Cloud Computing Organizasyonları ve Grupları

Bulut bilişim standartları ve güvenliği konusunda çalışan başlıca organizasyonlar: CSA, NIST, DMTF, Open Cloud Consortium, OGF ve diğerleri. 2011 başı itibarıyla aktif çalışmalar ve ürettikleri belgeler.

Bulut bilişimin Türkiye’deki tartışmasında çoğu zaman teknoloji ve fiyat konuşuluyor, ama standartların kim tarafından, nasıl yazıldığı pek gündeme gelmiyor. Hâlbuki bulut bilişim hâlâ çok yeni bir alan ve bugün interoperability (birlikte çalışabilirlik), portability (taşınabilirlik) ve güvenlik tarafında ne kadar açık standart üretebilirsek, ileride sağlayıcıya kilitlenme (vendor lock-in) sorununu o kadar az yaşayacağız.

Bu yazıda, bulut bilişim alanında bugün, 2011 başı itibarıyla, aktif olarak çalışan başlıca organizasyonları, neyi neden yaptıklarını ve ürettikleri belgeleri özetlemeye çalışacağım.

Cloud Security Alliance (CSA)

Kuruluş: 2008 sonu / 2009 başı. Misyon: Bulut bilişimde güvenlik için en iyi uygulamaları belirlemek ve farkındalığı artırmak.

CSA, kâr amacı gütmeyen bir kuruluş olarak büyük bulut sağlayıcılarının (Microsoft, Google, Salesforce, Amazon vb.) yanı sıra denetim ve danışmanlık firmalarını da bir araya getiriyor. Şimdiye kadar yayımladığı en önemli çalışmalar:

  • Security Guidance for Critical Areas of Focus in Cloud Computing (v2.1, Aralık 2009): Bulutta yönetişim, hukuki konular, olay yönetimi, uygulama güvenliği, şifreleme ve anahtar yönetimi gibi 13 domain’i ele alan kapsamlı rehber.
  • Top Threats to Cloud Computing v1.0 (Mart 2010): Yedi başlık altında bulutun en kritik güvenlik tehditlerini listeleyen referans belge. (Bu listeyi başka bir yazıda ayrıntılı işleyeceğim.)
  • Cloud Controls Matrix (CCM): ISO 27001, PCI DSS, COBIT, HIPAA gibi mevcut çerçevelerle eşleştirilmiş, buluta özel kontrol matrisi.

CSA’nın CCSK (Certificate of Cloud Security Knowledge) sertifikasyon programının da kısa süre içinde gelmesi bekleniyor. Bulut güvenliği üzerine çalışan herkesin CSA’nın yayımlarını okumadan iş yapmaması gerektiği kanaatindeyim.

NIST, National Institute of Standards and Technology

ABD Federal Hükümeti adına standart belirleyen kurum. Bulut tarafındaki çalışmaları, ABD Beyaz Saray’ının “Cloud First” politikası nedeniyle hızlanmış durumda.

Aktif çalışmalar:

  • NIST SP 800-145, The NIST Definition of Cloud Computing: Şu an draft halinde. Bulut bilişimi beş temel özellik (on-demand self-service, broad network access, resource pooling, rapid elasticity, measured service), üç servis modeli (IaaS, PaaS, SaaS) ve dört dağıtım modeli (Public, Private, Community, Hybrid) ile tanımlıyor. Bu doküman, bence önümüzdeki dönemin standart terminoloji çapası olacak.
  • NIST SP 800-144, Guidelines on Security and Privacy in Public Cloud Computing (draft): Federal kurumların public cloud kullanırken dikkat etmesi gereken güvenlik/gizlilik unsurları.
  • NIST Cloud Computing Reference Architecture (SP 500-292) çalışmaları başladı.

NIST’in yayımları, ABD federal alımlarını şekillendirdiği için fiilen küresel bir referans haline geliyor.

DMTF, Distributed Management Task Force

Sistem yönetimi standartları üreten, oldukça eski (1992) ve köklü bir grup. Bulut tarafında en bilinen ürünü:

  • OVF (Open Virtualization Format): Sanal makinelerin sağlayıcıdan bağımsız bir formatta paketlenip taşınabilmesini sağlayan standart. Bugün VMware, XenServer, Hyper-V ve VirtualBox tarafından destekleniyor. OVF, bulut taşınabilirliği için kritik bir alt yapı taşı.
  • Open Cloud Standards Incubator çalışma grubu: CIMI (Cloud Infrastructure Management Interface) taslağı üzerinde çalışıyor, IaaS sağlayıcıları için ortak bir API tanımı amaçlanıyor.

Open Cloud Consortium (OCC)

Kuruluş: 2008. Misyon: Akademi ve endüstri arasında bulut konusunda iş birliği sağlamak, açık test ortamları yürütmek.

OCC, Open Cloud Testbed ve Intercloud Testbed gibi araştırma ortamları işletiyor; özellikle büyük veri (large data) iş yüklerinin bulut platformlarında nasıl davrandığını ölçen çalışmalar yapıyor. Chicago Üniversitesi merkezli; akademik tarafta önemli bir referans.

Open Grid Forum (OGF)

Eski grid computing topluluğunun bulut çağına evrildiği yer. En önemli çıktısı:

  • OCCI (Open Cloud Computing Interface): IaaS için RESTful, sağlayıcıdan bağımsız bir API tanımı. 2011 başı itibarıyla OCCI 1.1 spesifikasyonu olgunluğa kavuşmuş durumda. Hâlâ üreticilerin geniş bir benimsemesini görmedik, ama Avrupa kamu ihalelerinde referans olarak görünmeye başladı.

SNIA, Storage Networking Industry Association

Depolama dünyasının standart kuruluşu. Bulut tarafında ürettiği:

  • CDMI (Cloud Data Management Interface): Bulut depolamayı standart bir API üzerinden yönetmek için geliştirilen spesifikasyon. v1.0 Nisan 2010’da yayımlandı. Amazon S3’ün de-facto standart olduğu bir piyasada, CDMI bir karşı standart olarak ne kadar tutar, açıkçası emin değilim; ancak hibrit kurulumlarda anlamlı görünüyor.

ETSI, European Telecommunications Standards Institute

Avrupa’nın telekom standart kuruluşu, bulut tarafında yeni bir çalışma grubu kurmuş durumda. Henüz somut çıktıları yok, ama Avrupa Komisyonu’nun gündeminde AB ortak bulut stratejisi olduğu için ETSI’nin önümüzdeki dönemde aktif rol üstleneceğini düşünüyorum. Özellikle AB veri koruma regülasyonuyla uyumlu bulut mimarileri konusunda.

Cloud Computing Use Case Discussion Group

Daha gevşek yapılı, Google Groups üzerinden yürüyen, açık topluluk grubu. Yayımladıkları Cloud Computing Use Cases White Paper (v4.0, Temmuz 2010), pratik senaryolarla bulutu anlatan iyi bir referans. Standart yazmak yerine kullanım örnekleri üzerinden ortak bir dil oluşturmaya çalışıyor.

OASIS

XML/SOA dünyasının standart kuruluşu. Bulut tarafında IDCloud (Identity in the Cloud) ve Symptoms Automation Framework gibi çalışma grupları aktif. Özellikle SAML, XACML gibi mevcut kimlik standartlarını buluta uyarlamak üzerine çalışıyorlar.

Eucalyptus, OpenStack, OpenNebula toplulukları

Bunlar tam anlamıyla standart kuruluşu değiller; ancak yazılım toplulukları olarak fiilen birer açık kaynak çapa görevi görüyorlar.

  • Eucalyptus: AWS EC2/S3 API uyumluluğu sayesinde EC2 API’si fiili bir bulut standardı haline geliyor.
  • OpenStack: NASA + Rackspace ortaklığıyla Temmuz 2010’da duyuruldu; ilk sürümü (Austin) Ekim 2010’da yayımlandı. Şimdiden Citrix, Dell, Cisco gibi büyük oyuncular katıldı. Bence 2011’in en konuşulacak bulut topluluğu OpenStack olacak.
  • OpenNebula: Avrupa kökenli, daha akademik bir topluluk; özellikle araştırma kurumlarında yaygın.

Çıkarımlar

2011 başı itibarıyla bulut bilişimin standartlar manzarası şöyle özetlenebilir:

  1. Güvenlik tarafı en olgun: CSA + NIST kombinasyonu kurumsal alıcılara somut bir çerçeve sunuyor.
  2. Sanal makine taşınabilirliği OVF sayesinde çözülmüş gibi görünüyor.
  3. IaaS API’si tarafı hâlâ kaotik: AWS EC2 API’si fiili bir standart, ama OCCI ve CIMI gibi alternatif girişimler de var.
  4. Depolama tarafı S3 vs. CDMI gerilimine sahne oluyor.
  5. Kimlik (federation) standartları görece olgun (SAML, OAuth, OpenID), ama bulut sağlayıcılar arasında tutarsız uygulanıyor.

Bu organizasyonların bir kısmının yayımları ücretsiz olarak indirilebiliyor. Buluta ciddi yatırım yapacak Türk kurumlarının özellikle CSA Security Guidance ve NIST SP 800-145/144 draft’larını okumalarını öneririm. Önümüzdeki yazılarda CSA’nın Top Threats listesini ve NIST’in tanımını ayrı ayrı işleyeceğim.