CyberFlow Logo CyberFlow BLOG
Soc L3 Cloud Security

Bulut Ortamlarında Kimlik ve Erişim Yönetimi (IAM) Tehdit Avcılığı

✍️ Ahmet BİRKAN 📂 Soc L3 Cloud Security

Bulut ortamlarında kimlik ve erişim yönetimi ile ilgili tehditler ve çözümler hakkında detaylı bilgi edinin.

Bulut Ortamlarında Kimlik ve Erişim Yönetimi (IAM) Tehdit Avcılığı

Bulut ortamlarınızda güvenliği artırmak için kimlik ve erişim yönetimini (IAM) anlamak kritik öneme sahiptir. IAM tehdit avcılığı ile ilgili bilgilere ulaşın.

Giriş ve Konumlandırma

Bulut Ortamlarında Kimlik ve Erişim Yönetimi (IAM) Tehdit Avcılığı: Giriş ve Konumlandırma

Günümüz siber güvenlik ortamında, bulut altyapılarının yaygınlaşmasıyla birlikte Kimlik ve Erişim Yönetimi (IAM), organizasyonların güvenlik stratejilerinin merkezine yerleşmiştir. IAM, bulut kaynaklarına kimlerin, nelerin ve hangi koşullar altında erişebileceğini belirleyen bir güvenlik mekanizmasıdır. Bu mekanizma, erişim yetkilerinin titiz bir şekilde yönetilmesi ve izlenmesi ile iş süreçlerinin güvenliğini sağlamayı amaçlar. Öyle ki, bir organizasyonun IAM politikaları, siber tehditlere karşı savunmada en kritik unsurlardan biri haline gelmiştir.

Siber tehditlerin her geçen gün artan bir hızla çeşitlenmesi, IAM sistemlerinin güvenliğinin önemini artırmaktadır. Özellikle siber saldırganların bulut ortamlara sızma yöntemleri arasında IAM zafiyetlerini hedef almak oldukça yaygındır. Bu bağlamda, IAM’de meydana gelebilecek tehditlerin avcılığı, her bir organizasyon için hayati bir öneme sahiptir. Çoğu zaman, bu tür saldırılar yüksek yetkilere sahip kullanıcıların hesaplarını hedef alırken, düşük yetkili kullanıcılar üzerinden yapılacak IAM politikası istismarları, saldırganların yüksek yetkilere ulaşmasını sağlayabilir.

Bulut Ortamlarının Dinamikleri ve IAM

Bulut ortamları, kullanıcı kimlikleri ve erişim kontrol politikaları açısından oldukça dinamik bir yapıya sahiptir. Organizasyonlar, farklı bulut hizmet sağlayıcıları ve platformlar kullanarak iş süreçlerini yürütürken, IAM süreçlerini de aynı hızda güncellemek zorundadır. Bu bağlamda aşağıdaki konseptler önemli bir yere sahiptir:

  • En Az Yetki Prensibi (Least Privilege): Bir kullanıcının sadece işini yapabilmesi için gereken minimum yetki seviyesine sahip olması ilkesidir. Bu prensibe uymamak, kullanıcıların gereksiz yetkilere sahip olmasına yol açarak, saldırganların erişim alanının genişlemesine neden olabilir.
En Az Yetki Prensibi:
1. Kullanıcıların yalnızca görevleri için gereken erişim yetkilerine sahip olmaları.
2. Gereksiz yetkilerin verilmesi, siber saldırılar için risk oluşturur.
  • Erişim Anahtarı Sızıntıları: Bulut uygulamalarında yanlış misyon yüklemeleri veya hatalı yapılandırmalar sayesinde erişim anahtarlarının sızması sıkça görülen bir durumdur. Özellikle yanlışlıkla açık kaynaklı platformlara yüklenen anahtarlar, saldırganlar tarafından kötüye kullanılabilir.

Siber Güvenlik Arka Planı

Siber güvenlik alanında, pentest (penetrasyon testi) süreçleri, güvenilir IAM yapılarını test etmek için hayati bir rol oynar. Pentest uzmanları, bir organizasyonun IAM sistemlerindeki potansiyel zayıflıkları keşfetmek için çeşitli yöntemler uygularlar. Bu yöntemler, hem sistemin dayanıklılığını test eder hem de sorun ortaya çıkmadan önce önlem almaya yönlendirir.

Organizasyonlar, IAM tehdit avcılığı sürecinde ağ trafiğini, API çağrılarını ve erişim politikalarını sürekli olarak izlemek zorundadır. AWS CloudTrail veya Azure Activity Log gibi araçlar, sistem yöneticilere kritik olayları izlemede ve anormallikleri tanımlamada yardımcı olur. Örneğin, izlenmesi gereken kritik işlemler arasında erişim anahtarlarının oluşturulması veya IAM politikalarının güncellenmesi bulunur; bu tür aktiviteler, potansiyel bir saldırının habercisi olabilir. 

# Zaman damgası ile API çağrılarını izlendiği bir örnek
aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventTime --start-time 2023-01-01T00:00:00Z --end-time 2023-01-02T00:00:00Z

Bu tür bir izleme, sadece tehditleri tespit etmekle kalmaz; aynı zamanda bilgi sahibi olmanın sağladığı avantaj ile hızlı bir müdahale sürecini de beraberinde getirir.

Sonuç olarak, bulut ortamlarında Kimlik ve Erişim Yönetimi üzerine yapılan tehdit avcılığının önemi gün geçtikçe artmaktadır. Organizatörlerin IAM yapılarını doğru bir şekilde entegre etmeleri, sadece güvenliğin sağlanması için değil, aynı zamanda genel iş performansı açısından da kritik bir role sahiptir. Okuyucu, IAM tehdit avcılığı konusundaki daha derinlemesine bilgileri bu blog serisinin ilerleyen bölümlerinde bulacaktır.

Teknik Analiz ve Uygulama

IAM (Kimlik ve Erişim Yönetimi) Nedir?

Bulut ortamlarında, Kimlik ve Erişim Yönetimi (IAM), kimlerin ve nelerin belirli kaynaklara erişim yetkisine sahip olduğunu merkezi bir şekilde düzenleyen bir güvenlik mekanizmasıdır. IAM uygulamaları, kullanıcıların veya servislerin belirli izinlerle kısıtlandığı bir yapı sunarak, güvenliği artırır. Doğru yapılandırılmadığı takdirde ise, saldırganların bu sistemleri ihlal edebilme olasılıkları artar. Bu nedenle, IAM ile ilişkili tehditler üzerinde çalışmak, siber güvenlik uzmanlarının en önemli görevlerinden biridir.

En Az Yetki Prensibi (Least Privilege)

En az yetki prensibi, bir kullanıcının işini yapabilmesi için gereken minimum yetki seviyesinin tanımlanmasını ifade eder. Bu prensip, güvenliği artıran etkili bir stratejidir; çünkü ihtiyaç duyulmayan yetkilerin verilmesi, saldırganların hareket alanını genişletebilir. Kullanıcıların sadece ihtiyaçları olan yetkileri alması, sistemlerin güvenliğini artırır ve yetkisiz erişim risklerini azaltır.

Örneğin, bir IAM politika tanımında şu şekilde bir yapı oluşturulabilir:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::my-bucket/*"
    }
  ]
}

Yukarıdaki yapı, kullanıcıya belirli bir S3 kümesine yalnızca nesne okuma izni verir.

Access Key (Erişim Anahtarı) Sızıntıları

Erişim anahtarları, bulut hizmetlerine erişmek için kullanılan kimlik bilgileri olup, yanlışlıkla üçüncü taraf platformlara (örneğin GitHub) yüklenmesi durumunda büyük riskler taşır. Saldırganlar bu anahtarları kullanarak bulut ortamlarına sızabilir ve sistem üzerinde yetkisiz işlemler gerçekleştirebilir. Erişim anahtarı sızıntılarının önlenmesi için şu stratejiler kullanılmalıdır:

  1. Anahtar Yönetimi: Erişim anahtarlarını düzenli olarak rotasyon yaparak güncelleyin.
  2. Çok Faktörlü Kimlik Doğrulama (MFA): MFA'yı etkinleştirerek, ek bir güvenlik katmanı oluşturun.

IAM Yetki Yükseltme (Privilege Escalation)

Düşük yetkili bir kullanıcının, IAM politikalarındaki açıkları kullanarak kendi yetkilerini artırmasına "yetki yükseltme" denir. Güvenlik açıklarının kontrol altına alınması için aşağıdaki adımlar uygulanmalıdır:

  • IAM politikalarını düzenli olarak gözden geçirin.
  • Gereksiz yetkileri kaldırın.

Bir kullanıcıya, yalnızca ihtiyaç duyduğu yetkilerin verildiğinden emin olmak için IAM politikaları aşağıdaki gibi yapılandırılabilir:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "iam:PassRole",
      "Resource": "*"
    }
  ]
}

Bu yapı, kullanıcının rol geçişi yapma yetkisini kısıtlayarak yetki yükseltmelerini engeller.

Kritik API Çağrılarını İzleme

Sistemlerdeki kritik API çağrıları, potansiyel tehditlerin zamanında tespit edilmesi için izlenmelidir. AWS CloudTrail veya Azure Activity Log gibi araçlar, bu işlemlerin kaydını tutarak güvenlik uzmanlarına önemli bilgiler sunar. İzlenmesi gereken bazı kritik işlemler:

  • Erişim anahtarı oluşturma.
  • Rol politikası güncelleme.
  • Kullanıcı izinlerini değiştirme.

Bu kayıtların düzenli olarak analiz edilmesi, yetkisiz erişimlerin tespitinde etkili olacaktır.

MFA ve Koşullu Erişim (Conditional Access)

Koşullu erişim, kullanıcının konumuna ve cihaz sağlığına göre MFA doğrulaması isteyerek güvenliği artırır. Bu mekanizma, kullanıcıların yalnızca güvenli ortamlardan erişmelerini sağlarken, saldırganların erişimini de sınırlar. Koşullu erişim politikaları oluşturmak için aşağıdaki kod örneği kullanılabilir:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:GetCallerIdentity",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:MultiFactorAuthPresent": "true"
        }
      }
    }
  ]
}

Yukarıdaki politika yalnızca MFA doğrulaması yapılmış kullanıcıların kimliğini sorgulamasına izin verir.

AssumeRole ve Geçici Kimlik Bilgileri

Kalıcı anahtarlar yerine belirli bir süre için geçerli olan geçici kimlik bilgilerini kullanmayı sağlayan mekanizma "AssumeRole" olarak adlandırılır. Bu yöntem, kullanıcılara belirli bir süre boyunca daha yüksek yetkiler vermek için idealdir. Aşağıdaki komut ile bir rolü üstlenirken geçici kimlik bilgileri almak mümkündür:

aws sts assume-role --role-arn "arn:aws:iam::123456789012:role/MyRole" --role-session-name "SessionName"

Bu komut, belirtilen role geçici erişim sağlayarak güvenli bir erişim yöntemi sunar.

Cross-Account (Hesaplar Arası) Erişim Riski

Cross-account erişim, farklı bulut hesapları arasındaki erişim modellerini ve risklerini içerir. Yanlış yapılandırılmış IAM politikaları veya güven ilişkileri, hesaplar arası sızma teşebbüslerine olanak tanıyabilir. Güven ilişkilerini yönetirken şu noktaları göz önünde bulundurun:

  • Her iki hesap arasında güven ilişkisi (Trust Relationship) kurabilirsiniz.
  • "External ID" kullanarak "Confused Deputy" saldırılarından korunabilirsiniz.

Bir dış hizmetin sizin hesabınıza erişirken "External ID" kullanması gereken bir yapıyı şu şekilde oluşturabilirsiniz:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::987654321098:role/ExternalService"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "sts:ExternalId": "my-external-id"
        }
      }
    }
  ]
}

Root Hesabı ve Break-Glass

Root hesabı, IAM içinde en yüksek yetkilere sahip olan hesaptır. Bu nedenle, günlük işler için root hesabının asla kullanılmaması, güvenliğinizi artırmak adına kritik önem taşır. Root hesabı, donanımsal MFA ile korunan güvenli bir yerde saklanmalıdır. Hesap sigortası olarak, bu hesap için bir "Break-Glass" prosedürü oluşturmak da önerilir.

Just-In-Time (JIT) Erişim

Kullanıcılara yüksek yetkilerin kalıcı olarak değil, yalnızca ihtiyaç duydukları anda ve belirli bir süre için verilmesi yaklaşımına "Just-In-Time" (JIT) erişim denir. Bu yaklaşım, kullanıcıların yalnızca ihtiyaç duyduklarında yüksek seviyeli izinler almasını sağlayarak güvenliği artırır. JIT erişim mekanizmasının etkin olduğu durumlarda, kullanıcıların daha düşük yetkilerle süreçlerini yürütmelerini sağlayarak sistemin genel güvenlik seviyesini artırabilirsiniz.

Sonuç olarak, bulut ortamlarında IAM uygulamaları üzerinde düzenli olarak çalışma yaparak, güvenlik açıklarını tespit etmek ve önlemek mümkündür. Bu stratejilerin etkin bir şekilde uygulanması, sistemlerin güvenliğini pekiştirir ve olası tehditleri minimize eder.

Risk, Yorumlama ve Savunma

Bulut ortamlarında Kimlik ve Erişim Yönetimi (IAM) sistemleri, güvenlik açısından kritik bir rol oynamaktadır. Ancak, bu sistemlerde meydana gelebilecek yanlış yapılandırmalar ve zafiyetler, siber saldırganların hedefi olma riskini artırmaktadır. Bu bölümde, IAM ile ilgili riskleri, bu risklerin yorumlanmasını, yanlış yapılandırmaların ve zafiyetlerin etkilerini, elde edilen bulguları ve bunlara karşı alınabilecek profesyonel önlemleri inceleyeceğiz.

IAM Kapsamında Riskler

IAM uygulamaları, bulut ortamındaki kimliklerin ve erişim izinlerinin yönetiminde önemli bir rol üstlenmektedir. Herhangi bir yanlış yapılandırma veya politikadaki aşırı izinler, siber saldırganların veri sızıntısı veya sistemlere erişim sağlaması için kapılar açabilir. Örneğin, Policy Over-permissiveness durumu, yanıltıcı izinlerle tüm kaynaklara erişim imkânı tanıyarak saldırganların etkisini artırabilir. Aşağıda yaygın IAM risk örnekleri ve bunların etkileri açıklanmaktadır:

Access Key Sızıntıları

Yanlışlıkla kaynak kodu depolarına, özellikle de GitHub gibi platformlara bırakılan erişim anahtarları, saldırganlar tarafından bulut ortamına sızmak için kullanılabilir. Bir erişim anahtarının sızması, potansiyel olarak tüm bulut hizmetlerine erişim sağlayabilir. Bu nedenle, erişim anahtarlarının güvenli bir şekilde saklanması ve düzenli olarak değiştirilmesi gerekir.

# Erişim anahtarlarının sızdırılmaması için alınması gereken önlemler
1. Erişim anahtarlarını kaynak kodu reposunda bulundurmayın.
2. IAM politikalarında "CreateAccessKey" eyleminin gereksiz yere genişletilmemesi gerektiğini düşünün.
3. Erişim anahtarlarını süresiz değil, geçici şeklinde kullanın.

Yetki Yükseltmeleri

Düşük yetkili bir kullanıcının, IAM politikalarında bulunan zafiyetleri kullanarak kendi yetkilerini admin seviyesine çıkarması durumuna Yetki Yükseltme denir. Bu tür bir olay, ciddi güvenlik ihlallerine yol açabilir. Düşük yetkili kullanıcılar, ihtiyaç dışı yetkiler alarak sistemleri ele geçirebilir.

# Yetki Yükseltme örneği
1. IAM politikalarında "Trust Relationship" çerçevesinde dış hesaplara aşırı izin verilmesi.
2. `AttachUserPolicy` ile yüksek yetkili politikaların kullanıcıya sadece bir gün tutulması.

Elde Edilen Bulguların Yorumlanması

Siber güvenlik tehdit avcılığında elde edilen bulguları anlamak, güvenlik duruşunu geliştirmek için esastır. Bulut ortamlarında yapılan denetimlerdeki bulgular, aşağıdaki ana başlıklara dağıtılabilir:

  1. Sızan Veriler: Üçüncü taraflara ait olarak saklanan verilerin nasıl sızdırıldığına ve bu süreçte hangi IAM politikalarının devreye girdiğine dair tespitler.
  2. Topoloji Tespiti: Kapsamı ve kaynakları belirlemek, yetkisiz erişimleri tespit etmek için önemlidir.
  3. Servis Tespiti: Kullanılan bulut servislerinin hangi güvenlik önlemlerinin alındığını ve bunların ne kadar etkili olduğunu değerlendirmek gerekir.

Profesyonel Önlemler ve Hardening Önerileri

Bulut ortamlarında güvenliği artırmak için aşağıdaki önlemler önerilmektedir:

  • En Az Yetki Prensibi: Kullanıcılara yalnızca işlerini yapabilmeleri için gerekli en düşük yetkilerin verilmesi.

  • Koşullu Erişim: Kullanıcının durumuna göre erişim izni vermek (örneğin, MFA uygulamak). Koşullu erişim politikaları, konum ve cihaz sağlığı gibi faktörlere dayanarak güvenlik artırır.

  • Geçici Kimlik Bilgileri Kullanımı: Kalıcı anahtarlar yerine geçici kimlik bilgileri kullanmak, sızma ihtimalini azaltır.

  • Düzenli Denetimler: IAM politikalarının ve kullanıcı erişimlerinin düzenli aralıklarla gözden geçirilmesi, güvenlik açıklarının erken tespiti için önemlidir.

  • Güvenli API Kullanıcıları: Kritikal API çağrılarının düzenli olarak izlenmesi, sistemdeki potansiyel tehditlerin hızlı bir şekilde tespit edilmesine olanak tanır.

Sonuç

Bulut ortamlarında IAM uygulamalarının etkili bir şekilde yönetilmesi, siber güvenlik açısından kritik öneme sahiptir. Elde edilen bulguların güvenlik anlamını doğru bir şekilde yorumlamak, yanlış yapılandırmaların ve mevcut zafiyetlerin etkilerini değerlendirmek, uygun profesyonel önlemler almak, siber saldırılara karşı koyma konusunda önemli rol oynar. Bu süreçte, en az yetki prensibi, koşullu erişim, geçici kimlik bilgileri ve düzenli denetim uygulamaları gibi stratejiler, siber risklerin minimize edilmesi için vazgeçilmezdir.