Bulut Güvenliği Rehberi: Paylaşımlı Sorumluluk, Yanlış Yapılandırma, CSPM ve CASB
Bulutta güvenlik kimin sorumluluğunda? AWS, Azure ve Google Cloud'da paylaşımlı sorumluluk modeli, en sık ihlal nedeni yanlış yapılandırma, CSPM, CASB, CWPP ve temel kontroller; CSA ve NIST kaynaklarıyla derinlemesine.
Bulut Güvenliği Rehberi: Paylaşımlı Sorumluluk, Yanlış Yapılandırma, CSPM ve CASB
Hızlı cevap: Bulutta güvenliğin en pahalı yanılgısı, "bulut sağlayıcı her şeyi korur" sanmaktır. Gerçek, paylaşımlı sorumluluk modelidir: sağlayıcı (AWS, Azure, Google Cloud) altyapının güvenliğinden sorumludur, siz ise buluttaki verinizin, kimlik ayarlarınızın ve yapılandırmanızın güvenliğinden sorumlusunuz. Sektördeki bulut ihlallerinin ezici çoğunluğu bir saldırı dehasından değil, yanlış yapılandırmadan (herkese açık bırakılmış depolama, fazla yetkili kimlik, açık yönetim portu) doğar. DSET olarak AWS, Azure ve Google Cloud yapılandırmanızı tarar, sizin tarafınıza düşen riskleri raporlar ve gideririz: +90 536 662 38 09.
Paylaşımlı sorumluluk modeli: kim neyden sorumlu?
Bu, bulut güvenliğinin en temel kavramıdır ve tüm büyük sağlayıcılar resmi belgelerinde aynı ilkeyi anlatır. Sorumluluk sınırı, hizmet modeline (IaaS, PaaS, SaaS) göre farklı yerden geçer:
| Katman | IaaS | PaaS | SaaS |
|---|---|---|---|
| Fiziksel veri merkezi, donanım | Sağlayıcı | Sağlayıcı | Sağlayıcı |
| Sanallaştırma, ağ altyapısı | Sağlayıcı | Sağlayıcı | Sağlayıcı |
| İşletim sistemi | Müşteri | Sağlayıcı | Sağlayıcı |
| Uygulama, çalışma zamanı | Müşteri | Paylaşımlı | Sağlayıcı |
| Veri, kimlik, erişim ayarları | Müşteri | Müşteri | Müşteri |
Dikkat: Hizmet modeli ne olursa olsun, verinizin, kimliklerinizin ve erişim ayarlarınızın güvenliği her zaman sizdedir. Özet kural: sağlayıcı "bulutun güvenliğinden", siz "buluttaki güvenlikten" sorumlusunuz. Bu çizgiyi sözleşme imzalamadan netleştirmek şarttır.
En büyük tehlike: yanlış yapılandırma (misconfiguration)
Bulutta veri sızıntılarının baş nedeni sofistike bir hack değil, basit ve önlenebilir yapılandırma hatalarıdır:
- Herkese açık depolama kovaları. Yanlışlıkla "public" bırakılmış bir nesne deposu (S3, Blob, GCS), o bağlantıyı bilen ya da tarayan internetteki herkese açık demektir. Pek çok büyük sızıntının kökü budur.
- Aşırı yetkili kimlikler. "En az ayrıcalık" ilkesini çiğneyip her servise ya da kullanıcıya admin yetkisi vermek, çalınan tek bir anahtarı felakete çevirir.
- Açık bırakılan yönetim portları ve veritabanları. İnternete doğrudan açık bir veritabanı ya da yönetim arayüzü, davetkâr bir hedeftir.
- Loglama ve izleme eksikliği. İhlali fark edememek, ihlalin kendisi kadar tehlikelidir; saldırgan aylarca fark edilmeden kalabilir.
- Şifrelenmemiş veri ve zayıf anahtar yönetimi.
Cloud Security Alliance (CSA) ve OWASP'ın bulut rehberleri, bu yapılandırma hatalarını yıllardır en kritik bulut riskleri arasında işaretler.
Bulut güvenlik araçları: CSPM, CASB, CWPP
- CSPM (Cloud Security Posture Management): Bulut yapılandırmanızı sürekli tarar; "public bırakılmış kova", "şifresiz disk", "MFA'sız admin" gibi hataları otomatik yakalar ve raporlar. Yanlış yapılandırmaya karşı en doğrudan savunmadır.
- CASB (Cloud Access Security Broker): Kullanıcılarınız ile bulut servisleri arasında durur; gölge BT'yi (shadow IT, onaysız kişisel hesaplar) ve veri sızıntısını denetler.
- CWPP (Cloud Workload Protection Platform): Sanal makine, konteyner ve sunucusuz (serverless) iş yüklerini çalışma anında korur.
Bulut güvenliğinin 6 temel kontrolü
- Çok faktörlü kimlik doğrulama (MFA): Her yönetici hesabında zorunlu. Kimlik ve erişim yönetimi (IAM) bulut güvenliğinin kalbidir, çünkü bulutta "çevre" yoktur, kimlik vardır.
- En az ayrıcalık: Her kimlik yalnızca işini yapacak kadar yetki almalı; geniş "*" yetkilerinden kaçının.
- Şifreleme: Veriyi hem dururken (at rest) hem aktarılırken (in transit) şifreleyin, anahtarları doğru yönetin.
- Sürekli izleme: Bulut denetim loglarını (CloudTrail, Activity Log vb.) bir SIEM'e bağlayın.
- Yedekleme: Bulutta da veri kaybı, yanlış silme ve fidye olur. Sağlayıcının dayanıklılığı yedekleme değildir; bağımsız yedek şarttır.
- Yapılandırma denetimi: CSPM ile düzenli tarama yapın; tek seferlik değil, sürekli.
KVKK ve veri yeri (data residency)
Kişisel veri buluta taşınıyorsa, KVKK uyumu açısından verinin nerede tutulduğu ve yurt dışına aktarımın koşulları önemlidir. Sorumluluk, veri sorumlusu olarak sizdedir; sözleşme ve teknik yapılandırma birlikte değerlendirilmelidir.
Sıkça Sorulan Sorular
Bulut, şirket içi sunucudan daha mı güvensiz?
Hayır. Doğru yapılandırılırsa, büyük sağlayıcıların altyapısı çoğu kurumun kendi sunucu odasından daha güvenlidir. Sorun teknolojide değil, sizin tarafınıza düşen yanlış ayarlardadır.
Bulut sağlayıcı benim yerime yedek alıyor mu?
Sağlayıcının "dayanıklılığı" (durability), birden çok kopya tutması anlamına gelir; ama yanlışlıkla sildiğiniz, fidyeyle şifrelenen ya da uygulama hatasıyla bozulan veriyi sizin için geri getirmez. Bağımsız ve mümkünse değiştirilemez (immutable) yedek alın.
Çok bulutluyum (multi-cloud), yönetimi nasıl olmalı?
Her sağlayıcının ayrı kimlik ve yapılandırma modeli vardır; tek elden, tutarlı bir CSPM ve IAM yaklaşımı, dağınıklığın yarattığı kör noktaları kapatır.
Bulut yapılandırma değerlendirmesi için bize ulaşın: bulut güvenliği çözümümüz veya +90 536 662 38 09.
Kaynaklar
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.