Vebende Akademi - aws-security
Vebende Akademi
Uzmanla Konuşun
Blog
MAKALE

AWS Security — Amazon Web Services Güvenliği: Mimari, Kontroller ve Operasyonel Rehber

Yayınlayan: Vebende Akademi  |  Okuma süresi: ~80–240 dk

AWS Security — Amazon Web Services Güvenliği: Mimari, Kontroller ve Operasyonel Rehber

Yayınlayan: Vebende Akademi  |  Okuma süresi: ~80–240 dk

1. GİRİŞ

Amazon Web Services (AWS), dünya çapında milyonlarca uygulama ve altyapı bileşenine ev sahipliği yapan bir bulut platformudur. Bulut güvenliği, yalnızca bir ürün seçimi değil; mimari kararlar, kimlik yönetimi, konfigürasyon disiplini ve operasyonel olgunluk gerektiren geniş bir disiplindir. AWS spesifik güvenlik kontrollerini ve operasyona dönük uygulamaları doğru şekilde birleştiren organizasyonlar, riski önemli ölçüde azaltabilir ve uyumluluk gereksinimlerini karşılayabilir.

Neden bugün önemli?

  • AWS kullanımının artmasıyla yanlış konfigürasyon kaynaklı ihlaller (ör. public S3 bucket) sık görülüyor.
  • Container, serverless ve microservice mimarileri ile attack surface genişledi; servis‑to‑servis güvenliği önem kazandı.
  • Regülasyonlar, izlenebilirlik ve kanıt gereksinimlerini bulut ortamlarında karşılamak organizasyonel hazırlık gerektiriyor.

Kimler için önemli?

  • Bulut mimarları ve güvenlik mühendisleri
  • DevOps/SRE ekipleri — IaC ve pipeline güvenliği için
  • SOC/IR ekipleri — telemetri ve olay müdahalesi için
  • Uyum, risk ve CTO/CISO seviyesindeki karar vericiler

2. KAVRAMSAL TEMELLER

2.1 Paylaşılan sorumluluk modeli (Shared Responsibility)

AWS güvenliğinin temel taşlarından biri "paylaşılan sorumluluk" modelidir. AWS fiziksel altyapı, bölgesel izolasyon, hypervisor ve temel platform güvenliğinden sorumludur. Müşteri ise hesap yapılandırmaları, IAM rolleri, veri şifreleme, uygulama mantığı ve erişim kontrollerinden sorumludur. Bu sınırların net anlaşılması, güvenlik kontrollerinin doğru katmanlarda uygulanmasını sağlar.

2.2 Temel AWS güvenlik bileşenleri

  • AWS IAM: Kullanıcı, grup, rol ve politika temelli kimlik ve erişim yönetimi.
  • AWS KMS: Anahtar yönetimi servisi; veri şifreleme için merkezi anahtar yönetimi.
  • CloudTrail: AWS API çağrılarının kaydı ve denetim izi.
  • Config: Kaynak konfigürasyonlarının zaman içinde izlenmesi ve uyumluluk denetimi.
  • GuardDuty: Threat detection; VPC flow, CloudTrail ve DNS loglarını korelasyonla analiz eder.
  • S3, VPC, Security Groups, NACL: Veri saklama ve ağ erişim kontrolü için temel bileşenler.

3. NASIL ÇALIŞIR? — TEKNİK MİMARİ VE VERİ AKIŞI

3.1 Hesap ve organizasyon yapısı

AWS Organizations ile multi‑account stratejisi, güvenlik, faturalama ve sınırlandırma için güçlü bir model sunar. En iyi uygulama genellikle şu katmanları içerir: yönetim (management) hesapları, güvenlik/farkındalık hesapları (log archive, security tooling), sandbox/development hesapları ve production hesapları. Bu ayrım ilke olarak blast radius'u küçültür ve politika dağıtımını kolaylaştırır.

3.2 IAM mimarisi — ilke ve pratikler

  • Root hesabı erişimini kısıtlayın; root credential'ları offline ve HSM/KM çözümleriyle koruyun.
  • Least privilege (en az ayrıcalık) prensibini uygulayın; görev‑bazlı roller ve geçici güvenlik belirteçleri (STS) kullanın.
  • MFA zorunluluğu: hem yönetici hem servis hesapları için MFA veya hardware token kullanımı.
  • Service‑to‑service authentication: IAM Roles for Service Accounts (IRSA), instance profile ve role chaining ile yapılmalıdır.

3.3 Ağ ve VPC güvenliği

VPC tasarımı, alt ağ segmentasyonu, route table ve security group konfigürasyonları güvenlik temelini oluşturur. Öneriler:

  • Public ve private subnet'leri ayırın; veritabanı ve depolama özel subnet içinde olsun.
  • Security Group'ları stateful, NACL'leri stateless olarak düşünün; SG'leri servis bazlı, minimal kurallarla yönetin.
  • VPC Flow Logs ile netflow telemetri toplayın ve SIEM/NDR ile korele edin.
  • Transit Gateway/Firewall Manager ile merkezi yönlendirme ve güvenlik politikaları uygulayın.

3.4 Telemetri ve logging

İzlenebilirlik için CloudTrail (management/API events), CloudWatch Logs (application ve system logs), VPC Flow Logs ve S3 access logs birlikte kullanılmalıdır. Bu veriler merkezi bir log archive hesabına yönlendirilmeli, immutable şekilde saklanmalı ve gerektiğinde adli analiz için erişilebilir olmalıdır.

3.5 KMS ve veri şifreleme

  • KMS ile anahtar lifecycle yönetimi uygulanmalı; KMS anahtar politikaları, IAM ve grants ile sıkı entegrasyon sağlanmalıdır.
  • Server‑side encryption (SSE‑S3, SSE‑KMS) ve client‑side encryption kullanım senaryolarını netleştirin.
  • HSM gerektiren durumlarda CloudHSM veya dış KMS entegrasyonları değerlendirilmelidir.

4. GERÇEK DÜNYA KULLANIMLARI

4.1 Büyük ölçekli örnekler

Amazon, Netflix gibi bulut‑native şirketler, çoklu account yapıları, service mesh, IAM otomasyonu ve kapsamlı telemetri ile güvenli platformlar inşa eder. Örneğin Netflix, güçlü IAM automation ve continuous deployment süreçleri ile riskleri en aza indirir.

4.2 Finans ve sağlık sektörleri

Bu sektörler için ek gereksinimler vardır: veri lokasyonu, uzun‑dönem kayıt tutma, immutable yedekler ve denetlenebilir key management. HIPAA, PCI‑DSS gibi regülasyonlar doğrultusunda logging, erişim kontrolü ve raporlama altyapıları özel olarak yapılandırılır.

4.3 Startup ve KOBİ senaryoları

Küçük ekipler için öncelik: root hesabını güvene alma, IAM temel ilkeleri, S3/DB default güvenliğini sağlama ve CloudTrail ile temel logging. Gerektiğinde managed security servisleri (GuardDuty, Security Hub) ile hızla görünürlük elde edilebilir.

5. AVANTAJLAR VE SINIRLAMALAR

Avantajlar

  • Yönetilen güvenlik servisleri (GuardDuty, Inspector, Macie) hızlı kurulum ve ölçeklenebilir detection sağlar.
  • Multi‑account model, blast radius'u kısıtlamada etkin bir stratejidir.
  • KMS, CloudTrail ve Config gibi native servisler uyumluluk ve kanıt sağlama süreçlerini kolaylaştırır.

Sınırlamalar

  • Yanlış IAM veya S3 konfigürasyonları ciddi veri sızıntılarına yol açabilir.
  • Çoklu sağlayıcı veya hibrit ortamlarda merkezi yönetim zorlukları ortaya çıkar.
  • Telemetry hacmi arttıkça analiz maliyeti ve false positive triage yükü artar.

6. ALTERNATİFLER VE KARŞILAŞTIRMA

YaklaşımAvantajDezavantaj
Native AWS servisleri (GuardDuty, Config)Derin entegrasyon, kolay kurulumVendor bağımlılığı
3rd‑party Security Stack (Splunk, Palo Alto)Zengin özellik ve multi‑cloud destekMaliyet, entegrasyon karmaşıklığı
Hybrid (native + 3rd party)Esneklik ve optimizasyonOperasyonel yönetim karmaşıklığı

7. EN İYİ PRATİKLER

7.1 Hesap ve organizasyon

  • Multi‑account stratejisi ile environment'ları (prod, non‑prod) ayırın ve yönetim hesapları ile güvenlik hesapları oluşturun.
  • Organization policies/ SCP (Service Control Policies) ile izinleri merkezi olarak kısıtlayın.
  • Log archive account: CloudTrail, Config snapshot ve S3 logs için ayrı ve immutable arşiv hesabı kullanın.

7.2 IAM ve kimlik yönetimi

  • Least privilege: rol bazlı, görev odaklı izinler oluşturun; geniş izinli policy'lerden kaçının.
  • MFA zorunlu kılın; root account için hardware MFA tercih edin.
  • Temporary credentials (STS) ve short‑lived session'ları kullanarak uzun ömürlü credential'ları azaltın.

7.3 IaC ve pipeline güvenliği

  • IaC şablonlarını policy as code ile doğrulayın (OPA, AWS Config, Cloud Custodian).
  • CI/CD pipeline'larında secrets yönetimi, least privilege token'lar ve pipeline approval mekanizmaları kullanın.
  • Artifact signing, image scanning ve SBOM (software bill of materials) ile supply chain güvenliğini yönetin.

7.4 Telemetri ve detection

  • CloudTrail, VPC Flow Logs, S3 Access Logs, GuardDuty bulgularını SIEM'e gönderin ve korele edin.
  • Automation: Security Hub ile merkezi bulguları toplayıp SOAR playbook'ları ile repeatable containment adımlarını uygulayın.
  • Detection engineering: use‑case driven alarmlar, test verisi ve false positive feedback loop kurun.

8. SIK YAPILAN HATALAR

  • Root hesabını halkla paylaşılan bir yerde bırakmak veya root credential'ı kullanmak.
  • Genel erişime açık S3 bucket veya yanlış IAM policy'leri.
  • CloudTrail/Config/log arşivleme yapılandırmasını eksik bırakmak.
  • Pipeline credential'larını plain text depolamak veya uzun ömürlü access key kullanmak.

9. GELECEK TRENDLER

9.1 AI/ML ile otomatikleştirilmiş detection ve remediasyon

Makine öğrenmesi, anomali tespiti ve davranış bazlı modellere dayalı bulguları optimize edecek; SOAR ile entegre otomatik remediasyon playbook'ları yaygınlaşacak. Model governance kritik olacaktır.

9.2 Workload identity ve service mesh

Workload identity (IRSA, OIDC) ve service mesh (mTLS, policy enforcement) ile servis‑to‑servis güvenliği artacak; ağ yerine kimlik odaklı güvenlik ön plana çıkacak.

9.3 Confidential computing ve homomorphic teknikler

Donanım destekli confidential computing ve gelişen veri işleme teknikleri, regülatif gereksinimler altında veriyi daha güvenli işlemeyi mümkün kılacak.

EK BÖLÜMLER

Sık Sorulan Sorular (FAQ)

  1. 1. AWS root account nasıl korunmalıdır?

    Root account credential'ları offline ve güvenli bir yerde tutulmalı, MFA (tercihen hardware) zorunlu kılınmalı ve root ile günlük operasyon yapılmamalıdır.

  2. 2. S3 bucket'ları nasıl güvenli hale getiririm?

    S3 default private yapılmalı, bucket policy ve IAM policy'ler sıkı tutulmalı, public erişim blokları (block public access) etkinleştirilmelidir; varsa erişim denetimleri CloudTrail ile izlenmelidir.

  3. 3. KMS kullanırken nelere dikkat etmeliyim?

    KMS anahtar politikalarını sınırlandırın, key rotation ve IAM grants ile kontrol sağlayın; kritik anahtarlar için CloudHSM değerlendirin.

  4. 4. GuardDuty ve Security Hub'ı nasıl entegre ederim?

    GuardDuty bulguları Security Hub'a gönderilir; Security Hub ile bulgular normalize edilip merkezi dashboard ve otomasyon (SOAR) tetiklenebilir.

  5. 5. IaC şablonlarını nasıl güvenli hale getiririm?

    Policy as code (OPA/Sentinel), statik analiz, ve pipeline testleri ile IaC şablonlarınızı doğrulayın; drift detection ile deployed durumları kontrol edin.

  6. 6. Multi‑account yönetimi için en iyi başlangıç nedir?

    AWS Organizations kullanarak hesap hiyerarşisi oluşturun, SCP ile merkezi kısıtlamalar uygulayın ve log archive ile security tooling account'ları ayırın.

  7. 7. Bulut güvenliği için hangi metrikleri takip etmeliyim?

    Number of public resources, IAM over‑privilege score, number of active long‑lived keys, mean time to detect (MTTD), mean time to remediate (MTTR), GuardDuty finding trendleri gibi metrikler izlenmelidir.

  8. 8. Küçük ekipler için hızlı önlemler nelerdir?

    MFA, block public access for S3, enable CloudTrail in all regions, use managed security services (GuardDuty, Security Hub) ve secrets manager kullanımı ile başlayın.

Anahtar Kavramlar

  • IAM: Identity and Access Management — kullanıcı ve servis izinlerinin yönetimi.
  • KMS: Key Management Service — anahtarların yönetimi ve kullanım kontrolü.
  • CloudTrail: AWS API çağrılarının denetim izi.
  • GuardDuty: AWS threat detection servisi.
  • Config: Kaynak konfigürasyonlarının zaman içinde izlenmesi ve kurallarla değerlendirilmesi.

Öğrenme Yol Haritası

  1. 0–1 ay: AWS temel kavramları, IAM, VPC ve S3 güvenliği öğrenin.
  2. 1–3 ay: KMS, CloudTrail, CloudWatch, GuardDuty ve Config ile pratik yapın; küçük bir multi‑account yapısı kurun.
  3. 3–6 ay: IaC (Terraform/CloudFormation), policy as code ve pipeline güvenliği üzerinde çalışın; Security Hub ve SOAR entegrasyonlarını uygulayın.
  4. 6–12 ay: Detection engineering, threat hunting, incident response playbook'ları ve confidential computing konularında derinleşin.