AWS Güvenlik Değerlendirmesi

AWS ortamınızı Well-Architected Framework ve CIS Benchmark doğrultusunda değerlendirerek IAM, ağ ve depolama katmanındaki yanlış yapılandırmaları ortaya çıkarıyoruz.

AWS Well-Architected FrameworkCIS AWS Foundations BenchmarkNIST CSFMITRE ATT&CK Cloud Matrix

Bulut, güvenliği kolaylaştırmaz; sorumluluğu paylaştırır. AWS altyapıyı güvenli tutar, ama üzerine kurduğunuz her şeyin — IAM politikaları, S3 izinleri, ağ kuralları — doğru yapılandırılması sizin sorumluluğunuzdadır. Yanlış yapılandırma, bulut ihlallerinin bir numaralı nedenidir.

SAVKOR’un AWS güvenlik değerlendirmesi, AWS Well-Architected Framework ve CIS AWS Foundations Benchmark doğrultusunda yürütülür. IAM’den ağ yapılandırmasına, depolama güvenliğinden loglamaya kadar ortamınızı katman katman inceler; aşırı yetkileri ve yanlış yapılandırmaları saldırgan gözüyle ortaya çıkarır.

Test Kapsamı

  • IAM politikaları ve ayrıcalıklı erişim
  • VPC, güvenlik grupları ve ağ ayrımı
  • S3 bucket erişim ve şifreleme kontrolleri
  • EC2 ve iş yükü güvenliği
  • CloudTrail, GuardDuty ve loglama
  • Anahtar yönetimi (KMS) ve şifreleme

Metodoloji

  1. 01

    Envanter & Erişim

    Hesap yapısı, servisler ve mevcut güvenlik yapılandırması çıkarılır.

  2. 02

    Yapılandırma Analizi

    IAM, ağ, depolama ve loglama CIS Benchmark'a göre değerlendirilir.

  3. 03

    Risk Tespiti

    Yanlış yapılandırmalar ve aşırı yetkiler MITRE ATT&CK Cloud teknikleriyle ilişkilendirilir.

  4. 04

    Önceliklendirme

    Bulgular iş etkisi ve sömürülebilirliğe göre önceliklendirilir.

  5. 05

    Raporlama

    Bulgular, kanıtlar ve çözüm önerileri raporlanır.

Teslimatlar

  • Yönetici özeti ve bulut risk görünümü
  • Servis bazında yapılandırma bulguları
  • CIS Benchmark uyum eşleştirmesi
  • Önceliklendirilmiş çözüm önerileri
  • İyileştirme sonrası yeniden değerlendirme

Sık Sorulan Sorular

Değerlendirme için AWS erişimi vermem gerekir mi?

Evet, tercihen salt-okunur (read-only) bir denetim rolü sağlanır. Bu, ortamınıza değişiklik yapmadan güvenli bir inceleme imkânı verir.

Çok hesaplı (multi-account) yapı değerlendirilebilir mi?

Evet. AWS Organizations ile yönetilen çok hesaplı yapılarda, hesaplar arası güven ilişkileri ve merkezi kontroller de kapsama dahil edilir.

Pentest ile farkı ne?

Bu bir yapılandırma değerlendirmesidir; ortamınızın güvenli kurulup kurulmadığına bakar. Aktif sömürü testi için AWS'nin kurallarına uygun ayrı bir sızma testi planlanabilir.

Güvenlik açıklarınızı saldırganlardan önce keşfedin.

Ücretsiz ön değerlendirme