Cloud Misconfiguration Açıkları: Bulut Güvenliğinin Görünmez Tehdidi
Bulut bilişimde veri ihlallerinin %80’inden fazlası, karmaşık saldırılardan ziyade yanlış yapılandırılmış servislerden kaynaklanır. Cloud Misconfiguration, bulut kaynaklarının (S3, IAM, VPC vb.) varsayılan ayarlarda bırakılması veya yanlış yetkilendirilmesi sonucu oluşan güvenlik açıklarıdır. Bulutun API tabanlı yapısı, tek bir yanlış komutun binlerce kişisel veriyi internete sızdırmasına neden olabilir.
En yaygın ve yıkıcı senaryolar; halka açık bırakılan Depolama Alanları (S3/Blob), aşırı yetkili IAM Rolleri ve şifrelenmemiş veritabanlarıdır. Geleneksel güvenlik duvarları bu “mantıksal” hataları yakalayamaz; bu nedenle savunma stratejisinin merkezinde CSPM (Cloud Security Posture Management) araçları yer almalıdır. Bu araçlar, altyapıyı sürekli tarayarak CIS Benchmarks gibi standartlara göre yapılandırma sapmalarını (drift) anında tespit eder.
KVKK, GDPR ve ISO 27001 uyumluluğu için bulut yapılandırmalarının sadece “kurulması” yetmez; Policy as Code (Politika Kod Olarak) yaklaşımıyla (Örn: Azure Policy, OPA) bu ayarların bozulması otomatik olarak engellenmelidir. Başarılı bir bulut savunması; güvenliği CI/CD süreçlerinin en başına taşıyan (Shift-Left), altyapı şablonlarını dağıtım öncesi tarayan ve “varsayılan olarak kapalı” (secure-by-default) prensibini benimseyen proaktif bir mühendislik kültürüdür.
AWS Sızma Testi Nasıl Yapılır
Bulut altyapılarında güvenlik, Amazon’un sunduğu fiziksel koruma ile müşterinin yönettiği mantıksal yapılandırmaların kesiştiği bir noktadır. AWS Sızma Testi, bu karmaşık yapıda EC2 sunucularından Serverless (Lambda) fonksiyonlarına, S3 depolama alanlarından IAM yetkilendirmelerine kadar tüm katmanları hedef alan, buluta özgü bir güvenlik değerlendirme sürecidir. Geleneksel testlerin aksine AWS pentest süreçlerinde “IP adresi” değil, “API yetkileri” ve “Kimlik Rolleri” saldırı yüzeyinin merkezinde yer alır.
Bir AWS saldırganı için en değerli ganimet, yanlış yapılandırılmış bir IAM Rolü veya açıkta bırakılmış bir Access Key bilgisidir. Bu sayede saldırgan, ağa sızmaya gerek duymadan doğrudan AWS yönetim paneline (Console) veya API’lerine erişerek verileri sızdırabilir veya altyapıyı sabote edebilir. Bu nedenle savunma stratejisinin temelini; En Az Yetki Prensibi (Least Privilege), tüm S3 bucket’ların şifrelenmesi ve CloudTrail ile her işlemin saniye saniye izlenmesi oluşturur.
ISO 27001, SOC 2 ve PCI DSS gibi standartlar nezdinde, bulut kaynaklarının periyodik olarak sızma testlerinden geçirilmesi yasal bir zorunluluktur. Başarılı bir AWS savunması, sadece “duvarlar örmek” değil; her bir servisi (Lambda, RDS, SQS) kendi içinde mikro-segmentasyona tabi tutan, anomali tespiti için GuardDuty gibi yapay zeka destekli araçları kullanan ve yapılandırma hatalarını (misconfigurations) anında yakalayan proaktif bir mimari inşa etmektir.
Subdomain Takeover Saldırıları: Terk Edilmiş Alt Alan Adlarının Ele Geçirilmesiyle Form Verisi Toplama ve KVKK Boyutu
Kurumsal genişleme süreçlerinde oluşturulan ancak işlevi bittiğinde DNS kayıtları temizlenmeyen alt alan adları, Subdomain Takeover saldırılarının bir numaralı hedefidir. Bu saldırı, bir DNS kaydının artık var olmayan bir bulut hizmetine (AWS, Azure, GitHub vb.) işaret etmesiyle oluşan “Dangling DNS” (Sarkan DNS) hatasını istismar eder. Saldırgan, boşa çıkan bu kaynağı kendi bulut hesabına tanımlayarak, kurumun resmi alt alan adını (örneğin test.kurum.com) tamamen kontrolü altına alır.
Saldırganın ele geçirdiği bu meşru adres üzerinden yayınladığı sahte formlar, kullanıcılarda hiçbir güvenlik şüphesi uyandırmaz. URL’deki marka güveni ve mevcutsa Wildcard SSL sertifikası sayesinde, kullanıcılar T.C. kimlik numarası veya şifre gibi hassas verilerini doğrudan saldırgana teslim ederler. Bu yöntem ayrıca Cookie Hijacking (Çerez Hırsızlığı) saldırıları için de kurumsal bir sıçrama tahtası görevi görür.
KVKK Madde 12 uyarınca, kurumun “unuttuğu” bir kayıt üzerinden veri sızdırılması, veri sorumlusunun “makul teknik tedbirleri” alma yükümlülüğünü yerine getiremediğinin somut bir kanıtıdır. Bu riskten korunmanın yolu; bulut servisleri kapatılmadan ÖNCE CNAME kayıtlarının silinmesi, periyodik DNS taramaları yapılması ve Certificate Transparency (CT) loglarının takip edilmesidir. Dijital dünyada temizlenmeyen her iz, saldırganlar için keşfedilmeyi bekleyen bir hazine haritasıdır.
Görünmez Tüneller: Shadow IT (Gölge Bilişim) Tehlikesi ve Buluttaki KVKK Kabusu
Kurumsal siber güvenlikte “göremediğin şeyi koruyamazsın” ilkesini tehdit eden en büyük unsurlardan biri, IT departmanının onayı ve denetimi dışında kullanılan uygulama ve cihazları ifade eden Shadow IT (Gölge Bilişim)’dir. Çoğunlukla kötü niyetle değil, iş süreçlerini hızlandırmak amacıyla (ücretsiz PDF dönüştürücüler, kişisel bulut depolamalar, kontrolsüz mesajlaşma grupları) tercih edilen bu araçlar, kurumsal verilerin güvenlik kalkanının dışına taşmasına neden olur.
Teknik açıdan Shadow IT, DLP ve Firewall gibi savunma mekanizmalarını etkisiz kılarak veriyi “kör noktalara” taşır. Hukuki açıdan ise, verinin sunucuları yurtdışında bulunan kontrolsüz bulut servislerine aktarılması, KVKK nezdinde ağır yaptırımları olan “Yurtdışına İzinsiz Veri Aktarımı” ve “Aydınlatma Yükümlülüğü İhlali” suçlarını doğurur. Ayrıca, kurumun haberi olmayan bir bulut hesabında kalan veriler, “Unutulma Hakkı” taleplerinin yerine getirilmesini imkansız kılar.
Gölge bilişimle mücadele etmek sadece yasaklamakla değil, çalışanların ihtiyaçlarını anlayıp onlara güvenli kurumsal alternatifler sunmakla mümkündür. CASB (Cloud Access Security Broker) teknolojileriyle ağdaki görünmez trafiği tespit etmek ve sürekli farkındalık eğitimleriyle “verinin ağırlığını” personele aşılamak, gölgeleri aydınlatmanın ve buluttaki KVKK kabusunu engellemenin tek yoludur.