Amazon Web Services, güvenliği oldukça ciddiye alır ve bildirilen tüm güvenlik açıklarını araştırır. Bu sayfada, bulut hizmetlerimizin her yönünde olası güvenlik açıklarını ele almaya yönelik uygulamamız açıklanmaktadır.

  • Amazon.com Perakende: Amazon.com perakende, Seller Central, Amazon Payments ile ilgili bir güvenlik sorununuz veya şüpheli siparişler, geçersiz kredi kartı tahsilatları, şüpheli e-postalar gibi diğer ilgili sorunlarınız varsa ya da güvenlik açığı bildiriminde bulunmak istiyorsanız lütfen https://amazon.com/security adresini ziyaret edin.
  • Amazon Web Services (AWS): Bir güvenlik açığını bildirmek istiyorsanız ya da EC2, S3, CloudFront, RDS vb. gibi AWS bulut hizmetleriyle ilgili bir güvenlik sorununuz varsa lütfen aws-security@amazon.com adresine e-posta gönderin. E-postanızı korumak istiyorsanız PGP kullanabilirsiniz; erişim anahtarımız buradadır.

AWS kaynaklarının (bir EC2 bulut sunucusu veya S3 klasörü gibi) şüpheli etkinlikler için kullanıldığından şüpheleniyorsanız bu durumu buradan AWS Kötüye Kullanım Ekibi'ne bildirebilirsiniz.

Bildiriminize daha etkili bir şekilde yanıt verebilmemiz için lütfen güvenlik açığının niteliğini ve ciddiyetini anlamamıza yardımcı olma konusunda yararlı olacak her türlü destekleyici malzemeyi (kavram kanıtlama kodu, araç çıktısı vb.) sunun.

Bu işlemin parçası olarak AWS ile paylaştığınız bilgiler AWS içinde gizli tutulur. İzniniz olmadan üçüncü taraflarla paylaşılmaz.

AWS olarak, gönderdiğiniz bildirimi inceleyerek bir izleme numarasına atarız. Ardından size bildirimin alındığını onaylayarak yanıt veririz ve süreçteki sonraki adımları özetleriz.

AWS, bildirim gönderildikten sonra bildirilen güvenlik açığını doğrulamak için çalışır. Sorunu doğrulamak ya da yeniden oluşturmak için ek bilgi gerekiyorsa AWS bu bilgiyi almak üzere sizinle birlikte çalışacaktır. İlk inceleme tamamlandığında, sonuçlar çözüm ve genele açıklamaya yönelik bir planla birlikte size gönderilir.

AWS değerlendirme süreci hakkında dikkat edilmesi gereken birkaç nokta:

  • Üçüncü Taraf Ürünleri AWS bulutunda çok sayıda satıcının ürünü sunulmaktadır. Güvenlik açığının bir üçüncü taraf ürününü etkilediği tespit edilirse AWS, etkilenen yazılımın yazarını bilgilendirir. AWS, sizinle üçüncü taraf arasında koordinasyon sağlamaya devam edecektir. Kimliğiniz, izniniz olmadan üçüncü tarafa açıklanmaz.
  • Güvenlik Açığı Dışındaki Durumları Onaylama. Sorun doğrulanamazsa veya bir AWS ürününde bir kusur olmadığı tespit edilirse bu durum sizinle paylaşılır.
  • Güvenlik Açığı Sınıflandırma. AWS, olası güvenlik açıklarını değerlendirmek için Ortak Güvenlik Açığı Puanlama Sistemi'nin (CVSS) 2.0 sürümünü kullanmaktadır. Elde edilen puan, sorunun ciddiyetini ölçmemize ve yanıtımızın önceliğini belirlememize yardımcı olmaktadır. CVSS hakkında daha fazla bilgi için lütfen bkz. CVSS-SIG duyurusu.

AWS olarak, bildirdiğiniz güvenlik sorununu incelerken ve/veya hafifletirken hızlı yanıt vermeyi ve sizi ilerlememiz konusunda bilgilendirmeyi taahhüt ediyoruz. İlk ilgili kişinize 24 saat içinde bildirdiğiniz güvenlik açığının alındığını onaylayan otomatik olmayan bir yanıt gönderilir. Bizden en az beş iş gününde bir, ilerlemeyle ilgili güncel bilgiler alırsınız.

Uygunsa, AWS doğrulanmış bir güvenlik açığına ilişkin genel açıklama bildirimini sizinle birlikte koordine eder. Mümkün olduğunda, ilgili genel açıklamalarımızın aynı anda gönderilmesini tercih ederiz.

AWS olarak, müşterilerimizi korumak amacıyla bildirilen güvenlik açığını araştırıncaya, yanıtlayıncaya ve giderinceye kadar ve gerekirse müşterileri bilgilendirinceye kadar olası güvenlik açığıyla ilgili hiçbir bilginin hiçbir genel ortama gönderilmemesini veya buralarda paylaşılmamasını isteriz. Ayrıca müşterilerimize ait hiçbir veriyi göndermemenizi veya paylaşmamanızı rica ediyoruz. Bildirilen geçerli bir güvenlik açığını gidermek zaman alır. Bu, güvenlik açığının ciddiyetine ve etkilenen sistemlere bağlı olarak değişir.

AWS'nin genel bildirimleri AWS Security Center'da yayınlanan güvenlik bültenleri biçimindedir. Kişiler, şirketler ve güvenlik ekipleri genellikle önerilerini kendi web sitelerinde ve diğer forumlarda yayınlar, ayrıca ilgisi olduğunda AWS güvenlik bültenlerine söz konusu üçüncü tarafların bağlantılarını ekleriz.

 

Bize Ulaşın