Tüm Yazılar
2024-06-20Hunkar Döner

AWS’te Güvenlik En İyi Pratikleri: Türkiye’den Örnek Senaryolar

SecurityAWSBest PracticesKVKK
A

AWS’te Güvenlik En İyi Pratikleri: Türkiye’den Örnek Senaryolar

Bulut güvenliği (Cloud Security), geleneksel veri merkezi güvenliğinden çok farklı dinamiklere sahiptir. AWS, güvenliği en öncelikli konu (Job Zero) olarak tanımlar ve "Paylaşılan Sorumluluk Modeli" (Shared Responsibility Model) ile sınırları çizer. AWS, "bulutun güvenliğinden" (fiziksel veri merkezleri, kablolar, sunucu donanımları) sorumludur. Müşteri ise "buluttaki güvenliğinden" (işletim sistemi yamaları, güvenlik duvarı ayarları, verilerin şifrelenmesi) sorumludur.

Türkiye'deki şirketlerin özellikle KVKK (Kişisel Verilerin Korunması Kanunu) gereklilikleri nedeniyle bulut güvenliğinde ekstra hassas olması gerekmektedir. İşte AWS üzerinde güvenliği sağlamak için uygulanması gereken en iyi pratikler:

1. Kimlik Yönetimi: IAM ve MFA

Güvenlik ihlallerinin büyük çoğunluğu çalınan şifreler veya yanlış yapılandırılmış yetkilerden kaynaklanır.

  • Root Hesabı Kilitleyin: AWS hesabınızı açtığınız kök (root) kullanıcıyı günlük işlerde asla kullanmayın. Güvenli bir yerde saklayın.
  • En Az Yetki Prensibi (Least Privilege): Bir çalışanın veya servisin sadece işini yapması için gereken minimum yetkiye sahip olduğundan emin olun.
  • MFA (Çok Faktörlü Kimlik Doğrulama): Tüm kullanıcılar için MFA'yı zorunlu kılın. Bu, şifre çalınsa bile hesabın ele geçirilmesini engeller.

2. Veri Şifreleme (Encryption) ve KVKK

KVKK uyumluluğu için kişisel verilerin korunması şarttır. AWS, şifrelemeyi oldukça kolaylaştırır.

  • At Rest (Duran Veri): Amazon S3 bucket'larınızdaki dosyaları, EBS disklerinizi ve RDS veritabanlarınızı AWS KMS (Key Management Service) kullanarak tek tıkla şifreleyin.
  • In Transit (Hareket Halindeki Veri): Verilerinizin internet üzerinden veya servisler arasında transfer edilirken şifreli (TLS/SSL) olduğundan emin olun. CloudFront ve Load Balancer üzerinde güncel SSL sertifikaları kullanın (AWS Certificate Manager ücretsizdir).

3. İzleme ve Tespit: CloudTrail ve GuardDuty

Görmediğiniz bir şeyi koruyamazsınız.

  • AWS CloudTrail: Hesabınızda yapılan her işlemin kaydını tutar (Loglama). Kim, ne zaman, hangi API'yi çağırdı? Bu kayıtlar, adli analiz (forensics) ve denetimler için saklanmalıdır.
  • Amazon GuardDuty: Yapay zeka destekli bir tehdit tespit servisidir. Hesabınızda olağandışı bir aktivite olduğunda (örneğin; sunucunuzdan bitcoin madenciliği yapılması veya Tor ağından erişim denenmesi) sizi uyarır.

4. Altyapı Güvenliği: VPC ve WAF

  • VPC Tasarımı: Sunucularınızı doğrudan internete açmayın. Özel alt ağlar (Private Subnets) kullanın. Dış dünyadan gelen trafiği Load Balancer ve NAT Gateway üzerinden yönetin.
  • AWS WAF (Web Application Firewall): Web uygulamalarınızı SQL Injection, XSS gibi yaygın saldırılardan korumak için WAF kurallarını aktif edin. Coğrafi engelleme (Geo-blocking) ile hizmet vermediğiniz ülkelerden gelen trafiği kesebilirsiniz.

5. Güvenlik Değerlendirmesi

Sisteminizin güvenliğinden emin olmak için düzenli aralıklarla AWS Security Hub kullanın veya üçüncü taraf araçlarla sızma testleri (Pentest) yaptırın.

Güvenlik, sürekli bir süreçtir ve ihmale gelmez. Şirketinizin güvenlik duruşunu güçlendirmek ve KVKK uyumluluğunu sağlamak için uzman bir AWS Danışmanlık firmasından "Güvenlik Değerlendirmesi" (Security Assessment) hizmeti alabilirsiniz.