MPA ve Stüdyo Güvenliği

Genel Bakış

Sinema Filmi Derneği (MPA), korumalı medya ve içeriğin güvenli şekilde depolanması, işlenmesi ve sunulması için bir dizi en iyi uygulama belirlemiştir. Medya şirketleri, içeriklerinin ve altyapılarının risk ve güvenlik durumunu değerlendirmenin bir yolu olarak bu en iyi uygulamalardan yararlanır. MPA ve Content Delivery & Security Association (İçerik Dağıtım ve Güvenlik Derneği - CDSA), birlikte Trusted Partner Network (TPN) adı verilen yeni bir ortaklık oluşturmuştur. TPN programı, medya ve eğlence sektöründe güvenlik farkındalığını, hazırlığı ve kapasiteleri artırmayı hedeflemektedir. AWS, TPN'nin içerik güvenliği karşılaştırmalarını izlemeye ve bunlara katkıda bulunmaya devam eder.

AWS, ayrıca Medya Varlık Yönetimi, Dijital Varlık Yönetimi ve VFX/İşleme için AWS Artifact aracılığıyla sunulan 3. Taraf bir Sağlamlaştırma Kılavuzu sunar.

• Yönetim Kurulu Düzeyinde Güvenlik Farkındalığı / Gözetimi

  En İyi Uygulama

  Bilgi güvenliği programının ve risk değerlendirmesi sonuçlarının düzenli olarak incelenmesini zorunlu kılarak Bilgi Güvenliği işlevinin yönetim kurulu/patron gözetiminde olmasını sağlayın.
  

  AWS Uygulaması

  Amazon'daki Denetim ortamı, Şirketin en üst düzeyinden başlar. Yönetim kurulu ve üst lider kadrosu, Şirketin tavrının ve temel değerlerinin belirlenmesinde önemli roller üstlenir. AWS, Sistem ve Kurum Denetimi (SOC) framework’ünü temel alan bir bilgi güvenliği framework’ü ve çeşitli politikalar belirlemiş; ISO 27002 denetimlerine dayanan belgelenebilir ISO 27001 framework’ü ve PCI DSS v3.2 çerçevesinin yanı sıra Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) 800-53 Rev 3 Yayınında (Federal Bilgi Sistemleri İçin Önerilen Güvenlik Denetimleri) belirtilen standartları etkili bir şekilde entegre etmiştir. AWS çalışanları, düzenli olarak AWS Güvenlik eğitimini de içeren rol tabanlı eğitimler alır. Çalışanların belirlenen politikaları anlayıp izlemesi için mevzuat uyumluluğu denetimleri gerçekleştirilir.
  

• Risk Yönetimi

  En İyi Uygulama

  Tesisle ilgili içerik hırsızlığı ve sızıntı risklerini tanımlamak ve önceliklendirmek için içerik iş akışlarına ve hassas varlıklara yoğunlaşan resmi bir güvenlik riski değerlendirme süreci geliştirin.
  

  AWS Uygulaması

  AWS, en az yılda bir kez gözden geçirilip güncellenen, resmi, belgelere dayalı bir risk değerlendirme politikasını hayata geçirmiştir. Bu politikada amaç, kapsam, roller, sorumluluklar ve yönetim kadrosunun yükümlülükleri ele alınır.

  Bu politika doğrultusunda, AWS Mevzuat Uyumluluğu ekibi tarafından tüm AWS bölgelerini ve şirketlerini kapsayan bir yıllık risk değerlendirmesi yapılır ve bu değerlendirme AWS’nin Üst Yönetim Kadrosu tarafından incelenir. Bu işlem, bağımsız denetçilerin gerçekleştirdiği Sertifika, onay ve raporlara ek olarak yapılır. Risk değerlendirmesinin amacı, tehditleri ve AWS'nin karşı karşıya olduğu tehditleri ve güvenlik açıklarını belirlemek, tehditlere ve güvenlik açıklarına risk derecelendirmesi atamak, değerlendirmeyi resmi şekilde belgelemek ve sorunların giderilmesine yönelik bir risk azaltma planı oluşturmaktır. Yıllık risk değerlendirmesinden önce yeniden risk değerlendirmesi yapılmasını gerektiren önemli bir değişikliğin söz konusu olduğu durumlar dahil olmak üzere bu risk değerlendirmelerinin sonuçları, AWS’nin Üst Yönetim Kadrosu tarafından düzenli olarak incelenir.

  Müşteri verilerinin (içerik) mülkiyeti müşterilere aittir ve mevzuat uyumluluğu gereksinimlerini karşılamak için verilerinin iş akışlarıyla ilişkili risklerin değerlendirilmesi ve yönetilmesi müşterilerin sorumluluğundadır.

  AWS Risk Yönetimi framework’ü, SOC, PCI DSS, ISO 27001 ve FedRAMP uyumluluğumuz için yapılan denetimler sırasında bağımsız dış denetçiler tarafından incelenir.
  

• Güvenlik Organizasyonu

  En İyi Uygulama

  Güvenlik açısından önemli temas noktalarını tanımlayıp içeriklerin ve varlıkların korunması konusunda rolleri ve sorumlulukları resmi olarak belirleyin.
  

  AWS Uygulaması

  AWS; AWS Bilgi Güvenliği Direktörü (CISO) liderliğinde AWS Güvenlik ekibi tarafından yönetilen oturmuş bir bilgi güvenliği organizasyonuna sahiptir. AWS, güvenlik konusundaki farkındalığını korumasının yanı sıra AWS'yi destekleyen tüm bilgi sistemi kullanıcılarına bu konuda eğitim sağlar. Bu yıllık güvenlik farkındalığı eğitimine şu konu başlıkları dahildir: Güvenlik ve farkındalık eğitiminin amacı, tüm AWS politikalarının konumu, AWS vaka yanıtı prosedürleri (dahili ve harici güvenlik vakalarının nasıl bildirileceğiyle ilgili talimatlar dahil).

  Temel operasyon ve güvenlik ölçümlerinin takip edilmesi amacıyla AWS içinde yer alan sistemler kapsamlı olarak izlenir. Temel ölçümlerde erken uyarı eşiklerinin aşılması durumunda operasyon ve yönetim personelinin otomatik olarak bilgilendirilmesi için çeşitli alarmlar yapılandırılmıştır. Eşikler aşıldığında AWS vaka yanıtı süreci başlatılır. Amazon Vaka Yanıtı ekibi, işletmeyi etkileyen olaylara çözüm sağlamak için sektörde standart olan tanılama işlemlerini kullanır. Personel, vakaları tespit etmek ve çözümün etkili olma sürecini yönetmek için 365 gün boyunca 7/24 çalışır.

  AWS rolleri ve sorumlulukları SOC, PCI DSS, ISO 27001 ve FedRAMP uyumluluğumuz için yapılan denetimler sırasında bağımsız dış denetçiler tarafından incelenir.
  

• Politikalar ve Prosedürler

  En İyi Uygulama

  Varlık ve içerik güvenliğiyle ilgili politikalar ve prosedürler belirleyin. Politikalarda en azından aşağıdaki konuların ele alınması gerekir:
  • İnsan kaynakları politikaları
  • Kabul edilebilir kullanım (ör. sosyal ağlar, internet, telefon vb.)
  • Varlık sınıflandırması
  • Varlık işleme politikaları
  • Dijital kayıt cihazları (ör. akıllı telefonlar, dijital fotoğraf makineleri, kameralar)
  • İstisna politikası (ör. politikadan sapmaları belgeleme süreci)
  • Parola denetimleri (ör. minimum parola uzunluğu, ekran koruyucular)
  • Müşterilere ait varlıkların tesis dışına çıkarılmasının yasaklanması
  • Sistem değişikliği yönetimi
  • Muhbir politikası
  • Yaptırım politikası (ör. disiplin politikası)
  

  AWS Uygulaması

  AWS, Sistem ve Kurum Denetimi (SOC) framework’ünü temel alan bir bilgi güvenliği framework’ü ve çeşitli politikalar belirlemiş; ISO 27002 denetimlerine dayanan belgelenebilir ISO 27001 framework’ü ve PCI DSS v3.2 çerçevesinin yanı sıra Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) 800-53 Rev 3 Yayınında (Federal Bilgi Sistemleri İçin Önerilen Güvenlik Denetimleri) belirtilen standartları etkili bir şekilde entegre etmiştir.

  AWS, güvenlik konusundaki farkındalığını korumasının yanı sıra AWS'yi destekleyen tüm bilgi sistemi kullanıcılarına bu konuda eğitim sağlar. Bu yıllık güvenlik farkındalığı eğitimine şu konu başlıkları dahildir: Güvenlik ve farkındalık eğitiminin amacı, tüm AWS politikalarının konumu, AWS vaka yanıtı prosedürleri (dahili ve harici güvenlik vakalarının nasıl bildirileceğiyle ilgili talimatlar dahil).

  AWS politikaları, prosedürleri ve ilgili eğitim programları SOC, PCI DSS, ISO 27001 ve FedRAMP uyumluluğumuz için yapılan denetimler sırasında bağımsız dış denetçiler tarafından incelenir.
  

• Vaka Yanıtı

  En İyi Uygulama

  Bir güvenlik vakası tespit edilip bildirildiğinde yapılacakları açıklayan resmi bir vaka yanıtı planı belirleyin.
  

  AWS Uygulaması

  AWS, resmi ve belgelere dayanan bir vaka yanıt politikası ve programı uygulamaktadır. Politikada amaç, kapsam, roller, sorumluluklar ve yönetim kadrosunun yükümlülükleri ele alınır.

  AWS, vakaları yönetmek için üç aşamalı bir yaklaşım kullanır:

  1. Aktivasyon ve Bildirim Aşaması: AWS vakaları, bir olayın tespit edilmesiyle başlar. Bu olay aşağıdaki gibi birçok kaynakta gerçekleşebilir:
  
  a. Ölçümler ve alarmlar – AWS, durum farkındalığı açısından olağanüstü olanaklara sahiptir. Birçok olay, gerçek zamanlı ölçümlerin ve hizmet panolarının 365 gün boyunca 7/24 izlenmesi ve gerekli uyarıların yapılması sayesinde hızlı bir şekilde tespit edilir. Vakaların çoğu bu şekilde tespit edilir. AWS, müdahale edilmezse Müşterileri etkileyebilecek sorunları önceden belirlemek için erken gösterge alarmlarını kullanır.
  b. Bir AWS çalışanı tarafından girilen sorun etiketi.
  c. 365 gün 7/24 çalışan teknik destek hattına yapılan çağrılar.

  Olayın vaka ölçütlerini karşılaması halinde durumla ilgili çalışma başlatması gereken nöbetçi destek mühendisi, AWS'nin olay yönetimi araçlarını kullanarak sayfayla ilgili program çözümleyicilerini başlatır. Çözümleyiciler vakanın analizi gerçekleştirerek başka çözümleyiciler eklenmesi gerekip gerekmediğini ve kök nedeninin aşağı yukarı ne olduğunu belirler.

  2. Kurtarma Aşaması – İlgili çözümleyiciler, sorunu gidermek için bir onarım gerçekleştirir. Sorunlar tespit edildikten sonra onarıma ve sorundan etkilenen bileşenlere odaklanılır. Çağrı lideri, takip belgeleri ve takip işlemleri konusunda sonraki adımların atamasını yapar ve çağrıyla ilgili çalışmaları sonlandırır.

  3. Yeniden Kurma Aşaması – İlgili onarım aktiviteleri tamamlandığında çağrı lideri, kurtarma aşamasının sona erdiğini bildirir. Vakanın olay sonrası değerlendirmesi ve derin kök neden analizine ilişkin görevler ilgili ekibe atanır. Etkinlik sonrası değerlendirmenin sonuçları, ilgili üst yönetim kadrosu tarafından incelenir ve tasarım değişiklikleri vb. ilgili eylemler Hataların Düzeltilmesi (COE) belgesinde belirtilerek tamamlanana kadar takip edilir.

  AWS, müşteri tabanını ve topluluğunu desteklemek için yukarıda ayrıntıları verilen dahili iletişim mekanizmalarına ek olarak çeşitli harici iletişim yöntemleri de uygulamaktadır. Müşteri deneyimini etkileyen operasyonel sorunların müşteri destek ekibine bildirilmesine yönelik mekanizmalar mevcuttur. Geniş kapsamlı etkileri olabilecek sorunlar konusunda müşterilerin uyarılması için müşteri destek ekibi tarafından bir “Hizmet Durumu Panosu” sunulur ve yönetilir.

  AWS vaka yönetimi programı, SOC, PCI DSS, ISO 27001 ve FedRAMP uyumluluğumuz için yapılan denetimler sırasında bağımsız dış denetçiler tarafından incelenir.

  Müşterilerin kendi konuk işletim sistemlerinin, yazılımlarının, uygulamalarının ve verilerinin mülkiyeti ve denetimi müşterilere ait olduğundan, İçeriğin (verilerin) iş akışına ilişkin belgeleri oluşturmak AWS Müşterilerinin sorumluluğundadır.
  

• Personel Yönetimi

  En İyi Uygulama

  Tüm şirket personelini ve üçüncü taraf çalışanları özgeçmiş taraması denetimlerine tabi tutun.
  

  AWS Uygulaması

  AWS, istihdam öncesi inceleme uygulamalarının bir parçası olarak çalışanın pozisyonu ve AWS tesislerine erişim düzeyiyle orantılı şekilde, yürürlükteki kanunların izin verdiği ölçüde sabıka kaydı denetimi yapar.

  AWS özgeçmiş denetimi programı, SOC, PCI DSS, ISO 27001 ve FedRAMP uyumluluğumuz için yapılan denetimler sırasında bağımsız dış denetçiler tarafından incelenir.
  

• Gizlilik Anlaşmaları

  En İyi Uygulama

  Tüm şirket personelinin ve üçüncü taraf çalışanların işe alındığında ve sonrasında yılda bir kez olmak üzere, içeriğin işlenmesi ve korunmasıyla ilgili gereksinimleri de içeren gizlilik sözleşmesi (ör. ifşa etmeme) imzalamasını zorunlu kılın.
  

  AWS Uygulaması

  Amazon Gizlilik Sözleşmesi (NDA), Amazon Hukuk Müşaviri tarafından AWS'nin iş gereksinimlerini yansıtacak şekilde yönetilir ve düzenli olarak gözden geçirilir.

  Gizlilik Sözleşmelerinin (NDA) AWS kullanımı ISO 27001 ve FedRAMP uyumluluğumuz için yapılan denetimler sırasında bağımsız dış denetçiler tarafından incelenir.
  

• Günlük Kaydı ve İzleme

  En İyi Uygulama

  Şüpheli olaylar gerçekleşmesi ihtimaline karşı kısıtlı alanlara elektronik erişim işlemlerini günlüğe kaydedin ve inceleyin.
  

  AWS Uygulaması

  Video gözetimi, izinsiz giriş tespit sistemleri ve başka elektronik araçlar kullanan profesyonel güvenlik personeli tarafından hem çevre hem de bina giriş noktalarında fiziksel erişim kontrol altında tutulur.

  Ana giriş, yükleme noktası ve çatı kapıları/kapakları da dahil olmak üzere AWS veri merkezlerinin tüm girişleri, kapılar zorla açıldığında veya açık tutulduğunda alarmla uyaran ve AWS merkezi fiziksel güvenlik izleme sisteminde de bir alarm oluşturan izinsiz giriş tespit sistemleriyle güvence altına alınmıştır.

  AWS veri merkezlerinde elektronik mekanizmalara ek olarak 7/24 binanın içinde ve çevresinde bulunan eğitimli güvenlik görevlilerinden yararlanılır. Tüm alarmlar ve her bir vakanın kök nedenine ilişkin belgeler güvenlik görevlilerince incelenir. Tüm alarmlar, SLA süresi içinde yanıt verilmezse otomatik olarak üst birimlere iletilecek şekilde ayarlanır.

  Sunucu konumlarına fiziksel erişim noktaları, AWS Veri Merkezi Fiziksel Güvenlik Politikası'nda belirtildiği gibi kapalı devre televizyon kamerası (CCTV) tarafından kaydedilir. Görüntüler, yasalar veya sözleşme yükümlülükleri gereği 30 günle sınırlı değilse 90 gün boyunca saklanır.

  AWS Fiziksel Güvenlik Mekanizmaları SOC, PCI DSS, ISO 27001 ve FedRAMP uyumluluğumuz için yapılan denetimler sırasında bağımsız dış denetçiler tarafından incelenir.
  

• Varlık İzleme

  En İyi Uygulama

  Fiziksel varlıkların (ör. müşteriye ait olan veya yeni oluşturulan) ayrıntılı olarak izlenmesine yönelik bir içerik varlığı yönetim sistemi uygulayın.
  

  AWS Uygulaması

  İçerik Varlığı Yönetimi, AWS Müşterilerine aittir ve onlar tarafından uygulanıp işletilir. Fiziksel varlıklarına ilişkin bir envanter izleme mekanizması uygulamak Müşterilerin sorumluluğundadır.

  AWS Veri Merkezi Ortamları için veri merkezlerine gönderilen ve merkezlerde teslim alınan sunucular, raflar, ağ cihazları, sabit sürücüler, sistem donanım bileşenleri dahil, ancak bunlarla sınırlı olmamak kaydıyla tüm yeni bilgi sistemi bileşenleri ve bina malzemeleri için Veri Merkezi Yöneticisinin önceden bilgilendirilmesi ve onayının alınması gerekir. Öğeler ilgili AWS Veri Merkezi'nin yükleme noktasına teslim edilir ve tam zamanlı bir AWS çalışanı tarafından pakette herhangi bir hasar veya onaysız değişiklik olup olmadığı incelendikten sonra imzalanır. Gönderi merkeze ulaştığında öğeler taranıp AWS Varlık yönetimi sistemine ve cihaz envanteri izleme sistemine kaydedilir.

  Öğeler teslim alındığında, veri merkezine yerleştirilinceye kadar veri merkezi içindeki bir ekipman deposuna yerleştirilir. Bu depoya giriş için yaka kartı ve PIN kombinasyonu gerekir. Öğeler veri merkezinden çıkarılmadan ve veri merkezinden ayrılması için izin verilmeden önce taranır, izlenir ve temizlenir.

  AWS Varlık Yönetimi süreçleri ve prosedürleri PCI DSS, ISO 27001 ve FedRAMP uyumluluğumuz için yapılan denetimler sırasında bağımsız dış denetçiler tarafından incelenir.
  

• İnternet

  En İyi Uygulama

  Dijital içeriklerin işlendiği veya depolandığı sistemlere (masaüstü bilgisayarlar/sunucular) internet erişimini yasaklayın.
  

  AWS Uygulaması

  Kural setleri, erişim denetimi listesi (ACL) ve çeşitli yapılandırmalar kullanan sınır koruma cihazları, zorla ağ yapıları arasında bilgi akışı gerçekleşmesini sağlar. Bu cihazlar her şeyi reddetme modunda yapılandırıldığından, onaylı bir güvenlik duvarının bağlantıya izin verecek şekilde yapılandırılmasını gerektirir. AWS Ağ Güvenlik Duvarlarının Yönetimiyle ilgili ek bilgi edinmek için DS-2.0 belgesine bakın.

  AWS Varlıklarının yapısında e-posta özelliği yoktur ve 25 numaralı bağlantı noktası kullanılmaz. Bir müşteri (ör. stüdyo, işleme tesisi vb.), e-posta özelliklerini barındırmak için bir sistem kullanabilir; ancak bu durumda, e-posta giriş ve çıkış noktalarında uygun gereksiz ve kötü amaçlı e-posta koruma düzeyini sağlamak, yeni sürümler çıktığında gereksiz ve kötü amaçlı e-posta tanımlarını güncelleştirmek Müşterinin sorumluluğundadır.

  Amazon varlıkları (ör. dizüstü bilgisayarlar), e-posta filtrelemesi ve kötü amaçlı yazılım tespiti özellikleri içeren virüsten koruma yazılımlarıyla yapılandırılır.

  AWS Ağ Güvenlik Duvarı yönetimi ve Amazon'un virüsten koruma programı, AWS'nin SOC, PCI DSS, ISO 27001 ve FedRAMP uyumluluğu konusunda sürekli gerçekleştirdiği çalışmalar kapsamında bağımsız üçüncü taraf denetçiler tarafından incelenir.
  

• Medya Varlık Yönetimi, Dijital Varlık Yönetimi ve Grafik Ani Performans Artışıyla İşleme için 3. Taraf Sağlamlaştırma Kılavuzu

  MPA'nın yanı sıra birçok İçerik Stüdyosu (Disney/Marvel gibi) kendi bir dizi güvenlik gereksinimine sahiptir ve hizmet sağlayıcıları ile katma değerli hizmetlerin, üçüncü taraf denetçiler tarafından denetlenen kendi bulut tabanlı veya yerinde ortamlarına sahip olmasını şart koşar. Bunun iyi bir örneği, ön sürümü yayınlanan oyunlar için VFX/Animasyon içeriklerinin Bulut tabanlı ani performans artışıyla işlenmesidir.

  AWS, kendi platformunun VFX/Animasyon işleme ortamı için değerlendirilmesi amacıyla üçüncü taraf bir denetçiyle çalışmıştır. Üçüncü taraf denetçi, önemli Stüdyo gereksinimlerine dayalı AWS güvenlik denetimlerini içeren en iyi güvenlik uygulamalarına ilişki bir şablon belge de oluşturmuştur. Bu belge, AWS'de Stüdyo onaylı bir VFX/Animasyon işleme ortamı oluşturmak için kullanılabilir.

  Ön Sürümü Yayınlanan Stüdyolar Medya/Varlık Yönetimi Sağlamlaştırma Kılavuzu ve VFX/İşleme için Stüdyo Güvenliği Denetimleri AWS Artifact'te mevcuttur.