Birleşik Krallık hükümetine, ABD’de Amazon Web Hizmetleri’nde (AWS) meydana gelen ve birkaç saat süren büyük bir kesintinin, HM Revenue & Customs (HMRC) ve Lloyds Banking Group dahil olmak üzere Birleşik Krallık merkezli kuruluşları neden sekteye uğrattığı konusunda bir yanıt vermesi için baskı yapılıyor.
AWS’nin doğruladığı kesintinin, 20 Ekim’de İngiltere saatiyle sabah 08.00’den hemen önce başladığı, AWS’nin Kuzey Virginia’daki ABD-Doğu-1 veri merkezi bölgesinden kaynaklandığı ve Birleşik Krallık da dahil olmak üzere dünya çapında birçok şirkette büyük ölçekli kesintiye neden olduğu belirtildi.
ABD-Doğu-1 bölgesi, Amazon’un ilk ve amiral gemisi bulut bölgesi olmasının yanı sıra en büyüğü olmasıyla da ünlüdür ve genellikle genel bulut devinin yeni hizmetleri müşterilere ilk olarak sunduğu yerdir.
Bu nedenle ABD-Doğu-1 bölgesindeki hizmet sorunlarının firmanın bulut teknolojilerinin denizaşırı kullanıcılarını olumsuz etkilemesi alışılmadık bir durum değil.
Ancak Birleşik Krallık’ta (ve diğer coğrafyalarda) kamu ve özel sektörün ABD merkezli büyük teknoloji platformlarına aşırı bağımlılığına ilişkin endişelerin artmasıyla birlikte, kesinti, ülkenin barındırma düzenlemelerinin esnekliği konusunda daha fazla şeffaflık yönünde çağrıların yenilenmesine yol açtı.
Kamu sektöründe uzun bir çalışma geçmişine sahip bağımsız bir güvenlik mimarı ve veri koruma uzmanı Owen Sayers, Computer Weekly’e şöyle konuştu: “Daha büyük olan daha iyidir ve en büyük en iyidir anlatısı her zaman olduğu gibi yalan olarak gösterilmiştir.” “Hiper ölçekli bulutun savunucuları her zaman en iyi mühendislere, en fazla personele ve en büyük kaynak havuzuna sahip olduklarını söyleyecektir, ancak daha büyük her zaman daha iyi değildir – ve özellikle ülkeler kendi ulusal güvenlikleri, güvenlikleri ve operasyonları için bu emtia küresel hizmetlere güvendiklerinde bu durum söz konusu değildir.
“Ulusal açıdan önemli hizmetlerin, ulusal kontrol altında en iyi şekilde sunulduğu kabul edilmeli ve en azından hükümet bugün AWS’nin kapısını çalmalı ve Birleşik Krallık’ta çalışma süresini garanti eden bir hizmeti gerçekten sunup sunamayacaklarını sormalıdır” dedi. “Çünkü bu haftaki kesintiden elde edilen kanıtlar bunu yapamayacaklarını gösteriyor.”
Hükümetin bulut kullanımı inceleniyor
AWS, kesintinin nedenlerini ve hizmetleri tekrar çevrimiçi hale getirmek için atması gereken adımları ayrıntılarıyla anlatan ayrıntılı bir “olay sonrası özet” yayınlama sözü verdi.
Bu arada, Sayers’ın tavsiyeleri doğrultusunda, HM Hazine Müsteşarlığından, AWS gibi tedarikçilerin finansal hizmetler sektöründeki kuruluşlara dayanıklı bulut hizmetleri sunma işine hazır olmalarını sağlamak için bu yılın başında kendisine verilen yetkileri neden kullanmadığının açıklaması isteniyor.
Hazine Seçilmiş Komitesi başkanı Meg Hillier, ekonomi sekreteri Lucy Rigby’ye yazdığı ve AWS kesintisi sırasında kaleme alındığı anlaşılan bir mektubu yayınladı.
Mektup, Rigby’den, Ocak 2025’ten bu yana bunu yapma yetkisine sahip olmasına rağmen Hazine’nin şu ana kadar AWS’yi Kritik Üçüncü Taraflar (CTP) tedarikçiler listesine eklemeyi neden ihmal ettiği konusunda açıklama yapması için çağrıda bulunuyor.
Kasım 2024’te Finansal Hizmetler ve Piyasalar Yasası 2020’de yapılan değişikliklerle getirilen bu atama, Birleşik Krallık’taki mali düzenleyicilere, üçüncü taraf tedarikçileri kendi denetim kapsamlarına sektöre dahil etme olanağı sağlamayı amaçlamaktadır; buradaki fikir, bunu yapmanın, 20 Ekim’de olduğu gibi, üçüncü taraf bir tedarikçinin hizmet kesintisinden muzdarip olması sonucunda Birleşik Krallık finansal sisteminin istikrarı ve dayanıklılığına yönelik potansiyel risklerin daha iyi yönetilmesine yardımcı olabileceğidir. AWS.
Hillier’in mektubunda belirtildiği gibi, Hazine’nin henüz çok sayıda Birleşik Krallık finansal hizmet kuruluşunun tedarikçisi olduğu bilinen AWS de dahil olmak üzere herhangi bir tedarikçiyi CTP rejimi kapsamına çağırmadığı görülüyor.
Hillier mektubunda, “Amazon Web Services’te bugün yaşanan büyük kesinti ışığında… neden HM Hazine Müsteşarlığı Amazon Web Services’i veya başka herhangi bir büyük teknoloji firmasını Kritik Üçüncü Taraf Rejimi amaçları doğrultusunda CTP olarak belirlemedi?” diye sordu. “[And] Firmaların ne kadar sürede bu rejime geçmesini bekleyebiliriz?”
Hillier ayrıca HM Hazine Müsteşarlığından, kesintinin ABD merkezli bir AWS veri merkezi bölgesinden kaynaklandığı ancak Lloyds Bank ve ayrıca HMRC’nin faaliyetlerini etkilediği göz önüne alındığında, “görünüşte BT altyapımızın önemli bölümlerinin yurt dışında barındırıldığı” gerçeğinden endişe duyup duymadığı konusunda açıklama istedi.
İkinci noktada Hiller şunu sordu: “HM Hazine Müsteşarlığı, neyin yanlış gittiğine bakmak için HMRC ile ne gibi çalışmalar yapıyor ve bu durum gelecekte nasıl önlenebilir?”
Computer Weekly, Hillier’in mektubuna verdiği yanıtın ayrıntılarını öğrenmek ve AWS’yi yakın zamanda CTP listesine ekleme planlarının olup olmadığına ilişkin açıklama almak için HM Hazine ile temasa geçti. Ayrıca Hazine’nin, kesintinin ardından İngiltere’nin bankacılık altyapısının bazı bölümlerinin yurt dışında barındırılması konusunda endişeleri olup olmadığı da soruldu.
Hükümet departmanı sözcüsü, Computer Weekly’nin yönelttiği soruları doğrudan yanıtlamadı ancak yanıt olarak aşağıdaki açıklamayı yaptı:
Hazine açıklamasında, “Siber saldırganların mevcut tehdidini biliyoruz, bu nedenle Kritik Üçüncü Taraf rejimi oluşturmak için düzenleyicilerle birlikte çalışıyoruz, böylece bu hizmetleri sağlayan firmaları diğer finansal hizmet kurumlarıyla aynı yüksek standartlarda tutabiliriz” dedi.
Birleşik Krallık denizaşırı bulutlara güveniyor
Hillier’in Hazine’ye, Birleşik Krallık’ın BT altyapısının önemli bölümlerinin yurt dışında barındırılmasıyla ilgili herhangi bir endişesi olup olmadığı konusundaki sorusu, kesintinin ardından Birleşik Krallık’taki diğer bulut piyasası gözlemcileri ve paydaşları tarafından da yineleniyor.
“Açık soruyu sormalıyız: HMRC’den büyük bankalara kadar pek çok kritik Birleşik Krallık kurumu neden ABD’nin doğu kıyısındaki bir veri merkezine bağımlı?” Londra merkezli bulut hizmetleri sağlayıcısı Civo’nun CEO’su Mark Boost dedi.
“Egemenlik, bu tür olaylar meydana geldiğinde kontrol sahibi olmak anlamına gelir – ancak elimizdekilerin çoğu şu anda yabancı bulut sağlayıcılarına yaptırılıyor. AWS kesintisi, tüm yumurtalarınızı tek bir sepete koyduğunuzda kritik altyapıyla kumar oynadığınızı gösteren bir başka hatırlatmadır.
“Tek bir başarısızlık noktası HMRC’yi çökertebildiğinde, bir avuç ABD teknoloji devine olan güvenimizin temel kamu hizmetlerini tehlikeli bir şekilde açığa çıkardığı açıkça ortaya çıkıyor” dedi.
AWS, 2016’dan bu yana Birleşik Krallık’ta bir veri merkezi bölgesi işletiyor; bu tesislerin en önemli avantajı, Birleşik Krallık merkezli kuruluşların genel bulut hizmetlerinin yerel olarak barındırılan sürümlerine erişmesine olanak sağlamasıdır.
Bu, Boost ve Hillier’in, ABD’deki bir kesintinin neden Birleşik Krallık merkezli kuruluşları etkilediğine ilişkin sorgulamalarına daha fazla ağırlık katıyor; oysa bu kuruluşların muhtemelen AWS hizmetlerine erişim için Birleşik Krallık bölgesine güvenmeleri gerekiyor.
Computer Weekly, kesinti sırasında HMRC’de meydana gelen kesintiyi örnek olarak göstererek bu soruyu AWS’ye sorduğunda, bir şirket sözcüsü yayına bu yorumu doğrudan devletin vergi dairesine iletmesini tavsiye etti.
Paylaşılan sorumluluk modeli
Bu yanıt (veya bunun yokluğu), potansiyel olarak AWS’nin abone olduğu “paylaşılan sorumluluk modeli” kavramına işaret ediyor; bu modele göre kuruluş, müşterilerinin bulut ortamlarının güvenliğini, uyumluluğunu ve dayanıklılığını ortak bir yük olarak görüyor.
Şirketin Paylaşılan Sorumluluk Modeli referans web sayfasında ayrıntılı olarak açıklandığı üzere bu kurulum, AWS müşterilerini kendi bulut altyapılarını çalıştırmanın operasyonel yükünden “kurtarmak” için tasarlanmıştır, ancak onlar bu altyapıda barındırmayı seçtikleri verilerden sorumlu olmaya devam ederler.
“Müşteriler seçtikleri hizmetleri dikkatle değerlendirmeli [to host in AWS] Sorumlulukları kullanılan hizmetlere, bu hizmetlerin BT ortamlarına entegrasyonuna ve geçerli yasa ve düzenlemelere bağlı olarak değiştiği için” dedi AWS.
“Bu paylaşılan sorumluluğun doğası aynı zamanda dağıtıma izin veren esneklik ve müşteri kontrolünü de sağlıyor.”
Computer Weekly’ye konuşan BT pazar gözlemcisi Forrester’ın baş analisti Brent Ellis, kesintinin AWS ABD-Doğu-1 bölgesinden kaynaklandığının ve Birleşik Krallık organizasyonlarını etkilediğinin, HMRC ve Lloyds kurulumlarının “en azından bir kısmının” bu bölgeye bağımlı olduğunu gösterdiğini söyledi.
Ellis, “Bu, söz konusu şirketlerin mimari tercihi olabilir ancak mutlaka AWS’nin hatası olmayabilir” dedi. “Bu bağımlılık aynı zamanda iç içe geçmiş bir SaaS tarafından da ortaya çıkmış olabilir. [software as a service] İlgili kuruluşlar için bileşen.
“Genel olarak bunun, modern bulut tabanlı altyapının ne kadar karmaşık ve birbirine bağlı olduğunu gösterdiğini düşünüyorum ve bu, özellikle iş teknolojisi yığınınızın altında yatan iç içe geçmiş bağımlılıkları göremiyorsanız, dayanıklılık açısından bir sorundur.”
Düzenleyici müdahale
Bu tür bağımlılıkların yaratabileceği etki nedeniyle Ellis, AWS kesintisinin, Hiller ve Hazine Seçim Komitesi’ndeki meslektaşlarının çağrılarına benzer şekilde, bunun tekrarını önlemek için düzenleyici müdahale çağrılarına yol açabileceği görüşünde. “Bunun egemen buluta yönelik daha büyük baskıya yem sağladığını düşünüyorum” dedi. “Ayrıca muhtemelen finans gibi kritik sektörler için bağımlılıklara ve hata alanlarına ilişkin görünürlüğü artırmaya yönelik düzenlemeleri de teşvik edecek.”
Sayers, AWS gibi hiper ölçekli bulut hizmetleri kullanıcılarının bilmesi gereken şeyin, seçtikleri tedarikçilerin genişletilmiş portföylerindeki hangi hizmet ve yeteneklerin Birleşik Krallık’ta barındırıldığı ve bunların ne kadar dayanıklı olduğu olduğunu ekledi.
Bunun neden önemli olduğunu vurgulamak için, Microsoft’un İskoç polis teşkilatı sektöründeki bulut barındırma düzenlemelerine ilişkin, Computer Weekly ile birlikte çalışarak kamuya açıkladığı bir dizi araştırmanın bulgularını aktardı.
Bu çalışma, Microsoft’un, M365 platformunda depolanan ve işlenen Birleşik Krallık polis teşkilatı verilerinin egemenliğini garanti edemeyeceğine dair ilk açıklamayla sonuçlandı.
Bunu daha sonra, Microsoft bulutunda barındırılan polislik verilerinin, kullanıcıların açıkça haberi olmadan 100’den fazla ülkede işlenebildiğinin ortaya çıkması takip etti.
“Microsoft’un tüm hizmetleri için Birleşik Krallık merkezli bir yeteneğinin olmadığını zaten biliyoruz, ancak tam olarak ne olduğunu bilmemiz gerekiyor. [overseas hyperscalers] Sayers şöyle konuştu: “Ülkede teslimat yapabilirler ve bunun gerçekte ne kadar dirençli olduğunu anlarız. Başarısızlık noktalarını ve bunların nasıl tasarlanabileceğini doğru bir şekilde anlamamız gerekiyor.”
Hiper ölçekleyicilerden bazıları, bilgilerin ticari açıdan hassas olduğunu iddia ederek bu noktadaki soruları yanıtlamaktan kaçınmaya çalıştı, diye devam etti. Sayers, “Bu artık tahammül edebileceğimiz bir savunma değil” dedi. “Bu hizmetler giderek kırılganlaşıyor, karmaşıklaşıyor ve giderek gözümüzün önünden gizleniyor. Onlara güvenmek istiyorsak güvenilir olduklarını bilmemiz gerekiyor, eğer güvenilir değilse o zaman en azından kritik hizmetler için yön değiştirmemiz gerekiyor.”
Müşteri tarafından oluşturulan sorunlar
Forrester’da kıdemli analist olan Ellis’in meslektaşı Dario Maisto, Computer Weekly’ye AWS’nin müşteri tarafından oluşturulan, bölgeler arası mimari bağımlılıkların Avrupalı müşteri tabanının karşı karşıya olduğu “daha büyük egemenlik sorununun” parçası olduğunun farkında olduğunu söyledi.
“[AWS] hizmetlerinin mükemmel bir kopyasını piyasaya sürmek üzere [in Europe] AWS AB kapsamında [European Union] ilk izole edilmiş egemen bulut teklifi [sovereign] Almanya’daki bölge” dedi.
“Aslında bir müşterinin verilerinin ve iş yüklerinin yurt dışındaki altyapıya bağımlı olmadığından emin olmasının tek yolu, kullandığı bulut bölgelerinin fiziksel ve mantıksal izolasyonudur. [so that it] Müşterinin yabancı altyapıya bağımlılık yaratacak herhangi bir tercih yapabilmesi kesinlikle mümkün olmamalıdır.”
Maisto şöyle devam etti: Bu sonuca ulaşmak, müşterinin ihtiyaç duyduğu tüm hizmetlerin, müşterinin erişebileceği tek bölge olarak izole edilmiş bir bölgede barındırılması gerektiği anlamına gelir. “Bir veri sınırı veya pazara yönelik bir taahhüt, yalnızca müşterinin bulut ortamının kesin bir mimari yapısının sağlayabileceği şeyi garanti edemez” diye ekledi.
AWS, kesinti yaşayan tek bulut sağlayıcısı değil ve bir kuruluşun verilerini emanet ettiği herhangi bir bulut şirketi, varlıklarının bir noktasında benzer bir kadere maruz kalabilir.
Ancak Civo’dan Boost, olayın neden işletmelerin bulut sağlayıcı havuzunu çeşitlendirmeye çalışması gerektiğinin yanı sıra hükümetlerin ve düzenleyicilerin dünya altyapısının ne kadarının nispeten az sayıda hiper ölçekli bulut platformunda çalıştığına neden daha yakından bakması gerektiğini de ortaya koyduğunu söyledi.
“Altyapımız ne kadar yoğunlaşırsa, o kadar kırılgan olur ve dışarıdan yönetilir” dedi. “Avrupa dijital egemenlik konusunda ciddiyse, ülke içinde yönetilen ve çeşitlendirilmiş altyapıya doğru geçişini hızlandırması gerekiyor. Hükümetlerin ve düzenleyicilerin gerçek rekabetin koşullarını yaratma sorumluluğu var. Bu, satın almayı yeniden düşünmek, egemen alternatifleri finanse etmek ve esnekliği temel bir gereklilik haline getirmek anlamına geliyor.”