Güvenlik ile İlgili Temel Bilgiler

Güvenlik ve uygunluk, AWS ile müşteri arasında paylaşılan bir sorumluluktur. AWS “bulutun” bileşenlerini çalıştırma, yönetme ve kontrol etme sorumluluğunu üstlendiği için müşteriler bu paylaşılan modeli izleyerek operasyonel yükü azaltabilir. Bu, müşterilere uygulamalarını oluşturmaya ve hizmetlerini uygulamaya odaklanma imkanı verirken söz konusu hizmetleri "bulutta" güvence altına alma sorumluluğunu üstlenir. Paylaşılan Sorumluluk Modeli hakkında daha fazlasını okuyun:

Bir AWS hesabı oluşturduğunuzda kök kullanıcı olarak bilinen hesapla başlarsınız. Bu, AWS hesabınızda bulunan ilk AWS kullanıcısıdır. AWS, hesabın tam erişimine ve denetimine sahip olduğu için bu hesabı günlük işlemlerde kullanmamanızı ve kök kullanıcıyı güvence altına almak için önerilen en iyi uygulamaları izlemenizi önerir. Bu, kök kullanıcı erişim anahtarlarınızı kilitlemeyi, güçlü bir parola kullanmayı, AWS çok faktörlü kimlik doğrulamasını etkinleştirmeyi ve hesabınıza erişmek için bir IAM kullanıcısı oluşturmayı içerir. Bu hesaba yönetici ayrıcalıkları atanabilir ve hesap ileriye dönük tüm idari görevler için kullanılmalıdır.

Ardından, hesabınıza alternatif güvenlik kişileri atamanız gerekir. Alternatif güvenlik kişisi, AWS Güven ve Güvenlik ekibinden gelen bildirimler de dahil olmak üzere güvenlikle ilgili bildirimler alır. Zamanında güvenlik bildirimleri için AWS hesaplarınızdaki alternatif güvenlik kişisini güncelleyin adlı blog gönderisinde, bu iletişim bilgilerini hesap kurulumunuz esnasında ayarlamanın önemi hakkında daha fazla bilgi edinebilirsiniz.

Güvenlik kişilerinizi onayladıktan hemen sonra iş yüklerinizin çalışması gereken AWS Bölgelerini ve bunların çalışmaması gereken Bölgeleri göz önünde bulundurmanız gerekir. Daha sonra bu Bölgelerdeki hiçbir iş yükünün çalıştırılamadığından emin olmak için kullanılmayan Bölgeleri kilitleyebilirsiniz. Bu, maliyet optimizasyonuna yardımcı olurken aynı zamanda güvenlik için de elverişli olur. Peki nasıl? İş yüklerini çalıştırmayı beklemediğiniz Bölgeleri kilitleyerek izleme çabalarınızı aktif olarak kullandığınız Bölgelere odaklayabilirsiniz.

Bu noktada, kök kullanıcıyı güvence altına aldınız, bir veya daha fazla IAM kullanıcısı oluşturdunuz, güvenlik kişileri atadınız ve iş yüklerinin çalışabileceği Bölgeleri kilitlediniz. Şimdi, kullanıcıların AWS kaynaklarıyla nasıl etkileşim kuracaklarını düşünelim. İki temel etkileşim yöntemi vardır: AWS CLI ve AWS Yönetim Konsolu. AWS CLI ve konsol için tek oturum açma ayarlaması yapmanız önerilir. AWS IAM Kimlik Merkezi ile erişimi merkezi olarak yönetme hakkında ayrıntılar için AWS CLI’yı AWS IAM Kimlik Merkezi’ni (AWS Tek Oturum Açma yerine geçmiştir) kullanacak şekilde yapılandırma başlıklı makaleye bakın.

Hesabınızın güvenliğini sağlamanın bir sonraki adımı, erişimi denetlemek için AWS IAM kullanıcı grupları ayarlamaktır. Doğrudan kullanıcı üzerinde politika ayarlayarak tek tek kullanıcıların erişimini denetlemek yerine bir grup oluşturmak, gerekli izinleri atamak ve ardından kullanıcıları gruba atamak en iyisidir. Kullanıcılar bu grubun izinlerini devralır. Bu, birçok kullanıcıya erişim denetimi sağlamanın daha ölçeklenebilir bir yolunu sunar. IAM’nin ve IAM gruplarının anlaşılması önemlidir çünkü birden fazla hizmete yayılırlar. IAM, tüm AWS hizmetleriyle bir dereceye kadar etkileşime giren bir hizmettir, bu nedenle IAM’ye aşina olmak için zaman harcadığınızdan emin olun.

Bu uygulamaları en başından itibaren takip etmek, AWS kaynaklarınıza güvenli erişim sağlamanıza yardımcı olacaktır. Daha sonra AWS’de oluşturduğunuz altyapının güvenliğini nasıl sağlayacağınızı ele alacağız.

Oluşturduğunuz altyapı, temel mimarinin bir parçası ve müşterinin karşı karşıya kaldığı bir şey olmadığı için genellikle göz ardı edilir. Ancak altyapı başarısız olursa müşterilerinize sunduğunuz hizmetler de başarısız olur. Bu nedenle altyapının güvenliğinin ilk günden itibaren sağlanması zorunludur.

Bulut altyapınızı oluştururken bir Amazon Sanal Özel Bulut (Amazon VPC) oluşturarak başlarsınız. Bu, kaynakları başlatmanıza olanak tanıyan tanımladığınız (hesabınızı oluşturduğunuzda her Bölgede varsayılan bir tane oluşturulur) sanal bir ağdır. VPC, kendisine atanmış bir CIDR IP adresi aralığına sahip olduğu için geleneksel bir ağa benzer ve alt ağlar oluşturma yoluyla alt bölümlere ayrılır. Alt ağlarınız, farklı kaynak kümeleri için yalıtım sağlamak üzere kullanılabilir. Alt ağlar genel veya özel olabilir. Genel alt ağlar bir İnternet Ağ Geçidi’ne giden rotaya sahiptir, bu ağ geçidi üzerinden internete erişimi vardır ve ilgili erişim denetimleri izin veriyorsa internetten ulaşılabilir. Özel alt ağlar da bir yönlendirme tablosuna sahiptir ancak bir İnternet Ağ Geçidi’ne giden rotaya sahip değildir, bu nedenle varsayılan olarak internete erişemez ve internetten bu ağlara erişilemez. Özel bir alt ağdaki kaynakların internete erişmesini sağlamak için bir NAT ağ geçidi gereklidir. Alt ağ düzeyinde, bir ağ erişim denetimi listesi (ACL) belirli gelen veya giden trafiğe izin verir veya bunu reddeder. VPC’niz için varsayılan ağ ACL’yi kullanabilir veya VPC’niz için özel bir ağ ACL’si oluşturabilirsiniz. Ağ ACL’leri numaralı listelerdir, yukarıdan aşağıya giden bir sırayla işlenir ve durum bilgisi içermez. Bu, çift yönlü trafiğe izin vermek için bir gelen ve giden ağ ACL kuralına ihtiyacınız olacağı anlamına gelir.

EC2 kaynaklarını VPC’nize dağıtırken bir güvenlik grubunu bu kaynaklarla ilişkilendirirsiniz. Güvenlik grubu, EC2 kaynaklarına ulaşabilen gelen ve giden trafiği denetler. Güvenlik grupları güvenlik duvarına benzer ancak yalnızca bir IP adresleri listesi veya aralığı kullanmak yerine trafiği kaynak başvurusu olarak adlandırılan bir şeye yönlendirebilir. Kaynak başvurusu, gruptaki her kaynağa atanan IP adreslerinin güncellenmiş bir listesini tutan adlandırılmış bir gruptur. Örnek olarak Amazon EC2 bulut sunucularını başlatmak için bir otomatik ölçeklendirme grubu oluşturursanız başladığında her bulut sunucusuna yeni bir IP atanır. Bu bulut sunucularına bir güvenlik grubu ekleyerek, EC2 bulut sunucularının güvenlik grubu kimliği aracılığıyla veritabanı sunucunuzun güvenlik grubuna erişim izni verebilirsiniz ve başlatılan tüm yeni EC2 bulut sunucularının, IP adreslerini izin verilen listeye eklemelerine gerek kalmadan veritabanına erişimi olur.

Güvenlik grubu kuralları ağ ACL’lerine benzer çünkü bunları oluşturduğunuzda bağlantı noktası, protokol ve adreslerle eşleşirsiniz. Ancak bu kuralların durum bilgisi vardır ve bunların durum bilgisi olan bir güvenlik duvarıyla benzer olduklarını düşünebilirsiniz. Belirli bir trafik türüne izin vermek için bir giriş oluşturduğunuzda dönüş trafiğiyle eşleşecek bir kural oluşturmanıza gerek yoktur. Durum bilgisi olduğu için dönüş trafiğine izin verilir. Güvenlik gruplarının ve ACL’lerin nasıl etkileşime girdiğini daha iyi anlamak için bu karşılaştırma yararlıdır.

Ek bir altyapı güvenliği katmanı eklemek için AWS Ağ Güvenlik Duvarı’nı dağıtabilirsiniz. Network Firewall, Amazon VPC’niz için koruma dağıtan yönetilen bir hizmettir. VPC’lerinizin yetkisiz bir protokol kullanarak etki alanlarına erişmesini önleme gibi politikaları uygulamak üzere güvenlik gruplarından daha ayrıntılı koruma sağlar çünkü bağlantıları izleme ve protokol tanımlama gibi trafik akışlarından gelen bağlamı içerebilir. Bu, özel Suricata Kuralları’nın yapılandırılması yoluyla yapılır. Örneğin kötü amaçlı yazılım saldırılarına karşı koruması için Network Firewall’u yapılandırabilirsiniz. Bunu bir adım daha ileri götürerek DDoS tehditlerine karşı koruma sağlamak için başka bir yönetilen hizmet olan AWS Shield Gelişmiş’i dağıtabilirsiniz.

Müşteriler AWS Bulut’ta çok sayıda veri depolar. Bu veriler, bir kuruluşun işleyişi için kritik olan bilgileri içerir. Veriler; müşteri verileri, fikri mülkiyet, doğrudan gelirle bağlantılı siparişler ve daha fazlasını içerir. Bu bölümde, AWS’de depolanan verilerin yanı sıra ağ üzerinden AWS’ye ve AWS’den aktarılan verilerin nasıl yapılandırılacağına ilişkin temel bilgileri paylaşıyoruz.

AWS’de veriler, verileri korumak için çeşitli denetimler içeren Amazon S3’te depolanır. Amazon S3’te verilerin güvenliğini sağlamak için en iyi 10 güvenlik uygulaması makalesi en temel teknikleri kapsar. Bunlar arasında kuruluş düzeyinde genel S3 bucket'larının engellenmesi, verilen tüm erişimin kısıtlı ve spesifik olduğunu doğrulamak için klasör politikalarının kullanılması ve verilerin şifrelenmesi ve korunması yer alır.

AWS Anahtar Yönetimi Hizmeti (AWS KMS), verilerinizi şifrelemek veya dijital olarak imzalamak için kullanılan anahtarları oluşturmanıza ve denetlemenize olanak tanır. Verilerinizi AWS’de şifrelemek için birkaç seçeneğiniz vardır. Birincisi, Amazon S3 tarafından yönetilen şifreleme anahtarları (SSE-S3) ile sunucu tarafı şifreleme kullanmaktır. Bu yöntem kullanılarak veriler AWS tarafından yönetilen anahtarlar yoluyla AWS’ye gönderildikten sonra şifreleme gerçekleşir.

İkinci seçenek, verileri AWS’ye girdikten hemen sonra şifrelemektir ancak AWS tarafından oluşturulan ve yönetilen anahtarları kullanmak yerine AWS KMS’de (SSE-KMS) depolanan müşteri ana anahtarlarıyla (CMK’ler) sunucu tarafı şifreleme gerçekleştirebilirsiniz.

AWS’de şifrelenmiş verileri depolamak için üçüncü seçenek, istemci tarafı şifreleme kullanmaktır. Bu yaklaşımla veriler AWS’ye aktarılmadan önce şifrelenir.

Hem istemci tarafı şifrelemenin hem de sunucu tarafı şifrelemenin müşterilere nasıl fayda sağladığına dair bir örnek aşağıdaki resimde görülebilir.

VPN’ler çeşitli teknolojileri kapsayabilir. Bir VPN’nin arkasındaki fikir, taşınan verilerinizin bütünlüğünü koruması ve iki taraf arasında güvenli bir şekilde değiş tokuş edilebilmesidir. AWS, taşınan verilerinizin güvenliğini sağlamanıza yardımcı olan birden fazla teknoloji sunar. Bunlardan biri; VPC’ler, AWS hizmetleri ve şirket içi ağlarınız arasında şifreli, özel bağlantı sağlayan AWS PrivateLink’tir. Bu, trafiğinizi genel internete açmadan yapılır. Bu da sanal bir özel ağ olarak düşünülebilir.

Bununla birlikte, çoğu durumda, bir VPN tartışması veri şifrelemenin kullanımı etrafında döner. Koşullara bağlı olarak istemci ile AWS bulut kaynaklarınız arasında şifreleme sağlamanız gerekebilir. Bu durum için AWS İstemci VPN gerekir. Öte yandan, veri merkeziniz veya şubeniz ile AWS kaynaklarınız arasında veri aktarıyor olabilirsiniz. Bunu şirket içi kaynaklarınız ile Amazon VPC’lerimiz veya AWS Transit Ağ Geçidi arasındaki IPsec tünellerini kullanarak gerçekleştirebilirsiniz. Bu güvenli bağlantı Siteden Siteye VPN olarak bilinir.

Son olarak bulut kaynaklarınızı AWS Yönetim Konsolu’nu kullanarak yönetmek şifrelenmiş, taşınan veriler de sunar. Normalde konsolla bağlantıyı VPN olarak adlandırmazsınız ancak oturumunuz TLS (Aktarım Katmanı Güvenliği) şifrelemesini kullanır. Böylece, güvenli mimarinizi oluşturdukça yapılandırmalarınız gizli tutulur. TLS, AWS API ile de kullanılır.

AWS, self servis seçeneklerinin yanı sıra ortamınızın izlenmesine yardımcı olmak için çeşitli yönetilen hizmetler sunar. Örneğin ağ trafiği akışlarını günlüğe kaydetmek ve görüntülemek üzere VPC Akış Günlüklerini kullanabilir veya AWS WAF Günlüklerini analiz etmek ve hatta EC2 bulut sunucuları için alarmlar oluşturmak üzere Amazon CloudWatch’u kullanabilirsiniz. Bu atölyede Amazon CloudWatch hakkında daha fazla bilgi edinebilirsiniz.

Ek olarak AWS CloudTrail, AWS altyapınızın genelindeki hesap etkinliklerini izleyip kaydederek depolama, analiz ve düzeltme eylemleri üzerinde kontrol sahibi olmanızı sağlar. Bu; bir idari denetim izi oluşturmak, güvenlik olaylarını belirlemek ve operasyonel sorunları gidermek için esastır.

Son olarak Amazon GuardDuty, tehdit tespiti için ve hatta yayımlanan bulguların AWS ortamınızda otomatik düzeltme eylemleri başlatmasını sağlayarak bunu bir adım daha ileri götürmek için kullanılabilir.

Bu operasyonel alanların her birini ele alarak, bulut ortamınız için temel güvenlik özelliklerini oluşturma yolunda ilerleyeceksiniz.