Azure Güvenlik Açıkları ve Pentest
Microsoft Azure ekosisteminde güvenlik; Microsoft’un sağladığı altyapı zırhı ile kullanıcının yönettiği yapılandırma ve kimlik katmanlarının birleşimidir. Azure Güvenlik Açıkları, genellikle Azure Active Directory (yeni adıyla Microsoft Entra ID) üzerindeki aşırı yetkili roller, “Public” bırakılmış Storage Account’lar ve yanlış yapılandırılmış Network Security Group (NSG) kurallarından kaynaklanır. Geleneksel testlerin aksine Azure pentest süreçlerinde “IP adresi” değil, “Kimlik Rolleri (RBAC)” ve “Token Yönetimi” saldırı yüzeyinin merkezinde yer alır.
Bir Azure saldırganı için en kritik hedef, Global Admin yetkisine giden yolları (Privilege Escalation) keşfetmek veya Managed Identity’ler üzerinden PaaS servislerine (Functions, App Service) sızmaktır. Bu nedenle savunma stratejisinin temelini; Sıfır Güven (Zero Trust) prensibi, Koşullu Erişim (Conditional Access) kuralları ve tüm kaynakların Azure Defender for Cloud ile sürekli denetlenmesi oluşturur.
KVKK, GDPR ve ISO 27001 gibi regülasyonlar nezdinde, Azure kaynaklarının periyodik olarak sızma testlerinden geçirilmesi “makul teknik tedbir” yükümlülüğünün bir parçasıdır. Başarılı bir Azure savunması, sadece sanal makineleri (VM) korumak değil; Bicep veya Terraform ile yazılan altyapı kodlarını (IaC) daha dağıtım aşamasında tarayan, kimlik anahtarlarını Azure Key Vault’ta güvenle saklayan ve anomali tespiti için Microsoft Sentinel gibi bulut yerlisi (cloud-native) SIEM çözümlerini kullanan proaktif bir mimari inşa etmektir.