- Bulut Bilgi İşlem nedir?›
- Bulut Bilgi İşlem Kavramları Merkezi›
- Güvenlik, Kimlik ve Uyumluluk
Bulut Altyapısı Güvenliği nedir?
Sayfa konuları
- Bulut Altyapısı Güvenliği nedir?
- Paylaşılan sorumluluk modeli, bulut altyapısı güvenliği ile nasıl ilişkilidir?
- Bulut altyapısı güvenliğinin avantajları nelerdir?
- Bulut altyapısı güvenliğinin temel bileşenleri nelerdir?
- Bazı bulut altyapısı güvenliği en iyi uygulamaları nelerdir?
- AWS, bulut altyapısı güvenlik gereksinimlerinizi nasıl destekleyebilir?
Bulut Altyapısı Güvenliği nedir?
Bulut altyapısı güvenliği; temel bulut altyapısının güvenlik duruşunu geliştirmek için tasarlanmış teknolojileri, denetimleri ve politikaları ifade eder. Güçlü bulut altyapısı güvenliği; DDoS olayları, veri kaybı ve beklenmedik güvenlik olaylarına yol açabilecek yanlış yapılandırmalar gibi tehditlere karşı korunmaya yardımcı olur. Bulut altyapısı güvenliği, bulut güvenliğinin temel bir bileşenidir.
Paylaşılan sorumluluk modeli, bulut altyapısı güvenliği ile nasıl ilişkilidir?
Paylaşılan sorumluluk modeli, bulut sağlayıcısı ile sizin aranızdaki belirli siber güvenlik önlemlerinden kimin sorumlu olduğunu belirleyen bir sistemdir. Sorumluluklar, size veya bulut sağlayıcısına düşebilir ya da her iki taraf arasında paylaşılabilir.
Paylaşılan sorumluluk modelinde her bir tarafın temel sorumlulukları:
Bulut sağlayıcısı sorumlulukları
Bulut sağlayıcısı, bulut hizmetlerini çalıştıran fiziksel altyapıyı korumaktan sorumludur. Donanım, yazılım, ağ oluşturma ve hizmetlere bağlı tüm tesisler; bulut sağlayıcısının sorumluluğundadır.
Sizin sorumluluklarınız
Paylaşılan sorumluluk modelindeki sorumluluklarınız, seçtiğiniz bulut hizmetlerine bağlıdır. Bir araya geldiğinde bu hizmetler, güvenlik sorumluluklarınızın bir parçası olarak gerçekleştirmeniz gereken yapılandırma çalışması miktarını belirler. Şifreleme seçenekleri dâhil olmak üzere verilerinizi yönetme, varlıklarınızı sınıflandırma ve uygun izinleri uygulamak için Kimlik ve Erişim Yönetimi (IAM) araçlarını kullanma gibi görevler sizin sorumluluğunuzdadır.
Paylaşılan sorumluluklar
Bazı denetimler, tamamen ayrı bağlamlarda veya perspektiflerde hem sağlayıcının altyapı katmanına hem de müşteri katmanlarına uygulanır. Sorumluluğun paylaşıldığı durumlarda bulut sağlayıcısı altyapı için gereksinimleri uygularken müşteri de bulut hizmetleri kullanımlarına bir denetim uygulaması getirir. Buna örnek olarak yapılandırma yönetimi, farkındalık ve eğitim sayılabilir.
Bulut altyapısı güvenliğinin avantajları nelerdir?
Bulut altyapısı tüm bulut hizmetlerinin temelini oluşturur ve güvenliği, buluttaki tüm iş yükleri için hayati önem taşır.
Bulut altyapısı güvenliğinin işletmeler için önemli olmasının birkaç nedeni:
Bulut ortamlarında yetkisiz erişimi önlemeye yardımcı olur
Tehdit aktörleri, içerdikleri büyük hacimli veriler nedeniyle bulut ortamlarını hedefler. Bulut altyapısındaki yanlış yapılandırmalar, zayıf denetimler veya temelde yatan güvenlik açıkları; yetkisiz üçüncü taraf gruplar için giriş noktaları oluşturabilir. Bulut altyapısı güvenlik önlemleri; bu giriş noktalarını tanımlayıp kontrol etmeli, şirketinizin verilerini güvende tutmaya yardımcı olmalı ve veri gizliliğini teşvik etmelidir.
İş sürekliliğindeki kesintileri azaltır
Dağıtılmış Hizmet Reddi (DDoS) olayları gibi belirli siber tehditler, bir kuruluşun beklendiği şekilde işleme yeteneğini azaltmayı amaçlar. Ağ segmentasyonu gibi bulut altyapısı güvenlik önlemleri, iç veya dış tehditlere karşı proaktif bir şekilde savunmanın yanı sıra iş operasyonlarınızın yüksek çalışma süresini korumasına yardımcı olur.
Güveni korur
Bir kuruluş, özellikle bulutta depolanan müşteri verileriyle ilgili bir siber güvenlik olayına dahil olduğunda itibar kaybedebilir. Bulut altyapısı güvenliği, bulutta çalışan sanallaştırılmış hizmetleri daha iyi koruyarak hassas şirket verilerinin gizli kalmasını sağlamaya yardımcı olur.
Bulut altyapısı güvenliğinin temel bileşenleri nelerdir?
Bulut altyapısı güvenlik çözümleri genellikle bulut temelli çözümlerdir.
Bulut altyapısı güvenliğinin temel bileşenleri:
Kimlik ve erişim yönetimi
Kuruluşlar, hassas verileri ve bilgileri bulutta barındırır ve yetkili kullanıcıların bu bulut kaynaklarına erişebilmesini sağlamaya yardımcı olur. Kimlik ve erişim yönetimi (IAM), hangi kullanıcı rollerinin verilerle etkileşime girebileceğini veya verileri bulabileceğini tanımlar. İzin sistemlerinin yanı sıra IAM, çok faktörlü kimlik doğrulama ile bulut hesaplarının sahipliğini doğrulayabilir ve böylece yetkisiz kullanıcıları uzak tutmaya yardımcı olur.
Günlük kaydı ve telemetri
Günlük kaydı ve telemetri hizmetleri, belirli eylemleri ve olayları bir bulut sisteminde belgelemeyi amaçlar. Kuruluşlar; erişim olaylarını, bilgi hareketlerini ve siber güvenlik eylemlerini dikkatlice günlüğe kaydederek bulut altyapılarında daha fazla görünürlük elde eder. Kritik sistemler tarafından yayılan operasyonel telemetri, genellikle denetimlerde kullanılan bir bilgi izi oluşturabilir.
Analiz
Analiz çözümleri; daha fazla araştırma gerektiren tutarsızlıkları, anormallikleri veya beklenmedik olayları belirlemek için operasyonel telemetriyi ve mevcut günlük verilerini kullanabilir. Güvenlik Bilgileri ve Olay Yönetimi (SIEM) gibi analiz sistemleri, potansiyel güvenlik olaylarına karşı uyarmak ve bunları izlemek için veri noktalarını bir araya getirir ve bulut altyapısı güvenlik izleme sistemlerinin beklendiği gibi çalıştığından emin olmaya yardımcı olur.
Ağ ve cihaz güvenliği
Çalışanlar, bulut ortamınıza ve içinde depolanan bulut kaynaklarına çok çeşitli konumlardan ve cihazlardan erişir. Bu geniş yüzeyi potansiyel tehditlere karşı güçlendirmek için bir dizi çözüm uygulayabilirsiniz. Bu çözümler, gelen ve giden trafiği kontrol etmek ve kötü amaçlı trafiği filtrelemek için ağ ve cihaz güvenliğinin yanı sıra ağların bölümlere ayrıldığından emin olmak için iş yükü yalıtımını içerir.
Veri şifreleme
Veri güvenliği, hem taşınan hem de bekleyen tüm verilerin yetkisiz erişime karşı korunmasını sağlamanın genel sürecidir. Bulut altyapısı güvenliği, verileri hassasiyetine göre etiketlemek için veri sınıflandırma politikalarını kullanabilir ve verileri korumak için çeşitli güvenlik uygulamaları yürütebilir. Yalnızca yetkili tarafların hassas verilere erişebildiğinden emin olmak için verileri hem beklemede hem de taşıma sırasında şifreleyebilirsiniz. Veri güvenliği ayrıca bilgi güvenliğini artırmak için veri kaybını önleme stratejileri geliştirmeyi ve uygulamayı içerir.
Bazı bulut altyapısı güvenliği en iyi uygulamaları nelerdir?
Bulut güvenliği stratejinizi geliştirmeye ve temel bulut bilgi işlem altyapınızı korumaya yardımcı olacak en iyi uygulamalardan bazıları aşağıda verilmiştir.
Ağ katmanları oluşturma
Ağ katmanları oluşturmak; iş yükü bileşenlerinizi, internete dönük web sunucuları veya arka uç veri tabanları gibi işlevlerine ve hassasiyetlerine göre mantıksal gruplar hâlinde düzenlemeyi içerir. Bu bileşenleri ayrı alt ağlara yerleştirerek net sınırlar oluşabilir ve aralarında trafiğin nasıl akacağını kontrol etmeye yardımcı olacak fırsatlar yaratabilirsiniz.
Bu katmanlı yaklaşım, her katmanın güvenlik denetim noktası görevi gördüğü bir derinlemesine savunma stratejisini destekler. Örneğin, yalnızca en dış katmandaki kaynaklar internete maruz kalırken veri tabanları gibi daha hassas sistemler izole kalır ve yalnızca dâhilî ağlar aracılığıyla erişilebilir.
Sanal özel bulutlar ve özel bulut altyapısı, bulutta mantıksal olarak izole edilmiş ağlar ve altyapılar oluşturmanıza yardımcı olur. Bulut ağlarını ve kullanımını tanımlayan tutarlı güvenlik politikaları oluşturmak güvenli bir bulut ortamının geliştirilmesine yardımcı olur.
Trafik akışını kontrol etme
Trafik akışını kontrol etmek yalnızca iş yükleri, kullanıcılar ve haricî sistemler arasında gerekli iletişime izin verecek şekilde ortamınızı bölümlere ayırmayı içerebilir. Bu trafik kontrolü, hem ağınız ile internet arasındaki trafiği (kuzey-güney trafiği) hem de ağınız ile internet arasındaki trafiği (doğu-batı trafiği) yönetmeyi içerir.
Yaygın bir hata, yalnızca çevre savunmalarına güvenmek veya ağ katmanları içinde güven olduğunu varsaymaktır. Bunun yerine en iyi uygulamalar; kullanıcılar ve bulut sunucuları gibi bulut varlıkları arasında noktadan noktaya erişim izni verdiğiniz en az ayrıcalıklı yaklaşımı vurgular. Hem gelen hem de giden trafiği bu şekilde kontrol etmek yetkisiz erişimin etkisini sınırlamaya yardımcı olur ve güvenlik olayları sırasında algılama ve yanıtlama sürelerini iyileştirir.
Denetim tabanlı koruma uygulama
Denetim tabanlı korumanın uygulanması, ağ katmanları arasında ayrıntılı düzeyde hareket ederken trafiği incelemek anlamına gelir. Örneğin, taşınan verilerin gerçek içeriği, meta verileri ve davranışı analiz edilebilir. Denetim tabanlı koruma, gerçek zamanlı tehdit zekasına dayalı olarak anormallikleri veya potansiyel yetkisiz erişimi tespit etmenizi sağlar. Uygulama bağlamına, kullanıcı kimliğine veya bilinen tehditlere dayalı kurallar oluşturabilir ve bu kuralları hassas iş yüklerinde daha katı işleyecek hâle getirebilirsiniz.
Ağ korumasını otomatikleştirme
Kod Olarak Altyapı (IAC) ve CI/CD işlem hatları gibi DevOps uygulamalarını kullanarak ağ korumasını otomatikleştirmek kuruluşların daha güvenli, tutarlı ve tekrarlanabilir ağ yapılandırmaları dağıtmasına yardımcı olur. Bir değişiklik durumunda, otomatik işlem hatları test ve dağıtım iş akışlarını başlatır. Değişiklikler ilk olarak doğrulama için bir hazırlama ortamına dağıtılır ve burada değişikliklerin yayınlanmadan önce amaçlandığı gibi çalışıp çalışmadığını test edebilirsiniz.
AWS Well-Architected Çerçevesi
AWS Well-Architected Çerçevesi, AWS iş yüklerinin korunmasına yardımcı olmak için bir dizi en iyi uygulama ve bulut güvenliği tasarım uygulaması sunar. Bu çerçevenin güvenlik yapı taşı; güçlü, katmanlı bulut güvenliği ve proaktif önlemlerle sistemlerinizi, verilerinizi ve bilgilerinizi nasıl daha iyi koruyacağınıza dair kurallar sunar.
Well-Architected yönergelerini sık sık gözden geçirerek kuruluşlar, bulut güvenliği duruşlarını iyileştirebilir ve bulut altyapısı güvenlik stratejilerinin etkili kalmasını sağlamaya yardımcı olabilir.
AWS, bulut altyapısı güvenlik gereksinimlerinizi nasıl destekleyebilir?
Bulut güvenliği, AWS'de en önemli önceliktir ve küresel altyapımızın tasarımı, sürekli operasyonları destekler. Uygulamaların, verilerin ve iş yüklerinin büyük ölçekte korunmasına yardımcı olmak için gerekli araçları ve hizmetleri sağlayarak müşterilerimizin ve çözüm ortaklarımızın bize olan güvenini sürdürüyoruz. AWS altyapısı, her biri fiziksel ve mantıksal denetim katmanlarıyla tasarlanmış birden fazla coğrafi bölgeyi ve erişilebilirlik alanını kapsar. Bu önlemler, yaşam döngüleri boyunca gerçekleştirilen sürekli tehdit modellemesine ve kapsamlı testlere dayanır.
AWS, AWS üzerinde kurumsal altyapı güvenliğinizin korunmasına yardımcı olmak için çeşitli bulut altyapısı güvenlik hizmetleri sunar.
- Amazon GuardDuty, akıllı tehdit algılama ile AWS kullanıcı hesaplarınızı, iş yüklerinizi ve verilerinizi korumaya yardımcı olur.
- AWS Kimlik ve Erişim Yönetimi (IAM), AWS'de çevikliğinizi ve inovasyonunuzu destekleyerek iş yükü ve iş gücü erişimini güvenli bir şekilde yönetir ve ölçeklendirir.
- Amazon Inspector; Amazon Elastic Compute Cloud (Amazon EC2) bulut sunucuları, container görüntüleri ve AWS Lambda işlevlerinin yanı sıra kod depoları gibi iş yüklerini otomatik olarak keşfeder ve bunları yazılım güvenlik açıklarına ve istenmeyen ağ güvenliği tehditlerine karşı tarar.
- Amazon Macie; makine öğrenimini ve örüntü eşleştirmeyi kullanarak hassas verileri keşfeder, veri güvenliği risklerine ilişkin görünürlük sağlar ve bu risklere karşı otomatik koruma sunar.
- AWS Security Hub, kritik güvenlik sorunlarına öncelik vermenize ve ortamınızı korumak için uygun ölçekte müdahale etmenize yardımcı olur. Sinyalleri eyleme geçirilebilir öngörülerle ilişkilendirerek ve zenginleştirerek kritik sorunları tespit eder ve basitleştirilmiş bir yanıt süreci sağlar. AWS Security Hub, mevcut güvenlik duruşunuzu anlamak için bulut güvenliği duruş yönetiminden (CSPM) yararlanır.
Hemen ücretsiz bir hesap oluşturarak AWS'de bulut altyapısı güvenliği çalışmalarına başlayın.