Bilgi işlem ortamı sunan bulut için güvenlik düzenekleri

Abstract

Tez çalışmalarına bilgiişlem ortamı sunan bulutlara güvenlik düzenekleri oluşturmak için başlanmıştır. Düzeneklerin oluşturulması sırasında bir bütünlük içinde bilgiişlem ortamı sunan bulutların farklı güvenlik sorunları belirlenerek ve irdelenerek her birine çözüm sunulur. Günümüzde sık kullanılan bilgiişlem ortamı sunan bulutların güvenlik gereksinimlerinin giderilmesine yönelik girişimle teze başlanır. Kurulu bilgiişlem ortamı sunan bulutlar işlem gücünü çoğunlukla izlekler yoluyla sunar. Bu bulutlarda işlem yapanların verilerinin birbirine karışmaması için izleklerin yalıtımı güvenliğin temelini oluşturur. İzlek yalıtımı araştırılmış, yalıtımın sınırları gösterilmiştir. Yeni bir yaklaşımla işlem gücünü sunmada süreçlerin kullanılması önerilerek pek çok düzeneğin birlikte çalışabileceği bir tasarımla teze devam edilir. Sorunlar ve çözümler sıralanır. Yenilikçi yaklaşımlarla tasarım genişletilir. Süreçlerin bulutta güvenli çalıştırılmaları, yalıtımları, erişim kurallarının ve buluttaki kaynakların kullanımının yönetimi, bu sırada alınması gereken kriptolojik önlemleri bir arada içeren süreç kozaları tanıtılır. Bulutu kullanan tarafla bulutta hizmet sağlayan tarafın eşit sayılarak bulutta gerçekleşen olayların tarafsız ve yadsınamaz biçimde günlük kayıtlarına aktarıldığı, biçimsel olarak doğrulanmış bir düzenek tanıtılır ve bulutlarda önemli bir sorun oluşturan tek tarafın denetimindeki günlüklere bir seçenek oluşturur. Tezde, işlem gücünün süreçler yoluyla kullanıldığı bilgiişlem ortamı sunan bulutlara ağırlık verilmekle birlikte, bulut kavramıyla birlikte ortaya çıkan buluta özgü güvenlik tehditleri belirlenmiş; bunlara karşı yenilikçi önlemler geliştirilmiş; belirlenen tüm tehditleri bütünlük içinde önlemeye yönelik, olurluğu yüksek, kullanışlı "bilgiişlem ortamı sunan bulut için güvenlik düzenekleri" tasarlanmıştır. Tez, hem var olan ve kullanılan bilgiişlem ortamı sunan bulutlara yaptığı katkılarla hem de bilgiişlem ortamı sunan bulutların kullanımı üzerine getirdiği yeni öneriler ve bilimsel literatüre kattığı yenilikçi güvenlik düzeneği tasarımlarıyla bilgiişlem ortamı sunan bulutların güvenliği konusunda kapsamlı bir çalışmadır.

This doctoral study is aimed to design secure mechanisms for Platform-as-a-Service clouds. The thesis brings integrated solutions to the many aspects of the security problems of the Platform-as-a-Service clouds. The thesis starts with an attempt to fix the common security problems of concurrent Platform-as-a-Service clouds. Such clouds provide computational power by threads. Thread isolation is the main concern to not to interfere the data of the tenants. Thread isolation solutions are sought and its limits are shown. Then, the main proposition is made as utilization of processes instead of threads. A unified design integrating many security solutions is presented. Possible problems and solutions to these problems are enlisted. The design is enhanced with two novel mechanisms. The paradigm of secure execution and isolation of processes in the cloud as well as management of access control and governance of permissions to the cloud resources are integrated through cryptologic mechanisms. Also, a fair, secure logging mechanism is introduced. In this mechanism occurred events are neutrally and undeniably recorded to logs; as an alternative to problematic conventional logging mechanisms in which only one of the parties is controlling the records. As conclusion, a paradigm shift is proposed from concurrent thread-based Platform-as-a-Service clouds to process-based ones; as the benefits of the latter is emphasized throughout the thesis. "Security mechanisms for Platform-as-a-Service cloud" that are aimed to feasibly and conveniently solve all defined problems in an integrated manner are designed. The thesis is comprehensive in the subject of Platform-as-a-Service with its contributions to its security.