CyberFlow Logo CyberFlow BLOG
Soc L2 Advanced Correlation Writing

Bulut Ortamları için Özelleştirilmiş Güvenlik Korelasyonu Eğitimi

✍️ Ahmet BİRKAN 📂 Soc L2 Advanced Correlation Writing

Bulut ortamlarındaki güvenlik açıklarını azaltmak için özelleştirilmiş korelasyon tekniklerini öğrenin.

Bulut Ortamları için Özelleştirilmiş Güvenlik Korelasyonu Eğitimi

Bulut ortamlarında güvenliğin sağlanması önemli bir konu. Bu blog yazısında, bulut hizmet modellerine göre özelleştirilmiş güvenlik korelasyonunu ve en iyi uygulamaları keşfedeceksiniz.

Giriş ve Konumlandırma

Siber güvenlik, günümüzün dijital dünyasında, veri bütünlüğünü ve gizliliğini sağlamak adına kritik bir önem taşımaktadır. Özellikle bulut ortamları, sunduğu esneklik ve ölçeklenebilirlik sayesinde pek çok işletme tarafından tercih edilse de, uygun güvenlik önlemlerini almadan bu ortamlara geçiş yapmak ciddi riskler taşımaktadır. Bulut hizmet modellerinde, kullanıcıların bulut sağlayıcıları ile paylaştığı güvenlik bağımlılıkları ve rol tanımlamaları, bu ortamların yönetiminde anahtar bir unsur haline geliyor. Bu noktada, özelleştirilmiş güvenlik korelasyonu eğitimi, güvenlik uzmanlarının ve sistem yöneticilerinin bulut ortamlarında karşılaşabilecekleri güvenlik açıklarını anlamalarına ve bu açıkları minimize etmelerine yardımcı olmaktadır.

Bulut ortamları, IaaS (Altyapı), PaaS (Platform) ve SaaS (Yazılım) gibi çeşitli hizmet modelleri ile kullanıcılarına hizmet sunar. Her model, farklı kontrol seviyeleri ve güvenlik gereksinimleri ile birlikte gelir. Örneğin, IaaS modellerinde sanal makinelerin ve ağ kaynaklarının yönetimi tamamen kullanıcıya aittir. Ancak, SaaS altyapısında kullanıcılar yalnızca uygulamayı tüketir ve arka planda veri güvenliği bulut sağlayıcı tarafından sağlanır. Bu farklılıklar, her bir modelin kendine özgü güvenlik risklerini ve yönetim gereksinimlerini doğurur.

Paylaşımlı Sorumluluk Modeli

Bulut hizmet sağlayıcıları ile kullanıcılar arasında bir paylaşımlı sorumlılık modeli bulunmaktadır. Bu model, her iki tarafın üzerindeki güvenlik yükümlülüklerini net bir şekilde tanımlar. Örneğin, fiziksel altyapı ve veri merkezlerinin güvenliği sağlayıcı tarafından üstlenilirken, kullanıcıların sorumluluğu daha çok veri güvenliği ve uygulama katmanı üzerinde yoğunlaşmaktadır. Bu sebepten dolayı, bulut ortamlarında güvenlik açıklarını yönetmek, her iki taraf arasında iyi bir koordinasyon gerektirir.

Görünürlük Farkı

Geleneksel ağlarla kıyaslandığında, bulut ortamlarının en belirgin zorluklarından biri görünürlük farkıdır. Kullanıcıların fiziksel cihazlara erişimi olmadığından, bulut sağlayıcıların sunduğu API loglarına ve diğer telemetri kaynaklarına bağımlılık artar. Bu durum, güvenlik analistlerinin, saldırılara hızlı yanıt verebilmesi ve gerekli önlemleri alabilmesi için gözlemlenebilirliği sağlamakta güçlük çekmelerine yol açabilir. Örneğin, bir kullanıcı hesabının kısa süre içinde çok sayıda farklı ülkeden erişilmesi, potansiyel bir hesap ele geçirilme durumunu işaret eder. Bu tür anomalilerin tespit edilmesi için doğru logların analiz edilmesi şarttır.

Bulut Güvenlik Riskleri

Siber güvenlik uzmanları, bulut mimarilerinde karşılaşabilecekleri olası tehdit vektörlerini ve güvenlik açıklarını tanımlamalıdır. Bu bağlamda, en sık rastlanan sorunlardan biri yanlış yapılandırma (misconfiguration) durumudur. Yanlış yapılandırılmış güvenlik ayarları, bulut ortamlarındaki veri sızıntılarının en büyük nedenlerinden biri olarak bilinmektedir. Dolayısıyla, sürekli denetim ve izleme esasına dayanarak bulut kaynaklarının güvenliğini sağlamak, her kuruşun ayrı bir öneme sahip olduğu günümüzde oldukça gereklidir.

Eğitim İçeriğine Hazırlık

Özelleştirilmiş güvenlik korelasyonu eğitimi, öncelikle bulut yaklaşımlarının ve modellerinin anlaşılmasını kapsar; bununla birlikte, kullanıcıların bulut hizmet sağlayıcılarının sağladığı güvenlik önlemleri hakkında bilgi sahibi olmalarını hedefler. Ayrıca, öğrenciler, kontrol düzlemi ve API loglarının güvenli bir şekilde nasıl yönetileceğini öğreneceklerdir. Eğitim içerisinde, kullanıcıların bulut ortamında hangi log kaynaklarının önemli olduğunu anlamaları ve bu logların nasıl analiz edilmesi gerektiği gibi konular derinlemesine ele alınacaktır.

Sonuç olarak, bulut ortamındaki güvenlik zafiyetlerini en aza indirmek için sistem yöneticilerinin ve güvenlik uzmanlarının, hem teknik bilgiye hem de stratejik düşünme becerisine sahip olmaları gerekmektedir. Bu eğitim, bu önemli hedeflere ulaşmak adına sağlam bir temel oluşturmayı amaçlamaktadır.

Teknik Analiz ve Uygulama

Paylaşımlı Sorumluluk Modeli

Bulut ortamlarında güvenlik, Paylaşımlı Sorumluluk Modeli çerçevesinde şekillenmektedir. Bu model, bulut sağlayıcısı ve müşteri arasında güvenlik görevlerinin dağılımını tanımlar. Örneğin, fiziksel güvenlik sağlayıcının sorumluluğundayken, veri güvenliği tamamen müşteriye aittir. Bu noktada, müşterilerin kendi verilerini korumak için gereken önlemleri anlaması ve uygulaması önem arz etmektedir.

Örnek bir yönetim politikası şu şekilde ifade edilebilir:

1. Fiziksel güvenlik: Bulut sağlayıcı
2. Veri güvenliği: Müşteri

Bu modelin doğru anlaşılması, müşterilerin hangi güvenlik denetimlerinin kendilerine, hangilerinin sağlayıcıya ait olduğunu netleştirmelerine yardımcı olur.

Bulut Hizmet Modelleri

Bulut hizmet modelleri genel olarak üç kategoriye ayrılır: IaaS (Altyapı), PaaS (Platform) ve SaaS (Yazılım). Her bir modelin sunduğu kontrol seviyeleri de farklıdır. IaaS, sanal makineler ve ağ yönetimi imkanı sunarak, müşterilerin güvenlik önlemlerini tam kontrol etmelerine olanak tanır. PaaS, uygulama geliştiricilere altyapının sağlandığı bir ortam sunarken, SaaS modelinde kullanıcılar sadece uygulamayı tüketir.

Aşağıda, bu modellerin görev ve sorumluluk özellikleri özetlenmiştir:

- **IaaS (Altyapı)**: Tam kontrol, işletim sistemi ve uygulama güvenliğinden müşteri sorumlu.
- **PaaS (Platform)**: Altyapı yönetimi bulut sağlayıcıda, uygulama güvenliği müşteriye aittir.
- **SaaS (Yazılım)**: Uygulama güvenliği sağlayıcıda, kullanıcı yalnızca uygulamayı kullanır.

Görünürlük Farkı (Visibility)

Geleneksel ağlar ile bulut ortamları arasındaki log toplama farkı, bulut ortamlarında kaynakların dinamik nature'u ile başlar. Bulut ortamlarında fiziksel ağ cihazlarına erişim olmadığından, görünürlük çoğunlukla API loglarına dayanır. Dolayısıyla, log yönetim stratejileri oluşturulurken, bulut sağlayıcılarının sunduğu API loglarının etkin bir şekilde değerlendirilmesi gerekir.

Örnek bir API log yapısı şöyle olabilir:

{
  "timestamp": "2023-10-10T12:00:00Z",
  "event": "CreateInstance",
  "user": "user@example.com",
  "instance_id": "i-1234567890abcdef0",
  "region": "us-west-1"
}

Bu tür loglar, kullanıcıların sistemde yaptıkları her işlemi takip etmek için kritik öneme sahiptir.

Kontrol Düzlemi (Control Plane)

Bulut altyapısında, kontrol düzlemi, kaynak oluşturma, silme veya güvenlik duvarı kurallarını değiştirme gibi yönetimsel işlemlerin kaydedildiği log katmanıdır. Bu loglar, bulut güvenlik yönetimi için önemli bir veri kaynağı oluşturur. Kontrol düzlemine dair detaylı bir inceleme yapmak, güvenlik açıklarını tespit etmek için gerekli olan bilgiyi sağlayabilir.

Bir kontrol düzlemi log örneği aşağıdaki gibidir:

{
  "event": "UpdateSecurityGroup",
  "timestamp": "2023-10-10T12:05:00Z",
  "user": "admin@example.com",
  "security_group_id": "sg-abcdef123456",
  "changes": {
    "inbound_rules": [
      {
        "protocol": "tcp",
        "port": 80,
        "cidr": "0.0.0.0/0"
      }
    ]
  }
}

Bulut Güvenlik Riskleri

Bulut mimarilerinde sıkça karşılaşılan tehdit vektörleri arasında yanlış yapılandırmalar, aşırı yetkilendirme ve veri sızıntıları yer alır. Özellikle, doğru yapılandırılmamış güvenlik ayarları, bulut ortamlarındaki veri ihlallerinin en büyük nedenlerinden biridir. Bu nedenle, yanlış yapılandırmaların düzenli olarak denetlenmesi ve izlenmesi kritik öneme sahiptir.

Rol Üstlenme (Assume Role)

Bulut ortamlarında, bir kaynağın veya kullanıcının kalıcı şifreler yerine geçici ve süreli yetki belgeleri alarak işlem yapmasına rol üstlenme denir. Bu süreç, güvenliği artırma ve yetki yönetimini daha esnek hale getirme amacı taşır. Rol üstlenme işlemlerinin logları, sürekli izlenmelidir.

Rol üstlenme süreci, AWS üzerinde şu şekilde gerçekleştirilebilir:

aws sts assume-role --role-arn "arn:aws:iam::123456789012:role/demo" --role-session-name "exampleSession"

Yukarıdaki komut, belirli bir IAM rolünü geçici olarak üstlenmek için kullanılır ve bu işlemin logları dikkatli şekilde incelenmelidir.

Sonuç

Bulut ortamları için özelleştirilmiş güvenlik korelasyonu, çok katmanlı bir yaklaşım gerektirir. Paylaşımlı sorumluluk modeli, bulut hizmet modellerinin anlayışı ve log yönetimi gibi öğeler, güvenli bir bulut ortamı oluşturmanın temel taşlarını oluşturur. Bu nedenle, teknik uzmanlık ve sürekli eğitim, bulut güvenliğinin etkin bir şekilde sağlanabilmesi için gereklidir.

Risk, Yorumlama ve Savunma

Günümüzde bulut hizmetleri, birçok organizasyon için iş süreçlerinin vazgeçilmez bir parçası haline gelmiştir. Ancak, bulut ortamlarının sağladığı esneklik ve verimlilik beraberinde çeşitli güvenlik risklerini de taşımaktadır. Bu bölümde, bulut ortamlarındaki güvenlik risklerini değerlendirecek, bu risklerden elde edilen bulguların güvenlik anlamını yorumlayacak ve yanlış yapılandırmaların veya zafiyetlerin etkilerini açıklayacağız.

Bulut Güvenlik Riskleri

Bulut hizmet modelleri, hizmetin sağlandığı kontrol düzeyine bağlı olarak farklı güvenlik riskleri taşır. IaaS, PaaS ve SaaS gibi modeller, organizasyonların güvenliğini tehdit eden çeşitli zafiyetlerle doludur. Örneğin, IaaS ortamlarında, sanal makinelerin güvenliği tamamen kullanıcıya aittir, dolayısıyla yanlış yapılandırılmış bir sanal makine, siber saldırganlar için potansiyel bir hedef haline gelebilir. Bir kullanıcı, yeterli güvenlik önlemleri alınmadan oluşturulmuş bir "public bucket" (açık depolama) kullanıyorsa, verilerin internete açık hale gelmesi, ciddi güvenlik ihlallerine yol açabilir.

Örnek: 
Bir şirket, bir alan adı üzerinde gereksiz yere açık bir depolama alanı oluşturdu. Bunun sonucu olarak, tüm şirket verileri internete açık hale geldi, bu da veri sızıntısına yol açtı.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Yanlış yapılandırmalar, bulut ortamlarındaki en büyük güvenlik zafiyetlerini oluşturur. Yanlış yerleştirilmiş bir güvenlik duvarı kuralı veya açık bırakılmış bir access policy, siber saldırganların bulut kaynaklarına erişimini kolaylaştırabilir. Bu tür zafiyetlerin etkileri arasında veri çalınması, itibar kaybı ve yasal yaptırımlar yer alabilir. Örneğin, bir bulut sağlayıcısının hizmetlerinde meydana gelen bir konfigürasyon hatası, kullanıcı verilerinin başka kişiler tarafından erişilebilir hale gelmesine neden olabilir.

Sızıntı ve Topoloji Analizi

Bulut hizmetlerinde veri sızıntılarını önlemek için bilgi güvenliği profesyonellerinin sızıntı noktalarını doğru bir şekilde tespit etmesi önemlidir. Sızıntılar genellikle CASB (Cloud Access Security Broker) çözümleri kullanılarak izlenir. CASB, bulut hizmeti kullanıcıları ve bulut sağlayıcıları arasındaki güvenlik politikalarını uygulayarak, şüpheli etkinliklerin tespit edilmesine olanak tanır. Ayrıca, bulut log türleri (audit/api logs) ve VPC Flow Logs gibi kaynaklar, ağ trafiğini incelemek için kritik öneme sahiptir.

# Örnek: VPC Flow Log analizi
import boto3

# AWS'den VPC Flow Logları alma
ec2 = boto3.client('ec2')
response = ec2.describe_flow_logs()
for log in response['FlowLogs']:
    print(f"Flow Log ID: {log['FlowLogId']}, Log Status: {log['Status']}")

Profesyonel Önlemler ve Hardening Önerileri

Organizasyonların bulut ortamlarını korumak için alabilecekleri bazı profesyonel önlemler ve hardening (sertleştirme) önerileri şunlardır:

  1. Hizmetlerin Doğru Konfigürasyonu: Bulut hizmetlerinin güvenlik ayarlarının doğru yapılandırılması, yanlış yapılandırmaların önüne geçmek için kritik öneme sahiptir.
  2. Erişim Kontrol Politikalarının Belirlenmesi: Kullanıcıların sadece ihtiyaç duydukları verilere erişim izni verilmesi, aşırı yetkilendirme (overprivileged) sorununu önlemek için gereklidir.
  3. Sürekli İzleme ve Log Analizi: Bulut ortamında sürekli izleme yapmak, olası tehditlerin önceden tespit edilmesine yardımcı olur.
  4. Eğitim ve Bilinçlendirme: Çalışanların bulut güvenliği konusunda eğitim alması, insan kaynaklı hataları minimize eder.

Sonuç

Bulut ortamlarındaki güvenlik risklerini ele almak, organizasyonların siber güvenlik stratejilerinin ayrılmaz bir parçası olmalıdır. Yanlış yapılandırmalar ve zafiyetler, ciddi sonuçlara yol açabilirken, proaktif güvenlik önlemleri ile bu riskler en aza indirilebilir. Güvenlik politikalarının sürekli olarak gözden geçirilmesi ve güncellenmesi, bulut güvenliğinin sağlanmasında anahtar rol oynamaktadır. Bu bağlamda, bulut hizmetlerinin doğru bir şekilde yönetilmesi ve güvenlik düzlemlerinin sürekli izlenmesi, organizasyonlar için kritik önem taşımaktadır.