Google Cloud, esnek ve güçlü bir platformdur; ancak IAM modeli ve servis hesabı yapısı, doğru yönetilmediğinde ciddi risk kaynağına dönüşebilir. Bulut ihlallerinin çoğu bir zafiyetten değil, bir yanlış yapılandırmadan kaynaklanır.
SAVKOR’un GCP güvenlik değerlendirmesi, CIS GCP Benchmark ve NIST CSF doğrultusunda yürütülür. IAM ve servis hesaplarından ağ yapılandırmasına, depolamadan GKE güvenliğine kadar ortamınızı katman katman inceler ve aşırı yetkileri, yanlış yapılandırmaları ortaya çıkarır.
Test Kapsamı
- IAM ve servis hesabı güvenliği
- VPC, güvenlik duvarı kuralları ve ağ ayrımı
- Cloud Storage erişim ve şifreleme
- GKE (Kubernetes) güvenliği
- Cloud Logging ve izleme
- Anahtar yönetimi (Cloud KMS)
Metodoloji
- 01
Envanter & Erişim
Proje yapısı, kaynaklar ve mevcut güvenlik yapılandırması çıkarılır.
- 02
Yapılandırma Analizi
IAM, ağ, depolama ve GKE, CIS GCP Benchmark'a göre değerlendirilir.
- 03
Risk Tespiti
Yanlış yapılandırmalar ve aşırı yetkiler ATT&CK Cloud teknikleriyle ilişkilendirilir.
- 04
Önceliklendirme
Bulgular iş etkisine göre önceliklendirilir.
- 05
Raporlama
Bulgular, kanıtlar ve çözüm önerileri raporlanır.
Teslimatlar
- Yönetici özeti ve GCP risk görünümü
- Servis bazında yapılandırma bulguları
- CIS GCP Benchmark uyum eşleştirmesi
- Önceliklendirilmiş çözüm önerileri
- İyileştirme sonrası yeniden değerlendirme
Sık Sorulan Sorular
Servis hesapları neden özellikle önemli?
GCP'de servis hesapları, otomatik iş yüklerinin kimliğidir ve sık sık aşırı yetkilendirilir. Ele geçirilmeleri hâlinde ciddi ayrıcalık yükseltmeye yol açabilir; bu yüzden özel dikkatle incelenir.
GKE (Kubernetes) ayrı mı değerlendirilir?
GKE temel düzeyde bu kapsamda ele alınır. Derinlemesine bir Kubernetes değerlendirmesi için ayrıca Kubernetes Güvenlik Değerlendirmesi hizmetimiz önerilir.
Hangi erişim gerekir?
Tercihen proje düzeyinde salt-okunur (Viewer / Security Reviewer) roller sağlanır; ortamınıza değişiklik yapılmadan inceleme yürütülür.