CyberFlow Logo CyberFlow BLOG
Soc L3 Cloud Security

Bulut Güvenliği İzleme: Paylaşımlı Sorumluluk ve Log Yönetimi

✍️ Ahmet BİRKAN 📂 Soc L3 Cloud Security

Bulut güvenliği izleme süreçleri ve paylaşımlı sorumluluk modeli hakkında kapsamlı bir rehber.

Bulut Güvenliği İzleme: Paylaşımlı Sorumluluk ve Log Yönetimi

Bulut ortamlarında güvenliği sağlamak için izleme ve log yönetiminin nasıl yapılması gerektiği hakkında bilgi edinin. Paylaşımlı sorumluluk modeli ile bulut güvenliği temellerini keşfedin.

Giriş ve Konumlandırma

Giriş

Bulut bilişim, bireyler ve organizasyonlar için büyük verimlilik ve esneklik sunan devrim niteliğinde bir teknoloji olmuştur. Ancak bu değişimle birlikte siber güvenlik açıkları da artmış ve yeni tehditler ortaya çıkmıştır. Bulut ortamlarının güvenliği, yalnızca bulut sağlayıcılarının sorumluluğunda değil, aynı zamanda kullanıcıların da yükümlülükleri arasında yer almaktadır. Bu bağlamda, paylaşımlı sorumlılık modeli (Shared Responsibility Model) kritik bir önem taşır. Bu model, bulut sağlayıcılarının fiziksel altyapı güvenliğinden, kullanıcıların ise verinin güvenliği ve konfigürasyon düzenlemelerinden sorumlu olduklarını tanımlar.

Neden Önemli?

Bulut güvenliği izleme, yalnızca etkin bir güvenlik stratejisinin oluşturulması için değil, aynı zamanda olası siber saldırıların önlenmesi ve etkilerinin en aza indirilmesi için de gereklidir. Bulut ortamlarında birçok veri ve işlem gerçekleştiğinden, güvenlik olaylarının izlenmesi, anlık tehditlerin tanımlanması ve müdahale süreçlerinin hızlandırılması büyük önem taşır. Günümüzde, bulut üzerinde gerçekleşen her türlü siber saldırının büyük bir kısmı, yetki aşımı ile başlamakta ve sonuç olarak veri sızıntılarına yol açmaktadır. Log yönetimi, bu tür olayların tespiti için kritik bir bileşendir.

Siber Güvenlik Bağlamı ve Uygulamalar

Siber güvenlik, yalnızca savunma önlemleri almakla sınırlı değildir; aynı zamanda düzenli olarak sistem testleri (pentest) gerçekleştirilerek, mevcut zayıflıkların, potansiyel saldırı vektörlerinin ve risklerin belirlenmesi de gereklidir. Bulut güvenlik izleme, bu sürecin önemli bir parçasıdır. Özellikle ağ logları ve kimlik yönetimi (IAM) logları, yetkisiz erişim ve olağandışı aktivitelerin izlenmesinde temel rol oynar. Örneğin, bir kullanıcının olağandışı bir şekilde erişim haklarını arttırması, potansiyel bir tehdit olarak değerlendirilmelidir.

Görünürlük sağlamak için, bulut ortamında toplanan tüm logların merkezi bir platformda analiz edilmesi gerekir. Bu noktada, log kaynaklarının türleri ve amaçları büyük önem taşır. Yönetim logları, veri logları ve ağ logları gibi farklı log türleri, bulut kaynaklarının yönetimi ve güvenliği açısından benzersiz bilgiler sunmaktadır.

Hazırlık

Bu yazının ilerleyen bölümlerinde, bulut güvenliği izleme ile ilgili kritik stratejiler, AWS CloudTrail, Azure ve GCP gibi bulut hizmet sağlayıcılarının log sistemleri, ve hibrit/çoklu bulut ortamında karşılaşılan zorluklar ele alınacaktır. Logların doğru bir şekilde yapılandırılması, analiz edilmesi ve etkin bir şekilde yönetilmesi, bulut güvenliğinde ulaşılması gereken son derece önemli hususlardır.

Aynı zamanda, günümüzde güvenlik olaylarına müdahale eden ve makine öğrenmesi teknolojisinden faydalanarak şüpheli aktiviteleri otomatik olarak bildiren servislerin (Amazon GuardDuty, Azure Sentinel) kullanımı da yaygınlaşmaktadır. Bu tür sistemler, siber güvenlik uzmanlarının iş yükünü azaltmakta ve tehlikelere karşı anında yanıt verme yeteneğini artırmaktadır.

Bulut hizmetlerinin sağladığı esneklik ve ölçeklenebilirlik, kullanıcıların iş süreçlerini hızlandırırken, beraberinde gelen güvenlik sorumluluklarının farkında olmak ve gerekli önlemleri almak büyük bir gereklilik haline gelmiştir. Bu bağlamda, bulut güvenliği izleme, yalnızca teknolojik bir zorunluluk değil, aynı zamanda organizasyonların sürdürülebilirliği ve veri güvenliği açısından da kritik bir unsurdur.

Teknik Analiz ve Uygulama

Paylaşımlı Sorumluluk Modeli

Bulut güvenliği, kullanıcıların ve bulut hizmeti sağlayıcılarının güvenlik sorumluluklarını etkili bir şekilde yönetmelerine dayanır. Bu yönetim, Paylaşımlı Sorumluluk Modeli ile düzenlenir. Bu model, bulut sağlayıcısının altyapı güvenliğinden sorumlu olduğunu, müşterinin ise veri ve konfigürasyon güvenliğini sağlamakla yükümlü olduğunu belirtir. Kullanıcılar için kritik olan, bu sorumlulukların net bir biçimde anlaşılması, zafiyetlerin minimize edilmesi ve olası saldırıların önlenmesidir.

Bulut Log Türleri

Bulut güvenliği izleme için log kaynakları, üç ana kategoriye ayrılır:

  1. Yönetim (Management) Logları: Bulut kaynaklarındaki yapılandırma değişikliklerini takip eder. Örneğin, bir S3 kovasının oluşturulması gibi işlemleri kaydeder.
  2. Veri (Data) Logları: Depolama alanlarına erişim veya veritabanı sorguları gibi doğrudan veri ile ilgili süreçleri izler.
  3. Ağ (Network) Logları: Sanal ağlarda (VPC/VNet) IP trafik akışını izleyerek olası yetkisiz erişimleri veya veri sızıntısı belirtilerini tespit eder.

Bu logların analizi, potansiyel tehditlerin zamanında tespit edilmesi için kritik öneme sahiptir.

Görünürlük ve İzleme Stratejisi

Bulut ortamlarında etkin bir görünürlük sağlamak için doğru log yapılandırması ve izleme protokolleri kurulmalıdır. Geleneksel veri merkezlerine oranla, bulut ortamlarında görünürlük tamamen bu yapılandırmalara bağlıdır. Yapılandırmaların eksikliği, potansiyel saldırıların tespit edilmesini zorlaştırır. Bu nedenle, her bulut hizmeti sağlayıcısının log yönetim kabiliyetlerini anlamak ve onları bu yönüyle değerlendirmek önemlidir.

AWS CloudTrail

AWS bulut ortamında, kullanıcıların ve servislerin gerçekleştirdiği tüm API çağrılarını kaydeden CloudTrail, bulutun “kara kutusu” olarak nitelendirilir. CloudTrail ile ilgili temel komutlar aşağıdaki gibidir:

aws cloudtrail create-trail --name your_trail_name --s3-bucket your_s3_bucket_name

Bu komut, yeni bir CloudTrail oluşturmak için kullanılır. CloudTrail'in logları, güvenlik analizleri ve uyum gereksinimleri için kullanılabilir. Yapılan çağrıların analizi, potansiyel güvenlik ihlallerinin daha kolay tespit edilmesine yardımcı olur.

Azure ve GCP Karşılıkları

AWS CloudTrail'in benzer hizmetleri, Azure ve Google Cloud Platform (GCP) üzerinde de mevcuttur. Azure'da Activity Logs, GCP'de ise Cloud Audit Logs kullanılarak benzer bir izleme ve loglama işlevselliği sağlanmaktadır. Bu sistemler, kullanıcı eylemlerinin ve kaynak değişikliklerinin denetlenmesi için kritik öneme sahiptir.

VPC Flow Logs

AWS ortamlarında, VPC Flow Logs ağ üzerindeki IP trafiğini izlemek için kullanılır. Yetkisiz erişim denemeleri ve veri sızıntısı belirtilerinin tespiti için kritik veriler sağlar. Aşağıdaki komut, VPC Flow Logs oluşturmak için kullanılabilir:

aws ec2 create-flow-logs --resource-type VPC --resource-id your_vpc_id --traffic-type ALL --log-group-name your_log_group

Bu komut, belirli bir VPC için tüm trafik akışını kaydeden bir log grubu oluşturur. Ancak, kullanıcıların bu logları analiz etmek için uygun araçlara da sahip olmaları gerektiğini unutmamak gerekir.

Bulutta IAM İzleme

Kimlik ve Erişim Yönetimi (IAM) logları, bulut güvenliğinin temel taşlarından birini oluşturur. Bulut saldırılarının büyük çoğunluğu yetki sızmalarıyla başlar; bu nedenle IAM loglarında görülen alışılmadık yetki artışları öncelikli olarak izlenmelidir. IAM loglarının yapılandırılması ve izlenmesi, zafiyetlerin tespit edilmesi açısından son derece kritik bir süreçtir.

Object Storage (Nesne Depolama) Denetimi

Nesne depolama hizmetleri (örneğin, AWS S3, Azure Blob Storage), dosya yönetimi açısından önemli potansiyel riskler taşır. Bu nedenle, nesne depolama loglarının analizi ve izlenmesi, veri güvenliği için önem arz eder. Örnek bir risk durumu şu şekildedir:

  • GetObject / Download: Hassas dosyaların normalin çok üzerinde bir hızla ve hacimle indirilmesi (veri sızıntısı).

Bu tür risklerin zamanında tespit edilmesi, olası veri ihlallerinin önlenmesi açısından kritik önemdedir.

Hibrit ve Çoklu Bulut (Multi-cloud) Zorluğu

Modern bir SOC ekibinin karşılaştığı en büyük zorluklardan biri, farklı bulut sağlayıcıları arasında log analizi yapmaktır. Farklı sağlayıcılardan gelen logları tek bir merkezi SIEM platformunda normalize etmek ve korele etmek oldukça zordur. Bu süreç, karmaşık bir yapı oluşturur ve yeterli uzmanlık gerektirir.

Bulut Yerel Tehdit Tespiti

Son olarak, logları analiz ederek makine öğrenmesi destekli otomatik izleme çözümleri (örneğin, AWS GuardDuty veya Azure Sentinel) kullanmak, bulut ortamında oluşturulan güvenlik zafiyetlerinin hızla tespit edilmesi için oldukça faydalıdır. Bu tür sistemler, kullanıcıların bulut güvenliğini sürekli olarak izlemesine ve potansiyel tehditlere karşı proaktif önlemler almasına yardımcı olur.

Risk, Yorumlama ve Savunma

Bulut güvenliği, çok katmanlı bir anlayış gerektirir ve şirketlerin genel güvenlik duruşları açısından önemli riskleri barındırır. Bu bağlamda, risk değerlendirmesi, elde edilen bulguların yorumlanması ve uygun savunma mekanizmalarının geliştirilmesi kritik öneme sahiptir. Burada, bulut ortamlarındaki riski yönetmek için hangi adımların atılması gerektiğine dair bir çerçeve sunulacaktır.

Elde Edilen Bulguların Anlamı

Bulut ortamlarında elde edilen veriler, güvenlik durumunu anlamak adına kritik öneme sahiptir. Örneğin, AWS CloudTrail, kullanıcıların ve servislerin gerçekleştirdiği API çağrılarını kaydeder; bu da potansiyel bir güvenlik ihlali veya yetki aşımını tespit etmek için temel bir log kaynağıdır. Bu tür logların analiz edilmesi, kimlerin hangi kaynaklara eriştiğini ve bu erişimlerin hangi amaçla yapıldığını anlamada faydalı olur.

aws cloudtrail lookup-events --lookup-attribute

Yukarıdaki komut, bulut kaynakları üzerinde gerçekleşen olayları ve bu olayların ayrıntılarını görüntülemek için kullanılır. Bu şekilde, herhangi bir anormal aktivite tespit edildiğinde, hangi kullanıcıların hangi kaynaklara erişim sağladığı konusunda net bir bilgiye sahip olunur.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, bulut güvenliği açısından büyük bir risk teşkil eder. Örneğin, bir S3 kovasının yanlış yapılandırılması, verilerin herkesin erişimine açık hale gelmesine sebep olabilir. Bu durum, "PutBucketPolicy" işlemi ile gerçekleştirilerek dışa açılan veri havuzları oluşturulabilir. Böyle bir yapılandırma, hassas bilgilerin sızmasına yol açabilir.

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": "*",
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::bucket_name/*"
  }]
}

Yukarıdaki JSON yapısı, S3 kovasının herkese açık hale getirilmesini sağlamakta bir örnektir. Bu tür yanlış yapılandırmaların tespiti ve düzeltilmesi, veri güvenliğini sağlamak için kritik öneme sahiptir.

Sızan Veri, Topoloji ve Servis Tespiti

Sızan veri, çoğu zaman izleme ve raporlama süreçlerindeki eksiklikler nedeniyle tespit edilemeyebilir. Özellikle ağ logları, yetkisiz erişim denemelerini ve veri sızıntısı belirtilerini tespit etmekte kritik bir rol oynar. VPC Flow logları, ağ üzerindeki tüm trafik akışlarını takip ederek, şüpheli aktiviteleri, veri sızıntılarını ve yetkisiz erişim denemelerini kaydeder.

aws ec2 describe-flow-logs --filter "Name=resource-id,Values=<your-vpc-id>"

Yukarıdaki komut, belirli bir VPC için oluşturulan akış loglarını görüntülemeye yarar. Böylece, istem dışı veri akışları belirlenebilir ve gerekli önlemler hızla alınabilir.

Profesyonel Önlemler ve Hardening Önerileri

Bulut güvenliğini artırmak için bir dizi profesyonel önlem alınmalıdır:

  1. Güçlü IAM Politikaları: Kimlik ve Erişim Yönetimi (IAM) loglarının düzenli olarak gözden geçirilmesi ve potansiyel yetki aşımı durumlarının izlenmesi.

  2. Logların Merkezileştirilmesi: Farklı bulut sağlayıcılardan gelen logların tek bir SIEM platformunda toplanması, güvenlik olaylarının daha etkin bir şekilde izlenmesine olanak tanır.

  3. Otomatik İzleme Çözümleri: AWS GuardDuty gibi hizmetler kullanarak, makine öğrenmesi destekli anomali tespiti sağlamak.

  4. Eğitim ve Farkındalık: Kullanıcıların güvenlik politikaları ve bulut güvenliği konusunda eğitilmesi, insan faktöründen kaynaklanan hataların azaltılmasına yardımcı olur.

Sonuç

Bulut güvenliği, paylaşımlı sorumluluk modeline dayanan karmaşık bir yapıdadır. Risk değerlendirmesi, elde edilen bulguların yorumlanması ve uygun savunma stratejilerinin uygulanması, bulut ortamlarında veri güvenliğini sağlamak adına kritik öneme sahiptir. Yanlış yapılandırmalar ve potansiyel zafiyetlerin belirlenmesi, etkili güvenlik stratejileriyle birleştirildiğinde, siber saldırılara karşı önemli bir savunma oluşturur. Bu nedenle, sürekli izleme ve proaktif güvenlik önlemleri, bulut güvenlik altyapısının sağlıklı işlemesi için gereklidir.