Bulutta güvenliğin yeni sınırı, ağ değil kimliktir. Bir saldırgan için çalınmış tek bir aşırı yetkili kimlik, tüm ortama açılan anahtardır. Bulut ihlallerinin arkasında sıklıkla zayıf MFA, aşırı yetkili roller veya unutulmuş servis hesapları vardır.
SAVKOR’un Cloud IAM güvenlik değerlendirmesi, NIST SP 800-63 ve Zero Trust prensipleri doğrultusunda yürütülür. Kullanıcı rollerinden servis hesaplarına, MFA kapsamından ayrıcalıklı erişime kadar kimlik katmanınızı inceler; en az yetki prensibinden sapmaları ve ayrıcalık yükseltme yollarını ortaya çıkarır.
Test Kapsamı
- Kullanıcı ve rol yapılandırmaları
- Çok faktörlü kimlik doğrulama (MFA) kapsamı
- Servis hesapları ve otomasyon kimlikleri
- Ayrıcalıklı erişim ve en az yetki prensibi
- Erişim politikaları ve koşullu erişim
- Kimlik federasyonu ve güven ilişkileri
Metodoloji
- 01
Kimlik Envanteri
Tüm kullanıcı, rol ve servis hesabı kimlikleri çıkarılır.
- 02
Yetki Analizi
Roller ve politikalar en az yetki prensibine göre değerlendirilir.
- 03
MFA & Erişim Kontrolü
MFA kapsamı, koşullu erişim ve ayrıcalıklı hesap kontrolleri incelenir.
- 04
Risk Tespiti
Aşırı yetkiler ve ayrıcalık yükseltme yolları ATT&CK Cloud teknikleriyle ilişkilendirilir.
- 05
Raporlama
Bulgular, kanıtlar ve çözüm önerileri raporlanır.
Teslimatlar
- Yönetici özeti ve kimlik risk görünümü
- Aşırı yetki ve ayrıcalık yükseltme bulguları
- MFA ve erişim kontrolü boşluk analizi
- En az yetki (least privilege) önerileri
- İyileştirme yol haritası
Sık Sorulan Sorular
Bu değerlendirme hangi bulutları kapsar?
AWS, Azure ve GCP kimlik modellerinin her biri değerlendirilebilir. Çok bulutlu bir ortamda kimlikler bütünsel olarak ele alınır.
Servis hesapları neden ayrı önemli?
Servis hesapları otomatik iş yüklerinin kimliğidir, çoğu zaman insan gözetimi olmadan çalışır ve aşırı yetkilendirilir. Ele geçirildiklerinde sessiz ama yıkıcı bir saldırı vektörü oluştururlar.
Zero Trust ile ilişkisi nedir?
Zero Trust'ın temelinde 'asla güvenme, her zaman doğrula' ilkesi vardır. IAM değerlendirmesi, bu ilkenin bulut kimlik katmanında ne ölçüde uygulandığını ölçer ve en az yetki prensibiyle sağlamlaştırma önerir.