Bugün Cloud hizmeti veren DigitalOcean’dan aşağıdaki email’i aldım. Mail’de belirtilene göre geçen Cuma günü Amerika’da yaşanan DDoS saldırısında benim de sunucumun payı varmış. Sunucumu haber vermeden DOWN etmişler ve bu sayede sunucuda çalışan iki adet web portal’imde servis kesintisi yaşandı.
Tabii ki de DigitalOcean’in belirttiği durum ile sunucumun bir alakası bulunmamakta ve hizmet veren firma, düşünmeksizin CLOUD sunucuların fişlerini çekmiş.
Asıl gelmek istediğim konu şu: CLOUD vb. sistemler öyle uzman olmayan kişilerin eline verilirse her türlü sonuç çıkabilir. Bu durum şuna benziyor: Çok iyi bir silah ürettim ve ismi CLOUD, sonrasında bu silahı çocuğun eline veriyorsunuz kullanması için. Fikrimce geçen hafta yaşanan durum bundan ibaret olabilir…
Şöyle ki, operasyon teknolojileri ve canlı sistemler desteği verirken birçok Junior arkadaşıma öğrenmesi için görev verirdim. Lokal bilgisayarında bir websitesi host edeceksin ve JMETER (http://jmeter.apache.org/) kullanarak verdiğim local siteye saldırıda bulunup sistemi aşağı indireceksin. Çok da kolay bir şekilde bunu yapıp şaşırıyorlardı. Bir defasında bir çalışma arkadaşım, yazdığı script’i çalıştığı kurumun web sayfasına uyguladı ve ilgili web sitesi hizmet dışı kaldı ve devamında manuel insan müdahelesi ile ilgili web portali tekrar çalışır hale getirilmişti. Yani ilgili kişi elindeki silahı ne amaçla ve ne için kullanması gerektiğini bilmeli.
CLOUD sistemlerin henüz oturmadığını özellikle güvenlik anlamında ciddi zafiyetler yaşadığı aşikar. Benim yaşadığım tecrübeler; habersiz sistemin birden kapatılması, yedekli olmasına rağmen ve farklı ülkelerin veri merkezlerinde aktif-aktif ayarlanmasına rağmen iki sunucumun da aynı anda down olması, sürekli geçilen patch’ler için kesinti talebinde bulunulması… vb.
Bu sistemleri uzman olmayan ve etik bilmeyen kişilerin eline sorgusuzca ve sadece çalışan bir kredi kartının olması ile teslim ederseniz bu tarz durumlar her zaman yaşanacaktır. O bakımdan CLOUD dahi olsa, kritik sistemler her zaman işin ehline teslim edilmeli ve her türlü önlem alınmalıdır. Ben şahsen hizmet verdiğim kurumlarda, sistemleri kendimden dahi korumak için azami önem vermekteyim. Örneğin bütün güvenlik entegrasyonlarını mümkün olduğunca merkezileştirip lokal sistemlerde kullanıcı yönetimini bırakmamak gerekir.
Yaşadığım DigitalOcean tecrübesine dönersek, sistemi 30 dk gibi kısa bir sürede tekrardan Frankfurt’taki bir datacenter’da çalışır hale getirdim. Çünkü düzenli olarak ilgili sistemlerimin imajını Dropbox’a transfer etmekte idim, Dropbox’tan da düzenli olarak local PC’me SYNC olmakta. Local PC’imden aldığım snapshot’lar ile Linux, Redis, NodeJS, SQLlite, NginX altyapımı 30 dk’lık bir kesinti ile tekrar çalışır hale getirdim.
Son olarak, eğer gelen maili dikkatlice incelerseniz, CLOUD’da aslında kontrolün bizde olmadığını göreceksiniz. O bakımdan yedekliliğin ne kadar önem arzettiğini bir kez daha vurgulamak isterim. Cloud’a karşı değilim fakat uzmanlığı destekliyorum.
DDoS ataklar konusuna gelince; IoT, Cloud gibi sistemlerin altyapısı bir lise öğrencisine telefon teslim etmeye benzemez. O bakımdan altyapısı ve etik kültürü oturmamış uzman olmayan kişilere teslim edildikçe bu tarz olayları sıklıkla yaşayabiliriz. Bu konuda önlem almak yine yönetimlere düşüyor. Tabii yönetimlerin de alanlarında uzman olmaları şart; güvenli sistem oluşturacağım diye sistemleri kapalı tutmak gibi çözümlerden uzak durmak gerek 🙂
Saygılarımla…
