Güvenlik Açığı Raporlama

Bulut hizmetlerimizin herhangi bir yönündeki olası güvenlik açıklarını ele alın

Amazon Web Services, güvenliği oldukça ciddiye alır ve bildirilen tüm güvenlik açıklarını araştırır. Bu sayfada, bulut hizmetlerimizin her yönünde olası güvenlik açıklarını ele almaya yönelik uygulamamız açıklanmaktadır.

Şüpheli Güvenlik Açıklarını Bildirme

  • Amazon Web Services (AWS): Bir güvenlik açığını bildirmek istiyorsanız veya AWS bulut hizmetleriyle ya da açık kaynak projeleriyle ilgili bir güvenlik endişeniz varsa lütfen aws-security@amazon.com ile iletişime geçerek bilgileri gönderin. Gönderiminizin içeriklerini korumak istiyorsanız PGP anahtarımızı kullanabilirsiniz.
  • Sızma Testine Yönelik AWS Müşteri Desteği Politikası: AWS müşterileri, listelenen hizmetler için ön onay gerekmeksizin AWS altyapıları üzerinde diledikleri güvenlik değerlendirmelerini veya sızma testlerini gerçekleştirebilirler. Diğer Simüle Edilen Olaylar İçin Yetki İsteme süreci Simüle Edilen Olaylar formu kullanılarak yapılmalıdır. AWS Çin (Ningksia ve Pekin) Bölgesi’nde faaliyet gösteren müşteriler için lütfen bu Simüle Edilen Olaylar formunu kullanın.
  • AWS Kötüye Kullanımı: AWS kaynaklarının (bir EC2 bulut sunucusu veya S3 klasörü gibi) şüpheli etkinlikler için kullanıldığından şüpheleniyorsanız bu durumu AWS Kötüye Kullanım Ekibine Amazon AWS kötüye kullanımını bildirme formu ile ya da abuse@amazonaws.com e-posta adresini kullanarak bildirebilirsiniz.
  • AWS Uyum Bilgisi: AWS uyum raporlarına erişim AWS Artifact yoluyla mümkündür. Ek AWS Uyumluluk ile ilgili sorularınız varsa lütfen bu soruları alım formu ile iletin.
  • Amazon.com (Perakende): Amazon.com (Perakende), Seller Central, Amazon Payments ile ilgili veya şüpheli siparişler, geçersiz kredi kartı tahsilatları, şüpheli e-postalar gibi diğer ilgili konularda bir güvenlik endişeniz varsa ya da güvenlik açığı bildiriminde bulunmak istiyorsanız lütfen Perakende Güvenliği web sayfamızı ziyaret edin.

Bildiriminize daha etkili bir şekilde yanıt verebilmemiz için lütfen güvenlik açığının niteliğini ve ciddiyetini anlamamıza yardımcı olma konusunda yararlı olacak her türlü destekleyici malzemeyi (kavram kanıtlama kodu, araç çıktısı vb.) sunun.

Bu işlemin parçası olarak AWS ile paylaştığınız bilgiler AWS içinde gizli tutulur. AWS yalnızca bildirdiğiniz güvenlik açığı bir üçüncü şahsın ürününü etkilediğinde bu bilgiyi bir üçüncü şahısla paylaşır. Bu durumda biz de bilgiyi üçüncü şahıs ürününün yazarına ya da üreticisine iletiriz. Bunun dışında, AWS bilgilerinizi yalnızca izin verdiğiniz ölçüde paylaşır.

AWS olarak, gönderdiğiniz bildirimi inceleyerek bir izleme numarasına atarız. Ardından size bildirimin alındığını onaylayarak yanıt veririz ve süreçteki sonraki adımları özetleriz.

AWS SLA Değerlendirmesi

AWS olarak, bildirdiğiniz güvenlik sorununu incelerken ve/veya hafifletirken hızlı yanıt vermeyi ve sizi ilerlememiz konusunda bilgilendirmeyi taahhüt ediyoruz. İlk ilgili kişinize 24 saat içinde bildirdiğiniz güvenlik açığının alındığını onaylayan otomatik olmayan bir yanıt gönderilir. AWS’den en az beş ABD iş gününde bir, ilerlemeyle ilgili güncel bilgiler alırsınız.

Genel Bildirim

Uygunsa, AWS doğrulanmış herhangi bir güvenlik açığına ilişkin genel açıklama bildirimini sizinle birlikte koordine eder. Mümkün olduğunda, ilgili genel açıklamalarımızın aynı anda gönderilmesini tercih ederiz.

AWS olarak, müşterilerimizi korumak amacıyla bildirilen güvenlik açığını araştırıncaya, yanıtlayıncaya ve giderinceye kadar ve gerekirse müşterileri bilgilendirinceye kadar olası güvenlik açığıyla ilgili hiçbir bilginin hiçbir genel ortama gönderilmemesini veya buralarda paylaşılmamasını isteriz. Ayrıca müşterilerimize ait hiçbir veriyi göndermemenizi veya paylaşmamanızı rica ediyoruz. Geçerli bir raporlanmış güvenlik açığı incelenmesi zaman alacaktır ve bu süre güvenlik açığının ciddiyetine ve etkilenmiş sistemlere bağlı olacaktır.

AWS'nin genel bildirimleri AWS Security Center'da yayınlanan Güvenlik Bültenleri biçiminde yapmaktadır. Kişiler, şirketler ve güvenlik ekipleri genellikle önerilerini kendi web sitelerinde ve diğer forumlarda yayınlar, ayrıca ilgisi olduğunda AWS Güvenlik Bültenlerine söz konusu üçüncü tarafların bağlantılarını ekleriz.  

Güvenli Liman

AWS iyi niyetle yapılan güvenlik araştırmasının güvenli limana sahip olması gerektiğine inanmaktadır. Aşağıdaki koşullara bağlı olmak üzere Disclose.io Temel Hükümlerini uyguladık ve AWS’nin müşterilerinin korunması noktasında tutkumuza ortak olan güvenlik araştırmacılarıyla çalışmayı sabırsızlıkla bekliyoruz.

Kapsam

Aşağıdaki aktiviteler AWS Güvenlik Açığı Programı bakımından kapsam dışıdır. Aşağıdaki aktivitelerden herhangi birinin yapılması programdan kalıcı olarak diskalifiye edilmek anlamına gelecektir.

  1. Altyapımızda sunulan AWS müşterilerinin ya da AWS dışı sitelerin değerlerini hedef almak
  2. AWS müşterileri ya da çalışan hesaplarının suistimal edilmesiyle elde edilen güvenlik açıkları
  3. AWS ürünleri ya da müşterilerine karşı herhangi bir Hizmet Engelleme (DoS) Saldırısı
  4. AWS çalışanları, ofisleri ve veri merkezlerine fiziksel saldırılar
  5. AWS çalışanları, yüklenicileri, satıcıları ve hizmet sağlayıcılarına yönelik sosyal mühendislik
  6. Bilinçli şekilde kötü amaçlı yazılım paylaşmak, iletmek, yüklemek, aktarmak ya da göndermek
  7. İstenmeyen toplu mesajlar (spam) ileten güvenlik açıklarını kovalamak

İfşa Politikası

AWS, bildirim gönderildikten sonra bildirilen güvenlik açığını doğrulamak için çalışır. Sorunu doğrulamak ya da yeniden oluşturmak için ek bilgi gerekiyorsa AWS bu bilgiyi almak üzere sizinle birlikte çalışacaktır. İlk inceleme tamamlandığında, sonuçlar çözüm ve genele açıklamaya yönelik bir değerlendirme ve planla birlikte size gönderilir.

AWS süreci hakkında dikkat edilmesi gereken birkaç nokta:

  1. Üçüncü Taraf Ürünleri: AWS cloud’da çok sayıda satıcının ürünü sunulmaktadır. Güvenlik açığının bir üçüncü taraf ürününü etkilediği tespit edilirse AWS, etkilenen ürünün sahibini bilgilendirir. AWS, sizinle üçüncü taraf arasında koordinasyon sağlamaya devam edecektir. Kimliğiniz, izniniz olmadan üçüncü tarafa açıklanmaz.
  2. Güvenlik Açığı Dışındaki Durumları Onaylama: Sorun doğrulanamazsa veya sorunun bir AWS ürününde olmadığı tespit edilirse bu durum sizinle paylaşılır.
  3. Güvenlik Açığı Sınıflandırma: AWS, olası güvenlik açıklarını değerlendirmek için Ortak Güvenlik Açığı Puanlama Sistemi'nin (CVSS) 3.1 sürümünü kullanmaktadır. Elde edilen puan, sorunun ciddiyetini ölçmemize ve yanıtımızın önceliğini belirlememize yardımcı olmaktadır. CVSS konusunda daha fazla bilgi için lütfen NVD sitesine bakın.
Bir AWS Şirket Temsilcisi ile iletişime geçin
Sorularınız mı var? Bir AWS Şirket Temsilcisi ile İletişime Geçin
Güvenlik rollerini mi araştırıyorsunuz?
Bugün başvurun »
AWS Güvenlik güncellemelerini mi istiyorsunuz?
Bizi Twitter'da takip edin »