Denetimlerimiz
AWS veri merkezleri, tasarımları gereği güvenlidir ve bunu da denetimlerimiz mümkün kılar. Bir veri merkezini inşa etmeden önce olası tehditleri göz önünde bulundurmanın yanı sıra tesiste kullanacağımız sistemlerin, teknolojilerin ve çalışanların bu risklere karşı koyabileceğinden emin olmak için sayısız saat harcarız. Kendi denetim ve düzenleme gereksinimlerinizi karşılamanıza yardımcı olmak için aşağıda fiziksel ve çevresel denetimlerimizden bazılarıyla ilgili bilgi sağlıyoruz.
Güvenli Tasarım
AWS, bir konum seçmeden önce çevresel ve coğrafi açıdan ön değerlendirmeler gerçekleştirir. AWS veri merkezlerinin konumları dikkatli bir biçimde, sel, sert hava koşulları ve sismik hareketlilik gibi çevresel riskler olabildiğince az olacak şekilde belirlenir. Erişilebilirlik Alanlarımız, birbirinden bağımsız olacak şekilde oluşturulur ve fiziksel olarak ayrıdır.
Veri merkezleri, bir yandan hizmet kalite düzeyini korurken diğer yandan arızaları tahmin ve tolere edecek şekilde tasarlanır. Bir arıza yaşanması durumunda otomatik süreçler trafiği etkilenen alanın dışına yönlendirir. Bir veri merkezinde arıza yaşanması durumunda trafik yükünün geriye kalan konumlar arasında dengelenebilmesi için temel uygulamalar N+1 standardına göre dağıtılır.
AWS, sisteminin kullanılabilirliğini korumak ve bir kesinti durumunda hizmeti kurtarmak için gereken kritik sistem bileşenlerini tanımlamıştır. Kritik sistem bileşenleri Erişilebilirlik Alanları olarak bilinen birden çok yalıtılmış konumda yedeklenir. Her Erişilebilirlik Alanı, yüksek bir güvenilirlik düzeyinde bağımsız olarak çalışacak biçimde tasarlanmıştır. Erişilebilirlik Alanları, kolayca aralarında otomatik yük devri yapan uygulama mimarileri tasarlayabilmeniz için birbirine bağlıdır. Sistemlerin yüksek oranda dayanıklı, hizmetlerinse aynı oranda erişilebilir olması sitemin tasarımından kaynaklanır. AWS müşterileri, Erişilebilirlik Alanlarını ve veri replikasyonunu kullanarak kurtarma süresini büyük ölçüde kısaltıp kurtarma noktası hedeflerini karşılayabilmesinin yanı sıra hizmet erişilebilirliğinin en üst düzeyde olmasını sağlayabilir.
AWS, hizmet kullanımını sürekli izleyerek erişilebilirlik taahhütlerimizin ve gereksinimlerimizin desteklenmesi için gerekli altyapı kaynaklarını sağlar. AWS, altyapımızın kullanım düzeyinin ve talep düzeyinin en az ayda bir kez değerlendirildiği bir kapasite planlama modelini izler. Bu model, geleceğe dönük talep planlamasını destekler ve bilgilerin işlenmesi, telekomünikasyon ve denetim günlüklerini depolama gibi konulara dikkat edilmesini gerektirir.
İş Sürekliliği ve Olağanüstü Durum Kurtarma
AWS İş Sürekliliği Planı’nda çevreden kaynaklanan iş kesintilerinin engellenmesi veya azaltılmasına yönelik önlemler ana hatlarıyla açıklanır. Bir olaydan önce, olay sırasında ve olaydan sonra atılması gereken adımlar hakkında operasyonel ayrıntılar içerir. İş Sürekliliği Planı, farklı senaryoların simülasyonuna dayanan testlerle desteklenir. AWS, test sırasında ve testten sonra insan ve süreç performansını, düzeltme eylemlerini ve çıkarılan dersleri, sürekli geliştirme amacıyla belgeler halinde kayıt altına alır.
AWS, bulaşıcı hastalık salgını tehditlerine karşı hızla yanıt verebilecek şekilde hazırlıklı olmak için olağanüstü durum kurtarma planlarında salgın karşısında yapılacaklara ilişkin politika ve yordamlara yer vermiştir. Risk azaltma stratejileri arasında, kritik süreçlerin bölge dışı kaynaklara aktarılması için alternatif personel seçimi modellerinin kullanılması ve kritik iş operasyonlarının desteklenmesi için bir kriz yönetimi planının devreye sokulması yer alır. Salgın planlarında, uluslararası kurumlar için temas noktaları dahil olmak üzere uluslararası sağlık kuruluşlarına ve düzenlemelere atıfta bulunulur.
Fiziksel Erişim
AWS, veri merkezlerine yalnızca onaylı çalışanların fiziksel olarak erişmesine olanak sağlar. Veri merkezine erişmesi gereken tüm çalışanların önce erişim başvurusunda bulunarak geçerli bir iş gerekçesi belirtmesi gerekir. Bu istekler, en az ayrıcalık ilkesine göre değerlendirilir. Bu ilkeye göre, istekte ilgili kişinin hangi veri merkezi katmanına erişmek istediği belirtilmeli ve istek süre sınırlamalı olmalıdır. İstekler yetkili personel tarafından incelenip onaylanır ve istenen süre dolduğunda erişim izni iptal edilir. Giriş izni verilen kullanıcılar, yalnızca izinlerinde belirtilen kısımlara erişebilir.
Üçüncü tarafların erişimine ilişkin başvurular, onaylı AWS çalışanları tarafından yapılır. İlgili AWS çalışanı, üçüncü taraf adına erişim başvurusunda bulunmalı ve geçerli bir iş gerekçesi sağlamalıdır. Bu istekler, en az ayrıcalık ilkesine göre değerlendirilir. Bu ilkeye göre, istekte ilgili kişinin hangi veri merkezi katmanına erişmek istediği belirtilmeli ve istek süre sınırlamalı olmalıdır. Bu istekler yetkili personel tarafından onaylanır ve istekte belirtilen süre dolduğunda erişim izni iptal edilir. Giriş izni verilen kullanıcılar, yalnızca izinlerinde belirtilen kısımlara erişebilir. Ziyaretçi rozetiyle erişim izni verilen herkesin tesise ulaştığında kimlik ibraz etmesi, kayıt formunu imzalaması gerekirken bunlara yetkili personel eşlik etmelidir.
AWS GovCloud (ABD) bölgesindeki veri merkezlerine fiziksel erişim, ABD vatandaşı olduğu doğrulanmış kişilerle kısıtlıdır.
İzleme ve Günlük Kaydı
Veri merkezlerine nasıl erişim sağlandığı düzenli olarak incelenir. Bir çalışanın Amazon İK sistemindeki kaydı silindiği anda erişim izni otomatik olarak iptal olur. Ayrıca, bir çalışana veya yükleniciye verilen erişim izni için istekte belirtilen ve onaylanan süre dolduğunda, bu kişinin Amazon’daki görevi sona ermese bile erişim izni iptal edilir.
AWS veri merkezlerine fiziksel erişime ilişkin bilgiler günlüğe kaydedilir, izlenir ve saklanır. AWS, gereksinim görülmesi halinde güvenliğin iyileştirilmesi amacıyla mantıksal ve fiziksel izleme sistemlerinden elde edilen bilgiler arasında ilişki kurar.
Güvenlik programlarının izlenmesi, değerlendirilmesi ve yürütülmesinden sorumlu küresel Güvenlik Operasyonları Merkezlerimiz aracılığıyla veri merkezlerimizi izleriz. Bu merkezler, veri merkezi erişim etkinliklerini yönetip izleyerek 7/24 küresel destek sağlar, güvenlik olaylarına ilişkin değerlendirme, danışmanlık, analiz ve eylem koordinasyonu hizmetleri sağlayarak yerel ekipleri ve diğer destek ekiplerini destekler.
Gözetleme ve Algılama
Sunucu odalarına fiziksel olarak erişim sağlanabilecek noktalar Kapalı Devre Televizyon Kamerası (CCTV) ile izlenir. Kaydedilen görüntüler, kanunlara ve mevzuat uyumluluğu gereksinimlerine göre saklanır.
Gözetleme, algılama sistemleri ve başka elektronik araçlar kullanan profesyonel güvenlik personeli tarafından bina giriş noktalarında fiziksel erişim kontrol altında tutulur. Yetkili personel, veri merkezlerine erişmek için çok faktörlü kimlik doğrulama mekanizmalarını kullanır. Sunucu odalarının girişleri, kapının zorlanması veya açık tutulması halinde olay yanıt sürecinin başlatılması için sesli uyarı veren cihazlarla korunur.
Tesislerimiz güvenlik olaylarının izlenmesi, algılanması ve ilgili personelin otomatik olarak uyarılmasına yönelik elektronik sızma algılama sistemleriyle donatılmıştır. Sunucu odalarının giriş ve çıkış noktaları, herkesin giriş veya çıkış izni alabilmek için çok faktörlü kimlik doğrulamasından geçmesini gerektiren cihazlarla korunur. Bu cihazlar, kapının kimlik doğrulaması olmadan açılmaya zorlanması veya açık tutulması halinde sesli uyarı verir. Belirli bir kişinin çok faktörlü kimlik doğrulamasından geçmeksizin bir veri katmanına girdiği veya veri katmanından çıktığı durumların algılanmasına yönelik olarak da kapı alarm cihazları yapılandırılmıştır. Alarmlar hemen günlüğe kaydedilip analiz edilmek üzere 7/24 açık olan AWS Güvenlik Operasyonları Merkezlerine iletilir ve gerekli eylemler bir an önce gerçekleştirilir.
Cihaz Yönetimi
AWS varlıkları, AWS’ye ait varlıkların sahiplik, konum, durum, bakım bilgilerini ve açıklamalarını depolayıp izleyen bir envanter yönetim sistemi aracılığıyla merkezi olarak yönetilir. Varlıklar satın alındıktan sonra taranıp izlenir, bakıma alınan varlıklarsa sahiplik, durum ve çözüm açısından kontrol edilir ve izlenir.
Müşteri verilerini depolamak için kullanılan medya depolama cihazları AWS tarafından Kritik olarak sınıflandırılır ve kullanım ömürleri boyunca bu doğrultuda işleme alınır. AWS, bu cihazları kurma, cihazlara bakım yapma ve kullanım ömrü tamamlanan cihazları imha etme aşamalarında çok katı standartlar uygular. AWS, kullanım ömrünü tamamlayan depolama cihazlarını NIST 800-88 belgesinde açıklanan tekniklerle kullanımdan kaldırır. Daha önce müşteri verilerinin depolandığı medya cihazları güvenli bir şekilde kullanım dışı bırakılmaksızın AWS denetiminden çıkmaz.
Operasyonel Destek Sistemleri
Veri merkezlerimizin elektrik sistemleri, 7/24 kesintisiz olarak tamamen yedekli olacak ve operasyonları kesintiye uğratmadan bakıma alınabilecek şekilde tasarlanır. AWS, veri merkezlerinin bir elektrik arızası yaşanması durumunda tesisteki kritik ve hayati öneme sahip yükler için operasyonların sürdürülmesine yetecek kadar yedek enerji kaynağıyla donatıldığından emin olur.
AWS veri merkezlerinde aşırı ısınmayı önlemek ve hizmet kesintisi olasılığını azaltmak amacıyla ortam ikliminin kontrol edilmesine ve hem sunucular hem de diğer donanımlar için uygun çalışma sıcaklığının korunmasına yönelik mekanizmalar kullanılır. Sıcaklık ve nem, personelimiz ve sistemlerimiz tarafından izlenerek uygun düzeyde tutulur.
AWS veri merkezleri, otomatik yangın algılama ve söndürme ekipmanlarıyla donatılmıştır. Yangın algılama sistemleri tarafından ağ, mekanik sistem ve altyapı alanlarında duman algılama sensörleri kullanılır. Bu alanlar yangın söndürme sistemleriyle de korunur.
AWS, su sızıntılarının tespit edilebilmesi için veri merkezlerini suyun varlığını algılamaya yönelik işlevlerle donatır. Tesiste su olduğunun algılanması halinde daha fazla hasarın önüne geçilmesi amacıyla suyu tahliye edecek sistemler mevcuttur.
Altyapı Bakımı
AWS, veri merkezlerindeki sistemleri sürekli çalışır halde tutmak için elektrikli ve mekanik ekipmanları izleyip bunlara önleyici bakım uygular. Ekipman bakımı yordamları gerekli vasıfları taşıyan kişiler tarafından gerçekleştirilir ve belgelerle kayıt altına alınan bir bakım programına göre tamamlanır.
AWS, sorunların hemen tanımlanabilmesi için elektrikli ve mekanik sistemleri ve ekipmanları izler. İzleme uygulaması, sürekli denetim araçlarının yanı sıra Bina Yönetimi ve Elektrik İzleme Sistemlerimiz aracılığıyla elde edilen bilgiler kullanılarak yapılır. Ekipmanların sürekli çalışır durumda kalması için önleyici bakım uygulanır.
İdare ve Risk
AWS Güvenlik Operasyonları Merkezi, veri merkezlerini düzenli olarak tehdit ve güvenlik açığı incelemelerine tabi tutar Veri merkezi risk değerlendirme faaliyetleri aracılığıyla olası güvenlik açıklarına ilişkin sürekli değerlendirme ve risk azaltma çalışmaları yürütülür. Bu değerlendirmeler, bir bütün olarak işletmeyi ilgilendiren risklerin tanımlanıp yönetilmesinde kullanılan kurumsal düzey risk değerlendirme süreçlerine ek olarak gerçekleştirilir. Bu süreçte bölgesel düzenlemeler ve çevresel riskler de dikkate alınır.
AWS veri merkezlerimizin üçüncü taraf raporlarımızda açıklanan şekilde üçüncü taraflarca teste tabi tutulması, AWS’nin güvenlik sertifikalarını edinmek için belirlenen kurallar doğrultusunda uygun güvenlik önlemlerini aldığını gösterir. Mevzuat uyumluluğu programına ve program gereksinimlerine bağlı olarak harici denetçiler tarafından medya ortamlarının elden çıkarılmasına ilişkin testler gerçekleştirilebilir, güvenlik kamerası kayıtları incelenebilir, bir veri merkezindeki tüm girişler ve koridorlar gözetlenebilir, elektronik erişim denetimi cihazları test edilebilir ve veri merkezi ekipmanları sınanabilir.