Bulut kullanımı her geçen gün artıyor, ancak müşterilerin “bulut varsayılan olarak güvenli” imajında ne yazık ki düzelme yok. Burada atladıkları çok önemli bir sorun var. Örneğin bir bulut altyapısında deployment yapılacak, bu durumda veri tabanı, yazılım, alt yapı, güvenlik, iş ailesi derken çok kalabalık ekipler eş zamanlı çalışmaya başlıyorlar. Aslında bu ekipler başlamadan önce çok sağlam bir RBAC tasarımı yapılmalı ve herkesin kaynak yaratması, güncellemesi, silmesi gibi kritik operasyonları standartlaştırmak gerekli. Ancak bir şekilde test, preprod, dev ortamı derken bu disiplin bozuluyor. Sonuçta onprem de bir yazılımcının veya veri tabanı uzmanın kafasına göre firewall’a bağlanıp port açamayacağı durumları cloud ortamlarında 3 next ile yapabildiğini görüyoruz. Bu tecrübemi destekleyen bir rapor yayınlandı;
Tenable tarafından yayımlanan 2025 Bulut Güvenliği Risk Raporu, pek çok kuruluşun bulut depolama yapılandırmalarında ciddi açıklar bıraktığını ve bu nedenle yanlış bir güvenlik algısına kapıldığını ortaya koydu.
Araştırmaya göre herkese açık bulut depolama alanlarının %9’unda hassas veriler yer alıyor. Bu verilerin %97’si gizli veya kısıtlı bilgi kategorisine giriyor.
Tenable’ın bulgularına göre açıkta kalan veriler arasında API anahtarları, erişim bilgileri, şifreleme anahtarları ve erişim tokenları bulunuyor. Hatta kullanıcı adları ve şifreler bile doğrudan erişime açık şekilde depolanıyor. Özellikle Amazon Web Services (AWS) ortamında, kuruluşların %54’ü en az bir kritik bilgiyi doğrudan ECS görev tanımlarına gömülü hâlde tutuyor. Ayrıca tüm AWS EC2 örneklerinin %3.5’inde kullanıcı verilerinde doğrudan gizli bilgilere rastlanmış.
AWS kullanan kuruluşların %83’ü kimlik sağlayıcıları (IdP) ile kimlik yönetimi sağlasa da, varsayılan izinlerin aşırı esnek olması, sabit yetkilendirmeler ve genişletilmiş erişim hakları nedeniyle kimliğe dayalı tehditler devam ediyor.
Benzer şekilde, Google Cloud Platform üzerinde çalışan Cloud Run kullanıcılarının %52’si ve Microsoft Azure Logic Apps kullanıcılarının %31’i riskli durumda bulunuyor. Bu sistemlerde de yapılandırma eksiklikleri nedeniyle hassas veriler dışarıya açık hâlde kalabiliyor.
Özetle proje bittikten sonra prod ortama çıkmadan mutlaka cloud security işinden anlayan bir firma ile pentest veya zafiyet testi yaptırmanızı öneririm.
Müracaatları danışmaya yapabilirsiniz :)
