Google Cloud Platform (GCP) Güvenlik Değerlendirmesi

GCP ortamınızı CIS GCP Benchmark ve NIST CSF doğrultusunda değerlendirerek IAM, ağ, depolama ve GKE katmanındaki güvenlik risklerini ortaya çıkarıyoruz.

CIS GCP BenchmarkNIST CSFMITRE ATT&CK Cloud Matrix

Google Cloud, esnek ve güçlü bir platformdur; ancak IAM modeli ve servis hesabı yapısı, doğru yönetilmediğinde ciddi risk kaynağına dönüşebilir. Bulut ihlallerinin çoğu bir zafiyetten değil, bir yanlış yapılandırmadan kaynaklanır.

SAVKOR’un GCP güvenlik değerlendirmesi, CIS GCP Benchmark ve NIST CSF doğrultusunda yürütülür. IAM ve servis hesaplarından ağ yapılandırmasına, depolamadan GKE güvenliğine kadar ortamınızı katman katman inceler ve aşırı yetkileri, yanlış yapılandırmaları ortaya çıkarır.

Test Kapsamı

  • IAM ve servis hesabı güvenliği
  • VPC, güvenlik duvarı kuralları ve ağ ayrımı
  • Cloud Storage erişim ve şifreleme
  • GKE (Kubernetes) güvenliği
  • Cloud Logging ve izleme
  • Anahtar yönetimi (Cloud KMS)

Metodoloji

  1. 01

    Envanter & Erişim

    Proje yapısı, kaynaklar ve mevcut güvenlik yapılandırması çıkarılır.

  2. 02

    Yapılandırma Analizi

    IAM, ağ, depolama ve GKE, CIS GCP Benchmark'a göre değerlendirilir.

  3. 03

    Risk Tespiti

    Yanlış yapılandırmalar ve aşırı yetkiler ATT&CK Cloud teknikleriyle ilişkilendirilir.

  4. 04

    Önceliklendirme

    Bulgular iş etkisine göre önceliklendirilir.

  5. 05

    Raporlama

    Bulgular, kanıtlar ve çözüm önerileri raporlanır.

Teslimatlar

  • Yönetici özeti ve GCP risk görünümü
  • Servis bazında yapılandırma bulguları
  • CIS GCP Benchmark uyum eşleştirmesi
  • Önceliklendirilmiş çözüm önerileri
  • İyileştirme sonrası yeniden değerlendirme

Sık Sorulan Sorular

Servis hesapları neden özellikle önemli?

GCP'de servis hesapları, otomatik iş yüklerinin kimliğidir ve sık sık aşırı yetkilendirilir. Ele geçirilmeleri hâlinde ciddi ayrıcalık yükseltmeye yol açabilir; bu yüzden özel dikkatle incelenir.

GKE (Kubernetes) ayrı mı değerlendirilir?

GKE temel düzeyde bu kapsamda ele alınır. Derinlemesine bir Kubernetes değerlendirmesi için ayrıca Kubernetes Güvenlik Değerlendirmesi hizmetimiz önerilir.

Hangi erişim gerekir?

Tercihen proje düzeyinde salt-okunur (Viewer / Security Reviewer) roller sağlanır; ortamınıza değişiklik yapılmadan inceleme yürütülür.

Güvenlik açıklarınızı saldırganlardan önce keşfedin.

Ücretsiz ön değerlendirme