Ana Sayfa
BlogBize Ulaşın
Hizmetler  /  Ofansif Güvenlik  /  Bulut Güvenlik Testi
Hizmet · Bulut Güvenliği

AWS, Azure ve GCP altyapınızı uçtan uca test ediyoruz.

Yanlış yapılandırma, IAM zafiyetleri, container ve Kubernetes riskleri dahil; bulut ortamınızın tüm kritik katmanlarını gerçek saldırgan bakış açısıyla test ediyoruz.

AWSAzureGCPKubernetesIaC
Bulut Duruş TaramasıCSPM
Yanlış yapılandırma
37
IAM bulgusu
14
Açık kaynak
6
Kritik
2
Taranan Servisler
Amazon S3 / BlobUyumlu
IAM / RBACİnceleme
Security GroupsAçık
KMS / EncryptionUyumlu
CloudTrail / LoggingUyumlu
01 — Platformlar

Desteklenen Bulut Platformları

Tüm büyük bulut sağlayıcıları için uzman güvenlik testleri

Amazon Web Services (AWS)

En yaygın kullanılan bulut platformu için kapsamlı güvenlik değerlendirmesi

  • IAM ve erişim kontrolü analizi
  • S3 bucket güvenlik testleri
  • EC2 ve güvenlik grubu değerlendirmesi
  • Lambda ve serverless güvenlik

Microsoft Azure

Enterprise altyapılar için Azure güvenlik testleri

  • Azure AD ve kimlik yönetimi
  • Storage hesap güvenliği
  • Sanal makine güvenlik değerlendirmesi
  • Azure Functions güvenlik

Google Cloud Platform (GCP)

GCP altyapınız için detaylı güvenlik analizi

  • GCP IAM ve servis hesapları
  • Cloud Storage güvenlik testleri
  • Compute Engine değerlendirmesi
  • Cloud Functions güvenlik
02 — Test Kapsamı

Test Alanları

Bulut altyapınızın tüm kritik bileşenleri test edilir

Yapılandırma Güvenliği

Hatalı konfigürasyonlar ve güvenlik açıkları

IAM ve Erişim Kontrolü

Kimlik ve yetkilendirme mekanizmaları

Veri Koruma

Veri şifreleme ve depolama güvenliği

Container ve Kubernetes

Container orchestration güvenlik testleri

03 — Yaygın Zafiyetler

Yaygın Bulut Güvenlik Zafiyetleri

01

Yanlış Yapılandırmalar

Açık S3 buckets, public snapshots

02

Zayıf IAM Politikaları

Aşırı izinler, zayıf kimlik doğrulama

03

Güvensiz API'ler

API kimlik doğrulama ve yetkilendirme sorunları

04

Veri Şifreleme Eksikliği

Şifrelenmemiş depolama ve iletim

05

Log & İzleme Eksikliği

Yetersiz denetim ve izleme

06

Network Segmentasyon

Zayıf network izolasyonu

04 — Metodoloji

Test Metodolojisi

Kapsamlı bulut güvenlik testi yaklaşımımız

1

Bulut altyapı keşfi

2

Servis ve kaynak listeleme

3

Zafiyet istismarı

4

Privilege escalation

5

Kalıcılık mekanizmaları

6

Detaylı raporlama

05 — Uyumluluk

Uyumluluk Standartları

ISO 27017

Bulut hizmetleri güvenlik standardı

CSA STAR

Cloud Security Alliance sertifikasyonu

SOC 2

Service organization control

GDPR

Veri koruma uyumluluğu

06 — Sık Sorulan Sorular

Sık Sorulan Sorular

Bulut güvenlik testi ne kadar sürer?

Ortalama 3-5 hafta sürmektedir. Bu süre bulut altyapınızın karmaşıklığına, servis sayısına ve kapsamına göre değişir.

Test sırasında servislerim kesintiye uğrar mı?

Hayır, testler non-intrusive yöntemlerle gerçekleştirilir ve production sistemleriniz etkilenmez. Kritik testler için ayrı test ortamı kullanılır.

Hangi bulut platformları destekleniyor?

AWS, Azure, Google Cloud Platform ve diğer tüm büyük bulut sağlayıcıları için test hizmeti sunuyoruz.

IaC (Infrastructure as Code) güvenlik analizi yapılıyor mu?

Evet, Terraform, CloudFormation, ARM templates gibi tüm IaC araçları için kod analizi ve güvenlik değerlendirmesi yapılır.

Kubernetes güvenlik testi yapıyor musunuz?

Evet, Kubernetes cluster güvenliği, pod security, network policies ve RBAC konfigürasyonları detaylı olarak test edilir.

Bulut güvenliğinde paylaşılan sorumluluk modeli testi nasıl etkiler?

AWS, Azure ve GCP'de altyapının güvenliği sağlayıcıya, buluttaki yapılandırma, kimlik, veri ve uygulama güvenliği ise müşteriye aittir (paylaşılan sorumluluk modeli). Testlerimiz sağlayıcının fiziksel/hipervizör katmanını değil, sizin sorumluluğunuzdaki katmanı hedefler: IAM politikaları, S3/Blob/Cloud Storage erişim ayarları, güvenlik grupları/NSG'ler, şifreleme, secret yönetimi ve iş yükü yapılandırması. Bu ayrımı raporda net biçimde belirterek hangi bulguların sizin, hangilerinin sağlayıcının kapsamında olduğunu gösteririz.

AWS, Azure veya GCP'de sızma testi için sağlayıcı izni gerekir mi?

Büyük sağlayıcılar, kendi hesabınızdaki kaynaklara yönelik testlerin çoğu için önceden onay gerektirmez; ancak DoS/DDoS benzeri yıkıcı teknikler ve belirli servisler kısıtlıdır ve ayrı bildirim/izin gerektirir. Test öncesinde her zaman yazılı bir kapsam ve kurallar (Rules of Engagement) belirleriz: hangi hesap/abonelik ve kaynaklar dahildir, hangi teknikler yasaktır, test penceresi ve acil durdurma iletişimi. Kapsamın yalnızca sizin sahip olduğunuz veya yazılı yetki verdiğiniz kaynaklarla sınırlı olmasını sağlayarak sağlayıcı politikalarına ve yasal çerçeveye uygun ilerleriz.

Bulut güvenlik testi hangi standart ve çerçevelere göre yapılır?

Testlerimizi tanınmış çerçeveler ışığında yürütürüz: CIS Benchmarks (AWS/Azure/GCP/Kubernetes sertleştirme temeli), bulut hizmetleri için ISO/IEC 27017 ve buluttaki kişisel veri için ISO/IEC 27018 kontrol setleri, OWASP Cloud/Container rehberleri ve MITRE ATT&CK Cloud matris teknikleri. SOC 2 Type II denetimi olan kuruluşlar için bulgularımızı ilgili güven ilkeleriyle (özellikle Security) eşleştirir, denetim kanıtına dönüştürülebilir çıktı sağlarız. Bu çerçeveler yapılandırma temelini ve kapsamı belirlerken, manuel test gerçek istismar edilebilirliği doğrular.

Bulutta bir veri ihlali olursa KVKK ve GDPR açısından ne yapmam gerekir?

GDPR kapsamında bir kişisel veri ihlali, fark edilmesinden itibaren en geç 72 saat içinde ilgili denetim otoritesine bildirilmelidir; yüksek risk taşıyan ihlallerde etkilenen kişiler de bilgilendirilir. KVKK kapsamında da veri sorumlusu, ihlali Kişisel Verileri Koruma Kurulu'na ve etkilenen ilgili kişilere makul sürede bildirmekle yükümlüdür. Bulut testlerimiz bu bildirim yükümlülüğünün önüne geçmeyi hedefler: açık depolama alanları, aşırı yetkili IAM rolleri, şifrelenmemiş veri ve zayıf loglama gibi ihlale yol açabilecek yanlış yapılandırmaları önceden tespit ederiz. Bildirim sürecinin hukuki yürütmesi için hukuk/uyumluluk ekibinizle çalışmanızı öneririz.

Hizmet · Bulut Güvenliği

Bulut Altyapınızın Güvenliğini Sağlayın

AWS, Azure veya GCP altyapınız için kapsamlı güvenlik değerlendirmesi

Teklif Alın

Çerez Kullanımı

Web sitemizde deneyiminizi geliştirmek için çerezler kullanıyoruz. Devam ederek çerez kullanımını kabul etmiş olursunuz.

Çerez Politikası