Güvenlik ile İlgili Temel Bilgiler

KULLANMAYA BAŞLAMA KILAVUZU

Giriş

Hesabınızın ve bulut kaynaklarınızın güvenliğini sağlamak göz korkutucu bir görev olabilir. Kötü aktörler tekniklerini geliştirmeye devam ettiğinden, güvenlik uygulamaları sürekli olarak yeniden değerlendirilip ayarlanmalıdır. Bu kılavuzda, bulut yolculuğunuzun ilk gününden itibaren gerçekleştirebileceğiniz temel görevler ele alınmaktadır. Aşağıdaki uygulamalar bir kuruluşun güvenlik durumu için gerekli kabul edilir ancak hiçbir şekilde kesin değildir veya koruma garantisi sunmaz. Bulut güvenliği konusunda devam eden ayrıntılı incelemenizin bir parçası olarak bu uygulamaları hayata geçirin. Aşağıdaki alanların her biri için her konuya dair ayrıntılı bilgi veren ek bağlantılar sağlıyoruz.

  • Bulut güvenliği nedir? Şirket içi ağlarda bulduğunuz geleneksel güvenliğe çok benzer şekilde bulut güvenliği de uygulamalarınız için güvenli, yüksek performanslı, dayanıklı ve verimli altyapı oluşturma uygulamasını içerir. Bulut güvenliği, yetkisiz erişimi önlemek için tasarlanmış denetimlerin yanı sıra gerektiğinde algılamaya, yanıtlamaya ve düzeltmeye yönelik denetimlerin uygulanmasını içerir. Bulut güvenliği; ağ ve altyapı güvenliği, ana sunucu ve uç nokta güvenliği, veri koruma ve şifreleme, kimlik yönetimi, uygulama güvenliği ve günlük kaydı, izleme ve tehdit algılamanın bir karışımını içerebilir. Bulut güvenliği, bir kuruluşun verilerini, kaynaklarını ve süreçlerini korumak için araç ve teknikleri kullanan bir uygulamadır.

  • Güvenlik ve uygunluk, AWS ile müşteri arasında paylaşılan bir sorumluluktur. AWS “bulutun” bileşenlerini çalıştırma, yönetme ve kontrol etme sorumluluğunu üstlendiği için müşteriler bu paylaşılan modeli izleyerek operasyonel yükü azaltabilir. Bu, müşterilere uygulamalarını oluşturmaya ve hizmetlerini uygulamaya odaklanma imkanı verirken söz konusu hizmetleri "bulutta" güvence altına alma sorumluluğunu üstlenir. Paylaşılan Sorumluluk Modeli hakkında daha fazlasını okuyun:

  • İlk kez yeni bir AWS hesabı oluşturduğunuzda bu hesabı güvenli bir şekilde yönetmek ve buna erişmek için izlemeniz gereken, önerilen birtakım adımlar vardır.

    Kök kullanıcı

    Bir AWS hesabı oluşturduğunuzda kök kullanıcı olarak bilinen hesapla başlarsınız. Bu, AWS hesabınızda bulunan ilk AWS kullanıcısıdır. AWS, hesabın tam erişimine ve denetimine sahip olduğu için bu hesabı günlük işlemlerde kullanmamanızı ve kök kullanıcıyı güvence altına almak için önerilen en iyi uygulamaları izlemenizi önerir. Bu, kök kullanıcı erişim anahtarlarınızı kilitlemeyi, güçlü bir parola kullanmayı, AWS çok faktörlü kimlik doğrulamasını etkinleştirmeyi ve hesabınıza erişmek için bir IAM kullanıcısı oluşturmayı içerir. Bu hesaba yönetici ayrıcalıkları atanabilir ve hesap ileriye dönük tüm idari görevler için kullanılmalıdır.

    Güvenlik kişileri

    Ardından, hesabınıza alternatif güvenlik kişileri atamanız gerekir. Alternatif güvenlik kişisi, AWS Güven ve Güvenlik ekibinden gelen bildirimler de dahil olmak üzere güvenlikle ilgili bildirimler alır. Zamanında güvenlik bildirimleri için AWS hesaplarınızdaki alternatif güvenlik kişisini güncelleyin adlı blog gönderisinde, bu iletişim bilgilerini hesap kurulumunuz esnasında ayarlamanın önemi hakkında daha fazla bilgi edinebilirsiniz.

    Bölge kontrolü

    Güvenlik kişilerinizi onayladıktan hemen sonra iş yüklerinizin çalışması gereken AWS Bölgelerini ve bunların çalışmaması gereken Bölgeleri göz önünde bulundurmanız gerekir. Daha sonra bu Bölgelerdeki hiçbir iş yükünün çalıştırılamadığından emin olmak için kullanılmayan Bölgeleri kilitleyebilirsiniz. Bu, maliyet optimizasyonuna yardımcı olurken aynı zamanda güvenlik için de elverişli olur. Peki nasıl? İş yüklerini çalıştırmayı beklemediğiniz Bölgeleri kilitleyerek izleme çabalarınızı aktif olarak kullandığınız Bölgelere odaklayabilirsiniz.

    AWS CLI ve konsol erişimi

    Bu noktada, kök kullanıcıyı güvence altına aldınız, bir veya daha fazla IAM kullanıcısı oluşturdunuz, güvenlik kişileri atadınız ve iş yüklerinin çalışabileceği Bölgeleri kilitlediniz. Şimdi, kullanıcıların AWS kaynaklarıyla nasıl etkileşim kuracaklarını düşünelim. İki temel etkileşim yöntemi vardır: AWS CLI ve AWS Yönetim Konsolu. AWS CLI ve konsol için tek oturum açma ayarlaması yapmanız önerilir. AWS IAM Kimlik Merkezi ile erişimi merkezi olarak yönetme hakkında ayrıntılar için AWS CLI’yı AWS IAM Kimlik Merkezi’ni (AWS Tek Oturum Açma yerine geçmiştir) kullanacak şekilde yapılandırma başlıklı makaleye bakın.

    IAM grupları

    Hesabınızın güvenliğini sağlamanın bir sonraki adımı, erişimi denetlemek için AWS IAM kullanıcı grupları ayarlamaktır. Doğrudan kullanıcı üzerinde politika ayarlayarak tek tek kullanıcıların erişimini denetlemek yerine bir grup oluşturmak, gerekli izinleri atamak ve ardından kullanıcıları gruba atamak en iyisidir. Kullanıcılar bu grubun izinlerini devralır. Bu, birçok kullanıcıya erişim denetimi sağlamanın daha ölçeklenebilir bir yolunu sunar. IAM’nin ve IAM gruplarının anlaşılması önemlidir çünkü birden fazla hizmete yayılırlar. IAM, tüm AWS hizmetleriyle bir dereceye kadar etkileşime giren bir hizmettir, bu nedenle IAM’ye aşina olmak için zaman harcadığınızdan emin olun.

    Bu uygulamaları en başından itibaren takip etmek, AWS kaynaklarınıza güvenli erişim sağlamanıza yardımcı olacaktır. Daha sonra AWS’de oluşturduğunuz altyapının güvenliğini nasıl sağlayacağınızı ele alacağız.

  • Oluşturduğunuz altyapı, temel mimarinin bir parçası ve müşterinin karşı karşıya kaldığı bir şey olmadığı için genellikle göz ardı edilir. Ancak altyapı başarısız olursa müşterilerinize sunduğunuz hizmetler de başarısız olur. Bu nedenle altyapının güvenliğinin ilk günden itibaren sağlanması zorunludur.

    Amazon VPC güvenliği

    Bulut altyapınızı oluştururken bir Amazon Sanal Özel Bulut (Amazon VPC) oluşturarak başlarsınız. Bu, kaynakları başlatmanıza olanak tanıyan tanımladığınız (hesabınızı oluşturduğunuzda her Bölgede varsayılan bir tane oluşturulur) sanal bir ağdır. VPC, kendisine atanmış bir CIDR IP adresi aralığına sahip olduğu için geleneksel bir ağa benzer ve alt ağlar oluşturma yoluyla alt bölümlere ayrılır. Alt ağlarınız, farklı kaynak kümeleri için yalıtım sağlamak üzere kullanılabilir. Alt ağlar genel veya özel olabilir. Genel alt ağlar bir İnternet Ağ Geçidi’ne giden rotaya sahiptir, bu ağ geçidi üzerinden internete erişimi vardır ve ilgili erişim denetimleri izin veriyorsa internetten ulaşılabilir. Özel alt ağlar da bir yönlendirme tablosuna sahiptir ancak bir İnternet Ağ Geçidi’ne giden rotaya sahip değildir, bu nedenle varsayılan olarak internete erişemez ve internetten bu ağlara erişilemez. Özel bir alt ağdaki kaynakların internete erişmesini sağlamak için bir NAT ağ geçidi gereklidir. Alt ağ düzeyinde, bir ağ erişim denetimi listesi (ACL) belirli gelen veya giden trafiğe izin verir veya bunu reddeder. VPC’niz için varsayılan ağ ACL’yi kullanabilir veya VPC’niz için özel bir ağ ACL’si oluşturabilirsiniz. Ağ ACL’leri numaralı listelerdir, yukarıdan aşağıya giden bir sırayla işlenir ve durum bilgisi içermez. Bu, çift yönlü trafiğe izin vermek için bir gelen ve giden ağ ACL kuralına ihtiyacınız olacağı anlamına gelir.

    Güvenlik grupları

    EC2 kaynaklarını VPC’nize dağıtırken bir güvenlik grubunu bu kaynaklarla ilişkilendirirsiniz. Güvenlik grubu, EC2 kaynaklarına ulaşabilen gelen ve giden trafiği denetler. Güvenlik grupları güvenlik duvarına benzer ancak yalnızca bir IP adresleri listesi veya aralığı kullanmak yerine trafiği kaynak başvurusu olarak adlandırılan bir şeye yönlendirebilir. Kaynak başvurusu, gruptaki her kaynağa atanan IP adreslerinin güncellenmiş bir listesini tutan adlandırılmış bir gruptur. Örnek olarak Amazon EC2 bulut sunucularını başlatmak için bir otomatik ölçeklendirme grubu oluşturursanız başladığında her bulut sunucusuna yeni bir IP atanır. Bu bulut sunucularına bir güvenlik grubu ekleyerek, EC2 bulut sunucularının güvenlik grubu kimliği aracılığıyla veritabanı sunucunuzun güvenlik grubuna erişim izni verebilirsiniz ve başlatılan tüm yeni EC2 bulut sunucularının, IP adreslerini izin verilen listeye eklemelerine gerek kalmadan veritabanına erişimi olur.

    Güvenlik grubu kuralları ağ ACL’lerine benzer çünkü bunları oluşturduğunuzda bağlantı noktası, protokol ve adreslerle eşleşirsiniz. Ancak bu kuralların durum bilgisi vardır ve bunların durum bilgisi olan bir güvenlik duvarıyla benzer olduklarını düşünebilirsiniz. Belirli bir trafik türüne izin vermek için bir giriş oluşturduğunuzda dönüş trafiğiyle eşleşecek bir kural oluşturmanıza gerek yoktur. Durum bilgisi olduğu için dönüş trafiğine izin verilir. Güvenlik gruplarının ve ACL’lerin nasıl etkileşime girdiğini daha iyi anlamak için bu karşılaştırma yararlıdır.

    AWS Ağ Güvenlik Duvarı ve DDoS koruması

    Ek bir altyapı güvenliği katmanı eklemek için AWS Ağ Güvenlik Duvarı’nı dağıtabilirsiniz. Network Firewall, Amazon VPC’niz için koruma dağıtan yönetilen bir hizmettir. VPC’lerinizin yetkisiz bir protokol kullanarak etki alanlarına erişmesini önleme gibi politikaları uygulamak üzere güvenlik gruplarından daha ayrıntılı koruma sağlar çünkü bağlantıları izleme ve protokol tanımlama gibi trafik akışlarından gelen bağlamı içerebilir. Bu, özel Suricata Kuralları’nın yapılandırılması yoluyla yapılır. Örneğin kötü amaçlı yazılım saldırılarına karşı koruması için Network Firewall’u yapılandırabilirsiniz. Bunu bir adım daha ileri götürerek DDoS tehditlerine karşı koruma sağlamak için başka bir yönetilen hizmet olan AWS Shield Gelişmiş’i dağıtabilirsiniz.

  • AWS Bulut’ta kaynak oluştururken mevcut en iyi uygulamalara dayanarak bunların güvenliğini nasıl sağlayacağınızı düşünmelisiniz. Bir EC2 bulut sunucusu, veritabanı veya sunucusuz kaynaklar dağıtıyorsanız bu durum geçerlidir. Bu bölümde, oluşturduğunuz kaynakların güvenliğini sağlamak için bazı temel adımları sunacağız.

    Amazon EC2 güvenliği

    AWS’de kaynak oluştururken çalıştığınız kaynak türü için önerilen en iyi güvenlik uygulamalarını takip etmeye özen göstermelisiniz. EC2 bulut sunucuları için güvenlik, örneğin VPC’nizi ve güvenlik gruplarınızı yapılandırma yoluyla bulut sunucularınıza ağ erişimini denetleme ile başlar. (Daha fazla bilgi için “Oluşturduğunuz altyapının güvenliğini sağlama” bölümündeki “Amazon VPC güvenliği” kısmına bakın.)

    Bulut sunucusu güvenliğinin diğer bir yönü, bulut sunucularınıza bağlanmak için kullanılan kimlik bilgilerinin yönetimidir. Bu, atadığınız IAM kullanıcı izinleriyle başlar ancak atanan gruba kadar uzanır. Bu, EC2 bulut sunucusuyla çalışan kullanıcı için bir güvenlik düzeyi sağlar ancak bulut sunucusunun kendisi için bunu yapmaz. Ayrıca bu rollerle ilişkilendirilen bulut sunucusu ve izinlere bağlı IAM rollerini de yapılandırmanız gerekir. SSH için bağlantı noktasını açmak veya bir kale/atlama ana sunucusu ayarlamak yerine bir EC2 bulut sunucusuna erişmek için EC2 Instance Connect kullanmanız gerekir.

    Konuk işletim sisteminin ve bulut sunucusuna dağıtılan yazılımın herhangi bir işletim sistemi güncellemeleri ve güvenlik yamaları ile güncel olduğundan emin olmalısınız. Daha fazla ayrıntı için Amazon EC2’de Güvenlik bölümünü ziyaret edin.

    Veritabanı güvenliği

    Veritabanınızın güvenliğini sağlamak, güvenlik yaklaşımınızın önemli bir yönüdür. Amazon VPC güvenlik bölümünde belirtildiği gibi harici tarafların internet üzerinden erişimini önlemek için veritabanlarının özel bir alt ağa dağıtılması önerilir. AWS, amaca yönelik 15 veritabanı sunar. Her birinin güvenliği farklı şekilde sağlanmıştır ancak aşağıdakiler hepsinin ortak özelliğidir.

    Kimlik doğrulaması

    Bir veritabanına erişmek için bir tür kimlik doğrulaması gereklidir. Bu, düzenli olarak döndürülmesi gereken bir kullanıcı adı ve şifre şeklinde olabilir. Alternatif olarak veritabanına erişimi sizin için yönetmesi amacıyla IAM rollerinden yararlanmak üzere Amazon RDS Proxy’si de kullanabilirsiniz. Amazon DynamoDB gibi bazı veritabanı hizmetleri erişim sağlamak için IAM rollerini kullanır, böylece herhangi bir kimlik bilgisini bizzat yönetmenize gerek kalmaz.

    Konsol tabanlı SSH erişimi

    SSH, EC2 bulut sunucularınızı yönetmenin en yaygın yöntemlerinden biridir ve Amazon EC2 Instance Connect, doğrudan konsolda tek seferlik SSH anahtarlarından yararlanarak EC2 bulut sunucularınıza bağlanmak için SSH kullanmanıza olanak tanır. Aşağıdaki makaleler Amazon EC2 Instance Connect’i etkinleştirmeye yönelik bir inceleme sağlar ve tipik kullanım örneğini açıklar. Ayrıca EC2 bulut sunucunuzu oluşturduğunuzda SSH anahtarları da oluşturabilir, bunları yerel olarak indirebilir ve bulut sunucunuza bağlanmak için bunları kullanabilirsiniz. Ancak bu, söz konusu anahtarları korumanız ve bunların erişiminizi kaybetmeyeceğiniz bir yerde saklandığından emin olmanız gerektiği ve yalnızca bu anahtarların indirildiği bir makineden bulut sunucunuza bağlanabileceğiniz anlamına gelir. EC2 Instance Connect, kullanımı kolay bir şekilde konsoldan, makineler arasında aynı SSH erişimini güvenli bir şekilde sağlar.

    Minimum izinler

    Veritabanınıza erişimi yalnızca erişim gerektiren hizmetler ve altyapıyla sınırlamak önerilen en iyi uygulamalardan biridir. Bu, RDS bulut sunucularınız, Amazon Neptune veritabanları veya Amazon Redshift kümeleri için güvenlik grupları ayarlanarak yapılabilir.

    Yedekleme ve geri yüklemeleri test etme

    Verilerinizi yedeklemek ve yedeklemelerin doğru çalıştığını onaylamak için sık sık geri yükleme çalıştırmak bir öncelik olmalıdır. AWS Yedekleme ile Amazon RDS, DynamoDB, Neptune ve daha fazlası dahil olmak üzere belirli AWS hizmetleri için yedeklemeleri kolayca yapılandırabilir ve yönetebilirsiniz.

    Sunucusuz güvenlik

    Sunucusuz güvenlik için AWS Lambda, Amazon API Ağ Geçidi Amazon DynamoDB, Amazon SQS ve IAM’ye aşina olmalısınız. Sunucusuz güvenlik ile AWS, Paylaşılan Sorumluluk Modeliyle karşılaştırıldığında daha büyük bir sorumluluk alır ancak yine de farkında olunması gereken bir müşteri sorumluluğu vardır. Sunucusuz bir ortamda AWS altyapıyı, işlemi, yürütme ortamını ve çalışma zamanı dilini yönetir. Müşteri, aşağıdaki resimde gösterildiği gibi müşteri işlev kodu ve kitaplıklarından, kaynak yapılandırmasından, kimlik ve erişim yönetiminden sorumludur.
    İlerleyen bölümlerde, müşterinin sorumluluğunda olan güvenlik uygulamaları hakkında ayrıntılı bilgi veriyoruz. Daha fazla ayrıntı için bkz. AWS Lambda’da Güvenlik.
    Müşteri işlev kodu ve kitaplıkları
    AWS Lambda, Amazon Linux tabanlı bir yürütme ortamında işlev kodunuzu çalıştıran çalışma zamanları sağlar. Ancak işlevinizle birlikte ek kitaplıklar kullanıyorsanız kitaplıkları güncellemekten sorumlusunuzdur. Kitaplıklarınızın güncel olmasını sağlamak, güvenlik durumunuzu korumanıza yardımcı olabilir.
    Kaynak yapılandırması
    AWS Lambda; Amazon DynamoDB, Amazon EventBridge ve Amazon Basit Bildirim Hizmeti (Amazon SNS) gibi çeşitli AWS kaynaklarıyla entegre olur. İşlevinizin bir parçası olarak kullandığınız her hizmet için önerilen güvenlik uygulamalarını takip etmek, güvenlik durumunuzu güçlendirmenize yardımcı olacaktır. Her hizmete ilişkin belgeler ek kılavuz bilgiler sağlar.
    Kimlik ve Erişim Yönetimi
    Lambda işlevlerinin yürütülmesi, belirli IAM izinleri ve rolleri gerektirebilir. Daha fazla ayrıntı AWS Lambda Geliştirici Kılavuzu’nun İzinler bölümünde bulunabilir.
    Envanter ve yapılandırma
    Güvenlik stratejiniz ayrıca izleme, günlüğe kaydetme ve yapılandırma yönetimini de içermelidir. Örneğin birçok kuruluş TACACS+ protokolü, RADIUS veya Active Directory günlüklerini kullanarak cihazlarının muhasebeleştirilmesini sağlar. Bu, tüm idari faaliyetler için bir denetim izinin oluşturulmasını sağlamaya yardımcı olur. AWS Bulut içinde bu işlem AWS CloudTrail ile yapılabilir. CloudTrail, kullanıcı etkinliğini ve API kullanımını izleyerek denetime, güvenlik izlemeye ve operasyonel sorun gidermeye olanak sağlar. Geliştiricilerin ve kuruluşların AWS Bulut’ta sunucusuz uygulamaları hızla bulmasını, dağıtmasını ve yayımlamasını kolaylaştıran AWS Sunucusuz Uygulama Deposu, AWS CloudTrail ile entegre edilmiştir. Daha fazla ayrıntı için AWS Sunucusuz Uygulama Deposu Geliştirici Kılavuzu’na bakın.
     
    Sunucusuz ortamlarınız için hala bir dereceye kadar DoS ve altyapı koruması sağlamanız gerekir. Bunu da AWS Shield ve AWS Shield Gelişmiş ile yapabilirsiniz. Tehditleri izleme ve tespit etme “Ortamınızı izleme” bölümünde daha detaylı ele alınmıştır.
  • Müşteriler AWS Bulut’ta çok sayıda veri depolar. Bu veriler, bir kuruluşun işleyişi için kritik olan bilgileri içerir. Veriler; müşteri verileri, fikri mülkiyet, doğrudan gelirle bağlantılı siparişler ve daha fazlasını içerir. Bu bölümde, AWS’de depolanan verilerin yanı sıra ağ üzerinden AWS’ye ve AWS’den aktarılan verilerin nasıl yapılandırılacağına ilişkin temel bilgileri paylaşıyoruz.

    Amazon S3 güvenliği

    AWS’de veriler, verileri korumak için çeşitli denetimler içeren Amazon S3’te depolanır. Amazon S3’te verilerin güvenliğini sağlamak için en iyi 10 güvenlik uygulaması makalesi en temel teknikleri kapsar. Bunlar arasında kuruluş düzeyinde genel S3 bucket'larının engellenmesi, verilen tüm erişimin kısıtlı ve spesifik olduğunu doğrulamak için klasör politikalarının kullanılması ve verilerin şifrelenmesi ve korunması yer alır.

    Bekleyen verileri şifreleme

    AWS Anahtar Yönetimi Hizmeti (AWS KMS), verilerinizi şifrelemek veya dijital olarak imzalamak için kullanılan anahtarları oluşturmanıza ve denetlemenize olanak tanır. Verilerinizi AWS’de şifrelemek için birkaç seçeneğiniz vardır. Birincisi, Amazon S3 tarafından yönetilen şifreleme anahtarları (SSE-S3) ile sunucu tarafı şifreleme kullanmaktır. Bu yöntem kullanılarak veriler AWS tarafından yönetilen anahtarlar yoluyla AWS’ye gönderildikten sonra şifreleme gerçekleşir.

    İkinci seçenek, verileri AWS’ye girdikten hemen sonra şifrelemektir ancak AWS tarafından oluşturulan ve yönetilen anahtarları kullanmak yerine AWS KMS’de (SSE-KMS) depolanan müşteri ana anahtarlarıyla (CMK’ler) sunucu tarafı şifreleme gerçekleştirebilirsiniz.

    AWS’de şifrelenmiş verileri depolamak için üçüncü seçenek, istemci tarafı şifreleme kullanmaktır. Bu yaklaşımla veriler AWS’ye aktarılmadan önce şifrelenir.

    Hem istemci tarafı şifrelemenin hem de sunucu tarafı şifrelemenin müşterilere nasıl fayda sağladığına dair bir örnek aşağıdaki resimde görülebilir.

    Sanal özel ağlar (VPN’ler)

    VPN’ler çeşitli teknolojileri kapsayabilir. Bir VPN’nin arkasındaki fikir, taşınan verilerinizin bütünlüğünü koruması ve iki taraf arasında güvenli bir şekilde değiş tokuş edilebilmesidir. AWS, taşınan verilerinizin güvenliğini sağlamanıza yardımcı olan birden fazla teknoloji sunar. Bunlardan biri; VPC’ler, AWS hizmetleri ve şirket içi ağlarınız arasında şifreli, özel bağlantı sağlayan AWS PrivateLink’tir. Bu, trafiğinizi genel internete açmadan yapılır. Bu da sanal bir özel ağ olarak düşünülebilir.

    Bununla birlikte, çoğu durumda, bir VPN tartışması veri şifrelemenin kullanımı etrafında döner. Koşullara bağlı olarak istemci ile AWS bulut kaynaklarınız arasında şifreleme sağlamanız gerekebilir. Bu durum için AWS İstemci VPN gerekir. Öte yandan, veri merkeziniz veya şubeniz ile AWS kaynaklarınız arasında veri aktarıyor olabilirsiniz. Bunu şirket içi kaynaklarınız ile Amazon VPC’lerimiz veya AWS Transit Ağ Geçidi arasındaki IPsec tünellerini kullanarak gerçekleştirebilirsiniz. Bu güvenli bağlantı Siteden Siteye VPN olarak bilinir.

    Son olarak bulut kaynaklarınızı AWS Yönetim Konsolu’nu kullanarak yönetmek şifrelenmiş, taşınan veriler de sunar. Normalde konsolla bağlantıyı VPN olarak adlandırmazsınız ancak oturumunuz TLS (Aktarım Katmanı Güvenliği) şifrelemesini kullanır. Böylece, güvenli mimarinizi oluşturdukça yapılandırmalarınız gizli tutulur. TLS, AWS API ile de kullanılır.

  • Yukarıdaki hususların her birinin güvenliğini sağlayarak ortamınızda neler olup bittiğini izlemeniz çok önemlidir. Bu, tehditleri tanımlamaya ve bunları proaktif olarak azaltma yeteneği sunmaya yardımcı olacaktır.

    Trafik akışlarında görünürlük

    AWS, self servis seçeneklerinin yanı sıra ortamınızın izlenmesine yardımcı olmak için çeşitli yönetilen hizmetler sunar. Örneğin ağ trafiği akışlarını günlüğe kaydetmek ve görüntülemek üzere VPC Akış Günlüklerini kullanabilir veya AWS WAF Günlüklerini analiz etmek ve hatta EC2 bulut sunucuları için alarmlar oluşturmak üzere Amazon CloudWatch’u kullanabilirsiniz. Bu atölyede Amazon CloudWatch hakkında daha fazla bilgi edinebilirsiniz.

    Hesap etkinliğinde görünürlük

    Ek olarak AWS CloudTrail, AWS altyapınızın genelindeki hesap etkinliklerini izleyip kaydederek depolama, analiz ve düzeltme eylemleri üzerinde kontrol sahibi olmanızı sağlar. Bu; bir idari denetim izi oluşturmak, güvenlik olaylarını belirlemek ve operasyonel sorunları gidermek için esastır.

    Tehditleri tespit etme

    Son olarak Amazon GuardDuty, tehdit tespiti için ve hatta yayımlanan bulguların AWS ortamınızda otomatik düzeltme eylemleri başlatmasını sağlayarak bunu bir adım daha ileri götürmek için kullanılabilir.

    Bu operasyonel alanların her birini ele alarak, bulut ortamınız için temel güvenlik özelliklerini oluşturma yolunda ilerleyeceksiniz.

Bu sayfa size yardımcı oldu mu?