From above of crop anonymous male hacker typing on netbook with data on screen while sitting at desk
Bulut Teknolojileri
Elif Şahin

Bulut güvenliği “tek bir özellik” değil, birbirine bağlı katmanların bütünüdür. CloudSpark Cloud’un güvenlik altyapısını sıkça “ne sağlıyor, neyi müşteri yapmalı” sorusuyla birlikte değerlendirmemiz gerekiyor — paylaşımlı sorumluluk modeli (shared responsibility) bulut güvenliğinin temel ilkesidir. Bu yazıda CloudSpark’ın katman katman güvenlik altyapısını, müşterilerimize uygulattığımız uyumluluk kontrollerini ve sahadan ders niteliğindeki incident senaryolarımı paylaşıyorum.

Paylaşımlı Sorumluluk: Kim Ne Yapmalı

Katman CloudSpark sorumluluğu Müşteri sorumluluğu
Fiziksel datacenter Erişim kontrolü, kamera, yangın koruması, çevre güvenliği
Hypervisor + storage cluster VHI patch, Ceph encryption, hardware management
Network underlay Spine-leaf yapı, BGP güvenliği, anti-DDoS scrub center
Tenant network VPC isolation, security group framework Security group kuralları, public IP kararı
OS Base image güvenliği Patch yönetimi, hardening, antivirus
Data Encryption-at-rest opsiyonu, key management Veri sınıflandırma, encryption-in-transit, backup
Identity Customer portal SSO, MFA opsiyonu Kullanıcı, rol, yetki yönetimi
Application Code güvenliği, DAST/SAST, SDLC

Müşterilerimizle ilk toplantıda bu tabloyu konuşuyoruz. “Cloud kullanıyorum, güvenlik bulutta” yanılgısının önüne geçen tek yol bu netlik.

Fiziksel Güvenlik: Datacenter Erişim Kontrolü

  • Çift faktörlü kimlik doğrulama (kart + biyometrik) ile mantraps üzerinden geçiş.
  • 7/24 SOC ekibi, gerçek zamanlı CCTV (180 gün retention).
  • Erişim ihtiyacı olan personel “least privilege” kuralıyla onaylı, geçici erişim sürelidir.
  • Ziyaretçi kayıt sistemi, refakatli erişim.
  • Yangın algılama (VESDA), FM-200 söndürme.
  • EMI/Tempest koruması (özellikle hassas hosting alanlarında).

Müşterimiz datacenter’a “tour” için talep eder, planlanmış slot’larda eskortlu turlar düzenleniyor. Düzenli tur düzenlemek banka, sigorta, kamu müşterilerimiz için denetim gereksinimi.

Network Güvenliği: Mikrosegment ve Anti-DDoS

Tenant’lar arası trafik default kapalı. Bir tenant başka tenant’ın VM’lerine erişemez (VLAN/VXLAN ayrımı + SDN control plane).

Müşteri kendi içinde mikrosegment kurabiliyor: Web tier ↔ App tier ↔ DB tier, her birinin ayrı subnet ve security group. Default deny + explicit allow yaklaşımı önerimiz:

SecurityGroup: web-tier
  ingress:
    - protocol: tcp
      ports: [80, 443]
      source: 0.0.0.0/0
  egress:
    - protocol: tcp
      ports: [443, 8080]
      destination: app-tier-sg

SecurityGroup: app-tier
  ingress:
    - protocol: tcp
      ports: [8080]
      source: web-tier-sg
  egress:
    - protocol: tcp
      ports: [5432]
      destination: db-tier-sg

SecurityGroup: db-tier
  ingress:
    - protocol: tcp
      ports: [5432]
      source: app-tier-sg
  egress: []  # outbound yok

Anti-DDoS scrub center: 100+ Gbps temizleme kapasitesi. Volumetric attack tespit edildiğinde trafik otomatik scrub center’a yönlendiriliyor, temiz trafik müşteri VM’lerine ulaşıyor. Geçen yıl bir e-ticaret müşterimize 18 Gbps SYN flood saldırısı geldi, müşteri farkında bile değildi (uptime etkilenmedi).

Encryption: At-Rest, In-Transit, In-Use

  • At-rest: Ceph cluster opsiyonel olarak AES-256 encryption with customer-managed keys (CMK). Default’ta storage seviyesinde encryption etkin.
  • In-transit: TLS 1.2+ tüm API endpoint’lerde zorunlu. Müşteri tarafında uygulama trafiği için TLS sertifikası yönetimi (Let’s Encrypt cert-manager, internal CA, vb).
  • In-use: Confidential computing (Intel SGX, AMD SEV) opsiyonel olarak select hardware’da, hassas iş yüklerinde.

Key management: CloudSpark Key Vault servisi (HashiCorp Vault tabanlı) ile encryption key’lerini merkezi yönet, applikasyondan API ile çek.

Identity ve Access Management

Customer portal’da:

  • Kullanıcı, grup, rol tanımları (RBAC).
  • SSO entegrasyon (SAML 2.0, OIDC) — kurum AAD veya OKTA ile.
  • MFA zorunlu (TOTP, SMS, security key).
  • Session timeout, concurrent session limit.
  • Audit log: her kullanıcı action’ı 2 yıl retention.

Müşterilerimizde uyguladığımız best practice: Bireysel kullanıcı hesapları, paylaşımlı hesap yok. Privileged access için JIT (just-in-time) yaklaşımı — yönetici operasyonel hesapla giriş, sudo benzeri elevation gerektiğinde geçici yükselme.

Threat Detection ve Response

CloudSpark SOC ekibi 7/24 monitoring yapıyor:

  • Hypervisor anormal davranış tespiti (VM escape attempt, host-level anomaly).
  • Network anomali (lateral movement pattern, port scan).
  • API abuse (brute force credential stuffing).
  • Object storage suspicious access pattern.

Müşteri tarafı için Defender for Cloud benzeri uygulama seviyesinde tehdit tespiti, müşterinin VM’lerine kurulan ajanlar üzerinden (Wazuh, Falco, Crowdstrike opsiyonel olarak).

Incident response: SOC tetiklendiğinde önce contain (saldırının yayılmasını durdur), sonra eradicate (kaynağı temizle), sonra recover (sistemi normale döndür), sonra lessons learned. Ortalama MTTR (mean time to respond): kritik incident için <15 dakika.

KVKK Uyumu: Pratik Kontrol Noktaları

  • Veri ikametgâhı: Tüm veriler Türkiye veri merkezlerinde, sözleşmesel garanti.
  • Veri işleme şartları: KVKK madde 12’ye uygun teknik ve idari tedbirler.
  • Veri sahibi hakları: Erişim, silme, düzeltme talepleri için süreç (müşteri tarafından yönetilir, CloudSpark altyapı katmanında destekleyici özellikler sağlar).
  • İhlal bildirim: Müşteriyi etkileyen incident’ı 72 saat içinde bildirim taahhüdü.
  • Dış kaynaklı işleyen sözleşmesi: Standart KVKK uyumlu sözleşme sablonu.

ISO 27001:2022 Uygulama: Annex A Kontrolleri

ISO 27001:2022 Annex A 93 kontrol içeriyor (önceki sürümde 114’tü). CloudSpark seviyesinde uyguladıklarımız:

  • A.5 Organizational controls (information security policies, roles, supplier relationships)
  • A.6 People controls (background check, training, terms of employment)
  • A.7 Physical controls (datacenter access, equipment security)
  • A.8 Technological controls (cryptography, secure coding, network security, capacity)

Müşteri seviyesinde uyguladığımız desen: A.8.7 (protection against malware) için EDR, A.8.16 (monitoring activities) için SIEM, A.8.28 (secure coding) için SAST/DAST pipeline.

Bir Incident: Ransomware Saldırısı

2025 Eylül’de bir lojistik müşterimizin domain controller’ında ransomware tetiklendi (kullanıcı phishing email’ine tıklamış). Müşteri 48 saat boyunca üretimi durdu. Recovery sürecimiz:

  1. 0:00 – Tespit: SIEM “anomalous file activity” alert. SOC içinde 8 dakikada eskaleyt edildi.
  2. 0:15 – Containment: Etkilenen VM’lerin network connectivity’si kapatıldı (security group rule update).
  3. 0:30 – Forensics: Etkilenen VM’lerin snapshot’ı alındı (canlı analiz için).
  4. 2:00 – Backup restore: Acronis backup’tan 6 saat önceki temiz snapshot’a restore başlatıldı (immutable bucket’tan).
  5. 8:00 – Restore tamamlandı: 12 VM tam restore. Domain controller’lar yeniden kuruldu (forest recovery procedure).
  6. 14:00 – Validation: Müşteri uygulamaları smoke test, veri tutarlılığı kontrol.
  7. 16:00 – Production: Kullanıcılar sisteme döndü.
  8. 72 saat sonra: Lessons learned raporu, kullanıcı eğitim planı, EDR yaygınlaştırma.

Veri kaybı ~~6 saat (RPO 6 saat hedefiydi). Ders: Backup’ın immutable olması ve düzenli restore drill yapılması ransomware sonrası geri dönüşün anahtarı.

Sahada Düşülen Üç Tuzak

  1. “Cloud kullanıyorum, güvende” yanılgısı: Paylaşımlı sorumluluğu kabul etmemek. Müşteri tarafı kontrolleri uygulamak şart.
  2. Backup’a ransomware-proof gözüyle bakmamak: Aktif backup repository ransomware ile beraber şifrelenebilir. Immutable bucket veya offline copy şart.
  3. İncident response planı yok: İlk incident günü “ne yapacağız” sorusu yaşanır. Tabletop exercise (yıllık 1-2 kez) ile plan ve insan hazır.

Sonuç: Güvenlik Bir Anlaşma Değil, Sürekli Operasyon

CloudSpark Cloud’un altyapı katmanındaki ISO 27001 sertifikası, KVKK uyumu, anti-DDoS, encryption gibi özellikler temel sağlıyor. Asıl iş müşteri tarafının da kendi sorumluluğunu ciddiye alması: identity hijyeni, patch management, encryption stratejisi, backup disiplini, incident response planı. Bu döngünün hepsi tamamsa “%100 güvenli” yok ama %95+ olgunluk seviyesi var.

CloudSpark olarak güvenlik posture assessment, KVKK boşluk analizi, ISO 27001 uyum yol haritası, SIEM/EDR implementation ve managed SOC hizmetleri sunuyoruz. Mevcut altyapınız için ücretsiz tehdit modellemesi workshop’u düzenliyoruz.

Etiketler:

Benzer İçerikler

🇹🇷 Türkçe🇬🇧 English🇩🇪 Deutsch🇫🇷 Français🇸🇦 العربية🇷🇺 Русский🇪🇸 Español