e-Bank

ALT YAPI BİLEŞENLERİ

 1 Giriş
E-Banka , bankaların mümkün olabilen bütün hizmetlerinin müşteriler tarafından internet üzerinden eş zamanlı gerçekleştirilmesini sağlayan online platformdur. Bankacılık geleneksel anlamda da güvenliğin ve planlamanın yüksek dikkat ve titizlikle yürütüldüğü bir sektördür. İnternet üzerinden hizmet verilmeye başlanması ile birlikte bankanın bir cephesi daha dışarıya açılacaktır. Bu cephenin de en az fiziksel operasyonlar kadar müşterilere tatminkar bir güvenlik hissi vermesi gerekmektedir. Bununla ilgili PCI(Payment Card Industries) belirli kıstaslar tanımlamıştır. Bu taslak çalışmasında PCI perimetreleri değil, sistem altyapısının iş sürekliliği ve güvenliği ile ilgili temel bileşenlerinden bahsedilmiştir. Dökümanda alt yapının hassas noktalarının haritasını ve bunlarla ilgili güvenlik önerilerini bulabilirsiniz.

2 Teknik Yapı
E-Banka ’in sunacağı hizmetlerin temeli olan teknik alt yapı bir kaç farklı alanda ele alınmıştır.

2.1 Ağ Alt Yapısı
Kurulacak sistemlerin komünikasyonunun üzerinden geçeceği ve internete taşınacak olan iletişim omurgasıdır.

2.1.1 Yük Dengeleyici
Ağ üzerindeki sunuculara gelen trafik ve talepleri etkili şekilde uygun olan sunuculara yönlendirerek yük dağılımı yapan ve hizmet kesintisi riskini azaltan aktif ağ cihazıdır. Bu alanda kullanılabilecek iki adet üreticiye ait ürün mevcuttur. Burada önerilen, uygulama sunucularının önünde uygulama anahtarlama ve bağlantı yükü dengeleme için iki adet aktif-aktif çalışan Radware AppDirector yük
dengeleme ürünüdür.

2.1.2 Güvenlik Duvarı
Ağ üzerindeki cihazların internete çıkışının, internet üzerinden gelen trafiğin ağa girişinin, ağ üzerindeki cihazların birbirleriyle iletişiminin yetkilendirilmesi, kısıtlanması ve tehditlerin minimuma indirilmesi için yanlış kullanımdan kaynaklanan olayları veya art niyetle yapılan saldırıları engelleyen aktif cihazdır. Bu alanda kullanılabilecek ürünler, Checkpoint, Juniper, Cisco, Fortinet, NetAsq gibi kendini ispatlamış üreticilerin ürünleri arasından seçilmelidir. Bu alanda rakiplerini bir çok alanda geçen Juniper ürünlerini tercih edilmiştir. Juniper kendi donanımı üzerinde kendi işletim sistemi ile birlikte çalışan router ve güvenlik duvarı ürünleri sunmaktadır. Türk Telekom’un da omurgasının tamamını juniper routerlar üzerine kurduğu ve Juniper’ın yüksek trafikli omurgalar konusundaki uzmanlığı, ihtiyacınızı tam karşılamaktadır.

2.1.3 Omurga Paket Anahtarı
Ağ içerisine ulaşan ve ağ içerisinde dönen trafiğin gerekli cihazlara ve sunuculara iletilmesini sağlayan omurga tipi paket anahtarlama cihazıdır. Bu cihaz doğrudan ağ iletişiminin kalitesini, hızını ve bu omurga üzerinde sağlanabilecek katma değerli servisleri etkilemektedir. Bu alanda önemli olan, ürünün yüksek erişilebilirlik, kolay yönetilebilirlik ve yüksek trafik altında servis vermeye devam etme özelliklerine haiz olmasıdır. Bu sebeple bu alanda tercih ettiğimiz ürün Juniper marka yönetilebilir omurga switchlerdir.

2.1.4 Kablolama Yapısı
Konumlandırılacak olan aktif cihazların ve sunucuların birbirleriyle iletişim için kullanılacak olan kablolamadır. Burada ağ iletişimi için 1Gbit/sec yapıyı taşıyacak CAT5E kablo, sunucular ile depolama ünitesi arasındaki iletişim için de fiber optik kablolar kullanılacaktır. Bununla birlikte güvenlik gerekçeleriyle uygulama sunucuları ile veritabanı sunucuları arasındaki dahili omurga da doğrudan fiber optik olabilir.

2.1.5 VPN Erişim Cihazı
Sunucuların ve aktif cihazların yönetimi için uzaktan erişim gerektiği durumlarda ağa güvenli olarak erişilebilmesini sağlayacak olan, internet üzerindeki yöneticinin bilgisayarını yönetim ağına dahil edecek olan cihazdır. Burada önerilen ürün Juniper VPN/SSL-VPN cihazıdır.

2.1.6 Ağ Takibi ve Yönetimi
Ağ üzerindeki aktif cihazların durumları, anlık ve toplam hat kullanımları, trafik değerleri ve bunlara ait grafiklerin teknik yöneticilere sunulmasını sağlayan, yönetimi kolaylaştıran yazılımlardır. Burada SolarWinds ağ izleme yazılım süiti kullanılmalıdır.

2.1.7 Sistem Takibi ve Yönetimi
Sunucuların anlık cpu, ram, fan, ısı, bellek gibi değerlerinin takip edilmesini sağlayan, olası arızaları önceden sistem yöneticisine ileten otomasyonlardır. Burada sunucuların kendisi ile gelen HP OpenView yazılımı kullanılmalıdır.

2.1.8 Yedekleme Sistemi
Sunucuların veri ve işletim sistemi bazında yedeklenmesini sağlayan yazılımlardır. Eğer sunucularda sanallaştırma mimarisi kullanılırsa, kullanılacak mimariye uygun bir yedekleme sistemi implemente edilmelidir. Vmware ESX Server opsiyonu seçildiğinde, disk dosyalarının online yedeklenmesi için VizionCore şirketinin VRanger ve Vreplicatiro yazılımları kullanılacaktır. Bunlarla birlikte Vmware’in olan Consolidated Backup özelliği hayati sistemler için işletim sistemi ile birlikte yedekleme yapılmasını sağlar. Daha da önemlisi, yedeklenen verilerin geri yükleme süresini azaltır.

2.2 Internet Omurgası
E-Banka , internet temelli çalışan ödeme aracılık sistemidir. Sunulacak hizmetlerin en önemli önemli noktası, hizmetlerin sunum kapısı olan internet olması sebebiyle internet omurgasıdır. Sitenin kendi içerisinde teknik altyapısının çalışması ne kadar önemliyse, hizmet vermeye devam etmesi de o kadar önemlidir. Bu sebeple çok yüksek talep karşısında dahi hizmet vermeye devam etmesi(iş sürekliliği), servis odaklı yaklaşıma(SOA) uygun şekilde hizmet kesintisinin yaşanmaması gerekmektedir.

2.2.1 Anlık Hat Kapasitesi
Internet üzerinden anlık erişim için gerekli hat kapasitesi ve bant genişliğini ifade eder. Bu, anlık “peak” noktalarında ve OOB(Out of band) saldırılarında sistemin hizmet kesintisine uğramaması için yüksek olmalıdır. Bu durumda, 1Gbit/sec anlık bant genişliğe yükseltilebilme opsiyonu ile başlangıç için 45Mbit/sec sabit internet erişimi sağlanması gerekmektedir. Tabi ki bu yükün tek bir fiziksel omurgada olmaması ve risk azaltmak için yedekli bir omurga kullanılması gereklidir.

2.3 Güvenlik Mimarisi
Sunmayı planladığımız yüksek kaliteli hizmetin kesintisiz olarak sağlanması için alt ve üst yapının güvenliğinin sağlanması, art niyetli saldırıların engellenmesi ile birlikte kasıtsız yanlış kullanıma ve yönetime de müsade edilmemesi gerekmektedir. Bütün bunlar yapının her bacağı için oluşturulacak güvenlik politikaları ve prosedürleri ile sağlanmaktadır.

2.3.1 Fiziksel Güvenlik
Sunucuların, depolama ünitelerinin, aktif cihazların kesintisiz hizmet verebilmesi için sadece yetkilendirilen kişilerin donanıma fiziksel olarak erişebilmesi gerekmektedir. Fiziksel güvenliğin başladığı nokta, seçilecek veri merkezinin fiziksel güvenliği ile eş değerdir. Bunun dışında sağlanacak fiziksel güvenlik veri merkezinde konumlandırılacak sistemlerin kilitli kabin içerisinde muhafaza edilmesi ve sistemlere konsoldan erişimlerin kaydedilmesidir. Bu aşamada fiziksel güvenlik amacıyla konsol erişimleri tamamen engellenecek, fiziksel bir saldırıya karşı da kabinetlerin kilitli tutulmasıdır.

2.3.2 Ağ Güvenliği
Sistemin komünikasyon alt ve üst yapısının güvenliği ile ilgili olan bazı noktalar teknik alt yapı kısmında incelenmiştir. Güvenlik duvarı(Firewall) 2.1.2 kısmında, uzaktan güvenli erişim için kullanılacak olan VPN kutusu 2.1.5 kısmında ele alınmıştır. Bunlarla birlikte ağ güvenliği için oluşturulacak diğer yapılardan pasif olanları saldırı tespit/engelleme sistemi(IDS/IPS), erişim kayıt sistemidir(Access Log) . Burada kullanılacak aktif yapılar ise daimi güvenlik denetimi, penetrasyon testi, etik hack saldırılarıdır. Mimari olarak ağ güvenliği ise omurga paket anahtarı üzerinde sanal ağlar (VLAN) oluşturularak sadece ilgili sistemlerin birbirleriyle iletişime girmeleri sağlanarak, herhangi bir sorunun sadece bir noktaya hapsedilmesini sağlayacaktır. Bu alanda verilecek hizmet hem işletmenin teşekkül aşamasından itibaren operasyonel faliyetlere geçene kadar güvenlik modelinin oturtulması, hem de sonrasında bu yapının sürekli ayakta tutulması için güvenlik konusunda uzman danışman ve teknik ekiple sağlanmalıdır.

2.3.3 Sistem Güvenliği
Hizmet verecek yazılımların üzerine koşacağı sistemlerin işletim sistemi ve servisler bazında güvenliğiyle ilgili hususlardır. Kurulacak olan Windows işletim sisteminin sıkılaştırılacak, güvenlikle ilgili ince ayarlamaları yapılacak ve optimize edilecektir. Sistemler üzerinde koşacak olan web sunucusu, e-posta, veritabanı sunucusu ve bunların eklentileri de aynı şekilde incelikle güvenlik odaklı ayarlamalardan geçirilecektir ve sistem sıkılaştırmaları yapılacaktır. Burada önemli olan, yapı içerisinde kullanılacak her sistemin tam vazifesinin kesin hatlarla belirlenmesi ve sıkılaştırmada uyulacak kuralların ve korumaya alınacak sathın iyi belirlenmesidir.

2.3.4 Veri Güvenliği
Kullanılacak RAID5 yapısı sayesinde aynı anda 3 disk dahi arızalansa, veri kaybı olmamakta ve yerlerine takılan yeni disklere parite diskinden gerekli işlem yapılarak veriler aktarılmaktadır. Böylelikle müşterilere hiç bir koşulda veri kaybı yaşamayacakları garanti edilmektedir. Veritabanı ve uygulama güvenlikleri özelinde, proje dahilinde sunulan Veritabanı Güvenliği dökümanında detaylı bilgi mevcuttur.

2.3.5 Yazılım Güvenliği
Çalışacak sistemler üzerinde müşterilere hizmet verecek olan ve arka plandaki ekip tarafından kullanılacak yazılımların güvenlik mimariilerine uygun geliştirilmesi ve sonrasında denetimleri ile birlikte korunumunun sağlanmasıdır. Kurulacak yapıdaki güvenlik duvarı(Firewall), saldırı tespit sistemi(IDS) ve sunucuların koordine yönetimi ile yazılım seviyesinde korunumlar sağlanacaktır. Güvenlik mimarisi sadece ağ katmanında değil, uygulama katmanında da tatbik edilmelidir. Genellikle benzeri yapılardaki güvenlik açıkları sistem üzerinde koşan özel uygulamalardan kaynaklanmaktadır. Bu sebeple geleneksel Firewall, IDS cihazlarının yanı sıra, muhakkak uygulama katmanında çalışan Application Firewall bulundurulmalıdır. Web tabanlı uygulamalar için ise WAF(Web Application Firewall) özelliği gereklidir. Bu konuda hem sunucu yönetiminde hem ağ yönetiminde hem yazılım konusunda uzman hem de güvenlik yönetiminde uzman teknik kadronun koordinasyonu ile çalışma yapılacaktır.

2.3.6 Yönetim Erişim Güvenliği
Sistemin yönetimi, müşterilerin sorunlarınıın hızlı giderilmesi için uzaktan erişimi, müşteri desteği için destek personelinin sistem bilgilerine ulaşımı için internet ağı ile yönetim ağının birbirinzen izole edilip aradaki trafiğin sertifika ve şifre ile korunup trafiğin de kriptolu olarak yapılması gerekmektedir. Bu konuda kullanılacak çözüm 2.1.5 maddesinde incelenmiştir.

2.3.7 Mağaza-E-Banka İletişimi Güvenliği

Mağaza ile E-Banka Ödeme Noktası sunucuları arasında istemci-sunucu bağlantısı gerçekleşecek ve sanal hesaptaki paranın bir diğer sana hesaba aktarılması ile ilgili onay bu bağlantı üzerinden iletilecektir. Bu bağlantı üzerinde müşterinin kişisel bilgileri, ödeme bilgileri ve mağazanın da saklı bilgileri taşınacaktır. Bu iletişimin ve bunu sağlayan iki uç nokta olan mağaza sistemi ile e-Banka ödeme noktası sisteminin güvenliği, E-Banka teknik mimarisinin en hassas bölgesidir. Bu bağlantının güvenliğinin ilk noktası, sunucu yazılımının güvenli olmasıdır. Sunucu yazılımında olabilecek herhangi bir arabellek taşması veya benzeri zayıflık, doğrudan E-Banka sistemlerine açılan bir kapı anlamına gelir. Bu seple yazılımın dizaynından kodlanmasına kadar her aşamada tüm yazılım ekibinin bu hususa dikkat etmesi sağlanmalıdır. Derleme sırasında bir çok derleyicide bulunan optimizasyon parametreleri ile (ör. Microsoft Visual Studio için /GS) yazılımın derleme sırasında arabellek taşmalarına karşı sağlamlaştırılması sağlanmalıdır. Sistemin diğer ucu olan mağaza tarafında bulunan yazılımın da sunucu yazılımı ile aynı süreçlerden geçmesi gerekmektedir. Yazılımın içerisinde asla bir saldırganın işine yarayacak bilgi bulundurulmamalı, yazılım kriptografik algoritmalarla şifrelenmelidir. Aradaki hattın güvenliği için ise SSL kullanılmalı ve herhangi bir şekilde sızıntı olması ve trafiğin takip edilmesi durumunda transfer edilen verilerin gizliliği yine de temin edilmiş olmalıdır. Aynı zamanda bu iletişim üzerinde kullanılan SSL methodunu, SSL şifrelemesinin sunucu üzerinde değil, aradaki SSL Offload destekleyen bir cihaz üzerinde yapılması sağlanacaktır. Böylelikle hem sunucu üzerindeki yük hafifletilecek, hem de SSL bağlantı üzerinden gelen atakların sunucuya ulaşana kadar gizli kalması engellenerek aradaki bir güvenlik cihazı ile tespit edilmesi sağlanacaktır.

 

Microsoft Gold Partner Microsoft ISV Royalty Partner Cisco Hewlett Packard (HP) Juniper J-Partner Bimsa Proje Ortağı Symantec Sun Systems

e-mail us now — Sales : yazilim@senioryazilim.com / Support : destek@senioryazilim.com

© Senior Business Solutions 2008, TR. Established 1989.

Call us now — Sales & Support +90 392 2287 501