Güvenlik Açığı Raporlama

Bulut hizmetlerimizin herhangi bir yönündeki olası güvenlik açıklarını ele alın

Amazon Web Services, güvenliği oldukça ciddiye alır ve bildirilen tüm güvenlik açıklarını araştırır. Bu sayfada, bulut hizmetlerimizin her yönünde olası güvenlik açıklarını ele almaya yönelik uygulamamız açıklanmaktadır.

Şüpheli Güvenlik Açıklarını Bildirme

  • Amazon.com (Perakende): Amazon.com (Perakende), Seller Central, Amazon Payments ile ilgili veya şüpheli siparişler, geçersiz kredi kartı tahsilatları, şüpheli e-postalar gibi diğer ilgili konularda bir güvenlik endişeniz varsa ya da güvenlik açığı bildiriminde bulunmak istiyorsanız lütfen Perakende Güvenliği web sayfamızı ziyaret edin.
  • Amazon Web Services (AWS): Bir güvenlik açığını bildirmek istiyorsanız ya da AWS bulut hizmetleriyle ilgili bir güvenlik endişeniz varsa lütfen aws-security@amazon.com adresine e-posta gönderin. E-postanızı korumak istiyorsanız PGP Erişim Anahtarımızıkullanabilirsiniz.

AWS kaynaklarının (bir EC2 bulut sunucusu veya S3 klasörü gibi) şüpheli etkinlikler için kullanıldığından şüpheleniyorsanız bu durumu AWS Kötüye Kullanım Ekibi'ne bildirebilirsiniz.

Bildiriminize daha etkili bir şekilde yanıt verebilmemiz için lütfen güvenlik açığının niteliğini ve ciddiyetini anlamamıza yardımcı olma konusunda yararlı olacak her türlü destekleyici malzemeyi (kavram kanıtlama kodu, araç çıktısı vb.) sunun.

Bu işlemin parçası olarak AWS ile paylaştığınız bilgiler AWS içinde gizli tutulur. İzniniz olmadan üçüncü taraflarla paylaşılmaz.

AWS olarak, gönderdiğiniz bildirimi inceleyerek bir izleme numarasına atarız. Ardından size bildirimin alındığını onaylayarak yanıt veririz ve süreçteki sonraki adımları özetleriz.

AWS'nin Değerlendirmesi

AWS, bildirim gönderildikten sonra bildirilen güvenlik açığını doğrulamak için çalışır. Sorunu doğrulamak ya da yeniden oluşturmak için ek bilgi gerekiyorsa AWS bu bilgiyi almak üzere sizinle birlikte çalışacaktır. İlk inceleme tamamlandığında, sonuçlar çözüm ve genele açıklamaya yönelik bir planla birlikte size gönderilir.

AWS değerlendirme süreci hakkında dikkat edilmesi gereken birkaç nokta:

  • Üçüncü Taraf Ürünleri: AWS cloud’da çok sayıda satıcının ürünü sunulmaktadır. Güvenlik açığının bir üçüncü taraf ürününü etkilediği tespit edilirse AWS, etkilenen yazılımın yazarını bilgilendirir. AWS, sizinle üçüncü taraf arasında koordinasyon sağlamaya devam edecektir. Kimliğiniz, izniniz olmadan üçüncü tarafa açıklanmaz.
  • Güvenlik Açığı Dışındaki Durumları Onaylama: Sorun doğrulanamazsa veya bir AWS ürününde bir kusur olmadığı tespit edilirse bu durum sizinle paylaşılır.
  • Güvenlik Açığı Sınıflandırma: AWS, olası güvenlik açıklarını değerlendirmek için Ortak Güvenlik Açığı Puanlama Sistemi'nin (CVSS) 2.0 sürümünü kullanmaktadır. Elde edilen puan, sorunun ciddiyetini ölçmemize ve yanıtımızın önceliğini belirlememize yardımcı olmaktadır. CVSS hakkında daha fazla bilgi için lütfen şu bölüme bakın: CVSS-SIG duyurusu.

AWS olarak, bildirdiğiniz güvenlik sorununu incelerken ve/veya hafifletirken hızlı yanıt vermeyi ve sizi ilerlememiz konusunda bilgilendirmeyi taahhüt ediyoruz. İlk ilgili kişinize 24 saat içinde bildirdiğiniz güvenlik açığının alındığını onaylayan otomatik olmayan bir yanıt gönderilir. Bizden en az beş iş gününde bir, ilerlemeyle ilgili güncel bilgiler alırsınız.

Genel Bildirim

Uygunsa, AWS doğrulanmış bir güvenlik açığına ilişkin genel açıklama bildirimini sizinle birlikte koordine eder. Mümkün olduğunda, ilgili genel açıklamalarımızın aynı anda gönderilmesini tercih ederiz.

AWS olarak, müşterilerimizi korumak amacıyla bildirilen güvenlik açığını araştırıncaya, yanıtlayıncaya ve giderinceye kadar ve gerekirse müşterileri bilgilendirinceye kadar olası güvenlik açığıyla ilgili hiçbir bilginin hiçbir genel ortama gönderilmemesini veya buralarda paylaşılmamasını isteriz. Ayrıca müşterilerimize ait hiçbir veriyi göndermemenizi veya paylaşmamanızı rica ediyoruz. Bildirilen geçerli bir güvenlik açığını gidermek zaman alır. Bu, güvenlik açığının ciddiyetine ve etkilenen sistemlere bağlı olarak değişir.

AWS'nin genel bildirimleri AWS Security Center'da yayınlanan Güvenlik Bültenleri biçimindedir. Kişiler, şirketler ve güvenlik ekipleri genellikle önerilerini kendi web sitelerinde ve diğer forumlarda yayınlar, ayrıca ilgisi olduğunda AWS güvenlik bültenlerine söz konusu üçüncü tarafların bağlantılarını ekleriz.

Bir AWS Şirket Temsilcisi ile iletişime geçin
Sorularınız mı var? Bir AWS Şirket Temsilcisi ile İletişime Geçin
Güvenlik rollerini mi araştırıyorsunuz?
Bugün başvurun »
AWS Mevzuat Uyumluluğu güncellemelerini mi istiyorsunuz?
Bizi Twitter'da takip edin »