SaaS (Software as a Service) Nedir? Güvenlik Riskleri Nelerdir?
Teknolojinin gelişmesine paralel olarak iş hayatında saklanması, korunması ve her yerden ulaşılabilmesi gereken pek çok dosyaya ihtiyaç duyabiliyoruz. Bunun için günden güne kullanıcı sayısı artan Google Drive, Dropbox, Yandex.Disk gibi pek çok hizmet yardımımıza yetişiyor.
Yine iş hayatından örnek verecek olursak; özellikle pandemi gibi süreçlerden sonra artış gösteren uzaktan çalışma modelinde Zoom gibi platformların kullanımı oldukça artmaya başladı. Peki, bu kullandığımız yazılımların hepsinin birer SaaS modeli olduğunu biliyor muydunuz?
SaaS Nedir?
SaaS; harici bir sağlayıcı aracılığıyla barındırılan uygulamaların internet ile müşterilere sunulduğu bir yazılım dağıtım modelidir.
Bulut bilişimin en önemli kategorilerden biri olan SaaS, “Software as a Service” cümlesinin ilk harflerinden oluşmuş bir terimdir. Eğer SaaS’ı Türkçe tanımlayacak olursak “Hizmet Olarak Yazılım” ifadesini kullanabiliriz.
SaaS; IaaS (Hizmet Olarak Altyapı) ve PaaS (Hizmet Olarak Platform) ile birlikte bulut bilişimde bir piramit oluşturur ve bu piramidin en üst noktasında yer alır. Hizmet olarak sunulan SaaS modelinde genellikle aylık belli ücretler karşılığında ve seçilen hizmet paketi doğrultusunda hizmet alınır.
SaaS Nasıl Çalışır?
SaaS(Software as a Service)’ın çalışma sisteminin sunduğu avantajlar kendisini iş dünyasından proje yönetimine kadar pek çok konuda kullanışlı hale getirmektedir.
Müşteri İlişkileri Yönetimi (CRM), Kurumsal Kaynak Planlaması (ERP), İçerik Yönetimi gibi sistemlerden güvenlik ve doğrulama araçlarına kadar pek çok kategoride kullanımı olan SaaS, son derece kullanışlıdır.
SaaS uygulamaları 4 bulut bilişim modelinden birine göre çalışır. Bunlardan kısaca bahsedecek olursak;
- Açık Bulut Sistemleri: Alt yapının tüm genel kullanıcılar tarafından sisteme rahatlıkla erişim sağlanıp kullanılabildiği modeldir.
- Topluluk Bulut Sistemleri: Alt yapının organizasyonlar tarafından yönetildiği modeldir.
- Özel Bulut Sistemleri: Alt yapının yalnızca belli bir kuruluş tarafından yönetildiği modeldir.
- Hibrit Bulut Sistemleri: Adından da anlaşılacağı üzere diğer 3 modeli kendi içinde barındıran modeldir.
SaaS uygulamaları temel anlamda bulut sistemde ve bulut teslim modeli ile çalışır. Yazılımlarını ve uygulamalarını hizmet olarak sunmak isteyen kişiler, bir bulut sağlayıcısı ile anlaşma sağlayarak SaaS uygulaması olarak sunmak istediği verileri sağlayıcının veri merkezinde barındırır. Bu aşamadan sonra ise web tarayıcılardan veya özel uygulamalar üzerinden bu verilere kolayca internet üzerinden erişilebilir.
Yüksek kullanılabilirliği sayesinde bir merkezden birden çok kişiye hizmet vermeyi sağlayan SaaS teknolojisi, bu özelliği sayesinde tüm dünyadan milyonlara ulaşan kitlelere 7/24 hizmet verebilmektedir.
Tek bir panelden birden fazla kimlik yönetim sistemi barındırabilen SaaS uygulamaları, bu yönüyle hem kolay ve verimli bir sistem sunar hem de veri kontrolünü kolaylaştırarak zamandan tasarruf sağlar.
Trafik kontrolünü ölçeklendirebilmesi sayesinde özellikle ciddi trafik artışlarında esneklik sunabilen SaaS uygulamalarında güvenlik son derece önemli olup oldukça yüksek düzeyde tutulmaktadır.
SaaS Teknolojisinin Avantajları ve Dezavantajları Nelerdir?
SaaS uygulamalarının sunduğu avantajlar oldukça fazladır. Çünkü şirketlere birçok konuda avantajlar sunabilmektedir.
İlk olarak SaaS teknolojisi sayesinde şirketler maliyetlerinden ciddi oranda tasarruf edebilir. Çünkü SaaS modelinde maliyetleri oluşturacak olan sunucu bakımı, onarımı, yönetimi, güvenliğinin sağlanması gibi maliyetlerin yanında bu işleri yapması için mutlaka var olması gereken profesyonel personel giderlerinden de tasarruf sağlanır ve bu sayede maliyetler büyük oranda servis sağlayıcısına kalmış olur. Ek olarak kullanılan sistemin güncellenmesi, yenilenmesi gibi maliyetlerden de tasarruf sağlanacaktır.
Bir diğer avantajdan bahsetmek gerekirse o da SaaS uygulamalarını kullanan şirketlerin tek önceliği verileridir. Sistemin bir parçası olarak tüm sorumlulukların servis sağlayıcısında olduğu SaaS modelinde bu hizmetten yararlanan şirket yalnızca verilerine odaklanmış olduğu için sistemden dilediği zaman ayrılabilir. Sistemin kendi içerisinde “kullandıkça öde” modeli olduğu için de yine maliyete etki edecek bir avantaj söz konusu olacaktır.
SaaS modelinde maliyetten sonra belki de en çok avantaj sağlayan bir diğer özellik ise interneti olan her yerden sistemin kolaylıkla ve rahatça kullanılabilmesidir. Özellikle sunmuş olduğu bu konfor ile büyük bir rahatlık sağlayan SaaS uygulamaları, maliyetten sonra en çok bu sebepten dolayı tercih edilmektedir.
Dezavantajlardan bahsedecek olursak; aslında sistemin dezavantajı genel itibariyle bulut bilişim sisteminin de dezavantajları arasındadır. Bulut bilişim sistemlerinin kullanılmasından dolayı hesaplamaların dışarıya aktarılması, sistem kaynaklarının başkalarıyla paylaşılması, güvenlik kaygıları ve gizlilik kaygıları söz konusudur. Ayrıca SaaS uygulamaları, bulut bilişimin büyük oranda mobil erişim aygıtlarına taşındığından ve bulut alt yapısına doğrudan erişim sağlanabildiğinden güvenlik tehditleri ve zafiyetleri artış göstermektedir.
Dezavantaj olarak değerlendirilebilecek bir diğer husus ise seçilecek olan servis sağlayıcısının güvenli ve tercih edilebilir olmasıdır. Yanlış yapılan seçimlerden kaynaklı olarak birçok dezavantaj yaşanabilir. Çünkü SaaS sistemi bilindiği üzere bulut bilişimin bir parçasıdır. Dolayısıyla SaaS uygulamaları ve sistemleri birçok siber saldırıyla karşı karşıya kalabileceği için hiçbir güvenlik zafiyetine ve tehdidine yer verilmemesi gerekir.
Dezavantaj kısmını örneklendirecek olursak; diyelim ki birden fazla şubenin ve dolayısıyla ağın söz konusu olduğu bir bilişim yönetimine sahipsiniz ve bunu yönetebilmenin hem kolay hem de pratik bir yolunu arıyorsunuz. Profesyonel IT ve bilgi işlem yöneticileri bu şartlar altında Berqnet SASE gibi hizmet ile bunu sağlayarak yalnızca yapması gereken kontrolleri ve yönetimi yapar. Bu durumda bir dezavantajdan söz edemeyiz ancak ne olduğu belli olmayan, güvenilir bir güvenlik firması tarafından desteklenmeyen ve neredeyse hiç kimsenin tavsiye etmediği bir sisteme yönelmek ileride birçok dezavantajı da beraberinde getirecektir.
2022 Yılında SaaS’ın Yeri ve Potansiyel Güvenlik Tehditleri
Bulut bilişim, popüler olmaya başladığı ilk günden bugüne kadar en çok tercih edilen teknolojik gelişmelerden biri olmuştur. Bu popülerleşmeye paralel olarak güvenlik tehditleri de artış göstermiştir.
Daha önce de bahsettiğimiz üzere SaaS modeli CRM, ERP, SCM, e-posta, konferans gibi uygulamaları sağlayan bir sistemdir. Bu özelliğinden dolayı da IaaS ve PaaS modellerine kıyasla en az güvenlik kontrolü olan model olduğunu söyleyebiliriz.
Özellikle 2022 yılından sonra SaaS uygulamaları için söz konusu olabilecek güvenlik tehditlerinden detaylı bir şekilde bahsetmeye başlıklar halinde başlayalım.
Uygulama Güvenliği Tehditleri
SaaS uygulamaları genel anlamda son kullanıcıya ve internet üzerinden erişim sağlanan bir sisteme sahip olduğu için web uygulamalarındaki kusurlardan kaynaklı uygulama güvenliği zafiyetlerinden bahsedilmesi gerekir.
Siber saldırganlar internet ağlarını kullanarak web uygulamalarına saldırırlar ve kullanıcıların bilgisayarlarına sızarak bilgisayarlara zarar verip hassas verilere erişebilirler. Web uygulamalarından herhangi bir farkı yok diyebileceğimiz SaaS uygulamaları da aynı tehditlerle karşı karşıyadır ve bu anlamda birçok güvenlik tehdidi yetersiz kaldığından yeni yaklaşımlara her daim ihtiyaç söz konusudur.
Çoklu Kiracılık Tehditleri
SaaS uygulamaları; meta data yöntemi ile yapılandırılabilirlik, ölçeklenebilirlik modellerine göre gruplanır.
İlk modelde her müşterinin kendine has bir yazılımı vardır ve kaynaklar ortak kullanılır. Ortak kullanımdan kaynaklı etkinlik açısından sorunlar ortaya çıkabilmektedir. Etkinlikten kasıt kullanışlılık ve ölçeklendirilebilirliktir.
İkinci modelde sağlayıcı her müşteriye farklı uygulama örneği sağlar ama tüm uygulamalar aynı uygulama kodunu kullanır. Bu modelde müşteriler yapılandırma ayarlarını değiştirebilseler de aynı uygulama kodu kullanımı bir tehdittir.
Üçüncü model ise çoklu kiracılık modelidir. Bu modelde tek bir örnekle tüm müşterilere hizmet sağlanır. Ayrıca bu modelde amaçlanan, kaynakların verimli kullanılmasını ve en sağlıklı ölçeklendirmeyi sağlamak olsa da güvenlik tehditleri ön plana çıkıyor.
Çoklu kiracılık modelinde kiracı statüsündeki müşteriler birbirinden tamamen ayrışamazlar. Çünkü servis sağlayıcısı bu modelde tek kaynağı sanallaştırma sayesinde ayrı ayrı hizmetler olarak müşterilerine sunar ancak kaynak kullanımı ortaktır.
Ortak kullanımdan dolayı bir kiracının ya da müşterinin kaynak kullanımı herhangi bir sorun teşkil etmese de aynı sistemde farklı bir uygulamadan kaynaklı aşırı kaynak kullanımı diğer tüm kiracıları negatif etkiler. Özellikle DoS (Denial of Service-Hizmet Aksatma) saldırıları söz konusu olduğunda saldırı tek bir kiracıya yapılsa dahi diğer tüm kiracılar da bu saldırının etkilerine maruz kalır.
Çoklu kiracılık modelinin bir diğer dezavantajı da veri güvenliğini riske atmasıdır. Kaynak kullanımın tek olduğu bu modelde sistem bazı verilerin varlığını hash adı verilen kodlarla kontrol eder ve bulut sistemde olmayan verileri bulut sisteme şifreli olarak depolar. Bunu bilen siber saldırganlar sisteme yaptıkları saldırılarda çözülebilir olan bu şifreler ile bu verilere erişebilirler.
Veri Güvenliği Tehditleri
Veri güvenliği tehdidi aslında yalnızca SaaS uygulamaları için değil tüm uygulamalar için söz konusu bir tehdittir. Bu nedenle veri güvenliği tehdidini SaaS özelinde incelememek hata olur.
SaaS uygulamalarında hangi model kullanılırsa kullanılsın verilerin işlenip depolanması söz konusudur. Sistemin yönetimi de sağlayıcıda olduğu için veri güvenliği konusu öne çıkıyor.
SaaS sağlayıcısının işleyip depoladığı bu veriler yetkisiz erişim ve veri sızıntısı risklerine açık olduğundan ister istemez bir güvensizlik ortamı ortaya çıkar. Ayrıca sistemin güvenliği de yine sağlayıcının elinde olduğu için sistemde yaşanacak bir teknik arıza, yedekleme problemi, verilerin hatalı bir işlemle silinmesi veya göç etmesi gibi tehlikeler söz konusu olduğu için müşteri her zaman diken üstündedir. Buna sebep olan bir önemli faktör de sistem yönetimi hizmetlerini sağlayıcının dışında üçüncü taraf bir şirketin yapıyor olabilmesidir.
Kolay Erişilebilirlik Tehditleri
Bilindiği üzere web uygulamaları mobil cihazlardan rahatlıkla erişilebilir sistemlerdir. SaaS uygulamaları da web uygulamaları ile aynı kategoride yer alabileceği için aynı şekilde SaaS uygulamalarına da mobil cihazlardan erişilebilir.
Erişilebilirlik aşamasında söz konusu SaaS uygulamaları olunca servis sağlayıcıları bazı güvenlik tehditlerinin önüne geçmek için bir takım kriterler uyguladığından her cihaz uygulamaya kolayca erişemeyebilir ve bu nedenle bazı ek özelliklere sahip olmak zorunda oldukları için erişim problemi yaşanabilir.
Başka bir faktör ise SaaS uygulamaları siber saldırılara her zaman maruz kalabileceği için bu saldırıların gerçekleşme anında sisteme erişilemeyebilir ve kullanıcılar güvenlik riskleri ile karşı karşıya kalabilir. Özellikle mobil kullanıcıların hedeflendiği siber saldırılarda internet ağından, cihazın işletim sisteminden veya yüklü uygulamalardaki açıklardan faydalanabilen saldırganlar hem verileri açısından hem de cihazları açısından birçok riskle karşı karşıya kalabilirler.
Sıkça Sorulan Sorular
SaaS kavramının açılımı: Software as a Service. Türkçeleştirdiğimizde Servis olarak yazılım anlamında gelmektedir.