Bulut bilişime geçiş, kurumların BT çevikliğini artırırken yeni güvenlik sorunlarını da beraberinde getiriyor. "Bulutta güvenli miyiz?" sorusunun yanıtı, paylaşılan sorumluluk modelini ve bulut güvenliği en iyi pratiklerini ne kadar doğru uyguladığınıza bağlıdır.
Paylaşılan Sorumluluk Modeli
Bulut sağlayıcısı fiziksel altyapı, hypervisor ve temel servislerin güvenliğinden sorumludur. Siz ise verilerinizin, erişim politikalarınızın, uygulama güvenliğinizin ve konfigürasyonların güvenliğinden sorumlusunuz. Bu ayrımı net anlamak, bulut güvenliğinin ilk adımıdır.
1. Kimlik ve Erişim Yönetimi (IAM)
Bulut güvenlik ihlallerinin %80'inden fazlası yanlış yapılandırılmış IAM politikalarından kaynaklanır:
- En az yetki prensibi: Her kullanıcı ve servis hesabı yalnızca görevini yapmak için gereken minimum izinlere sahip olmalı
- MFA zorunluluğu: Tüm konsol ve CLI erişimleri için çok faktörlü kimlik doğrulama zorunlu kılınmalı
- Root hesap kilitleme: AWS root, Azure global admin hesapları günlük operasyonlarda kullanılmamalı, MFA ile kilitlenmeli
- Servis hesapları: Uzun ömürlü API anahtarları yerine kısa ömürlü token ve role-based erişim kullanın
- Düzenli denetim: Kullanılmayan hesapları, aşırı yetkili rolleri ve eski API anahtarlarını aylık olarak temizleyin
2. Veri Güvenliği ve Şifreleme
- Bekleyen veri (at rest): Tüm depolama servisleri (S3, Azure Blob, Cloud Storage) varsayılan olarak şifrelenmiş olmalı. Customer-managed key (CMK) ile kontrolü artırın
- Aktarımdaki veri (in transit): TLS 1.2+ zorunlu, internal servisler arası iletişimde de mTLS kullanın
- Veritabanı şifreleme: RDS, Azure SQL ve Cloud SQL'de Transparent Data Encryption (TDE) aktif edin
- Anahtar yönetimi: AWS KMS, Azure Key Vault veya GCP Cloud KMS ile merkezi anahtar yönetimi. Anahtarları düzenli rotate edin
- Veri sınıflandırma: Hassas verileri (PII, finansal) etiketleyin, farklı güvenlik politikaları uygulayın
3. Ağ Güvenliği
- VPC izolasyonu: Her ortam (prod, staging, dev) ayrı VPC'de çalışmalı, VPC peering ile kontrollü iletişim
- Security group / NSG: Whitelist yaklaşımı — varsayılan deny, yalnızca gerekli port ve IP'lere izin
- Public erişimi minimize edin: Veritabanları, cache ve iç servisler asla public IP'ye sahip olmamalı
- WAF: Web uygulamaları önüne AWS WAF, Azure Front Door WAF veya Cloudflare yerleştirin
- VPN / PrivateLink: Şirket ağından bulut kaynaklarına erişimde internet üzerinden değil, VPN tüneli veya private endpoint kullanın
4. Loglama ve İzleme
- CloudTrail / Activity Log: Tüm API çağrılarını loglayın, logları ayrı bir hesaba/bölgeye yedekleyin (tamper-proof)
- SIEM entegrasyonu: Logları merkezi SIEM'e gönderin (Azure Sentinel, Splunk, Wazuh)
- Alarm kuralları: Root login, yeni IAM politikası, security group değişikliği gibi kritik olaylarda anında bildirim
- Flow logs: VPC Flow Logs ile ağ trafiğini izleyin, anormal desenleri tespit edin
5. Konfigürasyon Yönetimi
- Infrastructure as Code: Terraform veya CloudFormation ile altyapıyı kod olarak tanımlayın — drift tespiti ve versiyon kontrolü
- Config kuralları: AWS Config, Azure Policy veya GCP Organization Policy ile uyumsuz konfigürasyonları otomatik tespit edin ve düzeltin
- CIS Benchmark: CIS (Center for Internet Security) benchmark'larını uygulayın — her bulut sağlayıcı için detaylı güvenlik kontrol listesi mevcuttur
- CSPM: Cloud Security Posture Management araçları (Prisma Cloud, Wiz, Aqua) ile sürekli güvenlik taraması
6. KVKK ve Uyumluluk
Türk kurumları için bulut güvenliğinde ek dikkat edilecek noktalar:
- Veri lokasyonu: Kişisel verilerin Türkiye sınırları içinde tutulması için bölge seçimine dikkat edin (Azure Türkiye bölgesi mevcut, AWS İstanbul planlanıyor)
- Veri işleyen sözleşmesi: Bulut sağlayıcısı ile KVKK kapsamında veri işleyen sözleşmesi yapılmalı
- Denetim izleri: Kişisel verilere erişim logları en az 2 yıl saklanmalı
Sonuç
Bulut güvenliği, bir kerelik bir kurulum değil sürekli bir süreçtir. Marta Teknoloji olarak AWS, Azure ve GCP ortamlarında güvenlik denetimi, IAM politika tasarımı, ağ güvenliği yapılandırması ve KVKK uyum danışmanlığı hizmetleri sunuyoruz.