‘ÇOK KATMANLI BİLGİ GÜVENLİĞİ MİMARİSİNİ OLUŞTURMAK GEREK’
“sahibinden.com kurulduğu günden beri dijital düşünmeye odaklı bir kurum. Pandemi döneminde teknoloji ve ürün stratejimizde ciddi bir değişiklik olmadı. Ancak ürün yol haritamızı geliştirdik. Yeni normale daha iyi hizmet edeceğini düşündüğümüz ürünlere odaklandık” diyen sahibinden.com CTO’su Gökhan Ergül, teknoloji tarafındaki izdüşüme de dikkat çekiyor. Ergül, yakın dönemde micro servis ve konteyner teknolojilerinin daha fazla öne çıkacağını ve sahibinden.com olarak kendi sistem mimarilerini bu konu özelinde geliştireceklerinin bilgisini paylaşıyor. Teknoloji yönetimi olarak sahibinden.com site ve mobil uygulamaları üzerinden kullanıcılarınıza verdiğiniz hizmetin devamlılığını ve kalitesini sürekli olarak artırmak üzere verimlilik ve iş yapış şekillerinde hangi konulara destek veriyorsunuz?
“İçinde bulunduğumuz sektör çok dinamik ve rekabetin yoğun olduğu bir sektör. Dijital dönüşümde çevikliğe sahip değilseniz, uzun vadede zaten bir yere gitmemiz mümkün olmuyor, biz de tüm iş yapış biçimlerimizi, yazılım ve ürün geliştirme süreçlerimizi olabildiğince çevik hale getirmeye çalışıyoruz.
Pandemiyle beraber 750 kişinin evlerden çalışmasını sağlayan bir altyapıyı hayata geçirdik. sahibinden. com, Türkiye’de en yüksek trafik alan platformlardan biri. Dünyada da kendi alanında ilk beşe giriyor, dolayısıyla ölçeklenme bizim için çok önemli ve kendi altyapımızda her bir bileşeni ki -yaklaşık 150 farklı bileşen- yanyana gelmesiyle hizmet veriyoruz.
Her bir bileşen özelinde, o bileşenin doğasına uygun çoklama (redundancy) teknikleri kullanıyoruz. Onların en tepesinde de veri merkezi modelimiz var. Şu anda ikisi fiziksel, biri bulut olmak üzere üç lokasyondan aktif hizmet veriyoruz. Veri merkezini de gerektiğinde tüm trafiğimizi kaldırabilecek şekilde ölçeklendiriyoruz. Bunun dışında işin bir de organizasyonel tarafı var. Biz de ekibimizin ismini 2015’te, Site Reliability Engineering yani Site Güvenirliliği Mühendisliği olarak değiştirdik. Bu ekip sistemleri kontrol etmek, olası riskleri tespit edip, hizmet kesintisine sebep olmadan önce adresleme üzerine çalışıyor. Çok katmanlı izleme stratejisi kullanıyoruz. En alt seviyede, yani makinenin temel metrikleri seviyesinde ölçümleri toplayıp analiz ediyoruz. Mobil uygulamalarımız ve web platformumuzun üzerinde son kullanıcı için anlamlı olan hizmetleri ölçüp, herhangi bir terslik olup olmadığını çok yakından takip ediyoruz.
Teknoloji ilerliyor, gelişiyor. Çevikliğin yazılım geliştirme dünyasına olan izdüşümünü, mühendislik ve ürün geliştirme takımlarını paralel şekilde çalıştırmak gerekiyor. Bunun da izdüşümü, konteyner teknolojileri. Biz de olabildiğince bu alana yatırım yapıp, kaslarımızı güçlendirip, kendi sistem mimarimizi de oraya doğru evriltiyoruz.” Mevcut risk ve tehditlerin belirlenmesi, çalışanların eğitilmesi ve farkındalık çalışmaları, kişisel veri envanteri ile veri güvenliği politika ve prosedürlerin belirlenmesi konusunda gündeminizde neler var?
“Kişisel veri envanteri ve veri güvenliğiyle ilgili KVKK Kanunu, Mart 2016’da çıktı. sahibinden.com olarak bu sürecin en başından itibaren içinde olduk ve tüm sistemlerimizi uyumlu hale getirecek aksiyonları aldık. Teknolojinin ilerlemesiyle beraber bilgi güvenliği açısından tehdit oluşturabilecek nitelikteki sofistike saldırılar arttı. Çok katmanlı bilgi güvenliği mimarisini oluşturmak gerekiyor. Güvenlik özellikle kendi yazılımını geliştiren şirketler için çok önemli, bu nitelikteki şirketler kendi geliştirdikleri ve sürekli güncelledikleri yazılımın güvenliğini sağlamak için en azından Open Web Application Security Project (OWASP) tarafından yayınlanan web aplikasyonlarının Top 10 güvenlik zafiyetlerinin kendi yazılımlarında olmadığını sürekli kontrol eden test otomasyonu geliştirmeliler.
Artık eski usul bilgi güvenliği önlemleri yetmiyor. Dolayısıyla bizim gibi senede 750 yeni sürüm yayınlayan bir şirketin bu 750 sürüme karşılık penetrasyon testini yılda bir-iki kere yapmak ve güvenlik açığımız yok demek imkansız. Kod olarak altyapı metodolojisini yaygınlaştırmak ve yama yönetimi konularını otomatize etmek gerekiyor. Kod olarak altyapı yaklaşımları, otomasyon konusunda masif değişiklikler gerektiriyor. Özellikle büyük altyapılarda bunu elle yapmaya kalkarsanız yetişemeyeceğinizden olabildiğince konteyner teknolojilere yaklaşmak gerekiyor.
Efektif log’lama ve bu log’lamanın üzerinde proaktif şekilde yapay zeka ve makine öğrenmesiyle log’ları anlamlandırıp, erken hareket etmek gerekiyor.
Kod olarak altyapı metodolojisi ve bunun en kapsamlı uygulaması olan Bulut’un önemi de burada öne çıkıyor. En büyük temennimiz ilerleyen dönemde regülasyon ikliminin de bulutun yaygınlaşmasına izin verecek şekilde evrilmesi.”