Bulut Yerel Güvenliğinin 4C'si

Bulutta çalışan bir uygulamanın güvenliğinin nasıl sağlanacağı üzerine düşünürken, yaygın bir taktik, ilgili dört C'ye bakmaktır:

Kod (Code)

Uygulamanın kodu ne kadar güvenli? Doğru yapılandırılmış mı? Arabellek taşmalarına veya diğer sorunlara maruz kalıyor mu? Eğer kod güvenli değilse, uygulama asla güvenli olmayacaktır.

Konteyner (Container)

Konteynerin kendisi ne kadar güvenli? Konteynerin nelere erişebileceğine dair sınırlar var mı? Konteyner üzerindeki Linux dağıtımının bilinen güvenlik açıkları var mı? Kod konteyner üzerinde ayrıcalıklı bir kullanıcı olarak mı çalışıyor?

Küme (Cluster)

Konteyner düzenleme sistemi bir küme üzerinde çalışacak, bu küme ne kadar güvenli? Konteyner orkestrasyon sistemi doğru yapılandırıldı mı? Kullanılan sanal ağ güvenli mi? Giriş ve çıkış noktaları haritalanmış ve izleniyor mu?

Bulut (Cloud)

Kullandığınız bulut sağlayıcısı güvenli mi? Eğer tehlikeye girmişlerse, içlerindeki her şey tehlikeye girer. Bu bilgi işlem üssüne güvenebilir misiniz?

Önceki Ders: Sunucusuz Çözümler

Sonraki Ders: Laboratuvar: Kötü Amaçlı Kapsayıcılar

 

•  Kaynakça
• Computer Systems Security: Planning for Success - Ryan Tolboom
  
  https://web.njit.edu/~rxt1077/security/
• Ders Listesi
• BİLGİSAYAR SİSTEMLERİ GÜVENLİĞİ: BAŞARI İÇİN PLANLAMA
• Bilgisayar Sistemler Güvenliği Giriş
• Risk Yönetimi
• Bilgisayar Sistemler Güvenliği Jargonu
• Hacker Kültürü
• Tehdit Aktörleri
• Güvenlik Planları
• Ticaret Araçları
• Laboratuvar: Bir Hacker Gibi Düşün
• Bilgisayar Sistemler Güvenliği Giriş İnceleme Soruları
• Kriptografi
• Neden kriptografiye ihtiyacımız var?
• Kriptografi Terminolojisi
• Kriptografi Anahtarlar
• Kriptografi Matematiksel Temel
• Kriptografi Hash'ler
• Simetrik Şifreleme
• Asimetrik Şifreleme
• Akış Şifreleri
• Blok Şifreler
• Şifreleme Örnekleri
• Laboratuvar: Hash it Out
• Kriptografi İnceleme Soruları
• Kötü Amaçlı Yazılım
• Kötü Amaçlı Yazılım Nedir?
• Kötü Amaçlı Yazılım Hedefleri
• Kötü Amaçlı Yazılım Türleri
• Tehdit Belirtileri
• Kötü Amaçlı Yazılım Dağıtımı
• Siber Ölüm Zinciri
• Laboratuvar: Kötü Amaçlı Yazılım Analizi
• Kötü Amaçlı Yazılım İnceleme Soruları
• Protokoller
• Ağ Erişim Katmanı
• İnternet Katmanı Protokolleri
• Aktarım Katmanı Protokolleri
• Uygulama Katmanı Protokolleri
• Laboratuvar: nmap ile tarama
• Protokoller İnceleme Soruları
• Saldırılar
• Dinleme Saldırıları
• Ağ Katmanı Saldırıları
• İnternet Katmanı Saldırıları
• İsim Çözümleme Saldırıları
• Web Tabanlı Saldırılar
• Saldırılar - Sonuçlar
• Laboratuvar: Scapy ile MitM
• Saldırılar İnceleme Soruları
• Güvenlik Çözümleri
• Yanlış Pozitifler / Negatifler
• Katmanlı Güvenlik
• Ağ Çözümleri
• Uç Nokta Tespit ve Yanıt (EDR)
• Veri Kaybı Önleme
• İzinsiz Giriş Tespit Sistemleri ve İzinsiz Giriş Önleme Sistemleri (IDS/IPS)
• E-posta Çözümleri
• Güvenlik ve Bilgi Olay yönetimi (SIEM)
• Laboratuvar: log4j'den yararlanma
• Güvenlik Çözümleri İnceleme Soruları
• Erişim Kontrolleri
• Erişim Kontrolleri Genel Prensipler ve Teknikler
• Fiziksel Erişim
• Ağ Erişimi
• Laboratuvar: Linux Dosya İzinleri
• Erişim Kontrolleri İnceleme Soruları
• Güvenlik Açığı Yönetimi ve Uyumluluk
• Güvenlik Açığı Yönetimi
• Uyumluluk
• Laboratuvar: Nessus ile Tarama
• Güvenlik Açığı Yönetimi ve Uyumluluk İnceleme Soruları
• Olaylara Müdahale ve Süreklilik
• Güvenlik Kuruluşları
• Güvenlik Operasyonları Merkezi (SOC)
• Olaylar
• Yanıt
• MITRE ATT&CK Framework
• Olaylara Müdahale ve Süreklilik İnceleme Soruları
• Laboratuvar: 2014 Sony Pictures Hacklenmesi Hakkında Raporlama
• Sanallaştırma
• Sanallaştırma Metotları
• Bulut Bilişim
• Sunucusuz Çözümler
• Bulut Yerel Güvenliğinin 4C'si
• Laboratuvar: Kötü Amaçlı Kapsayıcılar
• Sanallaştırma İnceleme Soruları