9 - AWS Security
CloudAWSCLF-C02 3 min read

9 - AWS Security

1. Kimlik ve Erişim Yönetimi (Identity and Access Management)

AWS IAM, kimlikleri ve AWS kaynaklarına erişimi güvenli bir şekilde yönetmek için kullanılan temel hizmettir.

Güvenlik Prensipleri

  • Varsayılan Erişim: Varsayılan olarak tüm eylemler reddedilir (Deny).
  • Açık İzin: Kullanıcılar yalnızca açıkça izin verilen işlemleri yapabilir.
  • En Az Ayrıcalık (Least Privilege): Kullanıcılar veya sistemler, yalnızca görevlerini yerine getirmek için ihtiyaç duydukları minimum erişime sahip olmalıdır.

Temel IAM Bileşenleri

  • Kullanıcılar (Users): Bireysel kimliklerdir.
  • Gruplar (Groups): Kullanıcıları toplu olarak yönetmek ve izin atamak için kullanılır.
  • Roller (Roles): Özellikle uygulamalar ve AWS hizmetleri için geçici yetki/erişim sağlamak amacıyla kullanılır.
  • Politikalar (Policies): İzinleri tanımlayan JSON formatındaki dokümanlardır.

Ek Kimlik ve Yönetim Hizmetleri

  • AWS IAM Identity Center: Merkezi kimlik yönetimi sağlar ve mevcut kimlik kaynaklarına bağlanarak Tek Oturum Açma (SSO) imkanı sunar.
  • AWS Secrets Manager: Veritabanı parolaları ve API anahtarları gibi hassas verileri yaşam döngüleri boyunca güvenli bir şekilde saklar ve yönetir.
  • AWS Systems Manager: Çoklu bulut ve hibrit ortamlarda sistem yönetimini merkezileştirir ve güvenlik otomasyonu sağlar.

2. Ağ ve Uygulama Koruması

Ağ güvenliği, hem altyapı seviyesinde hem de uygulama katmanında saldırıları önlemeyi hedefler.

Saldırı Türleri

  • DoS (Denial of Service): Tek bir kaynaktan gelen aşırı trafikle web uygulamasını çökertme girişimi.
  • DDoS (Distributed Denial of Service): Binlerce zombi botun (dağıtılmış kaynaklar) trafiği çoğaltarak sisteme saldırması.

AWS Altyapı Koruması

  • Güvenlik Grupları (Security Groups): Sanal güvenlik duvarı gibi davranarak yalnızca izin verilen trafiğin geçişine olanak tanır.
  • Elastik Yük Dengeleme (ELB): Gelen trafiği birden fazla hedefe dağıtarak sunucuların aşırı yüklenmesini engeller.
  • AWS Bölgeleri: AWS'nin devasa kapasiteli altyapısı, büyük ölçekli saldırıları absorbe etme yeteneği sağlar.

Özel Koruma Hizmetleri

  • AWS Shield:
    • Standard: Ücretsizdir. Yaygın DDoS saldırılarına karşı otomatik koruma sağlar.
    • Advanced: Ücretlidir. Gelişmiş teşhis, karmaşık saldırı koruması ve maliyet koruması sunar.
  • AWS WAF (Web Application Firewall): Web uygulamalarını korur. IP bazlı erişim kontrolü sağlar, SQL enjeksiyonu gibi kötü amaçlı istekleri engeller ve Web ACL'leri (Erişim Kontrol Listeleri) kullanır.

3. Veri Güvenliği ve Şifreleme (Encryption)

Veri güvenliği, verinin hem saklanırken hem de transfer edilirken kilitlenmesi mantığına dayanır.

Temel Şifreleme Türleri

  1. Durağan Veri (At Rest): Disk üzerinde depolanmış veriler (Örn: Veritabanı, Dosya depolama).
  2. Hareket Halindeki Veri (In Transit): Ağ üzerinden transfer edilen veriler (SSL/TLS sertifikaları ile korunur).

AWS Hizmetlerinde Yerleşik Koruma

  • Amazon S3: Tüm yeni bucket'lar ve nesneler varsayılan olarak şifrelenir.
  • Amazon EBS: Boot ve data volume'leri dahil olmak üzere birimler ve anlık görüntüler (snapshots) şifrelenebilir.
  • Amazon DynamoDB: Tüm tablo verileri AWS KMS anahtarlarıyla sunucu taraflı şifreleme kullanır.

Veri Koruma ve Anahtar Yönetim Araçları

  • AWS KMS (Key Management Service): Şifreleme anahtarlarını oluşturur ve yönetir. IAM ile entegre çalışarak anahtarlara kimin erişebileceğini denetler.
  • Amazon Macie: Makine öğrenimi kullanarak S3 üzerindeki hassas verileri (PII vb.) otomatik olarak keşfeder, sınıflandırır ve korur.
  • AWS Certificate Manager (ACM): Hareket halindeki verilerin şifrelenmesi için gerekli olan SSL/TLS sertifikalarının oluşturulmasını ve yönetimini sağlar.

4. Tespit, İzleme ve Yanıt Hizmetleri

AWS ortamındaki güvenlik açıklarını bulmak ve tehditlere yanıt vermek için kullanılan araçlardır.

HizmetGörevi ve Özellikleri
Amazon InspectorOtomatik Güvenlik Değerlendirmesi: EC2, Konteyner ve Lambda için güvenlik açıklarını ve en iyi uygulamalardan sapmaları tarar. Bulguları önem derecesine göre sıralar.
Amazon GuardDutyAkıllı Tehdit Tespiti: Ağ etkinliklerini, hesap meta verilerini ve logları sürekli izler. Makine öğrenimi ile anomali ve kötü niyetli IP tespiti yapar.
Amazon DetectiveKök Neden Analizi: Tespit edilen bir tehdidin kaynağını bulmak için verileri görselleştirir. Kaynak ve kullanıcı etkileşimlerini zaman çizelgesi üzerinde inceler.
AWS Security HubMerkezi Güvenlik Panosu: Tüm güvenlik hizmetlerinden (ve 3. taraf araçlardan) gelen bulguları tek merkezde toplar. "Insights" ile önceliklendirme ve otomatik düzeltme imkanı sunar.

Not: Her hizmetin güvenlik yapılandırması farklılık gösterebilir. Daima ilgili hizmetin resmi belgelerini referans alın. AWS Marketplace üzerinden, AWS'nin yerel hizmetlerini tamamlayıcı üçüncü parti güvenlik çözümlerine de erişilebilir.

License

This article is licensed under Attribution-NonCommercial-ShareAlike 4.0 International . Please cite the source when reposting.

10 - AWS Bulut Yönetimi: Temel İlkeler ve Hizmetler
8 - AWS AI/ML ve Veri Analitiği

Comments

Loading comments...