Paylaşılan Sorumluluk Modeli
Güvenlik ve Uygunluk, AWS ile müşteri arasındaki paylaşılan sorumluluk kapsamındadır. Paylaşılan bu model, ana işletim sisteminden ve sanallaştırma katmanından içinde hizmetin çalıştırıldığı tesislerin fiziksel güvenliğine kadar tüm bileşenleri AWS çalıştırdığı, yönettiği ve denetlediği için müşterinin operasyonel yükünü hafifletmeye yardımcı olabilir. Müşteri, konuk işletim sisteminin (güncellemeler ve güvenlik yamaları dahil) ve diğer ilişkili uygulama yazılımlarının sorumluluğu ile yönetiminin yanı sıra AWS tarafından sağlanan güvenlik grubu güvenlik duvarının yapılandırmasını üstlenir. Müşteri sorumlulukları kullanılan hizmetlere, bu hizmetlerin BT ortamlarına entegrasyonuna ve ilgili yasalar ve yasal düzenlemelere bağlı olarak değiştiğinden, müşterilerin kullanacakları hizmetleri dikkatle seçmeleri gerekir. Bu paylaşılan sorumluluğun doğası, dağıtıma olanak tanıyacak esnekliği ve müşteri denetimini de getirir. Aşağıdaki grafikte gösterildiği gibi, bu sorumluluk ayrımına yaygın olarak “Bulutun” Güvenliği ile “Bulutta” Güvenlik adı verilir.
AWS'nin sorumluluğu “Bulutun Güvenliği” – AWS, AWS Bulut'ta sunulan tüm hizmetlerin çalıştırıldığı altyapıyı korumaktan sorumludur. Bu altyapı AWS Bulut hizmetlerinin çalıştırıldığı donanım, yazılım, ağ ve tesislerden oluşur.
Müşterinin sorumluluğu “Bulutta Güvenlik” – Müşterinin sorumluluğu, seçtiği AWS Bulut hizmetleriyle belirlenecektir. Müşterinin güvenlik sorumlulukları kapsamında gerçekleştirmesi gereken yapılandırma çalışmasının miktarını bu belirler. Örneğin, Amazon Elastic Compute Cloud (Amazon EC2) gibi bir hizmet, Hizmet Olarak Altyapı (IaaS) kategorisindedir ve bu nedenle tüm gerekli güvenlik yapılandırma ve yönetim görevlerinin müşteri tarafından yerine getirilmesini gerektirir. Amazon EC2 bulut sunucusunun dağıtımını yapan müşteriler, konuk işletim sisteminin (güncellemeler ve güvenlik düzeltme ekleri dahil) ve bulut sunucularına yükledikleri tüm uygulama yazılımlarının veya yardımcı programların yönetiminin yanı sıra her bulut sunucusunda AWS tarafından sağlanan güvenlik duvarının (güvenlik grubu olarak adlandırılır) yapılandırmasından sorumludur. Amazon S3 ve Amazon DynamoDB gibi ayrılmış hizmetler için AWS; altyapı katmanını, işletim sistemini ve platformları çalıştırır. Müşteriler de verileri depolamak ve almak için uç noktalara erişir. Verilerini yönetmek (şifreleme seçenekleri dahil), varlıklarını sınıflandırmak ve uygun izinleri uygulamak için IAM araçlarını kullanmak müşterilerin sorumluluğundadır.
Müşteri ile AWS arasındaki bu paylaşılan sorumluluk modeli BT denetimlerini de kapsar. Aynı BT ortamını çalıştırma sorumluluğunun AWS ile müşterileri arasında paylaşılması gibi, BT denetimlerinin yönetimi, çalıştırması ve doğrulaması da paylaşılır. AWS, AWS ortamında dağıtımı yapılan fiziksel altyapıyla ilişkili olan ve daha önce müşteri tarafından yönetiliyor olabilecek denetimleri yöneterek, müşterinin denetimleri çalıştırma yükünü hafifletmeye yardımcı olabilir. Her müşterinin AWS'deki dağıtımı farklı olduğundan, müşteriler bazı BT denetimlerinin yönetimini AWS'ye kaydırma avantajından yararlanabilir ve sonuçta (yeni) dağıtılmış bir denetim ortamı elde edilir. Bundan sonra müşteriler kendilerine sağlanan AWS denetim ve mevzuat uyumluluğu belgelerini kullanarak kendi denetim geliştirme ve doğrulama prosedürlerini gerektiği gibi uygulayabilir. Aşağıda AWS tarafından, AWS Müşterileri tarafından ve/veya her ikisi tarafından yönetilen denetim örnekleri yer alır.
Devralınan Denetimler – Müşterinin tümüyle AWS'den devraldığı denetimler.
- Fiziksel denetimler ve Çevre denetimleri
Paylaşılan Denetimler – Tamamen ayrı bağlamlarda veya perspektiflerde hem altyapı katmanına hem de müşteri katmanlarına uygulanan denetimler. Paylaşılan denetimde, AWS altyapının gereksinimlerini sağlar ve müşterinin de AWS hizmetlerini kullanımı çerçevesinde kendi denetim uygulamasını sağlaması gerekir. Örnekler:
- Yama Yönetimi – Altyapıdaki sorunlara yama uygulamak ve bu sorunları çözmek AWS'nin sorumluluğundadır ama kendi konuk işletim sistemiyle uygulamalarına yama uygulamak müşterinin sorumluluğundadır.
- Yapılandırma Yönetimi – AWS altyapı cihazlarının yapılandırmasını korur ama kendi konuk işletim sistemlerini, veritabanlarını ve uygulamalarını yapılandırmak müşterinin sorumluluğundadır.
- Farkındalık ve Eğitim – AWS çalışanlarına AWS eğitim verir ama müşteri kendi çalışanlarına eğitim vermelidir.
Müşteriye Özel – AWS hizmetleri içinde dağıtımını yaptıkları uygulama temelinde yalnızca müşterinin sorumluluğunda olan denetimler. Örnekler:
- Müşterinin, belirli güvenlik ortamları içinde verileri yönlendirmesini veya bölgelere ayırmasını gerektirebilen Hizmet ve İletişim Koruması veya Bölge Güvenliği.
AWS Paylaşılan Sorumluluk Modelini Uygulamaya Geçirme
Müşteri önce AWS Paylaşılan Sorumluluk Modeli'ni ve bulutta çalışmaya genel olarak nasıl uygulandığını anlamalı, sonrasında ise kendi senaryosuna nasıl etki edeceğini belirlemelidir. Müşteri sorumluluğu; seçilen AWS hizmetleri ve Bölgeleri, bu hizmetlerin BT ortamlarına entegrasyonu ve hem kuruluşları hem de iş yükleri için geçerli yasalar ve yasal düzenlemeler gibi birçok etkene bağlı olarak değişiklik gösterir.
Aşağıdaki adımlar, müşterilerin kendi kullanım senaryolarına dayalı olarak sorumluluk dağılımını belirlemesine yardımcı olabilir:
Hem harici hem de dahili güvenlik ve ilgili uygunluk gerekliliklerini ve amaçlarını belirleyin; NIST Cybersecurity Framework (CSF) ve ISO gibi sektör çerçevelerini göz önünde bulundurun.
Dijital dönüşüm yolculuğunuzu geniş ölçekte planlamak ve yürütmek için AWS Cloud Adoption Framework (CAF) ve Well-Architected en iyi uygulamalarını hayata geçirme fırsatını göz önünde bulundurun.
AWS hizmet belgelerinin güvenlik kısımlarında, belirli AWS hizmetlerinin güvenlik işlevselliğini ve yapılandırma seçeneklerini inceleyin.
AWS Güvenlik, Kimlik ve Uygunluk hizmetlerini değerlendirerek bunları güvenlik ve uygunluk amaçlarınıza ulaşmak için nasıl kullanabileceğinizi anlayın.
Üçüncü taraf denetim onayı belgelerini inceleyerek devralınan denetimleri ve ortamınızda uygulamanız gerekebilecek kalan denetimlerin neler olduğunu belirleyin.
Cloud Audit Academy eğitim programlarından yararlanarak dahili ve harici denetim ekiplerine buluta özgü öğrenme fırsatları sağlayın.
Güvenlik, güvenilirlik ve performans en iyi uygulamalarının yerinde olup olmadığını değerlendirmek için AWS iş yükleriniz üzerinde bir Well-Architected İncelemesi gerçekleştirin.
Bağımsız yazılım satıcıları tarafından sunulan binlerce yazılımın listelendiği ve AWS üzerinde çalışan yazılımları bulmanıza, test etmenize, satın almanıza ve dağıtmanıza olanak tanıyan AWS Marketplace dijital kataloğundaki çözümleri keşfedin.
İlk geçişten sürekli günlük yönetime kadar, bulut kullanımına geçişin her aşamasını güvenceye alma konusunda uzmanlık ve kanıtlanmış müşteri başarısı sunan AWS Güvenliği Yetkinlik Çözüm Ortaklarını keşfedin.
