Bulut sanal makineler eşsiz bir hız, ölçek ve esneklik sunar ancak bunlar kendi başlarına bırakılırsa sonunda pek bir anlam ifade etmeyebilir
Neredeyse tam yirmi yıl önce, Amazon Web Services (AWS) Simple Storage Service (S3) hizmetini piyasaya sürdü. Birkaç ay sonra, şirketin Elastic Compute Cloud (EC2) hizmeti, 2008’de resmî olarak piyasaya sürülmeden önce halka açık beta testine açıldı. Bu olaylar, her büyüklükteki kuruluşun BT altyapısı hakkındaki düşünce tarzını değiştiren modern, isteğe bağlı bulut depolama ve bilgi işlem çağını başlattı.
Günümüzde ise iş yüklerinin en azından bir kısmını buluta “taşıyıp aktarmamış” veya yakında yapmayı planlamayan çok az kuruluş mevcut. Nitekim, bazıları artık tamamen bulutta çalışırken diğerleri genellikle çoklu bulut kurulumlarında bulut iş yüklerini, yakın zamanda kullanımdan kaldırılmayacak şirket içi kaynaklarla eşleştirmiştir.
Bu kuruluşların ortak noktalarından biri, daha yakından incelenmeyi hak ediyor. Sanal makine (VM) yayılması, yani genellikle kendi başlarına bırakılan sanal makinelerin kontrolsüz büyümesi.
Kontrolsüz yayılan sanal makineler ve riskleri
Genel bulut hizmeti sağlayıcıları (CSP’ler), yeni sanal makinelerin provizyonunu tasarım gereği sorunsuz hâle getirir; sonuçta, bu, sundukları hizmetin bu kadar çekici olmasının nedenlerinden biridir. Birçok yöneticinin de doğrulayabileceği gibi, yeni bir sanal makine örneği anlar içinde kurulabilir. Ancak hizmetten çıkarılması nadiren aynı aciliyetle ele alınır.
Birçok şirkette, özellikle AWS, Azure, GCP ve/veya diğer CSP’leri içeren çoklu bulut kurulumlarına sahip olanlarda, bu yayılma, güvenlik operasyonlarının dışında kalan iş yüklerinin giderek artmasına neden olur. CSP’ler temel koruma sağlar ancak devam eden işler müşteriye düşer. Makineler genellikle işletim sistemi güncellemelerini bile almaz; daha da kötüsü, genellikle izlenmezler ve birinin örneği oluşturduğu günden beri değişmemiş erişim politikalarına tabidirler. Bu, bir sanal makinenin, çok geç olana kadar fark edilmeden ‘kontrolden çıkma’ riskini artırır.
Bulut görünürlüğü, kuruluşların yalnızca yaklaşık %23’ünün bulut ayak izine ilişkin kapsamlı bir görüşe sahip olduğunu bildirmesi nedeniyle kalıcı bir sorundur. VM filoları da dâhil olmak üzere varlıkların kontrolsüz büyümesi, sorunun büyük bir kısmını oluşturur. Temel saldırı yolları – yanlış yapılandırılmış depolama kovaları ve açık API’ler – ihlal bildirimlerinde baskındır. Bunun nedeni kısmen, kamuya açık sinyaller üretmeleridir. Bu arada sanal makine kötüye kullanımı, ortamın içinde ve dışında da daha ince bir şekilde gerçekleşir; bulut depolamasını sorgulayan yönetilen bir kimlik, oturum açmaya çalışan harici bir IP adresi ile aynı alarmları tetiklemez.
Cloud Security Alliance (CSA) tarafından yayımlanan yakın tarihli bir raporda, yanlış yapılandırma ve yetersiz değişiklik kontrolü, bulut kaynakları için ana tehdit olarak sıralanmış, bunu kimlik ve erişim yönetimi (IAM) zayıflıkları izlemiştir. Bu durum hem sanal makinenin kendisi hem de erişebildiği öğelerin incelenmesi gereken bulut iş yüklerinin kimlik odaklı doğasıyla uyumludur. Microsoft’un 2024 Çoklu Bulut Güvenliği Durum Raporu’na göre, sanal makinelere ve diğer insan dışı kaynaklara atanan iş yükü kimliklerinin sayısı, insan kimliklerinin sayısını büyük ölçüde aşmaktadır ve kuruluşlar daha fazla bilgi işlem kaynağı devreye aldıkça bu fark giderek artar.
Gerçekte durum oldukça sıradan: Örneğin, bir makine öğrenimi mühendisi veri işleme görevleri için bir sanal makine (VM) hazırlıyor. Sanal makineye bir kimlik atanıyor ancak izinlerini “en az ayrıcalık” ilkesine uygun olarak sınırlandırmak çok zaman alacağı için veri depolama alanına ve diğer kaynaklara geniş okuma/yazma erişimi veriliyor. Projeler sona eriyor ancak aşırı izinlere sahip sanal makineler “kendi hallerine bırakılıyor.”
Çürümeye terk edilmiş sanal makineler
Ancak terk edilmiş bir sanal makine, “toz toplamaktan” daha fazlasını yapabilir. Her VM, ortam genelinde iş yükünün neye erişebileceğini belirleyen bir tür kimliğe bağlı olduğundan unutulmuş örnekler kötü niyetli kişiler tarafından ilk adım atmak için istismar edilebilir. Aynı sanal özel bulut (VPC) veya sanal ağ (VNet) içindeki sanal makineler genellikle “doğu-batı” yönünde çok fazla kısıtlama olmaksızın birbirleriyle iletişim kurabildiğinden bir sanal makine komşu örnekleri inceleyebilir. Dâhili veri tabanlarına veya depolama uç noktalarına erişebilir ve kendisine verilen izinleri kötüye kullanabilir. Çoğu zaman, ağ mikro-bölümlendirme çok zor bir görev hâline gelir.
Hibrit kimliklerin bulunduğu hibrit ortamlarda işler daha da karmaşık hâle gelebilir. Örneğin, şirket içi Active Directory Entra ID ile senkronize edildiğinde, bir Entra ID kiracısına katılmış Azure’daki güvenliği ihlal edilmişbir VM, kuruluşun temel şirket içi altyapısının parçası olan dosya paylaşımlarına, veri tabanlarına, uygulamalara veya diğer kaynaklara erişebilir.
Sanal makineleri içeren gerçek saldırı örneklerine rastlamak zor değildir. Bir kampanyada saldırganlar, dâhili Uzak Masaüstü Protokolü (RDP) üzerinden AWS EC2 örnekleri arasında geçiş yaptı. Yüzlerce gigabaytlık sızdırılmış veriyi birden fazla sanal makineye aktardı ve bulut ağı içinde fidye yazılımı yaydı. İzleme sistemi bu etkinliği tespit etti ancak bunu durdurmak için otomatik yanıt düzgün bir şekilde kurulmamıştı ve fidye yazılımı dağıtımı devam etti.
Diğer saldırganlar ise sanal makinelerin çok kolay bir şekilde başlatılabilmesini istismar ediyor. Microsoft, ele geçirilen Azure hesaplarının, tek kullanımlık saldırı altyapısı olarak kısa ömürlü sanal makineler sağlamak için kötüye kullanıldığı bir kampanyayı belgelemiştir. Trafik, Azure ile ilişkili meşru IP adreslerinden geldiği için uyarılar yanlış pozitif olarak değerlendirilip göz ardı edilmiştir.
Dağıtım ve bozulma ile mücadele
Eğer BT ve güvenlik ekipleriniz küçükse diğer BT sorumluluklarının yanı sıra güvenliği de üstlenmektedir; bu durum, bu ölçekte hangi tür araçların işe yaradığıyla yakından ilgilidir. Platformlara özgü derin uzmanlığa, karmaşık dağıtım prosedürlerine ve BT altyapısının çeşitli bölümlerini yönetmek için bir dizi araca dayanan güvenlik ürünleri, bu amaca uygun olmayabilir. Hatta, yayılma sorununun en önemli kısmını gözden kaçırabilirler.
Durumu daha da karmaşık hâle getiren bir diğer konu ise bir olay kimlik suistimalini içeriyorsa ne olacağıdır. Sahte bir sanal makinedeki bir saldırgan, kimliğini kullanarak bulut veya şirket içi kaynaklara erişirken yalnızca sanal makinenin içinden bakıldığında şüpheli görünen hiçbir şey yapmıyor olabilir. Anormalliği yakalamak, sanal makinenin kendisinde olanları, sanal makinenin kimliğinin daha geniş ortamda yaptıklarıyla ilişkilendirmeyi gerektirir. Bu tür bir korelasyon, Entra ID ve Active Directory gibi kimlik çözümleriyle entegrasyona bağlıdır.
Hız sorunu da vardır. Güvenliği ihlal edilmiş bir bulut iş yükü, birleşik kimlik zinciri aracılığıyla şirket içi kaynaklara ulaşabildiğinde, ilk ihlal ile ciddi hasar arasındaki süre çok kısa olabilir. Yanal hareket başlamadan önce bir sanal makineyi (otomatik olarak) izole etmek her an gerçekleşmelidir. Bu, yapay zekâ destekli korelasyon ve çalışma zamanı algılamasının kendini hak ettiği senaryolardan biridir. Hiç kimse her iş yükünü 24 saat boyunca izleyip yeterince hızlı tepki veremez.
Başarılı saldırılar işletmelere pahalıya mal olur. Yakın zamanda yapılan bir ankete göre, her üç KOBİ’den biri siber saldırı sonrasında önemli miktarda para cezasına çarptırıldığını bildirmiştir. Bu durum, uyum eksikliğinin doğrudan finansal sonuçlar doğurabileceğini de hatırlatmaktadır. NIST 800-53 ve PCI DSS 4.0 gibi düzenleyici çerçeveler, bulut iş yükü güvenliği konusunda giderek daha spesifik hâle geliyor ve şirketlerin, bulut iş yüklerine atanan kimliklerin kapsamının uygun şekilde belirlenmesini ve sürekli izlenmesini sağlaması bekleniyor. Risk kimlik katmanında olduğunda, hassas verileri barındıran sunucularda erişim kontrollerini göstermek yeterli değildir.
Öte yandan, IBM’in “2025 Yılında Veri İhlalinin Maliyeti” raporuna göre, ihlallerin yüzde 30’u birden fazla ortama yayılmış verileri etkilemiştir; bu da kuruluşların çeşitli ortamlarda varlıklarını korumak konusunda karşılaştıkları sorunları göstermektedir. Ortaya çıkan maliyetin önemli bir kısmı, sızma ile tespit arasındaki süreye yani kalma süresine (dwell time) bağlanmaktadır. Ortamlarında neler olup bittiğini göremeyen kuruluşlar, ihlalleri genellikle müşteri şikâyeti gibi “dış” sinyaller yoluyla keşfederler; bu noktada saldırgan haftalarca veya aylarca erişim sağlamış olur.
Son olarak
Sanal makineler, en eski ve en sık kullanılan modern bulut kaynaklarından biridir. VM’lerin yayılması sessizce ilerler ve genellikle bir sorun ortaya çıktıktan sonra fark edilir. Korunmasız iş yükleri kimlikleri taşır ve birbirleriyle ve şirket içi kaynaklarla, tüm güvenlik denetimlerinin gözlemleyip yakalayamayacağı trafik modelleri üzerinden iletişim kurar.
Öncelikle, her kuruluşun tüm bulut platformlarındaki sanal makine (VM) filolarını envanterine kaydetmesi, her bir sanal makinenin kimliğine bağlı izinleri gözden geçirmesi ve gereksiz “doğu-batı” ile “kuzey-güney” erişim açıklarına karşı ayarlarını denetlemesi gerekir. Atasözünde de söylendiği gibi, iyi çitler iyi komşuluklar sağlar.
Bulut ve şirket içi ortamlarda iş yükleri çalıştıran kuruluşlar için asıl soru, güvenlik araçlarının sanal makineleri, çalışanların masalarındaki uç noktalara ve altyapılarının diğer bölümlerine uygulanan titizlikle izleyip izleyemeyeceğidir. Ancak o zaman tam bir resim görebilir ve çeşitli ortamlardaki verilerini güvence altına alabilirler.
