Amazon AWS‘nin ücretsiz olduğunu guyan bir takım geliştiriciler ve sistem yöneticileri ilk seneyi ücretsiz kullanarak Amazon alt yapısına ve onun eko sistemine giriş yaparlar. Bu tür hesapları kullanan arkadaşlar bilerek veya bilmeyerek yüksek ücretler ödeyebiliyor, kimi zamanda hesaplarının çalınması ile bir takım hoş olmayan sonuçlar doğabiliyor.
Herkese açık git repolarına erişim anahtarlarını atmak gibi hataya düşenlerde ayrıca olabiliyor. Allahtan bu noktada github gibi web siteleri otomatik olarak Amazona durumu raporluyor ve erişim anahtarı anında kapatılıyor.
Yapacaklarımız ile hesabınızın saldırıya uğramasını en aza indirebilir, gerektiği gibi hesabınızı koruyabilirsiniz.
Ne Yapmalısınız?
- Amazon AWS hesabınıza root olarak erişseniz bile, yeni bir IAM kullanıcısı oluşturun bu kullanıcıda ödeme yetkileri olmasın, Ödeme yetkileri olan ana root hesabınızı kullanmayın.
- Kullandığınız hesapların parolaları 16 karakterden uzun olsun
- IAM kullanıcıları için parola kullanım süresini ve güçlü parola ilkesini etkinleştirmeyi unutmayın.
- Hesabınızda MFA etkinleştirin ve IAM kullanıcıları için zorunlu kılın
- Gerekmedikçe AWS API anahtarı oluşturmayın. Kullanmadığınız API anahtarlarını devre dışı bırakın veya silin.
- Halka açık bir şekilde API anahtarınızı paylaşmayın, kaynak kodunuz içinde API anahtarınızı bulundurmayın.
- Amazon kaynaklarınıza erişebilmek için IAM kullanıcılarınızı kullanın.
- Güvenlik politikalarında asla bütün portlar için izin oluşturmayın, ihtiyacınız olmayan portu aktif etmeyin. AWS üzerinde mümkünse WAF ve Bastion host kullanın
- Ek güvenlik katmanı olması amacıyla NACL‘leri aktif edin ve kullanın
- Erişim loglarını CloudTrail servisi ile izleyin, API istekleride buna dahil. Ayrıca CloudWatch ile şüpheli aktiviteleri raporlayabilirsiniz.
- SNS kullanarak faturalandırma bildirimi ayarlayın ve kaynakları mutlaka izleyin, istenmeyen ücretlerin önüne geçin.
- Makinelerin erişimleri için Amazon VPN kullanın, dışarı hiç bir makineyi açmayın
- VPC ile makineleri bir birine bağladığınızda ek koruma amacıyla yeni subnet oluşturup NAT ayarlamaları yapın.
- EC2 üzerinde kullandığınız servislerde dışarıya erişimi olan uygulama sunucularına mutlaka Antivirüs yazılımları kurun
- AWS CloudWatch kullanarak EC2 makinelerindeki sistem loglarını mutlaka izleyin.
- AWS API anahtarınızı e-posta ile kesinlikle göndermeyin, gönderirsenizde anahtarınızı güvenliğe almak için değiştirin.
- API anahtarınızı yıllık olarak mutlaka değiştirin.
Merhabalar, Yazınız için çok teşekkürler. Aws güvenliği hakkında denk geldiğim tek Türkçe içerik. AWS servisleri hakkında daha fazla uygulamalı içerik üretebilir misiniz ?
Vakit buldukça, AWS üzerinde yapılan işlemleri yazmaya çalışıyorum. Faydalı olabildiyse ne mutlu 🙂