Bulut güvenliği, halka açık bulut ortamlarına göç eden veya faaliyet gösteren kuruluşlar için kritik bir temel taşı haline gelmiştir.
Son yıllarda siber saldırılar önemli ölçüde arttıkça, Amazon Web Services (AWS), Microsoft Azure ve Google Cloud Platform (GCP) arasında sağlam güvenlik uygulamalarının uygulanması esastır.
Bu kapsamlı kılavuz, her üç ana platformda bulut altyapısını güvence altına almak için teknik uygulama stratejileri, yapılandırma örnekleri ve adım adım talimatlar sunmaktadır.
.png
)
Paylaşılan Sorumluluk Modelini Anlamak
Güvenlik önlemleri uygulamadan önce kuruluşlar, bulut güvenliğinin ortak bir sorumluluk modeli altında çalıştığını anlamalıdır.
AWS, müşteriler buluttaki güvenlikten sorumlu kalmasına rağmen, bulut iş yüklerini korumaya yardımcı olmak için iyi arşivlenmiş çerçevesinin güvenlik direği aracılığıyla geniş kaynaklar sağlar.
Benzer şekilde, Azure ve GCP, bulut sağlayıcısı ve müşteri arasındaki güvenlik sorumluluklarını, kapsamı hizmet olarak altyapı (IaaS), hizmet olarak platform (PAAS) veya hizmet olarak yazılım (SAAS) kullanıp kullanmadığınıza bağlı olarak değişir.
Kimlik ve Erişim Yönetimi (IAM) En İyi Uygulamalar
En az ayrıcalık erişiminin uygulanması bulut güvenliğinin temelini oluşturur. AWS’de bu, IAM politikalarını yeterince yapılandırmakla başlar. İşte minimum S3 erişimi sağlayan kısıtlayıcı bir IAM politikası örneği:
json{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::your-bucket/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "true"
}
}
}
]
}
AWS, çok faktörlü kimlik doğrulamanın (MFA) uygulanmasını ve güçlü şifre politikalarının uygulanmasını önerir. Kök erişimi, erişim anahtarlarını güvenli, erişilemeyen yerlerde tutarak kısıtlanmalı ve korunmalıdır.
Azure RBAC uygulaması
Azure Rol Tabanlı Erişim Kontrolü (RBAC), üç temel unsur aracılığıyla ince taneli erişim yönetimini sağlar: güvenlik prensipleri, rol tanımları ve kapsam. Azure CLI kullanarak özel bir Azure rolü nasıl oluşturulacağı aşağıda açıklanmıştır:
bashaz role definition create --role-definition '{
"Name": "Custom Storage Contributor",
"Description": "Can manage storage accounts but not access data",
"Actions": [
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write"
],
"NotActions": [],
"AssignableScopes": ["/subscriptions/{subscription-id}"]
}'
Azure, en az ayrı erişim kullanarak ve ihlal senaryolarını varsayarak sıfır güven ilkelerini uygular. İdari roller için tam zamanında erişim sağlamak için ayrıcalıklı kimlik yönetimi (PIM) sağlanmalıdır.
GCP IAM politikaları
GCP IAM politikaları, rolleri ve üyeleri belirleyen bağlamalı bir JSON yapısını takip eder. İşte belirli kullanıcılara editörün erişimini sağlayan örnek bir politika:
json{
"bindings": [
{
"role": "roles/editor",
"members": [
"user:[email protected]",
"group:[email protected]",
"serviceAccount:[email protected]"
]
},
{
"role": "roles/viewer",
"members": ["user:[email protected]"]
}
]
}
GCP Güvenlik En İyi Uygulamaları, kişisel hesaplar yerine kurumsal Google hesaplarını kullanmayı ve tüm kullanıcı hesapları için çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeyi vurgular.
Ağ Güvenliği Yapılandırması
AWS Güvenlik Grupları
AWS güvenlik grupları, gelen ve giden trafiği kontrol eden sanal güvenlik duvarları olarak hareket eder. Bir VPC oluştururken, varsayılan bir güvenlik grubu içerir, ancak belirli kurallarla ek gruplar oluşturulmalıdır. İşte AWS CLI kullanarak kısıtlayıcı bir güvenlik grubu oluşturma örneği:
bashaws ec2 create-security-group \
--group-name webserver-sg \
--description "Security group for web servers"
aws ec2 authorize-security-group-ingress \
--group-id sg-12345678 \
--protocol tcp \
--port 443 \
--cidr 0.0.0.0/0
Güvenlik grupları, yalnızca belirli kaynak IP adreslerinden gerekli bağlantı noktalarına ve protokollere izin vererek en az ayrıcalık ilkesine uymalıdır.
Azure Network Güvenlik Grupları
Azure Network Güvenlik Grupları (NSGS) AWS güvenlik gruplarına benzer işlevsellik sağlar. NSG’ler alt ağ veya ağ arayüzü düzeyinde uygulanabilir. İşte Azure PowerShell kullanarak bir NSG oluşturma örneği:
powershell$nsg = New-AzNetworkSecurityGroup `
-ResourceGroupName "myResourceGroup" `
-Location "East US" `
-Name "myNSG"
$nsg | Add-AzNetworkSecurityRuleConfig `
-Name "AllowHTTPS" `
-Access Allow `
-Protocol Tcp `
-Direction Inbound `
-Priority 100 `
-SourceAddressPrefix Internet `
-SourcePortRange * `
-DestinationAddressPrefix * `
-DestinationPortRange 443
Azure NSG’ler, önceliğe dayalı kuralları işleme koyan LainvNetInbound ve DenyanalLinbound da dahil olmak üzere altı varsayılan güvenlik kuralı içerir. İzleme ve uyumluluk amaçları için NSG akış günlükleri etkinleştirilmelidir.
GCP Güvenlik Duvarı Kuralları
GCP Güvenlik Duvarı Kuralları, Sanal Özel Bulut (VPC) ağlarındaki sanal makine örneklerine gidip gelen trafiği kontrol edin. İşte kısıtlayıcı güvenlik duvarı kuralları oluşturmak için bir TerraForm yapılandırması:
textresource "google_compute_firewall" "allow_ssh_iap" {
name = "allow-ssh-iap"
network = google_compute_network.vpc.name
allow {
protocol = "tcp"
ports = ["22"]
}
source_ranges = ["35.235.240.0/20"]
target_tags = ["ssh-allowed"]
}
resource "google_compute_firewall" "deny_all_ingress" {
name = "deny-all-ingress"
network = google_compute_network.vpc.name
deny {
protocol = "all"
}
source_ranges = ["0.0.0.0/0"]
priority = 1000
}
Bu yapılandırma, SSH’ye yalnızca diğer tüm giriş trafiğini reddederken kimliğe duyarlı proxy (IAP) aracılığıyla erişim sağlar.
Veri şifrelemesi ve koruması
Her üç bulut sağlayıcısı da sağlam şifreleme özellikleri sunar. AWS, AWS KMS ve AWS şifreleme SDK gibi yerel özelliklerle şifrelemeyi zahmetsiz hale getirir. İşte S3 kova şifrelemesini etkinleştirme örneği:
bashaws s3api put-bucket-encryption \
--bucket my-secure-bucket \
--server-side-encryption-configuration '{
"Rules": [{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:region:account:key/key-id"
}
}]
}'
Azure, Azure depolama ve SQL veritabanı gibi hizmetleri kullanarak bulut kaynakları arasında otomatik olarak şifreleme uygular. GCP, her biri ayrı bir veri şifreleme anahtarı (DeK) ile şifrelenmiş, verilerle, verilerle birlikte tüm veriler için varsayılan olarak AES-256 şifrelemesini kullanır.
Anahtar Yönetim En İyi Uygulamalar
Şifrelemenin etkinliğini korumak için uygun anahtar yönetimi gereklidir. Azure Key Vault, uygun erişim politikaları ve son kullanma tarihleri ile yapılandırılmalıdır. İşte önemli bir tonoz sırrı yaratmanın bir örneği:
bashaz keyvault secret set \
--vault-name "MyKeyVault" \
--name "DatabasePassword" \
--value "SecurePassword123!" \
--expires "2024-12-31T23:59:59Z"
İzleme ve denetim
AWS CloudTrail ve Config
AWS CloudTrail, API çağrılarını ve kaynaklarda değişiklikleri izlemek için etkinleştirilmelidir. İşte CloudTrail’i etkinleştirmek için bir CloudFormation şablonu snippet:
textCloudTrail:
Type: AWS::CloudTrail::Trail
Properties:
TrailName: CompanyAuditTrail
S3BucketName: !Ref CloudTrailBucket
IncludeGlobalServiceEvents: true
IsLogging: true
IsMultiRegionTrail: true
Azure Monitor ve Microsoft Defender
Azure Monitor ve Cloud için Microsoft Defender kapsamlı güvenlik izleme özellikleri sağlar. Tüm kritik kaynaklar için teşhis ayarlarını etkinleştirin ve şüpheli faaliyetler için güvenlik uyarıları yapılandırın.
GCP bulut denetim günlükleri
Uyum ve güvenlik görünürlüğünü korumak için tüm hizmetlerin GCP bulut denetim günlükleri etkinleştirilmelidir. Günlük analizi için BigQuery’yi yapılandırın ve olağandışı erişim modelleri için uyarılar ayarlayın.
Çözüm
Bulut altyapısının güvence altına alınması, kimlik yönetimini, ağ güvenliğini, veri korumasını ve sürekli izlemeyi kapsayan kapsamlı bir yaklaşım gerektirir.
Kuruluşlar, ortak güvenlik modeli içindeki sorumluluklarını anlamalı ve AWS, Azure ve GCP genelinde derinlemesine savunma stratejileri uygulamalıdır.
Düzenli güvenlik denetimleri, otomatik uyum kontrolü ve olay müdahale planlaması gelişen tehditlere karşı sağlam koruma sağlar.
Bu teknik en iyi uygulamaları izleyerek ve uyanık güvenlik duruşlarını koruyarak, kuruluşlar kritik varlıklarını ve verilerini korurken bulut teknolojilerinden güvenle yararlanabilirler.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!