Amazon Web Hizmetleri (AWS), hem büyük hem de küçük milyonlarca modern işletmenin can damarı haline geldi. Ancak bu popüler bulut platformu, operasyonlarını etkileyici hız, basitlik ve uygun fiyatla yönetmelerini ve ölçeklendirmelerini sağlarken, kullanıcılar tarafından yanlış yönetilirse önemli bir güvenlik ve gizlilik riskini temsil eder.
Güvensiz veya yanlış yapılandırılmış bir AWS Tech yığını, siber suçluların kurumsal sistemlere ve hassas dosyalara girmeleri için bir ağ geçidi sağlar. Bunun en büyük örneği, eski bir Amazon çalışanı, finansal hizmet devinin AWS teknoloji yığınındaki yanlış yapılandırılmış bir web uygulaması güvenlik duvarından yararlanarak 100 milyon Capital One müşterisinin verilerini çaldığı 2019’da meydana geldi.
Olay, finansal hizmetler devinin etkilenen müşterilere 190 milyon dolarlık (140 milyon £) bir çözüm ödemek zorunda kaldığı yüksek profilli bir dava ile sona erdi. Benzer olaylardan etkilenen diğer büyük işletmeler arasında Accenture, Facebook, LinkedIn, Pegasus Airlines, Uber ve Twilio bulunmaktadır. Peki, kuruluşlar AWS teknoloji yığınlarını güvence altına almak için ne yapabilir?
Omdia’nın baş siber güvenlik analisti Rik Turner’a göre, güvensiz bir AWS teknoloji yığınının en büyük risklerinden biri siber suçlular tarafından veri hırsızlığı ve eksfiltrasyonu. Bunun, büyük miktarlarda dosya ve hassas meta veriler içeren S3 kovalarının düzgün kurulmadığında olabileceğini açıklıyor.
Sonuç olarak, S3 kova erişim hakları, rollerine ihtiyaç duymayan çalışanlara içeriden tehditlere yol açabilir. Ya da daha da kötüsü, bu önemli depolama nesneleri herkesin erişmesi ve kötüye kullanılması için kamuya açık internette sonuçlanabilir.
Çevrimiçi yüksek öğrenim sağlayıcısı açık teknoloji enstitüsü profesörü Sylvester Kaczmarek, bu şekilde maruz kalan hassas kurumsal ve müşteri verilerinin “muazzam mali kayıplar” yaşayan işletmelere yol açabileceğini söylüyor. Mali durumları, düzenleyici para cezaları, müşteri davaları ve aylarca sürebilecek pahalı kurtarma çabalarından geçiyor. İtibar hasarı da genellikle önemlidir.
Buna ek olarak, zayıf veya yeniden kullanılan kullanıcı kimlik bilgileri, siber güvenlik günlüğü ve izleme yeteneklerinin olmaması ve güvenlik duvarları gibi siber savunmalardaki zayıflıkların AWS teknoloji yığınlarını tehlikeli bir şekilde veri ihlallerine maruz bıraktığını da sözlerine ekledi.
Veri ihlalleri, risk ve uyumluluk yazılım sağlayıcısı Navex’in baş teknoloji sorumlusu Bob McCarter, kötü güvenli ilişkisel veritabanı hizmet veritabanlarından, elastik hesaplama bulutu (EC2) örneklerinden ve uygulama programlama arayüzlerinden de kaynaklanabilir. Hatalı kimlik ve erişim yönetimi politikaları, çok faktörlü kimlik doğrulama eksikliği, kapatılmamış yazılım ve açık bağlantı noktaları, bu AWS hizmetlerini etkileyen ortak güvenlik sorunlarıdır.
Maliyetli veri ihlallerinin yanı sıra, modern işletmelerin günlük operasyonları, bir EC2 örneği uzlaşmasının ardından durma noktasına gelebilir. İkincisi, “bozulmuş performans” ve hatta kritik uygulamaların ve iş yüklerinin “tam bir arızalanması” ile sonuçlanıyor.
Analist Gartner başkan yardımcısı ve seçkin analisti Neil MacDonald’a göre, bu konular Amazon’da hedeflenen siber saldırıların değil, AWS kullanıcıları tarafından yapılan hataların ürünüdür. Ancak, AWS veya diğer teknoloji şirketlerinden uygun güvenlik araçları kullanmadan izlemeleri “imkansız” olduğunu ekleyerek, “AWS dağıtımlarının büyüklüğü, karmaşıklığı ve değişim oranı” nedeniyle hataların kolayca gerçekleşebileceğini vurgulamaktadır.
Bu nedenle, AWS kullanıcılarının AWS bulut kaynaklarına yükledikleri verileri korumak için adımlar atma sorumluluğudur. Bu, AWS gibi bulut şirketlerinin sorumluluğu, müşterilere sattıkları altyapıyı güvence altına almak için bulut güvenliği paylaşılan sorumluluk modelinde yer alıyor.
AWS teknoloji yığınlarını güvence altına almak için en iyi uygulamalar
AWS teknoloji yığınlarını güvence altına almak söz konusu olduğunda, AWS iyi arşivlenmiş çerçevede birçok etkili en iyi uygulamalar düzenlenir. McCarter, erişim yönetimi, altyapı yönetimi, veri gizliliği, uygulama güvenliği ve siber tehdit izleme ve tespit için kapsamlı bir rehber sunduğunu açıklıyor.
Cloud güvenlik şirketi Sysdig’in siber güvenlik stratejisti Crystal Morin, bu çerçevenin bir başka vokal destekçisidir. Siber güvenliğin önleme, koruma, tespit ve yanıt taraflarını ele almak için harika olduğunu söylüyor. Morin, “Bu model, ilk etapta sorunları nasıl önleyeceğinizi, iş yüklerinizin güvenliğe sahip olmasını ve daha sonra gerçekleşirse ve ne zaman gerçekleşirse bulut güvenliği tehditlerini tespit etmek ve yanıtlamak için doğru araçlara sahip olmayı düşünmenize yardımcı oluyor” diyor.
MacDonald, AWS’nin kendi güvenlik en iyi uygulamalarına uymanın yanı sıra, İnternet Güvenliği Merkezi’nin de güvenli bir AWS teknoloji yığını oluşturmak ve sürdürmek için tavsiyeler sunduğuna dikkat çekiyor. Birçok modern siber güvenlik aracının, ister Amazon veya dış organizasyon tarafından sağlanan en son AWS uygulamalarıyla uyumlu olduğunu ekliyor.
AWS ile ilgili çok sayıda güvenlik olayının yetersiz erişim kontrollerinden kaynaklandığı göz önüne alındığında, Jake Moore-antivirüs üreticisi ESET’te küresel siber güvenlik danışmanı-kuruluşları erişim haklarının rolleri için ihtiyaç duyanlarla sınırlı olmasını sağlamak için en az ayrıcalık ilkesini uygulamaya çağırıyor. Bu, daha geniş bir kimlik ve erişim yönetimi stratejisinin bir parçası olarak uygulanmalıdır.
Tabii ki, personel işe alma, yıpranma ve tanıtım AWS erişim kontrollerini yönetmeyi zorlaştırabilir. Yine de Moore, işletmelerin bu değişiklikleri izlemek ve erişim kontrollerinin buna göre değiştirilmesini sağlamak için siber güvenlik izleme araçlarını kullanabileceğini ve güvenlik olaylarını en aza indirebileceğini söylüyor. Bu araçlara yatırım yapmanın yanı sıra, AWS yığınları olan kuruluşları, güvenlik boşluklarının hızlı bir şekilde tanımlanmasını ve kapatılmasını sağlamak için siber güvenlik duruşlarını düzenli olarak denetlemeye çağırıyor. Otomatik analiz araçları buna yardımcı olabilir.
Siber suçluların AWS sunucuları arasında depolanan ve seyahat eden hassas verileri çalamamasını sağlamak için OPIT’den Kaczmarek, kuruluşların dinlenme ve transit olduğunda veri şifrelemeleri gerektiğini söylüyor. AWS Anahtar Yönetim Hizmetini kullanmak, verilerin dinlenmesinde korunmasına yardımcı olacaktır. Bu arada, sıkı ağ güvenlik konfigürasyonları, transit verileri ve daha geniş ağ trafiğini güvence altına almanın anahtarıdır. Kaczmarek’e göre bunlar sanal özel bulutlar, güvenlik grupları ve ağ erişim kontrol listeleri için geçerli olmalıdır.
Kaczmarek, AWS teknoloji yığınlarını işleten kuruluşlar AWS CloudTrail kullanarak tüm ağ trafiğini kaydedebilir ve AWS CloudWatch kullanarak izleyebilir. Bu çabaların, çok faktörlü kimlik doğrulama kullanılarak tamamlanabileceğini, çıkarıldıklarında güvenlik yamaları uygulayarak ve manuel işlemleri kod olarak altyapı ile değiştirerek tamamlanabileceğini de sözlerine ekledi. Bir önceki adımın “tutarlılık ve denetim” için çok önemli olduğunu iddia ediyor.
Proaktif güvenlik hayati önem taşıyor
Birçok kuruluş yalnızca AWS teknoloji yığınlarını kullanmaz. AWS dağıtımları genellikle farklı teknoloji şirketlerinden sistemler ve araçlar içeren daha geniş, çok yönlü bir bulut ortamının bir parçasını oluşturur.
Ve kişi ihlal edildiğinde, yakında bir domino etkisi takip edebilir. Bunu göz önünde bulundurarak, Morin, kuruluşların varsayılan olarak güvenli olduğunu ve ekstra siber korumalara ihtiyaç duyan her bulut varlığının bir envanterini yaratmaları gerektiğini söylüyor.
Yeni bulut güvenlik tehditleri sürekli ortaya çıktığından, Morin proaktif bir siber güvenlik yaklaşımının güçlü bir savunucusudur. Bunu yapmak için kuruluşlar, AWS ve daha geniş teknoloji yığınlarını etkileyen güvenlik anomalilerini belirleyecek güvenlik açığı yönetimi hizmetlerine yatırım yapabilirler.
Bu tür ürünlerin potansiyel olarak kavrayabileceği bir güvenlik açığı çığıyla sonuçlanabileceğini kabul ederek, başka bir seçeneğin bir çalışma zamanı güvenlik hizmetine yatırım yapmak olduğunu söylüyor. “Çalışma zamanı güvenliği, üretimde çalışan en acil konulara odaklanmanızı sağlıyor” diyor.
Ancak AWS, kullanıcılarının bulut ortamlarını siber olaylardan korumalarına yardımcı olmak için kapsamlı bir güvenlik aracı paketi sunar. Amazon Müfettişi yapılandırma algılama ve güvenlik açığı yönetimini kapsar. Amazon Guardduty güvenlik izleme sunar. AWS CloudTrail bir denetim günlüğü hizmetidir. AWS IAM Access Analyzer, kimlikleri ve izinleri yönetmek için kullanılır. AWS Security Hub, bulut güvenlik duruş yönetimi sağlar. Amazon Macie, hassas verileri izlemek için makine öğrenimini kullanır.
Üstesinden gelme zorlukları
AWS’nin bulut güvenliğini basitleştirmek için birçok araç ve kaynağa sahip olmasına rağmen, etkili bir AWS güvenlik stratejisi uygulamak her zaman kolay değildir. Yeni başlayanlar için, birçok kuruluş çok kaplı BT ortamları işletmektedir. Ayrıca şirket içi altyapı da olabilir. Ve MacDonald’ın belirttiği gibi, AWS teknoloji yığınları her zaman üçüncü taraf BT sistemleriyle iyi oynamaz. “AW’ler AWS’de onlara yardımcı olsa da, güvenlik ve uyumluluk teklifleri çoklu bulut değildir ve şirket içi iş yüklerini korumak için tasarlanmamıştır” diyor.
Birlikte çalışabilirlik eksikliğinin yanı sıra, AWS’nin çok sayıda ürünü de farklı güvenlik konfigürasyonlarına sahiptir. McCarter, siber güvenlik ekiplerinin hepsini etkili bir şekilde anlamasının ve yönetmesinin zor olduğunu söylüyor. Bu nedenle, iş liderlerini düzenli AWS eğitimine yatırım yapmaya çağırıyor, böylece BT ve güvenlik ekipleri AWS’nin hızlı genişleyen hizmet tekliflerine ayak uydurabiliyor.
Benzer endişeleri dile getiren Kaczmarek, AWS hizmetlerinin karmaşık doğasının kuruluşların “sürekli öğrenme ve güvenlik bilinci kültürü geliştirmesi” gerektiği anlamına geliyor. Doğru siber güvenlik uzmanlığına sahip olmak şirket içinde hayati önem taşıyor, ancak Kaczmarek böyle rekabetçi bir pazarda doğru yetenek bulmanın ve elde tutmanın zor olabileceğini kabul ediyor.
Omdia’daki Turner için, bir AWS teknoloji yığınını güvence altına almanın dikkate değer bir zorluğu, AWS tarafından barındırılan verilerin potansiyel siber güvenlik risklerini analiz etmek için üçüncü taraf bir sisteme aktarılmasından kaynaklanan veri çıkış maliyetleridir. Bu maliyetlerin, büyük telemetri veri kümelerini şirket içi güvenlik bilgileri ve etkinlik yönetim sistemi gibi harici sistemlere aktarması gereken kuruluşlar için önemli ölçüde büyüyebileceğini ekliyor.
Bu arada ESET’ten Moore, AWS teknoloji yığınlarını büyütmeyi planlayan kuruluşların güvenlik hataları ve yanlış yapılandırmalar yapmaya daha duyarlı olduğunu savunuyor. AWS, derhal yazılım güncellemeleri ve güvenlik yamaları yayınlamakla iyi bilinse de, bulut güvenlik devinin AI-yakıtlı saldırılar gibi ortaya çıkan siber güvenlik tehditlerine ayak uydurup tutamayacağını sorguluyor. Moore, “Kullanıcıların anormallikleri tespit etmek için buna göre eğitilmeleri hayati önem taşıyor” diyor.
AWS destekli teknoloji yığınları, verimli operasyonları sürdürmek ve işlerini ölçeklendirmek isteyen işletmeler için güçlü bir araç olabilir. Ancak açık olan, sadece doğru yapılandırıldıklarında, proaktif siber güvenlik risk yönetimi ile – AWS ve müşterileri arasında ortak bir sorumluluk olan gerçekten etkili olmalarıdır.
Aksi takdirde, işletmeler para cezalarına yol açan ciddi veri ihlalleri ve siber saldırılar, pahalı temizlik operasyonları, müşteri güveni kaybı ve operasyonlarda tam bir çöküş riski altındadır. Zor olmak zorunda değil – erişim ayrıcalıklarını sınırlamak, bulut sistemi stokları oluşturmak ve siber güvenlik sorunları hakkında eğitim personeli oluşturmak gibi basit en iyi uygulamalar başlamak için iyi bir yerdir.