oraya saçıyor olabilir. Bir de özel nitelikli veri var ki dokunanın elini yakar! Kişisel bilgiler, şifreler, maaşlar, yazışmalar bu liste böyle uzar gider.

Veri tabanı ve içerisindeki bilgilerin önemini biraz vurgulayabildiysem, şimdi esas konumuza gelebiliriz.

Hassas verileri nasıl denetleyeceğiz ve nasıl koruyacağız?

Veri tabanı güvenlik duvarı adı altında bir çok firmanın geliştirdiği çeşitli ürünler mevcut. Biz burada IBM’in geliştirdiği Guardium Data Protection hakkında konuşacağız.

IBM, güvenliğin çok çeşitli kulvarlarında ürünlerini kullanıcılara sunmakta. Bunlardan biri de veri tabanı güvenlik ürünü Guardium’dur.

Guardium topolojisinde toplayıcı “appliance” cihazlar bulunmaktadır. Bunun yanında merkezi yönetimi sağlayan bir appliance (Central Manager) ile de tüm bu toplayıcıların bir arada yönetimi sağlanmaktadır. Aggregator denen ana toplayıcı ve ona bağlı Collector denen daha küçük toplayıcılar ile sistem en basit anlamda bir araya gelerek çalışmaktadır.

Veri tabanı sunucuları Collector dediğimiz küçük toplayıcılara bağlanmaktadırlar. Guardium, On-Prem sistemlerde ajanlı, Cloud sistemlerde ajansız şekilde kullanılabilir. Guardium onlarca çeşit veri tabanını desteklemektedir. Ayrıca bir çok işletim sistemine de desteği bulunmaktadır.

Guardium appliance’ları fiziksel olabileceği gibi günümüzde daha çok tercih edilen sanal appliance şeklinde konumlandırılabilir.

Sistem, bir güvenlik duvarı gibi, kurallar ile çalışmaktadır. Genel kanının aksine, ürün bir log alma ürünü değil denetim ürünüdür. Yani ben her şeyi alayım içinden ayıklarım mantığı Guardium için hatalı bir düşüncedir. Bir diğer yanlış anlaşılan durum ise, uygulama loglarının Guardium üzerinde toplanmak istenmesidir. Evet uygulama veri tabanına erişip işlem yapıyor. Siz kullanıcıya yetki vermişsiniz ki o işlemi yapabiliyor. Bizim Guardium ile istediğimiz sonuç, yapılmaması gereken veri erişimi ve manipülasyonları denetlemektir. Unutulmamalıdır ki uygulama işlemleri, uygulamada loglanır.

Yazdığımız kurallar ile, hassas verilerimize kimin, nasıl ve ne zaman eriştiğini kayıt altında tutabilirsiniz. DML, DDL, DCL gibi veri tabanı işlemlerini, daha birçok koşul ile kullanarak takip edebilirsiniz.

Veri tabanı yöneticilerinin neler yaptığını gözlemleyebiliriz. Ayrıca merkezi yönetim sunucusundan, bağlı tüm veri tabanları için risk analizi yapabil irsiniz.

Risk analizi, makine öğrenimi ile sisteme gelen logları işleyerek, “şu işleme bir bak veri kaçağı olabilir”, “mesai saati dışında çok hareket olmuş bu normal mi?” gibi uyarılarıyla gözünüzün sistem üzerinde olmasını sağlar. Bunun yanı sıra hatalı giriş denemeleri gibi işlemleri de kontrol eder. Böylece çalınan bir şifre ile giriş denemesi mi yapılıyor? Veya bir yerde unutulan bir kullanıcı mı kalmış görmek daha kolay oluyor.

Guardium aynı zamanda bir güvenlik duvarı gibi de çalışarak açılan oturumları bloklayabilir veya karantinaya alabilir. Yapılmak istenen işlem ile ilgili kural yazmak yeterlidir.

Örnek vermek gerekir ise, kredi kartı tablosunun sadece kart numarası alanına atılacak bir sorgu olursa bu işlemi blokla diye kural yazmak mümkün. Benzer işleme zaman kotası koyarak, ihlali gerçekleştiren oturumun belirli bir süre ile sisteme erişmesi engellenebilir.

Veri keşfi ile veri tabanı içerisinde tarama imkanınız var. “TC kimlik No regex’ine uygun tabloları bul” diyerek nerede ne varmış keşfetmek ve bunu sınıflandırma işlemini kolayca yapabilirsiniz.

Anormallik algılama sisteminizi oluşturabilir, gerçek zamanlı bunu alarmlar ile kullanabilirsiniz. Örneğin, herhangi bir veri tabanı tablosuna 1000 satırdan fazla sonuç döndürecek bir sorgu gönderilirse alarm oluşsun şeklinde bir kural ile olası veri kaçaklarının önüne geçebilirsiniz.

Burada özet şeklinde bahsettiğim özellikler buz dağının görünen yüzü diyebiliriz. Guardium daha pek çok faydalı özelliği ile veri tabanı denetiminde olmazsa olmaz ürünlerde başı çekmektedir. Bu tarz ürünleri seçerken dikkat edilmesi gereken en önemli faktörlerden birisi de “destek” dir. İhtiyacınız olduğunda IBM destek ekibi uzman kadrosu ile çok kısa sürede sorularınıza cevap verebilmektedir. Bu da Guardium’u rakiplerine göre biraz daha ön plana çıkartmaktadır.

Günümüzde, KVKK ile hayatımıza giren regülasyonları karşılamak adına, veri tabanı denetimi ve güvenliği için “IBM Guardium Data Protection” en performanslı ürün olarak tercihlerimiz arasında yer almaktadır.

Seyhan Tekelioğlu

Kaynak