[ This article was originally published here ]
Bu serideki ilk iki blogda düzgün bir şekilde tartıştık ve . Bu blogda, AWS’yi geçiş halindeyken ve beklemedeyken şifrelemeyi ele alacağız.
Bazen, aksi yöndeki tüm çabalara rağmen, veriler tehlikeye girebilir. Bu, hatalı uygulamalar veya sistemler yoluyla veri sızıntısı, dizüstü bilgisayarlar veya taşınabilir depolama cihazlarının kaybolması, kötü niyetli aktörlerin güvenlik savunmalarını aşması, sosyal mühendislik saldırıları veya ortadaki adam saldırılarında verilerin ele geçirilmesi nedeniyle oluşabilir. Neyse ki, yeterli şifreleme önlemleri alındığında, bunlar gibi veri ifşaları geçersiz kılınabilir. Basitçe söylemek gerekirse, veriler endüstri onaylı algoritmalarla uygun şekilde şifrelendiğinde deşifre edilemez. Şifrelenmiş verileri anlamlandırmanın tek yolu, yalnızca güvenilen tarafların sahip olduğu bir şifreleme anahtarıyla şifresini çözmektir. AWS’nin verileri nerede olursa olsun şifrelemeyi nasıl kolaylaştırdığını tartışalım.
Aktarım sırasında verileri şifreleme
Bir web sitesini ziyaret ettiğinizde ve tarayıcı araç çubuğunda küçük kilit simgesini gördüğünüzde, bu, bilgisayarınız ile web sitesi ana bilgisayarı arasında gönderilen verilerin güvenli olduğu anlamına gelir. Verileriniz kötü niyetli bir aktör tarafından ele geçirildiyse, şifreli olduğu için şifresini çözemezler.
Bu blog dizisinin kapsamı dışında kalan bir şifreleme işlemi aracılığıyla, bilgisayarlar ve web sitesi ana bilgisayarları, oturumlar sırasında kullanılan şifreleme algoritması ve anahtarları üzerinde anlaşır. Böylece, yalnızca iletişim kuran bilgisayarlar ve web sitesi ana bilgisayarları kullanılan şifreleme anahtarlarını bildiğinden, veriler meraklı gözlerden korunur. (Not: Bu ifadenin bir istisnası, şifreleme anahtarlarının halka açık bir İnternet bağlantısı (örn. kafe Wi-Fi) üzerinden üretilmesidir. Siber suçlular bu bilgi alışverişini engelleyebilir ve iletişiminize kulak misafiri olabilir. Bu nedenle, halka açık bir İnternet bağlantısı kullanırken web sitelerini ziyaret etmeden önce güvenilir bir sağlayıcıyla sanal özel ağ (VPN) bağlantısı başlatmanız önerilir).
AWS, aktarım halindeki verileri şifrelemek için Amazon Sertifika Yöneticisi (ACM) adı verilen kullanışlı bir hizmet sunar. AWS’ye göre ACM, “AWS web sitelerinizi ve uygulamalarınızı koruyan genel ve özel SSL/TLS X.509 sertifikaları ve anahtarları oluşturma, depolama ve yenileme karmaşıklığını yönetir.” . Bu X.509 sertifikaları AWS ELB’ler, CloudFront ve Amazon API Gateway ile kullanılabilir. Sonuç olarak, bu kaynaklara gelen ve bu kaynaklardan gelen tüm İnternet bağlantılı trafik güvenli olacaktır.
Ayrıca AWS, X.509 sertifikalarını kullanarak S3 klasörleri gibi AWS tarafından yönetilen kaynaklara aktarılan verileri şifreleyebilir. Ancak, bu özelliği etkinleştirmek için politikaların HTTP’yi kısıtlayacak ve yalnızca HTTPS bağlantısına izin verecek şekilde güncellenmesi gerekebilir. AWS S3’ün HTTPS bağlantılarını nasıl uygulayabileceğine dair bir örnek görmek için burayı tıklayın: .
Artık aktarım halindeki verileri nasıl şifreleyeceğimizi öğrendiğimize göre, son tartışma konumuz olan bekleyen verileri şifrelemeye geçelim.
Bekleyen verileri şifreleme
AWS’nin sunduğu en kolay ve en etkili güvenlik önlemlerinden biri, bekleyen verileri şifrelemektir. Kelimenin tam anlamıyla, birkaç fare tıklamasıyla verileri depolayan her büyük AWS hizmeti, AWS’nin sahibi olduğu ve bakımının yapıldığı varsayılan şifreleme anahtarlarıyla şifrelenebilir. Bu eylemleri gerçekleştirmek için kullanılan hizmete AWS Key Management Service (AWS KMS) adı verilir.
Bu nedenle, herhangi bir nedenle verileriniz dünyaya ifşa olursa, sizin adınıza yalnızca AWS’nin erişebileceği şifreleme anahtarı olmadan okunamaz hale gelir. İnternette hızlı bir Google araması, ortak bir AES-256 şifreleme anahtarını kırmak için kullanılan sürenin, modern bilgisayarların – dünyanın en hızlı süper bilgisayarlarıyla bile – trilyonlarca yıl süreceğini ortaya çıkaracaktır.
Yasalar, yönetmelikler veya şirket politikası kendi şifreleme anahtarlarınızı yönetmenizi gerektiriyorsa AWS’nin başka seçenekleri vardır. AWS müşterileri, KMS aracılığıyla, kendi adlarına şifreleme için kullanmak üzere kendi anahtar malzemelerini AWS’ye aktarabilir. AWS’nin şifreleme anahtarlarına erişmesini istemeyen müşteriler için AWS, donanım güvenlik modülleri (HSM’ler) de sunar. Bunlar, saatlik maliyetle bir yardımcı program gibi sağlanabilir ve kullanılabilir.
AWS HSM’lerin FIPS 140-2 uyumlu olduğu onaylanmıştır. Bu atamaya aşina olmayanlar için, hükümet onaylı güvenlik standartlarını karşılamak için titiz testlere atıfta bulunur. AWS KMS hakkında daha fazla bilgi edinmek için burayı tıklayın: . AWS HSM hakkında daha fazla bilgi edinmek için burayı tıklayın: .
Bu nedenle, bekleyen verileri şifrelemek için çok sayıda seçenek ve kullanım kolaylığı göz önüne alındığında, verileri depolandığı her yerde şifrelememek için bir mazeret yoktur.
Her şeyi birbirine bağlamak
Bu makalede, her işletmenin veya devlet kurumunun AWS güvenlik duruşunu önemli ölçüde iyileştirmek için izleyebileceği üç kolay adımı ele aldık. Özet olarak, bu adımlar 1) IAM’yi düzgün bir şekilde kurmak ve kullanmak, 2) savunmasız AWS kaynaklarına doğrudan İnternet erişiminden kaçınmak ve 3) aktarılan veya bekleyen verileri şifrelemek içindir. Bu adımların kapsamlı olmadığını söylemeye gerek yok. Bunlar yalnızca bu yazarın en etkili olduğuna inandığı adımlardır.
AWS müşterilerinin takip edebileceği başka birçok güvenlik mekanizması mevcuttur. Daha gelişmiş AWS güvenlik yardımı için, destek için AT&T’nin siber güvenlik danışmanlığı bölümüyle iletişime geçmeniz önerilir. AWS siber güvenlik ihtiyaçlarınız konusunda size yardımcı olmaya hazır, istekli ve muktediriz. AT&T siber güvenlik danışmanlığı hakkında daha fazla bilgi almak için lütfen buraya tıklayın: .
Bu blog serisini okumak için zaman ayırdığınız için teşekkür ederiz. Umarım bilgilendirici ve faydalı bulmuşsunuzdur.
Referanslar:
AWS –
Bir Bulut Gurusu –
reklam