Bulut Güvenliği Çözümü

Hızlı cevap: Bulut ihlallerinin ezici çoğunluğu bir hack dehasından değil, yanlış yapılandırmadan doğar: herkese açık bırakılmış depolama kovası, fazla yetkili kimlik, internete açık yönetim portu. DSET, AWS, Azure ve Google Cloud ortamınızı tarar; paylaşımlı sorumluluk modelinde sizin tarafınıza düşen riskleri sistemli biçimde raporlar ve giderir. "Bulut sağlayıcı her şeyi korur" yanılgısı, en pahalı hatadır. DSET, 2003'ten bu yana Hacettepe Teknokent, Beytepe, Çankaya, Ankara. Başarı oranı %99.4. İlk teşhis ücretsiz, veri çıkmazsa ücret yok. Telefon: +90 536 662 38 09.

Paylaşımlı sorumluluk: sizin tarafınız neresi?

Tüm büyük sağlayıcılar resmi belgelerinde aynı ilkeyi anlatır: sağlayıcı altyapının güvenliğinden sorumludur, siz ise verinizin, kimlik ayarlarınızın ve yapılandırmanızın güvenliğinden. İşte tam bu taraf çoğu zaman ihmal edilir. Hizmet modeline (IaaS, PaaS, SaaS) göre sınır değişse de, veri, kimlik ve erişim ayarları her zaman sizdedir. Modelin ayrıntısını bulut güvenliği rehberimizde anlattık.

En sık bulduğumuz riskler

Risk	Sonuç
Herkese açık (public) depolama	İnternetteki herkese açık veri sızıntısı
Aşırı yetkili kimlik	Çalınan tek bir anahtar tüm hesabı düşürür
Açık yönetim portu / veritabanı	Doğrudan saldırı hedefi
Loglama ve izleme eksikliği	İhlalin aylarca fark edilmemesi
Şifreleme ve zayıf anahtar yönetimi	Çalınan verinin okunabilir olması

Cloud Security Alliance (CSA) ve OWASP, bu yapılandırma hatalarını yıllardır en kritik bulut riskleri arasında işaretler.

Hizmet kapsamımız

• CSPM (yapılandırma değerlendirmesi): Public kovalar, zayıf kimlik politikaları, açık portlar ve şifreleme eksiklerini sistemli tararız; tek seferlik değil, sürekli.
• Kimlik sertleştirme: Yönetici hesaplarında MFA, en az ayrıcalık ve bulut IAM düzeni kurarız. Bulutta "çevre" yoktur, kimlik vardır.
• Şifreleme ve anahtar yönetimi: Veriyi dururken ve aktarılırken şifreler, anahtar yönetimini doğrularız.
• İzleme entegrasyonu: Bulut denetim loglarını (CloudTrail, Activity Log) SIEM/SOC ile sürekli izleriz.

KVKK ve veri yeri

Kişisel veri buluta taşınıyorsa, KVKK uyumu açısından verinin nerede tutulduğu ve yurt dışına aktarımın koşulları önemlidir; sorumluluk veri sorumlusu olarak sizdedir. Sözleşme ve teknik yapılandırma birlikte değerlendirilmelidir.

Sıkça Sorulan Sorular

Bulut, şirket içi sunucudan güvensiz mi? Hayır; doğru yapılandırılırsa büyük sağlayıcıların altyapısı çoğu kurumun kendi sunucu odasından daha güvenlidir. Sorun teknolojide değil, sizin tarafınıza düşen ayarlardadır. Sağlayıcı yedek alıyor mu? Sağlayıcının dayanıklılığı (durability) yedekleme değildir; yanlışlıkla sildiğiniz ya da fidyeyle şifrelenen veriyi geri getirmez. Bağımsız ve mümkünse değiştirilemez (immutable) yedek alın. Çok bulutluyum, hepsini kapsar mısınız? Evet; AWS, Azure ve Google Cloud için tek elden, tutarlı bir değerlendirme sunarız.

Bulut yapılandırmanızı ücretsiz ön değerlendirmeyle gözden geçirelim. DSET, 2003'ten bu yana Hacettepe Teknokent, Beytepe, Çankaya, Ankara. Başarı oranı %99.4. İlk teşhis ücretsiz, veri çıkmazsa ücret yok. Telefon: +90 536 662 38 09.

Kaynaklar

• Cloud Security Alliance: Top Threats to Cloud Computing
• AWS: Shared Responsibility Model
• Microsoft Azure: Shared Responsibility
• NIST SP 800-144: Public Cloud Security and Privacy