AWS, kuruluşların uyumluluğu yönetmesine, hassas verileri korumasına ve ortamlarındaki tehditleri tespit etmesine yardımcı olacak kapsamlı bir güvenlik araçları paketi sunar.
AWS Security Hub ve Amazon GuardDuty’den Amazon Macie ve AWS Config’e kadar her araç, görünürlüğün artırılması, yanıtların otomatikleştirilmesi ve güvenli bir bulut altyapısının sürdürülmesi açısından hayati öneme sahiptir. Bu makale, AWS güvenliğinin temellerini inceleyerek bulut ortamlarını potansiyel risklerden korumak ve sağlam bir uyumluluk sağlamak için birlikte nasıl çalıştıklarına dair bilgiler sağlıyor.
AWS Güvenlik Merkezi
AWS Security Hub, en iyi güvenlik uygulamaları için AWS kaynaklarını sürekli olarak izleyen, yanlış yapılandırmaları tespit eden ve güvenlik uyarılarını veya bulgularını standart bir biçimde toplayan bir bulut güvenlik durumu yönetimi (CSPM) hizmetidir. Bölgeler ve hesaplar genelinde AWS hesap güvenliği yönetimini basitleştirerek güvenlik risklerine ilişkin öngörüler sağlar. Security Hub, AWS Temel Güvenlik En İyi Uygulamaları, CIS AWS Temelleri Karşılaştırması, NIST ve PCI DSS gibi sektör standartlarını temel alan otomatik kontrollerle en iyi uygulamalardan sapmaları tespit eder.
Temel özellikler arasında Amazon GuardDuty, Amazon Inspector, Amazon Macie gibi AWS hizmetlerinden ve iş ortağı ürünlerinden elde edilen bulguların tamamı veri işlemeyi kolaylaştırmak için birleşik bir formatta toplanması yer alır. Security Hub ayrıca Amazon EventBridge ile entegrasyon yoluyla otomatik yanıtlara olanak tanıyarak Güvenlik Düzenleme Otomasyonu ve Yanıt (SOAR) iş akışlarını destekler.
Security Hub’ın kontrol paneli güvenlik durumunu görselleştirerek özel görünümlere ve güvenlik açıklarını önceliklendirmek için filtrelemeye olanak tanır. Fiyatlandırma; ücretsiz katman ve katmanlı fiyatlandırma için AWS Kuruluşları desteğiyle güvenlik kontrollerine, alım olaylarının bulunmasına ve otomasyon kuralı değerlendirmelerine dayanmaktadır. Security Hub, güvenlik kontrolleri için AWS Config’i gerektirir ve 30 günlük ücretsiz deneme olanağı sunarak özelliklerin hesaplar ve bölgeler genelinde değerlendirilmesine olanak tanır.
AWS Yapılandırması
AWS Config, AWS kaynaklarındaki değişiklikleri izleyen ve kaydeden, kaynak yapılandırmalarının geçmişini sağlayan bir yapılandırma yönetimi hizmetidir. Kaynak yapılandırmalarının zaman içindeki anlık görüntülerini yakalayarak kullanıcıların geçmişteki herhangi bir noktada kaynakların durumunu incelemesine olanak tanır. Yapılandırma değişiklikleri bir Amazon S3 klasörüne kaydedilerek, merkezi yönetim ve yapılandırma geçmişinin depolanması sağlanır.
AWS Config ile kullanıcılar kaynak ilişkilerine ilişkin görünürlük elde ederek bağımlılıkları takip etmelerine ve bağlı kaynaklardaki değişikliklerin etkisini değerlendirmelerine olanak tanır. Örneğin, güncellenirse AWS Config, bir EC2 bulut sunucusunda ve onunla ilişkili güvenlik grubundaki değişiklikleri kaydeder. AWS Config ayrıca şirket içi sunucular, SaaS araçları ve diğer bulut sağlayıcıları gibi üçüncü taraf kaynakların yapılandırmalarını da kaydedebilir; bu da onu çoklu ortam yapılandırma takibi için çok yönlü bir çözüm haline getirir.
AWS Config, uyumluluk takibi için kontrol panelleri sağlayarak BT yöneticilerinin ve uyumluluk görevlilerinin uyumlu olmayan kaynakları belirlemesine ve politika sapmalarını ele almasına yardımcı olur. Bu kontrol panelleri, uyumlu olmayan kuralları, kaynak özetlerini ve belirli uyumluluk ölçümlerini göstererek hesaplar ve bölgeler genelinde öngörüler sunar.
Ayrıca AWS Config, özel kurallara ve uyumluluk paketlerine izin vererek yapılandırmaların kurumsal politikalara ve düzenleyici gereksinimlere göre değerlendirilmesini mümkün kılarak AWS ve üçüncü taraf ortamlarında güçlü yönetimin korunmasına yardımcı olur.
Amazon Macie’si
Amazon Macie, Amazon S3’teki hassas verileri otomatik olarak keşfetmek, sınıflandırmak ve korumak için makine öğrenimini kullanan bir veri güvenliği hizmetidir. Veri güvenliği risklerini yönetmek için tasarlanan Macie, S3 klasörlerinin bir envanterini sağlayarak, erişim kontrolü ayarlarını değerlendirerek ve genel erişime açık klasörler gibi potansiyel güvenlik sorunları konusunda kullanıcıları uyararak kuruluşların hassas verileri izlemesine ve güvence altına almasına yardımcı olur.
Macie, yerleşik ve özelleştirilebilir ölçütler aracılığıyla hassas veri keşfini otomatikleştirerek PII, finansal bilgiler ve kimlik bilgileri dahil olmak üzere hassas veri türlerini tespit etmenize olanak tanır. Ortak kalıplar için yönetilen veri tanımlayıcıları ve kuruluşa özgü veriler için özel tanımlayıcıları kullanarak çok çeşitli hassas bilgileri algılama esnekliği sağlar.
Macie, hassas verileri veya güvenlik risklerini tespit ettiğinde bulgular oluşturarak veri güvenliği duruşunuza ilişkin öngörüler sunar. Bu bulgular, iyileştirme eylemlerinin önceliklendirilmesine yardımcı olan önem derecelerini ve ayrıntılı raporları içerir. Otomatik tehdit yanıtı iş akışları için bulguları Macie konsolu, API ve Amazon EventBridge ve AWS Security Hub entegrasyonları aracılığıyla yönetebilirsiniz.
Macie’nin merkezi yönetim yetenekleri, kuruluşların birden fazla hesabı denetlemesine olanak tanıyarak, AWS ortamlarında güvenlik kontrollerinin uygulanmasını ve hassas verilerin izlenmesini kolaylaştırarak uyumluluğu ve veri korumasını geniş ölçekte destekler.
Amazon Koruma Görevi
Amazon GuardDuty, AWS ortamınızdaki kötü niyetli ve yetkisiz etkinlikleri tespit etmek için sürekli güvenlik izleme sağlayan, tam olarak yönetilen bir tehdit algılama hizmetidir. Makine öğreniminden, anormallik tespitinden ve tehdit istihbaratından yararlanan GuardDuty, AWS kaynakları, hesapları ve iş yükleri içindeki şüpheli davranışları tespit eder. AWS CloudTrail günlükleri, VPC Akış Günlükleri, DNS günlükleri, Amazon S3 veri olayları, Amazon Aurora oturum açma etkinlikleri gibi veri kaynaklarını ve Amazon EKS ve ECS gibi konteyner hizmetlerine yönelik çalışma zamanı etkinliklerini izler.
GuardDuty, hesap ihlalleri, olağandışı API etkinlikleri ve bilinmeyen konumlardan kötü niyetli erişim girişimleri dahil olmak üzere potansiyel tehditlerin neredeyse gerçek zamanlı tespitini sağlar. Bulguları önem derecesine göre (Düşük, Orta ve Yüksek) kategorilere ayırarak müdahale eylemlerinin önceliklendirilmesine yardımcı olur. Amazon EventBridge’e önceden oluşturulmuş entegrasyonlar sayesinde GuardDuty, tespit edilen tehditlere yanıt olarak Lambda işlevleri gibi iş akışlarını tetikleyerek otomatik iyileştirme sağlar.
Tek tıklamayla veya API çağrısıyla etkinleştirilen GuardDuty, ek güvenlik yazılımı veya altyapısı gerektirmeden uygun ölçekte çalışır ve AWS ortamınızın etkinlik düzeylerine otomatik olarak uyum sağlar. Konteyner farkındalığına sahip izleme özelliği, hem sunucu tabanlı hem de sunucusuz iş yükleri için korumayı geliştirerek çeşitli AWS ortamları için görünürlük ve güvenlik sağlar. Bu ölçeklenebilirlik ve basitlik, GuardDuty’yi karmaşık, çok hesaplı AWS ortamlarında güvenliği korumaya yönelik bir araç haline getirir.
Amazon Müfettişi
Amazon Inspector, güvenlik açıklarını ve istenmeyen ağ açıklarını tespit etmek için Amazon EC2 bulut sunucuları, AWS Lambda işlevleri ve Amazon ECR konteyner görüntüleri gibi AWS iş yüklerini sürekli olarak tarayan bir güvenlik açığı yönetimi hizmetidir. AWS Management Console aracılığıyla kuruluş çapında kolay dağıtım sayesinde Inspector, ek yazılıma gerek kalmadan kaynakları otomatik olarak keşfeder ve güvenlik açığı değerlendirmelerini başlatır.
Amazon Inspector, yazılımdaki güvenlik açıkları, yanlış yapılandırmalar ve ağın açığa çıkması da dahil olmak üzere bir dizi güvenlik riskini tespit ederek iyileştirmelerin önceliklendirilmesine yardımcı olacak bulgular sağlar. Her bulguya, istismar edilebilirlik ve ağ erişilebilirliği gibi faktörlere dayalı olarak yüksek riskli sorunların önceliklendirilmesine yardımcı olan bir Amazon Inspector risk puanı atanır. Denetçi ayrıca güvenlik açıkları kapatıldıktan sonra bulguların kapatılmasını da otomatik hale getirebilir.
AWS Systems Manager Agent ile entegre olan Inspector, EC2 bulut sunucuları üzerinde aracısız değerlendirmeler yürütür ve bir aracının kurulu olmasına gerek kalmadan güvenlik açıklarını belirlemek için veri toplar. Denetçi bulguları, otomatik iş akışları için otomatik olarak AWS Security Hub’a ve Amazon EventBridge’e gönderilerek güvenlik operasyonlarına sorunsuz entegrasyon desteklenir.
Amazon Inspector ayrıca SBOM dışa aktarımları, CI/CD araçlarıyla entegrasyon ve CIS Karşılaştırmalarıyla uyumluluk kontrolleri için destek içerir. Bu kapsamlı kapsam ve sürekli izleme, güvenlik ekiplerinin riski proaktif bir şekilde yönetmesine ve AWS ortamlarında güvenlik duruşunu sürdürmesine olanak tanır.
AWS CloutTrail
AWS CloudTrail, AWS hizmetleri genelinde kullanıcı ve API etkinliklerini kaydeden, güvenlik denetimi, operasyonel sorun giderme ve uyumluluk yönetimi sağlayan bir günlük kaydı ve izleme hizmetidir. CloudTrail günlükleri dört olay türüne kategorize edilir: Yönetim olayları (kaynak oluşturma veya silme gibi kontrol düzlemi eylemlerini izleme), Veri olayları (S3 gibi kaynaklar içindeki veri erişimini ve değişikliği yakalama), Ağ etkinliği olayları (VPC uç nokta kullanımını ve erişim reddini izleme) ) ve Insights etkinlikleri (olağan dışı API etkinliğini veya hata artışlarını algılama).
CloudTrail üç ana günlük kaydı seçeneği sunar: Etkinlik Geçmişi, CloudTrail Lake ve Trails. Etkinlik Geçmişi, hiçbir ek ücret ödemeden yönetim etkinliklerinin aranabilir 90 günlük görünümünü sağlar. CloudTrail Lake, uzun vadeli depolama ve analize yönelik yönetilen bir veri gölüdür ve on yıla kadar özelleştirilebilir saklama özelliğiyle etkinlik eğilimlerini sorgulamanıza ve görselleştirmenize olanak tanır. Trail’ler, olayları Amazon S3’te depolamanıza, güvenlik izleme araçlarıyla entegre olmanıza ve API kullanımındaki anormal davranışları izlemenize olanak tanır.
CloudTrail, hesap etkinliğinin denetim izini yakalayarak kuruluşların güvenlik görünürlüğünü artırmasına, olayları analiz etmesine ve düzenleyici gereksinimlere uymasına yardımcı olur. Diğer AWS hizmetleri ve API’lerle entegrasyon, sorunsuz olay yönetimini destekleyerek işletmelerin AWS ortamlarındaki eylemleri takip etmesine ve bunlara yanıt vermesine olanak tanır.