Güvenlikle İlgili Temel Bilgiler

Bir AWS hesabı oluşturduğunuzda kök kullanıcı olarak bilinen hesapla başlarsınız. Bu, AWS hesabınızda bulunan ilk AWS kullanıcısıdır. AWS, hesaba tam erişim ve denetime sahip olduğu için bu hesabı günlük işlemler için kullanmamanızı ve kök kullanıcıyı güvence altına almak için önerilen en iyi uygulamaları izlemenizi önerir. Bu, kök kullanıcı erişim anahtarlarınızı kilitlemeyi, güçlü bir parola kullanmayı, AWS çok faktörlü kimlik doğrulamasını etkinleştirmeyi ve hesabınıza eriş mek için bir IAM kullanıcısı oluştur mayı içerir. Bu hesaba yönetici ayrıcalıkları atanabilir ve hesap ileriye dönük tüm idari görevler için kullanılmalıdır.

Ardından, hesabınıza alternatif güvenlik kişileri atamanız gerekir. Alternatif güvenlik kişisi, AWS Güven ve Güvenlik ekibinden gelen bildirimler de dahil olmak üzere güvenlikle ilgili bildirimler alır. Zamanında güvenlik bildirimleri için AWS hesaplarınızdaki alternatif güvenlik bağlantısını güncelleştirme blog yazısında bu iletişim bilgilerini ayarlamanın önemi hakkında daha fazla bilgi edinebilirsiniz..

Güvenlik bağlantılarınızı onayladıktan sonra, iş yüklerinizin çalış maması gereken AWS Böl gelerini ve çalıştırılmaması gereken Bölgeleri göz önünde bulundurmalısınız. Ardından, bu Böl gelerden hiçbir iş yükünün çalıştırılamayacağından emin olmak için kullanılmayan Bölgeleri kilit leyebilirsiniz. Bu, maliyet optimizasyonuna yardımcı olurken aynı zamanda güvenlik için de elverişli olur. Peki nasıl? İş yüklerini çalıştırmayı beklemediğiniz Bölgeleri kilitleyerek izleme çabalarınızı aktif olarak kullandığınız Bölgelere odaklayabilirsiniz.

Bu noktada, kök kullanıcıyı güvence altına aldınız, bir veya daha fazla IAM kullanıcısı oluşturdunuz, güvenlik kişileri atadınız ve iş yüklerinin çalışabileceği Bölgeleri kilitlediniz. Şimdi, kullanıcıların AWS kaynaklarıyla nasıl etkileşim kuracaklarını düşünelim. İki temel etkileşim yöntemi vardır: AWS CLI ve AWS Yönetim Konsolu. AWS CLI ve konsol için tek oturum açma ayarlaması yapmanız önerilir. AWS IAM Identity Center ile erişimi merkezi olarak nasıl yöneteceğinizle ilgili ayrıntılar için AWS CLI'yi AWS IAM Identity Center'ı (AWS Single Sign-On'un halefi) kullanacak şekilde yapılandır ma makal esine bakın.

Hesabınızın güvenliğini sağlamanın bir sonraki adımı, erişimi denetleyecek AWS IAM kullanıcı gruplarını ayarlamaktır. Doğrudan kullanıcı üzerinde politika ayarlayarak tek tek kullanıcıların erişimini denetlemek yerine bir grup oluşturmak, gerekli izinleri atamak ve ardından kullanıcıları gruba atamak en iyisidir. Kullanıcılar bu grubun izinlerini devralır. Bu, birçok kullanıcıya erişim denetimi sağlamanın daha ölçeklenebilir bir yolunu sunar. IAM’nin ve IAM gruplarının anlaşılması önemlidir çünkü birden fazla hizmete yayılırlar. IAM, tüm AWS hizmetleriyle bir dereceye kadar etkileşime giren bir hizmettir, bu nedenle IAM’ye aşina olmak için zaman harcadığınızdan emin olun.

Bu uygulamaları en başından itibaren takip etmek, AWS kaynaklarınıza güvenli erişim sağlamanıza yardımcı olacaktır. Daha sonra AWS’de oluşturduğunuz altyapının güvenliğini nasıl sağlayacağınızı ele alacağız.

Bulut altyapınızı oluştururken, bir Amazon Sanal Özel Bulut (Amazon VPC) oluşturarak başlayacaksınız. Bu, kaynakları başlatmanıza olanak tanıyan tanımladığınız (hesabınızı oluşturduğunuzda her Bölgede varsayılan bir tane oluşturulur) sanal bir ağdır. Bir VPC, kendisine atanmış bir CIDR IP adresi aralığına sahip olduğu için geleneksel bir ağa benzer ve alt ağlar oluşturularak alt bölümlere ayrılır. Alt ağlarınız, farklı kaynak kümeleri için yalıtım sağlamak üzere kullanılabilir. Alt ağlar genel veya özel olabilir. Genel alt ağ ların bir İnternet Ağ Geçidi'ne giden bir yolu vardır, bu ağ geçidi üzerinden internete erişebilir ve ilgili erişim kontrolleri izin verirse internetten erişilebilir. Özel alt ağ ların da bir yönlendirme tablosu vardır, ancak bir İnternet Ağ Geçidi'ne giden bir yolu yoktur, bu nedenle varsayılan olarak internete erişemez ve internetten erişilemez. Özel bir alt ağdaki kaynakların internete erişmesini sağlamak için bir NAT ağ geçidi gerekir. Alt ağ düzeyinde, ağ erişim denetim listesi (ACL) belirli gelen veya giden trafiğe izin verir veya reddeder. VPC’niz için varsayılan ağ ACL’yi kullanabilir veya VPC’niz için özel bir ağ ACL’si oluşturabilirsiniz. Ağ ACL’leri numaralı listelerdir, yukarıdan aşağıya giden bir sırayla işlenir ve durum bilgisi içermez. Bu, çift yönlü trafiğe izin vermek için bir gelen ve giden ağ ACL kuralına ihtiyacınız olacağı anlamına gelir.

EC2 kaynaklarını VPC'nize dağıtırken bunlarla bir güvenlik grubu ilişkilendirirsiniz. Güvenlik grubu, EC2 kaynaklarına ulaşabilen gelen ve giden trafiği denetler. Güvenlik grupları güvenlik duvarına benzer ancak yalnızca bir IP adresleri listesi veya aralığı kullanmak yerine trafiği kaynak başvurusu olarak adlandırılan bir şeye yönlendirebilir. Kaynak başvurusu, gruptaki her kaynağa atanan IP adreslerinin güncellenmiş bir listesini tutan adlandırılmış bir gruptur. Örnek olarak Amazon EC2 bulut sunucularını başlatmak için bir otomatik ölçeklendirme grubu oluşturursanız başladığında her bulut sunucusuna yeni bir IP atanır. Bu bulut sunucularına bir güvenlik grubu ekleyerek, EC2 bulut sunucularının güvenlik grubu kimliği aracılığıyla veritabanı sunucunuzun güvenlik grubuna erişim izni verebilirsiniz ve başlatılan tüm yeni EC2 bulut sunucularının, IP adreslerini izin verilen listeye eklemelerine gerek kalmadan veritabanına erişimi olur.

Güvenlik grubu kuralları ağ ACL’lerine benzer çünkü bunları oluşturduğunuzda bağlantı noktası, protokol ve adreslerle eşleşirsiniz. Ancak bu kuralların durum bilgisi vardır ve bunların durum bilgisi olan bir güvenlik duvarıyla benzer olduklarını düşünebilirsiniz. Belirli bir trafik türüne izin vermek için bir giriş oluşturduğunuzda dönüş trafiğiyle eşleşecek bir kural oluşturmanıza gerek yoktur. Durum bilgisi olduğu için dönüş trafiğine izin verilir. Güvenlik gruplarının ve ACL'lerin nasıl etkileşime girdiğini daha iyi anlamak için bu karşılaştırma yararlıdır.

Ek bir altyapı güvenliği katmanı eklemek için AWS Ağ Güvenlik Duvar ı'nı dağıtabilirsiniz. Network Firewall, Amazon VPC’niz için koruma dağıtan yönetilen bir hizmettir. VPC’lerinizin yetkisiz bir protokol kullanarak etki alanlarına erişmesini önleme gibi politikaları uygulamak üzere güvenlik gruplarından daha ayrıntılı koruma sağlar çünkü bağlantıları izleme ve protokol tanımlama gibi trafik akışlarından gelen bağlamı içerebilir. Bu, özel Suricata Kurallarının yapılandırılması yoluyla yapılır. Örneğin, Ağ Güvenlik Duvarı'nı kötü amaçlı yazılım saldırılarına karşı koruma sağlayacak şekilde yapılandırabilirsiniz. Bunu bir adım öteye taşıyarak, DDoS tehditlerine karşı koruma sağlamak için başka bir yönetilen hizmet olan AWS Shield Advanced'ı devreye alabilirsiniz.

AWS’de kaynak oluştururken çalıştığınız kaynak türü için önerilen en iyi güvenlik uygulamalarını takip etmeye özen göstermelisiniz. EC2 bulut sunucularında güvenlik, örneğin VPC'nizi ve güvenlik gruplarınızı yapılandırarak bulut sunucularınıza ağ eriş imini denetleyerek başlar. (Daha fazla bilgi için “Oluşturduğunuz altyapının güvenliğini sağlama” bölümündeki “Amazon VPC güvenliği” kısmına bakın.)

Bulut sunucusu güvenliğinin diğer bir yönü, bulut sunucularınıza bağlanmak için kullanılan kimlik bilgilerinin yönetimidir. Bu, atadığınız IAM kullanıcı izinleriyle başlar ancak atanan gruba kadar uzanır. Bu, EC2 bulut sunucusuyla çalışan kullanıcı için bir güvenlik düzeyi sağlar ancak bulut sunucusunun kendisi için bunu yapmaz. Ayrıca, örneğe bağlı IAM rol lerini ve bu rollerle ilişkili izinleri yapılandırmanız gerekir. Bir EC2 bulut sunucusuna erişmek için SSH bağlantı noktasını açmak veya bastion/jump ana bilgisayarı kurmak yerine EC 2 Instance Connect'i kullanmalısınız.

Bulut sunucusuna dağıtılan konuk işletim sistemi ve yazılımın işletim sistemi güncelleştirmeleri ve güvenlik yamaları ile güncel olduğundan emin olmalısınız. Daha fazla ayrıntı için Amazon EC2'de Güvenlik sayfasını ziyaret edin.

Veritabanınızın güvenliğini sağlamak, güvenlik yaklaşımınızın önemli bir yönüdür. Amazon VPC güvenliği bölümünde belirtildiği gibi, harici tarafların internet üzerinden erişimini önlemek için veritabanlarını özel bir alt ağa dağıtmanız önerilir. AWS, amaca yönelik 15 veritabanı sunar. Her biri farklı şekilde güvence altına alınmıştır, ancak hepsi aşağıdakileri ortak olarak paylaşır.

Bir veritabanına erişmek için bir tür kimlik doğrulaması gereklidir. Bu, düzenli olarak döndürülmesi gereken bir kullanıcı adı ve şifre şeklini alabilir. Alternatif olarak, veritabanına erişimi sizin için yönetmek için IAM rollerinden yararlanmak için Amazon RDS Proxy "den yararlanabilirsiniz.. Amazon Dynam oDB gibi bazı veritabanı hizmetleri erişim sağlamak için IAM rollerini kullanır, bu nedenle kimlik bilgilerini kendiniz yönetmenize gerek yoktur.

SSH, EC2 bulut sunucularınızı yönetmenin en yaygın yöntemlerinden biridir ve Amazon EC2 Instance Connect, doğrudan konsolda tek seferlik SSH anahtarlarından yararlanarak EC2 bulut sunucularınıza bağlanmak için SSH kullanmanıza olanak tanır. Aşağıdaki makalelerde Amazon EC2 Bulut Sunucu Bağlantısının nasıl etkin leştirileceği ve tipik kullanım durumu açıklanmaktadır. Ayrıca EC2 bulut sunucunuzu oluşturduğunuzda SSH anahtarları da oluşturabilir, bunları yerel olarak indirebilir ve bulut sunucunuza bağlanmak için bunları kullanabilirsiniz. Ancak bu, söz konusu anahtarları korumanız ve bunların erişiminizi kaybetmeyeceğiniz bir yerde saklandığından emin olmanız gerektiği ve yalnızca bu anahtarların indirildiği bir makineden bulut sunucunuza bağlanabileceğiniz anlamına gelir. EC2 Instance Connect, kullanımı kolay bir şekilde konsoldan, makineler arasında aynı SSH erişimini güvenli bir şekilde sağlar.

Veritabanınıza erişimi yalnızca erişim gerektiren hizmetler ve altyapıyla sınırlamak önerilen en iyi uygulamalardan biridir. Bu, RDS bulut sunucularınız, Amazon Neptune veritabanlarınız veya Amazon Redshift kümeleri için güvenlik grupları ayar layarak yapılabilir.

Yedekleme ve geri yüklemeleri test etme

Verilerinizi yedeklemek ve yedeklemelerin doğru çalıştığını onaylamak için sık sık geri yükleme çalıştırmak bir öncelik olmalıdır. AWS Backup ile Amazon RDS, DynamoDB, Neptune ve daha fazlası dahil olmak üzere belirli AWS hizmetleri için yedeklemeleri kolayca yapılandırabilir ve yönetebilirsiniz.

Sunucusuz güvenlik için AWS Lambda, Amazon API Gateway, Amazon DynamoDB, Amazon SQS ve IAM'e aşina olmalısınız. Sunucusuz güvenlik ile AWS, Paylaşılan Sorumluluk Modeliyle karşılaştırıldığında daha büyük bir sorumluluk alır ancak yine de farkında olunması gereken bir müşteri sorumluluğu vardır. Sunucusuz bir ortamda AWS altyapıyı, işlemi, yürütme ortamını ve çalışma zamanı dilini yönetir. Müşteri, resimde gösterildiği gibi müşteri işlev kodu ve kitaplıklarından, kaynak yapılandırmasından ve kimlik ve erişim yönetiminden sorumludur.

İlerleyen bölümlerde, müşterinin sorumluluğunda olan güvenlik uygulamaları hakkında ayrıntılı bilgi veriyoruz. Daha fazla ayrıntı için bkz. AWS Lambda'da Güvenlik.

AWS Lambda, Amazon Linux tabanlı bir yürütme ortamında işlev kodunuzu çalıştıran çalışma zamanları sağlar. Ancak işlevinizle birlikte ek kitaplıklar kullanıyorsanız kitaplıkları güncellemekten sorumlusunuzdur. Kitaplıklarınızın güncel olmasını sağlamak, güvenlik durumunuzu korumanıza yardımcı olabilir.

AWS Lambda; Amazon DynamoDB, Amazon EventBridge ve Amazon Basit Bildirim Hizmeti (Amazon SNS) gibi çeşitli AWS kaynaklarıyla entegre olur. İşlevinizin bir parçası olarak kullandığınız her hizmet için önerilen güvenlik uygulamalarını takip etmek, güvenlik durumunuzu güçlendirmenize yardımcı olacaktır. Her hizmete ilişkin belgeler ek kılavuz bilgiler sağlar.

Lambda işlevlerinin yürütülmesi, belirli IAM izinleri ve rolleri gerektirebilir. Daha fazla ayrıntı AWS Lambda Geliştirici Kılavuzu'nun İz inler bölümünde bulunabilir.

Güvenlik stratejiniz izleme, günlük kaydı ve yapılandırma yönetimini de içermelidir. Örneğin birçok kuruluş TACACS+ protokolü, RADIUS veya Active Directory günlüklerini kullanarak cihazlarının muhasebeleştirilmesini sağlar. Bu, tüm idari faaliyetler için bir denetim izinin oluşturulmasını sağlamaya yardımcı olur. AWS Bulut içinde bu işlem AWS CloudTrail ile yapılabilir. CloudTrail, kullanıcı etkinliğini ve API kullanımını izleyerek denetime, güvenlik izlemeye ve operasyonel sorun gidermeye olanak sağlar. Geliştiricilerin ve kuruluşların AWS Bulut’ta sunucusuz uygulamaları hızla bulmasını, dağıtmasını ve yayımlamasını kolaylaştıran AWS Sunucusuz Uygulama Deposu, AWS CloudTrail ile entegre edilmiştir. Daha fazla ayrıntı için bkz. AWS Serverless Application Repository Developer Guide.

Sunucusuz ortamlarınız için hala bir dereceye kadar DoS ve altyapı koruması sağlamanız gerekir. Bunu da AWS Shield ve AWS Shield Gelişmiş ile yapabilirsiniz. Tehditleri izleme ve tespit etme “Ortamınızı izleme” bölümünde daha detaylı ele alınmıştır.

AWS’de veriler, verileri korumak için çeşitli denetimler içeren Amazon S3’te depolanır. Amazon S3'te verilerin güvenliğini sağlamak için en iyi 10 güvenlik uygulaması makalesi en temel teknikleri kapsar. Bunlar arasında kuruluş düzeyinde genel S3 bucket'larının engellenmesi, verilen tüm erişimin kısıtlı ve spesifik olduğunu doğrulamak için klasör politikalarının kullanılması ve verilerin şifrelenmesi ve korunması yer alır.

AWS Anahtar Yönetimi Hizmeti (AWS KMS), verilerinizi şifrelemek veya dijital olarak imzalamak için kullanılan anahtarları oluşturmanıza ve denetlemenize olanak tanır. Verilerinizi AWS’de şifrelemek için birkaç seçeneğiniz vardır. Birincisi, Amazon S3 tarafından yönetilen şifreleme anahtarlarıyla (SSE-S3) sunucu tarafı şifrelemeyi kullanmaktır. Bu yöntem kullanılarak veriler AWS tarafından yönetilen anahtarlar yoluyla AWS’ye gönderildikten sonra şifreleme gerçekleşir.

İkinci seçenek, verileri AWS'ye girdikten sonra şifrelemektir, ancak AWS tarafından oluşturulan ve yönetilen anahtarları kullanmak yerine, AWS KMS'de (SSE-KMS) depolanan müşteri ana anahtarları (CMK'ler) ile sunucu tarafı şifreleme gerçekleştirebilirsiniz.

AWS’de şifrelenmiş verileri depolamak için üçüncü seçenek, istemci tarafı şifreleme kullanmaktır. Bu yaklaşımla veriler AWS’ye aktarılmadan önce şifrelenir.

Hem istemci tarafı şifrelemenin hem de sunucu tarafı şifrelemenin müşterilere nasıl fayda sağladığına dair bir örnek resimde görülebilir.

VPN’ler çeşitli teknolojileri kapsayabilir. Bir VPN’nin arkasındaki fikir, taşınan verilerinizin bütünlüğünü koruması ve iki taraf arasında güvenli bir şekilde değiş tokuş edilebilmesidir. AWS, taşınan verilerinizin güvenliğini sağlamanıza yardımcı olan birden fazla teknoloji sunar. Bunlardan biri, VPC'ler, AWS hizmetleri ve şirket içi ağlarınız arasında şifreli, özel bağlantı sağlayan AWS Privat eLink'tir. Bu, trafiğinizi genel internete açmadan yapılır. Bu da sanal bir özel ağ olarak düşünülebilir.

Bununla birlikte, çoğu durumda, bir VPN tartışması veri şifrelemenin kullanımı etrafında döner. Koşullara bağlı olarak istemci ile AWS bulut kaynaklarınız arasında şifreleme sağlamanız gerekebilir. Bu durum AWS Client VPN'i gerektirir. Öte yandan, veri merkeziniz veya şubeniz ile AWS kaynaklarınız arasında veri aktarıyor olabilirsiniz. Bunu şirket içi kaynaklarınız ile Amazon VPC’lerimiz veya AWS Transit Ağ Geçidi arasındaki IPsec tünellerini kullanarak gerçekleştirebilirsiniz. Bu güvenli bağlantı Siteden Siteye VPN olarak bilinir.

Son olarak bulut kaynaklarınızı AWS Yönetim Konsolu’nu kullanarak yönetmek şifrelenmiş, taşınan veriler de sunar. Normalde konsolla bağlantıyı VPN olarak adlandırmazsınız ancak oturumunuz TLS (Aktarım Katmanı Güvenliği) şifrelemesini kullanır. Böylece, güvenli mimarinizi oluşturdukça yapılandırmalarınız gizli tutulur. TLS, AWS API ile de kullanılır.

AWS, self servis seçeneklerinin yanı sıra ortamınızın izlenmesine yardımcı olmak için çeşitli yönetilen hizmetler sunar. Örneğin, ağ trafiği akışlarını günlüğe kaydetmek ve görüntülemek için VPC Akış Günlü klerini kullanabilir veya AWS WAF Günlüklerini analiz etmek ve hatta EC2 bulut sunucuları için alarm oluşturmak için Amazon CloudWatch'u kullanabilirsiniz. Bu atölyede Amazon CloudWatch hakkında daha fazla bilgi edinebilirsiniz.

Ayrıca AWS CloudTrail, AWS altyapınızdaki hesap etkinliğini izler ve kaydeder, böylece depolama, analiz ve düzeltme eylemleri üzerinde kontrol sahibi olmanızı sağlar. Bu; bir idari denetim izi oluşturmak, güvenlik olaylarını belirlemek ve operasyonel sorunları gidermek için esastır.

Son olarak, Amazon GuardDuty tehdit algılama ve hatta yayınlanan bulguların AWS ortamınızda otomatik düzeltme eylemleri başlatmasına neden olarak bunu bir adım daha ileri götürmek için kullanılabilir.

Bu operasyonel alanların her birini ele alarak, bulut ortamınız için temel güvenlik özelliklerini oluşturma yolunda ilerleyeceksiniz.