Geçtiğimiz yıl, şirketlerin %50’sinden fazlası bulutla ilgili ve bulut depolamada halk tarafından hala erişilebilir olan %9 hassas veri ihlallerinin kurbanı oldu.
Bulut sunucusunun güvenliği, paylaşılan (aynı zamanda yönetilen olarak da bilinir) uygulamaları veya ortak kaynaklardaki müşteri verilerini ve uygulamalarını koruyabilmek için kullanılan insanları, süreçleri ve teknolojiyi de kapsayabilir.
İster yönetilen veya paylaşımlı barındırma kullanıyor olun, sağlayıcınızın çoğu güvenlik ölçütlerini koruyacak olsa da altyapı güvenliği yine de ortak bir sorun olarak bilinir.
Bu rehberin asıl amacı bulut sunucu güvenliğini size kolay bir şekilde anlatmak. Ufak işletmeler için olabilecek tehditleri, ABD yasalarının ve frameworklerinin nasıl uygulanabileceğini ve baskıyı azaltmak için ne gibi kontrolleri kullanmanız gerektiğini öğreneceksiniz. Aynı zamanda barındırma sağlayıcılarından ne beklemeniz gerektiğini ve iş akışınıza uyum sağlayacak güvenlik prosedürlerini nasıl sağlayacağınızı öğrenebileceksiniz.
Bulut Sunucu Güvenliğini Anlamak
- Yönetilen veya paylaşılan bulut barındırmada websiteniz ve uygulamalarınız sağlayıcınızın sahip olduğu ve yönettiği sunucularda depolanır. “Bulut” adı verilen bu sunucular dağınık ve ölçeklenebilir veri merkezleridir.
- “Yönetilen” sağlayıcınızın sunucu bakımını ve işletim sistemi güncellemelerini yaptığı ve aynı zamanda güvenlik yamalarını ve donanım takibini yaptığı anlamına gelir.
- “Paylaşılan” ise tek bir sunucu donanımında birden fazla müşteri hesabının bulunduğu anlamına gelir ve sanallaştırma kullanılarak birbirinden uzaklaştırılır.
Gerçek Dünya Örneği
Diyelim ki paylaşımlı sunucu herhangi bir zamanda 50 site barındırıyor. Barındırma sağlayıcısı, sunucu işletim sistemini, ağ ve güvenlik duvarı koruması gibi hizmetleri sağlar. Bir müşteri WordPress sitesinde, “admin” gibi sıradan bir şifre kullanarak yönetici kontrol girişini tehlikeye sokabilir.
Eğer bariyer aşılırsa, hacker siteye giriş yapabilir ve belki de diğer hesaplara bile erişebilir. Donanım sağlayıcı tarafından düzgün bir şekilde korunur ama müşterinin yaptığı ayarlar da herhangi bir sorun oluşmasına yol açabilir.
SMBler tarafından Gerçekleşen Bulut Sunucusu Güvenliği Riskleri
SME’ler en acil ilgilenilmesi gereken bulut güvenliği tehditlerindendir. Bu gibi riskleri önceden bilmek hangi güvenlik önlemlerini alacağınız ve önceliklendireceğiniz konusunda karar vermenize yardımcı olur.
Yanlış Ayarlar ve Halka Mal Olmuş Varlıklar
Halka mal olan varlıkların %9’u hassas bilgiler içermekte. Yaşanabilecek yanlış yapılandırmalar, geliştiriciler erişimi engellemeyi başaramadığında, varsayılan ayarları tıpkısı gibi bıraktıklarınd veya depolama alanlarını şifre koruması olmadan açtığında sorunlar oluşur. Paylaşımlı barındırma kurulum esnasında, iyi yapılandırılmamış websitesi, eğer barındırma sağlayıcınız UltaHost’ta yaptığımız gibi size yeterli koruma sağlamıyorsa yanal saldırılara açık hale gelir.
Zayıf Kimlik Doğrulaması ve Şifre Yeniden Kullanımı
Hackerlar kolay şifreler ve tüm servisler arası tekrar tekrar kullanılmış giriş bilgilerinin peşinden gitmekte. Eğer e-postanız ve şifreniz bir başka sitede gerçekleşen veri sızıntısı nedeniyle artık biliniyorsa, saldıranlar aynı bilgileri kullanarak barındırma hesabınızı, WordPress barındırma admin panelinı ve veritabanı erişimine de kötü amaçlı kullanmaya çalışacaktır.
İş Yüklerindeki Sabit Kodlu Parolalar
AWS ECS kullanıcılarının %54’ü API anahtarlarını, veritabanı şifreleri veya belirteçleri uygulama kodlarına veya yapılandırma dosyalarına yerleştirdi. Kod depoları herkese açık hale getirildiğinde veya yedekler bir şekilde dağıtıldığında, bu sırlar tüm sistemleri açığa çıkarır. Hem de aynı şey yönetilen barındırma için de söz konusudur: WordPress eklentilerinde veya özel kodlarda sabit kodlanan kimlik verileri, uzun süreli ancak arkada gizlice duran bir güvenlik açığı oluşumuna sebep olur.
Hibrit ve Paylaşımlı Durumlarda Görünürlük
Şirketlerin %91’i kendi bulut tabanlarına yeteri kadar hakim olmadıklarını itiraf eder. Paylaşımlı barındırma için, sunucunuzda diğer hesapların ne yaptığını göremezsiniz. Bu nedenle bulutun hibrit ortamı ve yerel sunucu çözümleri, tam veri akışı izleme, patternlere erişim de dahil olmak üzere yönetimi oldukça zorludur. Herhangi bir görüş hattı olmadan erken aşamadaki ihlalleri fark edemiyor olmak, sorunları ileride bulmayı neredeyse imkansız hale getiriyor.
Yetersiz Yedekleme Yüzünden Veri Kaybı
Donanım arızaları veritabanlarına zarar verir. İnsan hatası ise kritik verilerin silinmesine sebep olur. Yine de eğer ana sunucunuz kendi sunucunuzdan farklı bir lokasyonda günlük olarak yedeklenmiyorsa, veri kaybı sorunundan muzdarip olacaksınız demektir. Birçok küçük işletme sahipleri ihtiyaç duyacakları zamanı kestiremez ve buna bir birikim harcamaz.
Yükselen Trendler: Yapay Zeka İş Yükleri, Yanal Hareket, Kimlik Saldırıları
Bulut Güvenlik İttifakı’nın 2025 raporunda artan tehditler: yapay zeka iş yükleriyle dolu entegrasyonlar yapmak, çok kullanıcılı ortamlarda tehlikede olan hesaplar arasında yatay olarak hareket etmek ve eski tarz güvenlik önlemleri almak yerine kimlik doğrulama sistemlerini hedef almak.
Bulut mimarisi ne kadar büyürse saldırı ihtimali de o kadar artar.
ABD Regülasyonları ve Bulut Güvenliği için Resmi Rehber
İlgili yasalar ve yapıları bilmek, güvenlik protokollerinizi daha önceden denenmiş ve test edilmiş şablonlarla eşleştirmenizi sağlar.
NIST Siber Güvenlik Frameworkü 2.0
Ulusal Standartlar ve Teknoloji Enstitüsü, 2024’ün Temmuz ayında Siber Güvenlik Framework’ünün Version 2.0’ını yayınladı. Güvenlik “işlevlerini” 5 farklı alana ayırır: Tanımla, Koru, Tespit et, Dönüş yap ve Kurtar. Şimdilik isteyen kullanabilmekte ama risk yönetimi tabanlı kullanımlar için yaygın olarak tercih ediliyor.
CISA Siber Güvenlik En İyi Uygulamalar
Genel siber güvenlik, CISA, web sitesi olan bu kuruluş, bulut hizmetlerinin kullanımını değerlendirmeye yönelik kaynaklar, BT güvenlik açığı uyarıları ve olay müdahale kılavuzu da dahil olmak üzere her ölçekte yer alan kuruluşlar için pratik öneriler sunar.
Bulut Güvenliği Başlıca İttifak Tehditleri
Federal olmayan varlıklar için, Bulut Güvenlik İttifakı, bulut tabanlı güvenlik için oluşabilecek başlıca tehditleri her yıl rapor olarak sunar. 2025 yılındaki raporu içerisinde yapay zeka riskleri, kimlik saldırıları ve yanlış düzeltmeler bulunuyor. Bu gibi gönüllü frameworkler, işletmelerin güvenlik yatırımlarına odaklanmalarını sağlar.
Bu araçlar iyi bir başlangıç yapmanıza yardımcı olur. Yasal veya uyumluluk tavsiyesi size veremeyiz. Bu konuda profesyonelleşmiş hizmet verenlerden kendi bölgenizdeki regülasyonlar konusunda bilgi alarak hareket edebilirsiniz.
Paylaşımlı ve yönetilen bulut sunucuları için en iyi gerekli uygulamalar
Çok Faktörlü Kimlik Doğrulama (MFA)
Her zaman MFA, yani çok faktörlü kimlik doğrulamayı ister barındırma kontrol paneline giriyor olun ister WordPress, SSH ve veritabanı erişim araçları olsun fark etmeksizin tüm admin girişleri için etkinleştirin.
Rol Tabanlı Erişim Kontrolü (RBAC)
Rol Tabanlı Erişim Kontrolü (RBAC) sistemi, bireyin görevine bağlı olarak erişim haklarını düzenler; bu nedenle bir yönetici düzenleme araçlarına hakim olabilirken, bir çalışan sadece görüntüleme hakkına sahip olur. Geliştiricilerin içerik üreticilerinden veya düzenleyicilerinden daha farklı seviye erişime ihtiyacı var, çünkü kod yazıyorlar, metin değil.
İletim Sırasında Şifreleme
Veriler hareket ettiği anda şifreleyin. Sunucunuza bağlanan her bağlantı TLS 1.3 veya üzeri olmalı! (Bu da her bir paketi mühürlenmiş zarf gibi korur). Bu da demek oluyor ki HTTPS güvenli web trafiği, dosyalar taşınırken SFTP ve admin işlerine erişmeniz gerektiğinde SSH şifreleme yöntemleri kullanılıyor.
Günlük Otomatik Yedeklemeler
Günlük otomatik yedeklemeler, elinizde sıcak kahveyle ve bulanık, yedeklenmemiş anılarla kapıdan aceleyle çıkarken yaşanabilecek felaketleri (veya dosyalarınızın kaybını) önler. Kaybolmadan önce her bir değişikliğin kaydedilmesini sağlar.
Site Dışı Veri Koruması
Eğer aynı sunucu veya bilgisayarda dosyalar erişilebilir halde olsa bile site dışı depolama da sayılır. Bu durumda yine de başımıza kazalar gelebiliyor! Yedeklemelerinizin bir başka sisteme aktarılabilir olduğundan emin olun.
Düzenli Kurtarma Testi
Düzenli olarak kurtarma testleri greçekleştirin, her 3 ayda bir her şeyin yeniden çalışmaya başladığından emin olun.
Uygulama Güncellemeleri
WordPress’in, eklentilerin, temaların ve herhangi bir özel uygulamanın yönetiminden ve bakımından sorumlusunuz. Güvenli anlarda otomatik yedeklemelerin gerçekleştiğinden emin olun ve zaman zaman kritik olanları manuel olarak incelemeyi unutmayın.
30 Günde Yama
Hackerlar genellikle haftalar öncesinden yamalanması gerektiğinin farkında olduğumuz açıkları yok eder. Çıkışından itibaren 30 gün içinde güncellemek, tüm açıklar keşfedilmeden ve raporlanmadan önce kapatmak demek.
Uygulama Güvenlik Duvarı (WAF)
Web Uygulama Güvenlik Duvarı (WAF) WordPress’inizi ve diğer web uygulamalarınızın hacklenmesini ve kötü amaçlı trafiğin web sitenize ulaşmadan önce engellenmesi için harici bir güvenlik duvarı kullanılarak elde edilen güvenlik açıklarından yararlanır.
Barındırma Sağlayıcısı’nın Bulut Güvenliği Değerlendirmesi
- %99.9 çalışma süresi garantisini talep edin. Bu yılda 9 saatten daha az kesinti süresi anlamına gelir.
- Sağlayıcınıza, hangi sertifikaları sunduklarını ve eğer mümkünse denetim özelliklerini görmeyi talep edin.
- NVMe SSDler güvenlik taramaları ve yedeklemeler sarasında yaşanabilecek saldırı ihtimalini azaltır.
- Yerleşik DDoS Koruması pakete dahil olmalı. Maliyetli bir ayrı satın alma ile erişilebilir olmamalı.
- Güvenlik sorunlarıyla ne kadar hızlı ilgilenildiğini sorun. Şüpheli ihlaller için ilgilenme süreleri ne kadar ve süreç nasıl işilyor?
- Günlük Otomatik Yedeklemeler büyük bir güvenlik ihlalini ortadan kaldırır.
- Sağlayıcılar, uygulamalrını anlatan güvenlik ilkelerini açıkça paylaşmalı.
- Verinizin fiziksel olarak nerede saklandığını bilin. ABD tabanlı veri merkezleri ABD regülasyonlarıyla uyumluluğu basit hale getirir.
| ISO 27001: Güvenlik yönetim hizmeti için uluslararası standart. Sistematik güvenlik uygulamalarını gösterir. SOC 2: Güvenlik, erişilebilirlik, gizlilik, işleme bütünlüğü ve gizlilik kontrolünü kapsayan denetim raporu. PCI DSS: Eğer kredi kartı ile ödeme işlemi yapılmasına ihtiyaç varsa kullanılır. Güvenli bir şekilde ödeme işleminin gerçekleşmesini sağlar. |
UltaHost Bulut Sunucusu Güvenliğini Sizin için Nasıl Hazırlar
UltaHost’un yönetilen bulut barındırma hizmetleri küçük işletmeleri, feelancerları ve ajansları koruyacak güvenliğe sahiptir. Ayrıca hizmeti karmaşık hale getirmeyecek araçları kullanarak güvenlik risklerini minimuma indirir.
NVMe SSD Donanımı ve %99.9 Çalışma Süresi
Hızlı NVMe katı hal sürücüsü güvenlik operasyonlarının sürdürülebilir olduğundan emin olarak hızlı performans sunar. Ayrıca hızlı yedekleme oluşumu, hızlı güvenlik taraması ve hassas takip özelliklerini de sunar.
Güvenlik İlkesi: En önemli güvenlik ilkelerinden biri olan %99.9 çalışma süresi garantisinini sağlandığından emin olur. Müşterileriniz ihtiyaçları olduğunda sitelerini alacak ve böylece uzun süreli arıza sürelerinin yol açacağı itibar kaybından da kurtulmuş olursunuz.
Ücretsiz DDoS Koruması ve Günlük Otomatik Yedeklemeler
UltaHost’un DDoS özelliği ek bir ücret ödemeden erişilebilirdir ve sitenizin sizi saatlerce belki günlerce bile çevrimdışı yapacak herhangi bir saldırıda çalışır olduğundan emin olur.
Günlük otomatik yedeklemeler, siz manuel yedekleme yapmayı unutsanız bile yedeklemenin gerçekleştiğinden ve işlerinizin kaybolmayacağından emin olur. Sadece bu iki özellik bile, hizmetlerin hata verme ve yeterli yedekleme olmama gibi en büyük riskleri hafifletiyor.
7/24 Canlı Destek
UltaHost, sizin altyapınızı anlayacak gerçek personellerle günün her saatinde canlı destek ve form (ticket) desteği sunar. Şüpheli bir hareket gözlemlendiğinde veya yedeklemeden geri yükleme işlemi gerektiğinde hızlıca bilgili desteğe ulaşabiliyor olmanız dönüş hızını ve bekleme süresini kısaltır.
Ücretsiz Websitesi Taşıma ve Kurulum
Eğer barındırma sağlayıcıları arasında geçiş yapacaksanız sitenizin sorunlar yaşayacağı, DNS’inin bozulacağı, veritabanının ortaya döküleceği, dosyalarınızın kaybolacağı veya SSL sertifikasının bir süreliğine ulaşılamayacağı gibi bazı risklerin yaşanma ihtimallerini göz önünde bulundurmalısınız.
UltaHost ücretsiz websitesi taşıma hizmeti sunar ve ayrıca kuruluma yardım eder. Bu sayede geçiş ve yanlış yapılandırma riski azalır. Taşıma ekibi herhangi bir teknik işlemde sorumluluk alarak güvenlik ayarlarının doğru bir şekilde transfer edildiğinden emin olur.
Dürüst Fiyatlandırma ve 30 Gün Risksiz Deneme
UltaHost’un fiyatlandırması oldukça basit; gizli maliyetler yok, ne görüyorsanız onu ödersiniz. Ayrıca 30 gün para iadesi garantisi fırsatı sayesinde diğer satıcılardan ayrılır. Bütçeyi ön planda tutan işletmeler bu sayede güvenlik özelliklerini uzun vadeli bir yatırım yapmaya karar vermeden önce deneyebilir.
Paylaşımlı ve Yönetilen Bulut Barındırma Arasındaki Tercihiniz
Yönetilen bulut barındırma ile UltaHost, OS yamaları da dahil olmak üzere yönetimin çoğuyla ilgilenir ve sunucu sıkıştırma ve daha fazlası gibi hizmet sağlar. “Ortak sorumluluğun sağlayıcı tarafından olan kısmı için oldukça kapsayıcı. Tek yapmanız gereken sunucu bakımında kaybolmadan uygulama güvenliği ve veri yönetimine bakmanız.”
Güvenilir depolama gerektiren ama özel kaynak gereksinimi duymayan ufak işletmeler freelancerlar için paylaşımlı barındırma hem ulaşılabilir donanımıyla hem de hesaplar arası ayrımıyla mükemmel bir seçenektir.
Son Görüşler
Güvenlik öyle karmaşık olmak zorunda değil. Temelleri, MFA, şifrelendirme ve yedeklemeleri bir araya getirin ve bunların üzerine kurulu bir hizmet edinin. Bu rehberde bulunan kontrol listeleri ve programları baz alarak kendinize uygun sürdürülebilir bir güvenlik ortamı yaratın.
Sizin barındırma sağlayıcınız sizinle birlikte çalışmalı, sadece satmaya çalışmamalı. Şeffaflığa önem veren özelliklerin test edildiği ve herhangi bir sorunla karşılaştığınızda gerçekten bir destek alacağınız hizmetleri tercih edin. Güvenlik önlemlerine yapacağınız yatırım, veri ihlalleri, veri kaybı ve sistem kesintileri gibi çok daha yüksek maliyetler olmasına rağmen karşılığını fazlasıyla almanızı sağlar.
