AWS, Azure ve GCP altyapınızı uçtan uca test ediyoruz.
Yanlış yapılandırma, IAM zafiyetleri, container ve Kubernetes riskleri dahil; bulut ortamınızın tüm kritik katmanlarını gerçek saldırgan bakış açısıyla test ediyoruz.
Desteklenen Bulut Platformları
Tüm büyük bulut sağlayıcıları için uzman güvenlik testleri
Amazon Web Services (AWS)
En yaygın kullanılan bulut platformu için kapsamlı güvenlik değerlendirmesi
- IAM ve erişim kontrolü analizi
- S3 bucket güvenlik testleri
- EC2 ve güvenlik grubu değerlendirmesi
- Lambda ve serverless güvenlik
Microsoft Azure
Enterprise altyapılar için Azure güvenlik testleri
- Azure AD ve kimlik yönetimi
- Storage hesap güvenliği
- Sanal makine güvenlik değerlendirmesi
- Azure Functions güvenlik
Google Cloud Platform (GCP)
GCP altyapınız için detaylı güvenlik analizi
- GCP IAM ve servis hesapları
- Cloud Storage güvenlik testleri
- Compute Engine değerlendirmesi
- Cloud Functions güvenlik
Test Alanları
Bulut altyapınızın tüm kritik bileşenleri test edilir
Yapılandırma Güvenliği
Hatalı konfigürasyonlar ve güvenlik açıkları
IAM ve Erişim Kontrolü
Kimlik ve yetkilendirme mekanizmaları
Veri Koruma
Veri şifreleme ve depolama güvenliği
Container ve Kubernetes
Container orchestration güvenlik testleri
Yaygın Bulut Güvenlik Zafiyetleri
Yanlış Yapılandırmalar
Açık S3 buckets, public snapshots
Zayıf IAM Politikaları
Aşırı izinler, zayıf kimlik doğrulama
Güvensiz API'ler
API kimlik doğrulama ve yetkilendirme sorunları
Veri Şifreleme Eksikliği
Şifrelenmemiş depolama ve iletim
Log & İzleme Eksikliği
Yetersiz denetim ve izleme
Network Segmentasyon
Zayıf network izolasyonu
Test Metodolojisi
Kapsamlı bulut güvenlik testi yaklaşımımız
Bulut altyapı keşfi
Servis ve kaynak listeleme
Zafiyet istismarı
Privilege escalation
Kalıcılık mekanizmaları
Detaylı raporlama
Uyumluluk Standartları
Bulut hizmetleri güvenlik standardı
Cloud Security Alliance sertifikasyonu
Service organization control
Veri koruma uyumluluğu
Sık Sorulan Sorular
Bulut güvenlik testi ne kadar sürer?
Ortalama 3-5 hafta sürmektedir. Bu süre bulut altyapınızın karmaşıklığına, servis sayısına ve kapsamına göre değişir.
Test sırasında servislerim kesintiye uğrar mı?
Hayır, testler non-intrusive yöntemlerle gerçekleştirilir ve production sistemleriniz etkilenmez. Kritik testler için ayrı test ortamı kullanılır.
Hangi bulut platformları destekleniyor?
AWS, Azure, Google Cloud Platform ve diğer tüm büyük bulut sağlayıcıları için test hizmeti sunuyoruz.
IaC (Infrastructure as Code) güvenlik analizi yapılıyor mu?
Evet, Terraform, CloudFormation, ARM templates gibi tüm IaC araçları için kod analizi ve güvenlik değerlendirmesi yapılır.
Kubernetes güvenlik testi yapıyor musunuz?
Evet, Kubernetes cluster güvenliği, pod security, network policies ve RBAC konfigürasyonları detaylı olarak test edilir.
Bulut güvenliğinde paylaşılan sorumluluk modeli testi nasıl etkiler?
AWS, Azure ve GCP'de altyapının güvenliği sağlayıcıya, buluttaki yapılandırma, kimlik, veri ve uygulama güvenliği ise müşteriye aittir (paylaşılan sorumluluk modeli). Testlerimiz sağlayıcının fiziksel/hipervizör katmanını değil, sizin sorumluluğunuzdaki katmanı hedefler: IAM politikaları, S3/Blob/Cloud Storage erişim ayarları, güvenlik grupları/NSG'ler, şifreleme, secret yönetimi ve iş yükü yapılandırması. Bu ayrımı raporda net biçimde belirterek hangi bulguların sizin, hangilerinin sağlayıcının kapsamında olduğunu gösteririz.
AWS, Azure veya GCP'de sızma testi için sağlayıcı izni gerekir mi?
Büyük sağlayıcılar, kendi hesabınızdaki kaynaklara yönelik testlerin çoğu için önceden onay gerektirmez; ancak DoS/DDoS benzeri yıkıcı teknikler ve belirli servisler kısıtlıdır ve ayrı bildirim/izin gerektirir. Test öncesinde her zaman yazılı bir kapsam ve kurallar (Rules of Engagement) belirleriz: hangi hesap/abonelik ve kaynaklar dahildir, hangi teknikler yasaktır, test penceresi ve acil durdurma iletişimi. Kapsamın yalnızca sizin sahip olduğunuz veya yazılı yetki verdiğiniz kaynaklarla sınırlı olmasını sağlayarak sağlayıcı politikalarına ve yasal çerçeveye uygun ilerleriz.
Bulut güvenlik testi hangi standart ve çerçevelere göre yapılır?
Testlerimizi tanınmış çerçeveler ışığında yürütürüz: CIS Benchmarks (AWS/Azure/GCP/Kubernetes sertleştirme temeli), bulut hizmetleri için ISO/IEC 27017 ve buluttaki kişisel veri için ISO/IEC 27018 kontrol setleri, OWASP Cloud/Container rehberleri ve MITRE ATT&CK Cloud matris teknikleri. SOC 2 Type II denetimi olan kuruluşlar için bulgularımızı ilgili güven ilkeleriyle (özellikle Security) eşleştirir, denetim kanıtına dönüştürülebilir çıktı sağlarız. Bu çerçeveler yapılandırma temelini ve kapsamı belirlerken, manuel test gerçek istismar edilebilirliği doğrular.
Bulutta bir veri ihlali olursa KVKK ve GDPR açısından ne yapmam gerekir?
GDPR kapsamında bir kişisel veri ihlali, fark edilmesinden itibaren en geç 72 saat içinde ilgili denetim otoritesine bildirilmelidir; yüksek risk taşıyan ihlallerde etkilenen kişiler de bilgilendirilir. KVKK kapsamında da veri sorumlusu, ihlali Kişisel Verileri Koruma Kurulu'na ve etkilenen ilgili kişilere makul sürede bildirmekle yükümlüdür. Bulut testlerimiz bu bildirim yükümlülüğünün önüne geçmeyi hedefler: açık depolama alanları, aşırı yetkili IAM rolleri, şifrelenmemiş veri ve zayıf loglama gibi ihlale yol açabilecek yanlış yapılandırmaları önceden tespit ederiz. Bildirim sürecinin hukuki yürütmesi için hukuk/uyumluluk ekibinizle çalışmanızı öneririz.
Bulut Altyapınızın Güvenliğini Sağlayın
AWS, Azure veya GCP altyapınız için kapsamlı güvenlik değerlendirmesi