Bulut Güvenliği (Cloud Security): AWS ve Azure Ortamlarında Yapılan 3 Ölümcül Hata

Verilerinizi AWS veya Azure'a taşımanız onların güvende olduğu anlamına gelmez! 'Misconfiguration' (Yanlış yapılandırma) yüzünden dünyaya açılan veritabanlarını, kod içine gömülü (Hardcoded) şifrelerin nasıl çalındığını ve Bulut Güvenlik Mimarisi kurallarını anlatıyoruz.

Modern iş dünyasında "Dijital Dönüşüm" rüzgarına kapılan şirketler, devasa veri tabanlarını, uygulamalarını ve hatta tüm altyapılarını hızla Bulut (Cloud) platformlarına taşıyorlar. Amazon Web Services (AWS), Microsoft Azure ve Google Cloud Platform (GCP) gibi teknoloji devleri, şirketlere sınırsız ölçeklenebilirlik, %99.99 çalışma süresi (Uptime) ve esneklik vaat ediyor. Yöneticiler, "Verilerimiz Amazon'un veya Microsoft'un sunucularında duruyor, demek ki dünyanın en güvenli yerinde" yanılgısına düşerek gece rahat uyuyorlar. Ancak gerçek dünya istatistikleri bu pembe tabloyu vahşice parçalıyor: Günümüzdeki en büyük, en utanç verici ve milyonlarca dolar cezaya sebep olan siber saldırıların çok büyük bir kısmı Bulut ortamlarında yaşanıyor.

Cloud Misconfiguration (Yanlış Yapılandırma): Tüm dünyaya açık unutulan bir Amazon S3 Bucket (Depolama Birimi) felaketi

Peki, dünyanın en iyi siber güvenlik mühendislerini çalıştıran Amazon veya Microsoft nasıl hackleniyor? Cevap basit ve bir o kadar da acı verici: Hacklenen onlar değil, sizsiniz! Bulut mimarilerinde "Paylaşımlı Sorumluluk Modeli (Shared Responsibility Model)" geçerlidir. Bulut sağlayıcısı verinin fiziksel güvenliğinden ve elektrik kesintisinden sorumludur; ancak o veriyi kimin okuyacağı, kimin internete açacağı ve hangi şifreleme yönteminin kullanılacağı tamamen "Müşterinin (Sizin)" sorumluluğundadır. Inoguard Bulut Güvenliği (Cloud Security) Mimarları olarak, yaptığımız yüzlerce mimari sızma testi ve denetimde karşılaştığımız, şirketleri bir gecede iflasa sürükleyen 3 ölümcül Bulut (AWS/Azure) hatasını ve bu hatalardan nasıl dönüleceğini tüm teknik çıplaklığıyla analiz edeceğiz.

1. "Misconfiguration" (Yanlış Yapılandırma) Cehennemi ve Açık Kapılar

Bulut platformlarının en büyük avantajı olan "Kullanım Kolaylığı", aynı zamanda en büyük güvenlik zafiyetidir. Şirketinizin on-premise (fiziksel) sistem odasında bir sunucuyu tüm internete açmak için güvenlik duvarında kurallar yazmanız, port yönlendirmeleri (NAT) yapmanız ve bir dizi onaydan geçmeniz gerekir. Ancak AWS veya Azure üzerinde bir depolama alanını (S3 Bucket veya Azure Blob Storage) tüm dünyaya açık hale getirmek sadece bir tık (Click) mesafesindedir. İşleri hızlandırmak isteyen dikkatsiz bir yazılımcının "Public Read" kutucuğunu yanlışlıkla işaretlemesi, şirketin sonunu getirebilir.

1.1. Amazon S3 Bucket Sızıntıları: Tarihin En Büyük İfşaları

Son 5 yılda haberlerde okuduğunuz "Milyonlarca müşterinin kredi kartı bilgisi internete sızdı" haberlerinin arkasında genellikle karmaşık bir Rus hacker saldırısı yoktur; arkasında yanlış yapılandırılmış (Misconfigured) bir Amazon S3 Bucket vardır. S3 Bucket'lar, şirketlerin bulutta dosya (resim, pdf, veritabanı yedeği) depolamak için kullandığı klasörlerdir. Varsayılan olarak bu klasörler dışarıya kapalıdır (Private). Ancak bir yazılımcı, web sitesindeki bir log dosyasını okuyabilmek için klasör izinlerini "Any (Herkese Açık)" olarak değiştirirse, o klasördeki tüm şirket verileri internetteki herhangi bir tarayıcı (Browser) tarafından okunabilir hale gelir.

Hackerlar bu klasörleri bulmak için özel "Bucket Scanner" (Grayhat Warfare vb.) araçları kullanarak 7/24 tüm interneti tararlar. Şirketinizin adını taşıyan bir Bucket'ın "Public" olduğunu gördükleri milisaniyede içindeki 500 GB'lık müşteri veritabanını indirir ve Dark Web'de satışa çıkartırlar. Amazon'un bu sızıntıyı engelleme yükümlülüğü yoktur, çünkü kapıyı Amazon değil, sizin personeliniz kendi elleriyle açmıştır.

1.2. Kapatılmayan Portlar (RDP/SSH) ve Botnet Saldırıları

Bulut üzerinde oluşturduğunuz bir Sanal Makineye (AWS EC2 veya Azure VM) uzaktan bağlanıp yönetmek için RDP (Windows) veya SSH (Linux) protokollerini kullanırsınız. Pek çok şirketin IT ekibi, bulut sunucusunu kurarken "Security Group (Güvenlik Grubu)" kurallarını ayarlamaya üşenir ve "0.0.0.0/0" kuralını girer. Bunun anlamı şudur: "Bu sunucunun RDP/SSH portuna dünyadaki tüm IP adresleri bağlanmayı deneyebilir."

Bu kuralı yazdığınız an, Çin ve Rusya'daki binlerce otomatik Botnet ağı saniyeler içinde sunucunuza Brute-Force (Şifre Deneme) saldırısına başlar. Eğer şifreniz "Admin123" gibi zayıf bir kelimeyse, sunucunuz 15 dakika içinde ele geçirilir ve içerisine Kripto Para Madenciliği (Cryptojacking) virüsü yüklenir. Ay sonunda Amazon'dan gelen 50.000 Dolarlık fatura (Billing) sürpriziyle karşılaştığınızda, sunucunuzun çoktan bir zombi bilgisayara dönüştüğünü anlarsınız.

1.3. CSPM (Cloud Security Posture Management) ile Kesin Çözüm

İnsan hatasını insanla çözemezsiniz. Yüzlerce sunucu ve binlerce Bucket barındıran devasa bulut mimarilerinde "Acaba bir yeri açık unuttuk mu?" diye manuel kontrol yapmak imkansızdır. Inoguard olarak bu sorunu CSPM (Bulut Güvenlik Duruşu Yönetimi) teknolojileriyle çözüyoruz. CSPM araçları, AWS ve Azure ortamlarınıza API seviyesinde bağlanır ve 7/24 "Yanlış Yapılandırma" taraması yapar. Bir yazılımcı S3 Bucket'ı "Public" yaptığı an, CSPM bunu milisaniyeler içinde fark eder, IT yöneticisine kırmızı alarm gönderir ve hatta o klasörü otomatik olarak tekrar "Private (Gizli)" konuma çekerek felaketi yaşanmadan saniyeler önce otomatik olarak durdurur (Auto-Remediation).

2. Kimlik ve Erişim Yönetimi (IAM) Katliamları

Fiziksel dünyada güvenlik duvarınız Firewall ise, Bulut dünyasında güvenlik duvarınız "Kimlik (Identity)" dir. Bulut ortamlarında ağ (Network) sınırları erimiştir; kaynaklara erişim IP adreslerine göre değil, kimliklere ve o kimliklere atanan yetkilere (IAM - Identity and Access Management) göre belirlenir. Bu yüzden hackerların bulutta en çok hedeflediği şey şifreleriniz ve "API Key (Erişim Anahtarı)" lerinizdir.

Gereğinden Fazla Yetkilendirme (Over-Privileged Accounts): Bulut kasasının şifrelerinin (API Key) sağa sola saçılması ve yetki gasbı

2.1. Gereğinden Fazla Yetkilendirme (Over-Privileged Accounts)

Pek çok şirkette AWS veya Azure hesabı açıldığında, içeride çalışan yazılımcılara, veritabanı uzmanlarına veya iş ortaklarına "AdministratorAccess" (Tam Yetki) verilir. "Bir sorun çıkmasın, takılmadan çalışsınlar" mantığıyla verilen bu sınırsız yetkiler, siber güvenliğin en temel kuralı olan "En Az Ayrıcalık Prensibi'ne (Principle of Least Privilege)" tamamen aykırıdır.

Sadece tek bir sunucuyu yeniden başlatması gereken (Reboot) bir stajyerin hesabında "Tüm sistemi silme (Delete)" yetkisi varsa, o stajyerin bilgisayarı hacklendiğinde hacker da o tam yetkiye sahip olur. Bulut mimarisinde her kullanıcıya "sadece işini yapabileceği kadar" ve "sadece belirli bir süre için" (Just-in-Time Access) yetki verilmelidir. Aksi takdirde, ele geçirilen tek bir alt düzey hesap (Compromised Account), tüm bulut ortamınızın şifrelenmesiyle (Ransomware) sonuçlanır.

2.2. Kod İçine Gömülen (Hardcoded) API Anahtarları

Bulutta sunucular ve uygulamalar birbirleriyle şifre girerek değil, "API Key (Anahtar Kelimeler)" ile konuşurlar. Bu anahtarlar, tıpkı fiziksel bir kasanın anahtarı gibi tam yetki sağlayan uzun metinlerdir (Örn: AKIAIOSFODNN7EXAMPLE). İşe yeni başlayan veya dikkatsiz bir yazılımcı, uygulamanın çalışması için bu "API Anahtarını" doğrudan yazılım kodunun içine (Source Code) açık metin olarak gömer (Hardcoded).

Daha sonra bu kodu, açık kaynaklı bir platform olan "GitHub"a yüklediğinde felaket başlar. İnternetteki botlar GitHub'ı saniye saniye tararlar. Kodun içinde bir "AWS API Key" buldukları an, bu anahtarı kullanarak o şirketin AWS hesabına sızarlar ve 1 saat içinde devasa boyutlarda sunucular oluşturarak o şirketin parasıyla Kripto Madenciliği yaparlar. Çözüm; hiçbir sırrın koda gömülmemesi, AWS Secrets Manager veya Azure Key Vault gibi "Dijital Kasa" teknolojilerinin kullanılmasıdır.

2.3. MFA (Çok Faktörlü Kimlik Doğrulama) Eksikliği

2026 yılına geldiğimiz bu dönemde, hala AWS veya Azure yönetim paneline girerken "Sadece Şifre (Password Only)" kullanan şirketler görmek dehşet vericidir. Root (Kök) hesaplar veya yüksek yetkili yönetici hesapları, ele geçirildikleri takdirde şirketin tüm varlıklarını yok edebilecek güce sahiptir. Bu hesaplara girişte cep telefonuna gelen onay kodu veya fiziksel bir güvenlik anahtarı (YubiKey) gibi Çok Faktörlü Kimlik Doğrulama (MFA) zorunlu tutulmalıdır. MFA'sı olmayan bir Bulut hesabı, kapısı açık bırakılmış bir banka kasasından farksızdır.

3. Bulut Ortamında Körlük (Lack of Visibility) ve İz Kaybı

Fiziksel bir ofisteyken ağ trafiğini Firewall cihazından izleyebilir, sunucuya kimin bağlandığını görebilirsiniz. Ancak Buluta geçtiğinizde, o donanımlar artık sizin değildir. Altyapı sanallaştırılmıştır ve her şey API (Uygulama Arayüzü) üzerinden çalışır. Bu yeni dünyada, eski nesil güvenlik araçlarınız tamamen "Kör" kalır.

3.1. Gölge IT (Shadow IT) ve Kontrolsüz Kaynak Üretimi

Bulutun esnekliği sayesinde, bir departman yöneticisi IT departmanına haber bile vermeden kredi kartını girip yeni bir AWS hesabı açabilir ve orada şirket verilerini depolamaya başlayabilir (Shadow IT). IT departmanının haberi dahi olmayan bu "Gölge" kaynaklar, hiçbir güvenlik standardına uymadığı için hackerların ilk kurbanı olur. Inoguard CASB (Cloud Access Security Broker) çözümleriyle, şirket ağındaki tüm personelin bulut hareketlerini izliyor ve "İzinsiz" bulut kullanımını görünür hale getiriyoruz.

3.2. CloudTrail ve Log Yönetiminin Önemi

Sisteminizde bir anormallik olduğunda, geriye dönüp "Ne oldu? Kim yaptı?" sorularını cevaplayabilmek için API hareketlerinin kaydedilmesi (Logging) hayati önem taşır. AWS CloudTrail veya Azure Monitor gibi sistemler, ortamdaki her tıklamayı, her yetki değişikliğini kaydeder. Ancak birçok şirket, maliyetten kısmak için bu loglama özelliklerini kapatır veya logları okumadan silecek şekilde yapılandırır. Sızma gerçekleştiğinde, elinizde bir olay yeri inceleme tutanağı (Log) olmadığı için hackerın ne çaldığını veya içeride arka kapı (Backdoor) bırakıp bırakmadığını asla bilemezsiniz.

Sonuç: Paylaşılan Sorumluluğu Ciddiye Alın

Bulut Bilişim (Cloud Computing), şirketlere muazzam bir çeviklik ve güç kazandırır. Ancak örümcek adamın da dediği gibi; "Büyük güç, büyük sorumluluk getirir." Bulut sağlayıcınız (Amazon/Microsoft) verinizin fiziksel güvenliğini garanti eder, ancak dijital kapıların şifresini size teslim eder. O kapıları sonuna kadar açık bırakmak, API şifrelerinizi internette unutmak ve kimlik erişim (IAM) kurallarını hiçe saymak tamamen sizin sorumluluğunuzdadır.

Şirketinizin dijital varlıklarını buluta taşımadan önce veya taşıdıktan hemen sonra "Cloud Security (Bulut Güvenliği)" mimarisinin Inoguard gibi profesyonel siber güvenlik danışmanları tarafından tasarlanması şarttır. CSPM ile yanlış yapılandırmaları otomatik kapatın, IAM ile ayrıcalıkları minimuma indirin ve Bulutunuzu karanlık web'deki fidyecilere (Ransomware) açık büfe bir restoran olmaktan sonsuza dek kurtarın.