CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Bulut Güvenliği İzleme: AWS, Azure ve GCP İle En İyi Uygulamalar

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Bulut güvenliği izleme, AWS, Azure ve GCP platformlarında verilerinizi korumak için kritik öneme sahiptir. Bu yazıda en iyi uygulamaları keşfedin.

Bulut Güvenliği İzleme: AWS, Azure ve GCP İle En İyi Uygulamalar

Bulut güvenliği izleme, modern iş dünyasında giderek daha fazla önem kazanıyor. AWS, Azure ve GCP platformlarında bu süreç nasıl yönetilir? Bu blogda bulut ortamlarının güvenliği için önemli ipuçlarını anlatıyoruz.

Giriş ve Konumlandırma

Bulut bilişim, günümüzün siber güvenlik paradigmasında önemli bir rol oynamaktadır. Özellikle AWS, Azure ve GCP gibi büyük bulut hizmeti sağlayıcıları, işletmelere esneklik ve ölçeklenebilirlik sunarak kurumların dijital dönüşüm süreçlerini hızlandırmaktadır. Ancak, bulut ortamlarının sağladığı bu avantajlar aynı zamanda beraberinde çeşitli güvenlik risklerini de getirmektedir. Dolayısıyla, bulut güvenliğinin izlenmesi, günümüz siber tehditlerine karşı etkili bir savunma mekanizması oluşturmak açısından kritik bir gerekliliktir.

Bulut Güvenliği ve Paylaşımlı Sorumluluk Modeli

Bulut güvenliği izleme, temel olarak paylaşımlı sorumlılık modeline dayanır. Bu model, bulut hizmeti sağlayıcısının altyapı güvenliğinden sorumlu olduğunu, müşterinin ise veri, kimlik ve erişim yönetiminden sorumlu olduğunu ifade eder. Bu çerçevede, kurumların siber güvenlik stratejilerini oluştururken, bu paylaşımlı sorumlulukları göz önünde bulundurmaları gerekir. Aboneliklerin güvenliği ve veri bütünlüğü, bulut ortamında sağlanacak uygun yapılandırmalar ile mümkün olacaktır.

İyi Uygulamalar ve Sürekli İzleme

Bulut güvenliğinde izleme, yalnızca bir altyapı koruması değil, aynı zamanda sürekli bir güvenlik süreçlerinin bileşenidir. Farklı bulut platformları, uygulama ve sistem loglarını merkezi bir noktada toplamak için çeşitli hizmetler sunmaktadır. Örneğin, AWS'nin CloudTrail servisi, hesaplar üzerindeki API aktivitelerini özetlerken, Azure Activity Log, abonelik düzeyindeki işlemleri takip eder. Google Cloud ise Cloud Logging ile uygulama loglarını toplar. Bu servisleri etkin bir biçimde kullanmak, siber saldırıların önlenmesi ve izlenmesi açısından büyük önem taşır.

# Örnek: AWS CloudTrail
aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName

Bu komut, AWS CloudTrail kullanarak belirli API etkinliklerini görüntülemek için kullanılabilir. Loglar üzerinden analiz yaparak, şüpheli aktivitelerin tespit edilmesi sağlanabilir.

Bulut Ortamlarında Kimlik Yönetimi

Kimlik ve erişim yönetimi (IAM) bulut ortamlarında güvenliğin en kritik unsurlarından biridir. IAM kontrolleri, kullanıcıların ve sistemlerin bulut kaynaklarına erişimini yönetmeyi amaçlar. Bu nedenle, IAM yapılandırmalarında yapılacak hatalar, ciddi güvenlik açıklarına neden olabilir. Örneğin, AWS S3 ya da Azure Blob Storage gibi depolama alanlarının yanlışlıkla public (kamusal) olarak bırakılması, veri sızıntılarına yol açabilir. Bu durum, siber güvenlik analizlerine dahil edilmesi gereken kritik bir risk faktörü olarak öne çıkar.

Gölge BT ve Güvenlik Tehditleri

Gölge BT (Shadow IT), bilişim birimleri tarafından onaylanmamış bulut hizmetlerinin kullanımını ifade eder. Bu durum, organizasyon içindeki güvenlik işleyişini önemli ölçüde riske sokar. Çalışanların farklı bulut servislerini kullanması, saldırgaların bu yapılardan faydalanarak bilgiye ulaşmasına olanak sağlayabilir. Dolayısıyla, çalışanların hangi hizmetleri kullandığını takip etmek ve izlemek, siber güvenlik analistlerinin öncelikli görevleri arasında yer almalıdır.

Sürekli Uyumluluk

Uyumluluk, bulut güvenliğinde sürekli bir çekirdek oluşturur. Sürekli uyumluluk araçları, yapılandırma hatalarını gerçek zamanlı olarak tarayarak, güvenlik standartlarına uygunluk durumunu izler. Bu araçlar ile birlikte, ihlallerin önlenmesi ve olası saldırılara karşı hızlı müdahale yöntemleri geliştirilir. Örneğin, AWS GuardDuty gibi tespit servisleri, şüpheli aktiviteleri tespit etmek için makine öğrenimi teknolojilerini kullanarak güvenlik analistlerine kritik veriler sunar.

Sonuç olarak, bulut güvenliği izleme; kimlik yönetimi, log yönetimi, tehdit tespiti ve sürekli uyumluluk süreçleriyle birleştiğinde, etkili bir güvenlik mimarisi oluşturur. AWS, Azure ve GCP gibi platformlarda doğru uygulamaları benimsemek, siber tehditlere karşı daha dayanıklı bir alt yapı sağlar. Bu süreçte, teknik bilgi ve uygulama yetkinliği kazanmak, siber güvenlik alanındaki en önemli gerekliliklerden biri haline gelmiştir.

Teknik Analiz ve Uygulama

Paylaşımlı Sorumluluk Modeli

Bulut güvenliği, paylaşımlı sorumlılık modeli ile başlar. Bulut servis sağlayıcıları, altyapıların güvenliğinden sorumlu iken, kullanıcılar veri ve kimlik yönetimini sağlamaktan sorumludur. Bu modelin anlaşılması, bulut ortamındaki güvenlik uygulamalarının doğru bir şekilde yapılandırılmasına yardımcı olur. Her iki tarafın sorumluluklarını net bir şekilde anlamak, olası güvenlik açıklarını azaltmak için kritik öneme sahiptir.

Bulut Log Kaynakları

Farklı bulut platformları, güvenlik loglarını toplamak amacıyla çeşitli servisler sunar. Aşağıda bu servislerin özellikleri özetlenmiştir:

  • AWS CloudTrail: AWS hesaplarındaki API aktivitelerini ve kullanıcı hareketlerini kayıt altına alır. Bu servis, izleme ve denetim için temel bir araçtır.

  • Azure Activity Log: Azure kaynakları üzerinde yapılan abonelik düzeyindeki işlemleri kaydeder. Oluşturma, silme ve güncelleme işlemlerinin izlenmesini sağlar.

  • GCP Cloud Logging: Google Cloud üzerindeki uygulama ve sistem loglarını merkezi bir noktada toplar. Bu, geliştiricilere ve yöneticilere sistemin sağlığı hakkında hızlı bilgi sağlar.

Bu log kaynaklarını kullanarak, güvenlik ihlallerini tespit etme ve analiz etme yeteneği artırılabilir. Özellikle şüpheli aktiviteleri izlemek için logları düzenli olarak incelemek gerekir.

IAM (Identity and Access Management) Güvenliği

Kimlik ve Erişim Yönetimi (IAM), bulut güvenliğinde kritik bir rol oynamaktadır. IAM politikalarının doğru bir şekilde yapılandırılması, kullanıcıların bulut kaynaklarına erişimini kontrol eder. IAM ile ilgili en iyi uygulamalardan bazıları şunlardır:

  • Kullanıcıların rol tabanlı erişim kontrolleri ile sınırlanması: Her kullanıcı, yalnızca işini yapmak için ihtiyaç duyduğu izinlere sahip olmalıdır.

  • Çok faktörlü kimlik doğrulama (MFA) kullanılması: Kullanıcıların kimliklerini doğrulamak için birden fazla yöntem kullanılması, güvenliği artırır.

Aşağıda IAM politikası oluşturma için örnek bir komut verilmiştir:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::example-bucket"
        }
    ]
}

Bu politika, belirtilen S3 bucket’a erişimi yalnızca listeleme izinleri ile sınırlı olan bir kullanıcıya tanır.

Açık Depolama (S3 Bucket) Riskleri

AWS S3 veya Azure Blob Storage gibi depolama alanlarının yanlışlıkla ‘Public’ (Herkese Açık) bırakılması, en sık görülen veri sızıntılarına neden olmaktadır. Açık depolama alanlarında hassas verilerin depolanması, büyük güvenlik riskleri oluşturur.

Veri sızıntılarının önlenmesi için şu önlemler alınmalıdır:

  • Kapsamlı erişim kontrolleri uygulamak: Herhangi bir nesnenin halka açık olmasını önlemek için IAM politikaları ve bucket politikaları ile kontrol sağlanmalıdır.

  • Periyodik güvenlik denetimleri yapmak: Depolama alanlarını düzenli olarak denetlemek, açık bucket’ları tespit etmekte yardımcı olacaktır.

Bulut Ağ Güvenliği (VPC ve NSG)

Bulut ağ güvenliği, sanal ağlar ile gelen/giden trafiği kontrol etmek için kullanılır. Örneğin, AWS’de VPC (Virtual Private Cloud) yapıları kurarak, kullanıcı özel ve izole bir ağ ortamı oluşturabilir. Buna ek olarak, Security Groups veya Network Security Groups (NSG) kullanarak, sanal makineler arasında yönlendirme gerçekleştirerek güvenlik duvarı işlevi görebiliriz.

# AWS CLI ile VPC oluşturma
aws ec2 create-vpc --cidr-block 10.0.0.0/16

Bu komut, belirtilen CIDR bloğuna sahip bir VPC oluşturur. Oluşturulan VPC içerisine daha fazla güvenlik ayarlamaları ve kaynakların yerleştirilmesi gereklidir.

Cloud-Native Tespit Araçları

AWS’nin GuardDuty servisi, şüpheli aktiviteleri tespit etmek için makine öğrenimini kullanır. Bulut ortamlarında güvenliği sağlamak için proaktif saldırı tespit yöntemleri hayati önem taşır. GuardDuty, ağ trafiği analizleri yaparak, potansiyel tehlikeleri gerçek zamanlı olarak tespit eder.

Bu tür cloud-native güvenlik araçlarının doğru kullanımı, bulut ortamındaki zafiyetleri tespit etme ve hızlı müdahale yeteneğini artırır.

Gölge BT (Shadow IT) Tehlikesi

Gölge BT, bilgi işlem birimi tarafından onaylanmamış bulut uygulamalarının kullanılmasını ifade eder. Bu durum, şirket için güvenlik riski oluşturur çünkü bu uygulamalar genellikle yeterli güvenlik kontrollerine sahip değildir.

Gölge BT'nin minimize edilmesi, çalışanların hangi bulut servislerini kullandığını izlemek ve gerekli eğitimleri vermek ile sağlanabilir.

Bulut Ortamında Müdahale (Incident Response)

Bulut ortamlarında güvenlik olaylarına müdahale etmek, protokol ve politikaların uygulanmasını gerektirir. Saldırı tespit edildikten sonra yapılması gereken bazı adımlar şunlardır:

  1. Snapshot alma: Enfekte olmuş sanal makinenin durumu yedeklenerek analiz edilmelidir.
  2. Revoke Session: Saldırganın ele geçirdiği bulut kullanıcı oturumları derhal sonlandırılmalıdır.
  3. Quarantine SG: Şüpheli cihazın, erişimi kapatılmış bir Security Group içine taşınması.

Bu uygulamalar, güvenlik olayı sonrası etkili bir yanıt mekanizması oluşturur.

Sunucusuz (Serverless) Güvenliği

Sunucusuz mimariler, geliştiricilere büyük esneklik sağlar, ancak bu durum ek güvenlik risklerini de beraberinde getirir. AWS Lambda veya Azure Functions gibi hizmetlerin izlenmesi gerekir. Sunucusuz uygulamalar için güvenlik izleme, koşul tabanlı saldırıların tespit edilmesini sağlar ve kaynakların güvenliği için önemlidir.

Kod parçaları gibi hızlı değişen varlıkların güvenliğini sağlamak, sürekli izleme gerektirir.

Sürekli Uyumluluk (Continuous Compliance)

Bulut uyumluluk araçları, yapılandırma hatalarını gerçek zamanlı tarayarak uyumluluk standartlarını denetler. Bu tür araçların kullanımı, değişken bulut mimarileri içinde güvenlik denetimlerini otomatikleştirir. Sürekli uyumluluk sağlamak, herhangi bir güvenlik ihlali durumunda hızlı düzeltici önlemler almayı kolaylaştırır.

Sonuç olarak, bulut güvenliği izleme, AWS, Azure ve GCP gibi hizmetlerde dikkatli bir yapılandırma ve izleme gerektirir. Yukarıda bahsedilen işlevler ve en iyi uygulamalar, siber tehditlere karşı sağlam bir güvenlik duruşu oluşturmak için gereklidir.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Yorumlama

Güvenlik Bulgularının Anlamı

Bulut ortamlarında güvenlik bulguları, organizasyonların veri ve altyapı güvenliğini sağlamak için kritik veriler sunar. AWS, Azure ve GCP gibi bulut platformları, kullanıcı etkinliklerini ve sistem anormalliklerini izlemek için kapsamlı loglama ve izleme araçları sunar. Bu araçlardan elde edilen bulgular, siber saldırılara karşı alınacak önlemler, potansiyel zafiyetler ve yanlış yapılandırmalar hakkında önemli ipuçları sağlar.

Örneğin, AWS CloudTrail kullanılarak toplanan API aktiviteleri, belirli kullanıcıların hangi işlemleri gerçekleştirdiğini göstermenin yanı sıra, şüpheli aktiviteleri de tespit eder. Benzer şekilde, Azure Activity Log ve GCP Cloud Logging, kullanıcı aktivitelerinin yanı sıra uygulama ve sistem loglarını merkezi bir noktada toplar. Bu logların analiz edilmesi, güvenlik açıklarını ve yanlış yapılandırmaların varlığını net bir şekilde ortaya koyar.

Yanlış Yapılandırma ve Zafiyetler

Yanlış yapılandırmalar, bulut ortamlarının en yaygın güvenlik zafiyetlerinden biridir. Özellikle, AWS S3 veya Azure Blob Storage gibi açık depolama alanlarının yanlışlıkla "Public" (Herkese Açık) bırakılması, veri sızıntılarının en sık görülen nedenlerindendir. Herhangi bir kötü niyetli kullanıcı, bu tür açık alanlara erişim sağlayabilir ve kritik verilere ulaşabilir.

Aşağıdaki örnek kod, AWS IAM üzerinde bir kullanıcının erişim yetkilerini denetlemek için kullanılabilecek bir komuttur:

aws iam list-user-policies --user-name <kullanıcı_adı>

Bu tür denetimler, kullanıcıların hangi verilere erişim hakları olduğunu anlamak için kullanılır. Eğer aşırı yetkilendirilmiş kullanıcılar tespit edilirse, bu durum ciddi bir güvenlik riski oluşturur.

Sızan Veri, Topoloji ve Servis Tespiti

Sızan veriler, bir organizasyonun müşteri bilgileri, finansal verileri veya diğer hassas bilgilerinin ele geçirilmesi anlamına gelir. Bu tür durumların tespiti ve analizi, bulut güvenliği için kritik bir faktördür. Örneğin, AWS GuardDuty, kullanıcıların şüpheli aktivitelerini tespit etmek için makine öğrenimi teknolojilerini kullanır. Bu hizmet, bilhassa veri sızıntılarına neden olabilecek kripto madenciliği gibi uygunsuz davranışları izleyerek, olası tehditleri erkenden tespit etme fırsatı sunar.

Aynı zamanda, bulut mimarisinde kullanılan ağ yapıları, verilerin ve servislerin güvenliğini sağlamada da önem taşır. Virtual Private Cloud (VPC) gibi yapılar, trafiği izole ederek, kaynakların daha güvenli bir şekilde yönetilmesini sağlar.

Profesyonel Önlemler ve Hardenning Önerileri

Siber güvenlik önlemleri alırken, birinci adım mevcut yapılandırmaların gözden geçirilmesidir. Aşağıda bazı temel hardening önerileri bulunmaktadır:

  1. Güçlü Kimlik Yönetimi: IAM (Identity and Access Management) kontrollerini uygulamak, erişim yetkilerini kısıtlamak ve gereksiz IAM rollerini devre dışı bırakmak. 

    aws iam delete-role --role-name <rol_adı>

  2. Açık Depolama Risklerini Giderme: Depolama alanlarının erişim izinlerini dikkatli bir şekilde yapılandırarak, gereksiz halka açık erişimleri engellemek. Kullanıcılara sadece gerekli minimum erişim haklarını vermek.

  3. Günlük İzleme ve Analiz: Izleme hizmetlerinin etkin bir şekilde kullanılması; AWS CloudTrail, Azure Activity Log gibi araçların düzenli olarak analiz edilmesi.

  4. Ağ Güvenliği Kontrolleri: VPC ve Security Groups (NSG) kullanarak, yalnızca gerekli trafik akışını izin vermek ve şüpheli IP adreslerini engellemek.

  5. Olay Müdahale Planları: Saldırı veya zafiyet durumlarında kullanılacak bir olay yanıt planının hazırlanması ve düzenli tatbikatlar yapılması.

Sonuç Özeti

Bulut güvenliği izleme, AWS, Azure ve GCP gibi platformlarda kritik bir öneme sahiptir. Risk değerlendirme ve yorumlama sürecinde, elde edilen bulguların anlamlandırılması ve yanlış yapılandırmaların tespit edilmesi esastır. Geçmişte yaşanan veri sızıntıları, ciddi sonuçlar doğurabileceğinden, organizasyonların bu tür durumları önlemeleri için gerekli teknik önlemleri almaları gerekmektedir. Güçlü IAM uygulamaları, açık depolama risklerinin azaltılması, etkin süreklilik planları ve ağ güvenliği kontrolleri, bulut ortamlarındaki güvenliği artırmanın anahtar unsurlarıdır. Bütün bunlar, bulut güvenliği stratejilerinin sağlıklı bir şekilde sürdürülmesi için kritik öneme sahiptir.