Yedekleme NSA Standartları

NSA (National Security Agency) standartlarına göre yedekleme yapısı, kritik verilerin güvenli, sürekli ve erişilebilir bir şekilde korunmasını sağlamak için sıkı güvenlik politikalarına dayanır. NSA standartları, ABD hükümeti ve savunma birimleri için belirlenmiş olmasına rağmen, dünya genelindeki birçok kurum ve kuruluş bu standartları, yüksek güvenlik gereksinimleri nedeniyle uygular. Aşağıda, NSA standartlarına uygun bir yedekleme yapısının nasıl olması gerektiği konusunda detaylı bilgiler yer almaktadır.

1. Temel Prensipler ve NSA Yedekleme Politikaları

1.1. 3-2-1 Kuralı

• 3 Kopya: Verilerin üç ayrı kopyası olmalıdır.
  • 1 ana veri seti (orijinal veri).
  • 2 yedek kopya (biri yerel, diğeri uzak bir lokasyonda).
• 2 Farklı Medya: Yedekler iki farklı depolama ortamında tutulmalıdır (örneğin, disk ve manyetik bant).
• 1 Offsite (Uzaktan) Yedekleme: En az bir yedekleme, fiziksel olarak ayrı bir konumda tutulmalıdır.

1.2. Kritik Verilerin Sınıflandırılması

• Veriler hassasiyet ve önem derecelerine göre sınıflandırılmalıdır:
  • Public: Genel erişime açık veriler.
  • Sensitive: Sadece belirli gruplar tarafından erişilebilir veriler.
  • Confidential: Şirket içi veya devlet birimlerine özel veriler.
  • Top Secret: En yüksek seviyede güvenlik gerektiren veriler.

1.3. Geri Dönüş ve Erişim Süresi

• Kritik veriler için yedekleme politikaları, veri kaybı durumunda maksimum kurtarma süresi (RTO - Recovery Time Objective) ve maksimum veri kaybı toleransı (RPO - Recovery Point Objective) gibi metriklerle desteklenmelidir.

2. Güvenlik ve Şifreleme Standartları

2.1. Yedekleme Verilerinin Şifrelenmesi

• Yedekleme verileri hem at-rest (depolama sırasında) hem de in-transit (iletişim sırasında) şifrelenmelidir.
• NSA Onaylı Şifreleme Algoritmaları:
  • AES (Advanced Encryption Standard) - 256 bit
  • RSA (Rivest-Shamir-Adleman) - 2048 veya daha yüksek bit
  • ECC (Elliptic Curve Cryptography)
• Şifreleme anahtarlarının yönetimi ve döngüsü için Key Management Infrastructure (KMI) kullanılmalıdır.

2.2. Hassas Veri Maskesi ve Tokenizasyon

• Kritik veriler için maskelenmiş veya tokenize edilmiş yedekleme kopyaları kullanılmalıdır. Bu, verilerin yalnızca yetkilendirilmiş kişiler tarafından okunabilir olmasını sağlar.

2.3. Çok Faktörlü Kimlik Doğrulama (MFA)

• Yedekleme ortamına erişim, MFA ile korunmalıdır.
• Kullanıcı doğrulaması için biyometrik sistemler veya donanım tabanlı güvenlik anahtarları (örneğin, YubiKey) tercih edilebilir.

3. Fiziksel Güvenlik Önlemleri

3.1. Veri Merkezi Güvenliği

• Yedeklerin fiziksel olarak tutulduğu veri merkezleri aşağıdaki özelliklere sahip olmalıdır:
  • 7/24 İzleme: CCTV kameralar ve biyometrik erişim kontrolü.
  • Fiziksel Ayrıştırma: Kritik yedeklerin depolandığı alanlar, diğer depolama alanlarından fiziksel olarak izole edilmelidir.
  • Yangın, Su ve Doğal Afet Koruması: Veri merkezlerinde yangın söndürme sistemleri, sızdırmaz kaplama ve depreme dayanıklı tasarım olmalıdır.

3.2. Manyetik Bant ve Offsite Depolama

• Manyetik bant gibi taşınabilir medya kullanılıyorsa, bu ortamlar güvenli kasalarda ve iklim kontrollü alanlarda saklanmalıdır.
• Offsite yedekleme lokasyonları, orijinal veri merkezinden en az 150 mil (240 km) uzaklıkta olmalıdır.

4. Süreç ve Yedekleme Yönetimi

4.1. Yedekleme Türleri

• Tam Yedekleme (Full Backup): Tüm sistemin ve verilerin tam bir kopyasını alır.
• Artımlı Yedekleme (Incremental Backup): Son yedeklemeden bu yana yapılan değişiklikleri kaydeder.
• Fark Yedekleme (Differential Backup): Son tam yedeklemeden bu yana yapılan tüm değişiklikleri kaydeder.

4.2. Yedekleme Sıklığı

• Kritik sistemler için günlük veya saatlik artımlı yedekleme yapılmalıdır.
• Daha az kritik veriler için haftalık veya aylık tam yedekleme yeterli olabilir.

4.3. Test ve Doğrulama

• Yedekleme Testleri: Yedeklerin düzenli olarak kurtarılabilirliği test edilmelidir.
• Doğrulama: Tüm yedekleme işlemleri, veri tutarlılığını doğrulamak için denetlenmelidir.

5. Yedekleme Çözümleri ve Teknolojileri

5.1. NSA Onaylı Depolama Çözümleri

• Donanım Güvenlik Modülleri (HSM): Hassas verilerin şifrelenmesi ve korunması için donanım tabanlı çözümler.
• SAN ve NAS Sistemleri: Ağ bağlantılı depolama cihazları ile yüksek hızlı ve ölçeklenebilir yedekleme yapılabilir.

5.2. Bulut Tabanlı Yedekleme

• NSA standartlarına uygun güvenlik sertifikalarına (ör. FedRAMP onayı) sahip bulut sağlayıcıları tercih edilmelidir.
• Hibrit Yedekleme Stratejisi: Yerel depolama ve bulut yedekleme kombinasyonu.

6. Uyumluluk ve Denetim

6.1. Uyumluluk Gereklilikleri

• FISMA (Federal Information Security Management Act): NSA standartları ile uyumlu sistemlerin güvenliği sağlanır.
• NIST 800-53 ve 800-88: Veri koruma ve yedekleme süreçleri için temel kılavuzlar sunar.
• GDPR ve CCPA: Yedeklerin uluslararası veri koruma yasalarına uygun şekilde yönetilmesi gerekir.

6.2. Denetim ve İzleme

• Tüm yedekleme ve kurtarma işlemleri, sistem kayıtlarında (log) detaylı bir şekilde izlenmelidir.
• Güvenlik Denetimleri: Harici ve bağımsız güvenlik denetimleri düzenli aralıklarla yapılmalıdır.

7. Afet Kurtarma (Disaster Recovery) ve İş Sürekliliği (Business Continuity)

7.1. Afet Kurtarma Planları

• Yedekleme süreçleri, bir felaket anında verilerin hızla kurtarılmasını sağlayacak şekilde planlanmalıdır.
• Yedekleme Lokasyonları: Yedeklerin farklı coğrafi bölgelerde tutulması önerilir.

7.2. Otomatik Kurtarma Prosedürleri

• Kritik sistemler için otomatik felaket kurtarma senaryoları oluşturulmalıdır.
• Failover Sistemler: Birincil sistem devre dışı kaldığında, yedek sistem otomatik olarak devreye girer.

NSA standartlarına uygun bir yedekleme yapısı oluşturmak, sadece verilerin fiziksel ve dijital olarak korunmasını değil, aynı zamanda iş sürekliliğini de sağlamayı hedefler. Bu yapının uygulanabilirliği için detaylı bir planlama, uygun altyapı ve sıkı güvenlik prosedürleri gereklidir.