Bulut, güvenliği kolaylaştırmaz; sorumluluğu paylaştırır. AWS altyapıyı güvenli tutar, ama üzerine kurduğunuz her şeyin — IAM politikaları, S3 izinleri, ağ kuralları — doğru yapılandırılması sizin sorumluluğunuzdadır. Yanlış yapılandırma, bulut ihlallerinin bir numaralı nedenidir.
SAVKOR’un AWS güvenlik değerlendirmesi, AWS Well-Architected Framework ve CIS AWS Foundations Benchmark doğrultusunda yürütülür. IAM’den ağ yapılandırmasına, depolama güvenliğinden loglamaya kadar ortamınızı katman katman inceler; aşırı yetkileri ve yanlış yapılandırmaları saldırgan gözüyle ortaya çıkarır.
Test Kapsamı
- IAM politikaları ve ayrıcalıklı erişim
- VPC, güvenlik grupları ve ağ ayrımı
- S3 bucket erişim ve şifreleme kontrolleri
- EC2 ve iş yükü güvenliği
- CloudTrail, GuardDuty ve loglama
- Anahtar yönetimi (KMS) ve şifreleme
Metodoloji
- 01
Envanter & Erişim
Hesap yapısı, servisler ve mevcut güvenlik yapılandırması çıkarılır.
- 02
Yapılandırma Analizi
IAM, ağ, depolama ve loglama CIS Benchmark'a göre değerlendirilir.
- 03
Risk Tespiti
Yanlış yapılandırmalar ve aşırı yetkiler MITRE ATT&CK Cloud teknikleriyle ilişkilendirilir.
- 04
Önceliklendirme
Bulgular iş etkisi ve sömürülebilirliğe göre önceliklendirilir.
- 05
Raporlama
Bulgular, kanıtlar ve çözüm önerileri raporlanır.
Teslimatlar
- Yönetici özeti ve bulut risk görünümü
- Servis bazında yapılandırma bulguları
- CIS Benchmark uyum eşleştirmesi
- Önceliklendirilmiş çözüm önerileri
- İyileştirme sonrası yeniden değerlendirme
Sık Sorulan Sorular
Değerlendirme için AWS erişimi vermem gerekir mi?
Evet, tercihen salt-okunur (read-only) bir denetim rolü sağlanır. Bu, ortamınıza değişiklik yapmadan güvenli bir inceleme imkânı verir.
Çok hesaplı (multi-account) yapı değerlendirilebilir mi?
Evet. AWS Organizations ile yönetilen çok hesaplı yapılarda, hesaplar arası güven ilişkileri ve merkezi kontroller de kapsama dahil edilir.
Pentest ile farkı ne?
Bu bir yapılandırma değerlendirmesidir; ortamınızın güvenli kurulup kurulmadığına bakar. Aktif sömürü testi için AWS'nin kurallarına uygun ayrı bir sızma testi planlanabilir.