Yanlış Yapılandırılmış Erişim İzinleri (IAM Misconfigurations)
En yaygın ve en tehlikeli hata.
Bulut ortamlarında kimlik ve erişim yönetimi (IAM), güvenliğin temelini oluşturur. Ancak çoğu kurum:
- Gerekenden fazla yetki verir
- “Administrator” rollerini yaygın kullanır
- Kullanılmayan hesapları silmez
Platform Bazlı Örnekler
- AWS: IAM kullanıcılarına AdministratorAccess atanması
- Azure: Global Admin rolünün gereksiz kullanımı
- GCP: Project Owner rolünün geniş dağıtılması
Risk
Yetkisi ele geçirilen tek bir hesap, tüm bulut ortamının kontrolünün kaybedilmesine yol açabilir.
Çözüm
- Least Privilege (En az yetki) prensibi
- Rol tabanlı erişim (RBAC)
- Periyodik IAM denetimleri
Public Açık Bırakılan Depolama Servisleri
Yanlış yapılandırılmış depolama servisleri, veri sızıntılarının bir numaralı sebebidir.
Örnekler
- AWS S3 Bucket’ların public açık olması
- Azure Blob Storage’ın anonim erişime izin vermesi
- GCP Cloud Storage’ta “AllUsers” erişimi
Risk
- Kişisel verilerin sızması
- KVKK / GDPR ihlalleri
- Marka itibarının zedelenmesi
Çözüm
- Varsayılan olarak private yapılandırma
- Bucket-level access kontrolleri
- Otomatik tarama ve uyarı sistemleri
Çok Faktörlü Kimlik Doğrulamanın (MFA) Kullanılmaması
Sadece kullanıcı adı ve parola, modern tehditler karşısında yetersizdir.
Yaygın İhmal
- Yönetici hesaplarında MFA kapalı olması
- Servis hesaplarının MFA’sız çalışması
Sonuç
Kimlik bilgisi sızan bir hesap, sisteme doğrudan giriş kapısı haline gelir.
Çözüm
- Tüm admin hesapları için MFA zorunlu
- Donanımsal anahtarlar (FIDO2)
- Conditional Access politikaları
Güvenlik Loglarının Toplanmaması ve İzlenmemesi
Birçok kurum saldırıyı olduktan aylar sonra fark eder.
Platform Servisleri
- AWS CloudTrail / GuardDuty
- Azure Monitor / Sentinel
- GCP Cloud Audit Logs
Hata
- Loglar kapalı
- Loglar tutuluyor ama izlenmiyor
- SIEM entegrasyonu yok
Çözüm
- Merkezi log yönetimi
- Anomali bazlı alarmlar
- Olay müdahale senaryoları
Network Güvenliğinin Varsayılan Ayarlarla Bırakılması
Varsayılan ağ yapılandırmaları genellikle maksimum erişilebilirlik, minimum güvenlik sunar.
Hatalar
- Geniş CIDR blokları
- Her yerden açık SSH / RDP
- Güvenlik gruplarının kontrolsüz kullanımı
Çözüm
- Zero Trust Network yaklaşımı
- IP bazlı kısıtlamalar
- Network segmentation
Güncelleme ve Yama Yönetiminin İhmal Edilmesi
“Bulut sağlayıcısı ilgileniyor” düşüncesi yanlıştır.
Gerçek
Bulut sağlayıcı altyapıyı yönetir, işletim sistemi ve uygulama sizin sorumluluğunuzdadır.
Risk
- Bilinen zafiyetlerin istismarı
- Ransomware saldırıları
Çözüm
- Otomatik patch management
- Image tabanlı güncellemeler
- Vulnerability scanning
Yedekleme ve Felaket Kurtarma Planlarının Olmaması
Birçok kurum yedek alıyor ama:
- Geri dönüş test etmiyor
- Yedekleri aynı ortamda tutuyor
Tehlike
- Ransomware sonrası geri dönüş mümkün olmaz
- Hizmet kesintileri uzar
Çözüm
- Offline / cross-region backup
- Düzenli restore testleri
- DR senaryoları
API ve Servis Güvenliğinin Göz Ardı Edilmesi
Modern bulut mimarileri API’ler üzerine kuruludur.
Yaygın Hatalar
- Kimlik doğrulamasız API’ler
- Rate limiting olmaması
- Loglanmayan API çağrıları
Çözüm
- API Gateway kullanımı
- Token bazlı authentication
- WAF entegrasyonu
Güvenlik Servislerinin Aktif Kullanılmaması
Bulut sağlayıcılar güçlü güvenlik servisleri sunar ancak çoğu kapalıdır.
Örnekler
- AWS GuardDuty kapalı
- Azure Defender kullanılmıyor
- GCP Security Command Center devre dışı
Çözüm
- Native security servislerini aktif et
- Sürekli izleme
- Otomatik remediation
Paylaşılan Sorumluluk Modelinin Yanlış Anlaşılması
En kritik kavramsal hata.
Bulut sağlayıcı:
- Fiziksel altyapıdan sorumlu
Müşteri:
- Veri
- Erişim
- Yapılandırma
- Uygulama güvenliğinden sorumlu
Sonuç
Sorumluluklar net değilse, güvenlik açıkları kaçınılmazdır.
Sonuç: Bulut Güvenliği Bir Araç Değil, Süreçtir
AWS, Azure veya GCP kullanmak tek başına güvenlik sağlamaz. Doğru yapılandırma, sürekli izleme ve bilinçli ekipler olmadan bulut ortamları ciddi riskler barındırır.
Bulut güvenliği;
- Sürekli denetim
- Otomasyon
- Eğitim
- Politika
üzerine kurulu bir yaşam döngüsüdür.
Bulut Ortamlarında En Sık Yapılan 10 Güvenlik Hatası (AWS, Azure, GCP Perspektifi)