Giriş
Bulut ortamında yaşanan güvenlik ihlallerinin önemli bir kısmı, sunuculara doğrudan sızılmasından değil, ağ yapılandırmalarındaki hatalardan kaynaklanıyor. Sysdig 2024 Cloud-Native Security and Usage Report, şirketlerin hız uğruna güvenlikten ödün verdiğini çarpıcı bir şekilde gösteriyor: analiz edilen registry'lerin %66'sı public durumda ve verilen izinlerin %98'i aslında hiç kullanılmıyor (
Sysdig). Bu tablo, VPC güvenliğini "opsiyonel bir iyileştirme" olmaktan çıkarıp, her altyapı için en kritik zorunluluk haline getiriyor.
AWS VPC, hesabınız içinde oluşturduğunuz yazılım tanımlı bir ağdır. Trafiğinizi diğer müşterilerden mantıksal olarak ayırır ve kendi IP aralıklarınızı tanımlamanıza izin verir. Fiziksel bir ağ cihazı yönetmezsiniz; her şey API çağrıları ve yapılandırma parametrelerinden ibarettir. Bu yapı bir yandan geniş bir esneklik sunarken, diğer yandan tek bir yanlış yapılandırmanın tüm ağı dış dünyaya açma riskini de beraberinde getiriyor.
- VPC güvenliği, doğru rota tablosu ve güvenlik grubu yapılandırmasıyla başlar; IAM politikaları bu sistemin ayrılmaz bir parçasıdır.
- Security Group ve NACL birlikte kullanıldığında, savunma derinliği (defense-in-depth) artar ve yanal hareketi engeller.
- VPC Endpoint ve PrivateLink, hassas verilerin internete çıkmadan AWS servislerine erişmesini sağlayarak veri sızdırma riskini minimize eder.
- DNS, çoğu zaman gözden kaçan bir saldırı vektörüdür; DNS Firewall ve sorgu loglaması bu noktada ihmal edilmemelidir.
VPC Nedir ve Neden Doğrudan Bir Güvenlik Kontrolüdür?
AWS, VPC'nin "hesabınız için mantıksal olarak izole edilmiş bir ağ bölümü" olduğunu belirtiyor (
AWS). Bu izolasyon güvenliğin temelidir, ancak bazen yanıltıcı bir rahatlık yaratabilir. Kendi CIDR aralığınızı seçmek ve alt ağları bölgelere yaymak tamamen sizin kontrolünüzdedir. Fiziksel dünyada bir switch'in VLAN yapılandırmasını değiştirmek için konsol kablosu gerekirken, burada tek bir IAM politikası hatası tüm izolasyonu ortadan kaldırabilir.
Bu yazılım tanımlı yapı, klasik ağ saldırılarına karşı bazı doğal bağışıklıklar sağlar. Örneğin ARP spoofing, VPC içinde çalışmaz; çünkü ARP tabloları yalnızca uyumluluk için görünür durumdadır, gerçek adres çözümlemesi farklı bir mekanizmayla yapılır. Ancak bu, VPC'nin saldırılara kapalı olduğu anlamına gelmiyor. Rota tablosuna yetkisiz bir Internet Gateway (IGW) rotası eklenmesi, private bir alt ağı kısa sürede dışarıya açabilir.
AWS güvenlik modelinde VPC'nin rolü, ağ mühendisliğinin çok ötesine geçer. ec2:CreateRoute, ec2:ModifyVpcAttribute gibi IAM izinleri aslında etkili birer ağ güvenliği kontrolüdür. Bu izinleri kimin taşıdığını bilmeden VPC'nizi gerçekten güvene alamazsınız. Kısacası, IAM'i kontrol eden, ağı da kontrol eder.
Yukarıdaki diyagram, en yaygın VPC mimarilerinden birini gösteriyor. Saldırgan normal şartlarda yalnızca public subnet'teki web sunucusuna erişebilir. Ancak zincirin herhangi bir halkası, örneğin bir rota tablosu kuralı bozulduğunda, private alt ağdaki kaynaklar doğrudan hedef haline gelebilir.
Alt Ağlar ve Rota Tabloları: "Public/Private" Ayrımının Ötesi
Unit 42'nin 2025 analizine göre, 2024 yılında bulut ortamlarındaki yüksek önemdeki alarmlar %235 artış gösterdi ve saldırganlar özellikle IAM token'ları ile depolama verilerini hedefliyor (
Unit 42). Pek çok bulut mühendisi "private subnet" kavramını bir ayar olarak düşünüyor, ancak AWS'de bir alt ağı "public" veya "private" yapan teknik bir buton yoktur.
Atıf Kapsülü: AWS üzerinde bir subnet, internet gateway'e giden rotası olan bir route table'a bağlıysa public subnet, bağlı değilse private subnet olarak adlandırılır. Public subnet'in route table'ında 0.0.0.0/0 → IGW rotası bulunur (AWS). Bu, ağ izolasyonunun bir ayar değil, aktif bir rota yönetimi disiplini olduğunu gösterir.
Bu durumun güvenlik açısından anlamı nettir: Alt ağınızı "private" olarak tanımlasanız bile, rota tablosuna eklenecek hatalı bir kural tüm izolasyonu bozar. CloudTrail üzerinden CreateRoute çağrılarını izlemek ve alarm kurmak bu yüzden hayati önem taşır.
NAT Gateway, private alt ağdaki kaynakların internete çıkabilmesini sağlayan ve dışarıdan gelen bağlantıları kabul etmeyen bir güvenlik katmanıdır. Ancak yüksek erişilebilirlik için her AZ'de ayrı bir tane konumlandırılması gerekir. Aksi takdirde tek bir AZ'nin çökmesi, tüm internet çıkışınızı durdurabilir.
Geliştirme ortamlarında maliyet için tek NAT Gateway kullanıp, üretim ortamında da aynı yapıyı bırakmak yaygın bir hatadır. Bu durum "tek hata noktası" (single point of failure) yaratır ve olay müdahalesi sırasında yama depolarına erişmesi gereken güvenlik araçlarının çalışmasını engelleyebilir.
Security Group ve NACL: İki Katmanlı Savunma Hattı
AWS, security group'ları instance seviyesinde ve network ACL'leri (NACL) subnet seviyesinde birlikte kullanarak savunma derinliğini artırmayı öneriyor (AWS). Ancak bu iki mekanizma birbirinin alternatifi değildir; farklı katmanlarda ve mantıklarda çalışırlar.
Atıf Kapsülü: Security Group'lar sunucu seviyesinde "stateful" koruma sağlarken, NACL'ler alt ağ seviyesinde "stateless" bir kontrol noktasıdır (AWS SG, AWS NACL). Bu çift katmanlı yapı, savunma derinliğini artırarak olası bir sızma girişiminin etki alanını ciddi ölçüde daraltır.
Security Group, sunucu seviyesinde çalışır ve durumludur (stateful). İçeri izin verdiğiniz bir bağlantının cevabı otomatik olarak geçer. Kaynak olarak IP yerine başka bir Security Group ID'sini referans alabilmesi, dinamik kurallar yazmanıza olanak tanır.
NACL, alt ağ seviyesinde çalışır ve durumsuzdur (stateless). İçeri izin verseniz bile, dönüş trafiği için giden kuralını ayrıca yazmanız gerekir. "Reddet" (Deny) kurallarını desteklemesi, belirli IP bloklarını toptan engellemek için NACL'i tek seçenek haline getirir.
Bir olay müdahale senaryosunda, saldırganın ele geçirdiği bir sunucudan NACL kurallarını değiştirmesi, Security Group kurallarını değiştirmesinden çok daha zordur. NACL alt ağ seviyesindedir ve genellikle daha sıkı IAM kontrollerine tabidir. Bu da NACL'i, saldırganın yanal hareketini engellemek için daha güvenilir bir kilit haline getirir.
VPC Endpoint ve PrivateLink: Trafiği AWS İçinde Tutmak
AWS verilerine göre, VPC Endpoint (PrivateLink) kullanımı, trafiğin internete çıkmadan AWS omurgası üzerinden servislerle konuşmasını sağlayarak, NAT Gateway kullanımına göre saldırı yüzeyini ciddi oranda azaltır (AWS). Bunun temel nedeni, trafiğin hiçbir zaman genel internete çıkmaması ve AWS omurgasından ayrılmamasıdır.
Private bir alt ağdaki sunucunun S3'e erişmesi gerektiğinde, klasik yöntem NAT Gateway üzerinden internete çıkmaktır. Bu yöntem hem ek maliyet getirir hem de trafiğinizi dış dünyaya maruz bırakır. VPC Endpoint ve PrivateLink ise bu sorunu kökten çözer.
Gateway Endpoint (S3 ve DynamoDB): Ücretsizdir ve rota tablosuna eklenen bir kural ile çalışır. Bant genişliği sınırı yoktur. Interface Endpoint / PrivateLink: Alt ağınızda özel bir IP'ye sahip bir ENI oluşturur. Saatlik ücretlidir ancak 150'den fazla AWS servisini destekler.
VPC Endpoint oluşturduğunuzda varsayılan politikanın "tam erişim" (Full Access) verdiğini unutmayın. Bu bir güvenlik açığına dönüşebilir. Endpoint politikasına yalnızca kendi S3 bucket'larınıza erişim izni veren kurallar ekleyerek, veri sızdırma girişimlerini henüz başlamadan engelleyebilirsiniz.
DNS Güvenliği: Sessiz Tehditlerin İzini Sürmek
Bulut saldırılarında DNS, komuta kontrol (C2) iletişimi ve veri sızdırma için en sık suistimal edilen protokollerden biri olarak öne çıkıyor (
AWS). VPC içindeki her sunucu, varsayılan olarak Amazon'un sağladığı DNS sunucusunu kullanır. Bu trafik genellikle denetlenmez, bu da onu saldırganlar için ideal bir keşif yolu haline getirir.
Atıf Kapsülü: AWS Route 53 Resolver DNS Firewall, domain tabanlı filtreleme ile DNS üzerinden yapılabilecek saldırıları kontrol altına alır (AWS). Bu sistem, yalnızca güvenilen alan adlarına sorgu yapılmasına izin vererek veri sızdırma riskini azaltır.
Amazon Route 53 Resolver DNS Firewall ile hangi alan adlarına sorgu yapılabileceğini sınırlayabilirsiniz. Örneğin, yalnızca şirket içi domainlerinize ve AWS servislerine izin verip diğer her şeyi engelleyebilirsiniz. Bu sayede bir sunucu ele geçirilse bile, saldırganın dışarıdaki bir sunucuyla haberleşmesi veya ağ yapınızı haritalaması oldukça zorlaşır.
DNS Firewall kurarken yapılan en kritik hata, "Allow" listesini oluşturup sona "Deny all" kuralını eklemeyi unutmaktır. AWS konsolu varsayılan olarak listede olmayan her şeye izin verir. Bu kuralı eklemediğiniz sürece güvenlik duvarınız aslında pasif durumdadır.
VPC İzleme: Flow Logs, Traffic Mirroring ve GuardDuty
AWS ağında görünürlük sağlamak için VPC Flow Logs, Traffic Mirroring ve GuardDuty üçlüsü temel direkleri oluşturur. Her biri farklı bir derinlikte analiz sunar.
VPC Flow Logs: Paket başlıklarını loglar. Hangi IP'nin hangi porttan veri gönderdiğini gösterir. S3 ve Athena ile analiz etmek oldukça maliyet-etkindir.
VPC Traffic Mirroring: Trafiğin tam kopyasını alır. Derinlemesine inceleme için Suricata veya Zeek gibi IDS araçlarına veri sağlar (AWS).
Amazon GuardDuty: Makine öğrenimi ile Flow Logs ve DNS loglarını analiz ederek şüpheli aktiviteleri (port tarama, kripto madenciliği vb.) tespit eder.
VPC Bağlantısallığı: Güvenli Köprüler Kurmak
VPC'leri birbirine veya şirket içi ağlara bağlarken güvenlik modelinize en uygun yöntemi seçmek gerekir.
Site-to-Site VPN vs Direct Connect
| Özellik | Site-to-Site VPN | Direct Connect |
|---|---|---|
| Bağlantı Tipi | İnternet üzerinden IPSec | Fiziksel fiber hat |
| Şifreleme | Evet (IPSec) | MACsec veya VPN (L3) |
| Bant Genişliği | İnternet hızına bağlı | 1-100 Gbps |
| Kurulum | Dakikalar | Haftalar |
Atıf Kapsülü: Hibrit bulut bağlantılarında veri aktarımının şifrelenmesi en önemli önceliktir. AWS Direct Connect, seçili lokasyonlarda 10 Gbps ve 100 Gbps bağlantılar için IEEE 802.1AE MACsec şifrelemesini destekleyerek Layer 2 seviyesinde donanımsal koruma sunar (AWS).
VPC Peering ve Transit Gateway
VPC Peering birebir bağlantılar için idealdir ancak transitive (geçişli) değildir. Transit Gateway ise merkezi bir yönetim noktası sunarak tüm VPC trafiğini tek bir hub üzerinden yönetmenize ve izlemenize olanak tanır.
Sonuç
VPC güvenliği statik bir hedef değil, sürekli yaşayan bir süreçtir. Katmanlı bir yaklaşım, tek bir halkadaki zayıflığın tüm ağı çökertmesini engeller:
- Ağ Segmentasyonu: Public/private ayrımını doğru yapın ve IAM politikalarını sıkı denetleyin.
- Erişim Kontrolü: Security Group'u birincil, NACL'i ise ikincil savunma hattı olarak kullanın.
- Trafik İzolasyonu: VPC Endpoint ile trafiği AWS omurgasında tutarak internet risklerini azaltın.
- DNS Güvenliği: DNS Firewall ile yanal hareketleri henüz keşif aşamasında sınırlayın.
- Kesintisiz İzleme: Flow Logs ve GuardDuty'yi etkinleştirerek anomali tespitini otomatize edin.
- Varsayılanları Kullanımdan Kaldırın: AWS'nin otomatik oluşturduğu "default VPC" yapısını kullanmamak veya kullanımdan kaldırmak, saldırı yüzeyini küçültmek için atılacak en basit ama etkili adımdır.
Bulut ağınızı bir kale gibi değil, her katmanında farklı bir savunma stratejisi olan yaşayan bir organizma gibi kurgulamanız, modern tehditlere karşı en güçlü kalkanınız olacaktır.
Sıkça Sorulan Sorular
Public ve private subnet arasındaki tek fark rota tablosu mudur?
Evet. AWS'de bir alt ağı public veya private yapan tek şey, bağlı olduğu rota tablosunda Internet Gateway'e (0.0.0.0/0 → IGW) bir rota bulunup bulunmamasıdır. Sunucuya public IP atamak bağlantı için yeterli değildir; trafiğin yönlendirilebilmesi için IGW şarttır.
NACL kullanmak gerçekten zorunlu mu?
Teknik olarak hayır, ancak iyi bir pratik olarak evet. NACL, Security Group'un kaçırdığı veya ele geçirilmiş bir sunucudan değiştirilebilecek kurallara karşı ikinci bir kilit işlevi görür. Özellikle belirli IP bloklarını toptan engellemek için vazgeçilmezdir.
VPC Endpoint maliyet tasarrufu sağlar mı?
S3 ve DynamoDB için Gateway Endpoint ücretsizdir ve NAT Gateway maliyetlerini düşürür. Diğer servisler için kullanılan Interface Endpoint'ler saatlik ücretlidir, ancak güvenlik ve düşük gecikme avantajları genellikle bu maliyeti karşılar.
Default VPC'yi neden kullanımdan kaldırmalıyım?
Default VPC'ler genel erişime daha açık yapılandırılmıştır ve saldırganlar için tanıdık bir zemindir. Kendi CIDR aralıklarınızla oluşturduğunuz özel VPC'ler, saldırı yüzeyini azaltır ve daha kontrollü bir ağ yönetimi sağlar.
Kaynakça
- AWS Documentation, “What is Amazon VPC” - AWS
- AWS Documentation, “Internet Gateway” - AWS
- AWS Documentation, “Security Best Practices for Your VPC” - AWS
- AWS Documentation, “Security groups” - AWS
- AWS Documentation, “Network ACLs” - AWS
- AWS Documentation, “AWS PrivateLink” - AWS
- AWS Documentation, “Traffic Mirroring” - AWS
- AWS, “Direct Connect MACsec Announcement” - AWS
- Palo Alto Networks Unit 42, “Cloud Threats on the Rise: Alert Trends” - Unit 42
- Sysdig, “2024 Cloud-Native Security and Usage Report” -
Sysdig - AWS Security Blog, “Block suspicious DNS activity with DNS Firewall” - AWS
Bu makale, AWS VPC güvenliğini hem savunmacı hem de saldırgan perspektifinden ele alarak pratik öneriler sunmayı amaçlamıştır. Sorularınızı yorumlarda paylaşabilirsiniz.
Comments