Bulut tabanlı sanal makineler, sağladıkları hız, genişleme kabiliyeti ve uyum avantajlarına rağmen, denetimsiz kaldıklarında önemli tehditler oluşturuyor. Amazon Web Servisleri’nin 2000’li yılların ortalarında S3 ve ardından EC2 çözümlerini piyasaya sürmesiyle birlikte modern bulut depolama ve hesaplama süreci resmen başlamış oldu. Günümüzde ise iş süreçlerini bulut bilişime aktarmamış ya da bunu planlamayan kurum neredeyse yok gibi. Kimi kuruluşlar tamamen bulut tabanlı çalışırken, kimileri de hibrit yapıları tercih ederek buluttaki görevlerini kendi altyapılarıyla birleştiriyor.

Tüm bu sistemler arasında ortak ve göze çarpan temel problem ise değişmiyor: Sanal makine (VM) kontrolsüz çoğalması. Zaman içinde kendi haline bırakıldığında VM’lerin hızla ve düzensiz biçimde artması, siber güvenlikte dünya çapında lider konumdaki ESET tarafından incelenen önemli bir güvenlik açığı olarak öne çıkıyor.

Bulut hizmet sağlayıcıları yeni VM oluşturmayı kolaylaştırsa da, kullanım dışı kalan makinelerin devreden çıkarılma süreci aynı hızda ilerlemiyor. Özellikle çoklu bulut ortamlarında bu durum, güvenlik operasyonlarının kapsamı dışında kalan iş yüklerinin sayısını artırıyor. Genel bulut sağlayıcıları temel düzeyde koruma sunsa da, işletim sistemi güncellemeleri, sürekli izleme ve erişim politikalarının yenilenmesi gibi kritik görevler tamamen müşteriye ait. Bu da VM’lerin gözden uzak bir şekilde “kontrolden çıkma” ihtimalini yükseltiyor.

Bulut altyapısının net bir şekilde görülebilmesi, pek çok kurum için kronik bir sorun halinde. Kuruluşların sadece %23’ü, tüm iş yüklerini tam anlamıyla kontrol altında tutabildiklerini ifade ediyor. VM filolarının plansız büyümesi, bu sorunu daha da içinden çıkılmaz hale getiriyor. Hatalı yapılandırılmış depolama alanları ve güvenlik açığı bulunan API’ler ihlallerde başlıca risk faktörleri olarak öne çıkarken, VM’lerin kötüye kullanımı genellikle tespit edilmesi güç bir biçimde gerçekleşiyor. Örneğin, bir makine öğrenimi mühendisi için oluşturulmuş ve yüksek düzeyde okuma/yazma yetkisi verilmiş bir VM, proje tamamlandıktan sonra sıklıkla olduğu gibi ilgisiz bir şekilde bırakılabiliyor. Bu durum ise siber saldırganlar için oldukça cazip bir istismar alanı yaratıyor.

Terk edilmiş sanal makineler, ciddi güvenlik riskleri barındırıyor

Kaderine terk edilmiş bir VM, sadece atıl duran bir kaynak olmanın ötesinde; kötü niyetli aktörler tarafından sömürülebilecek potansiyel bir tehdit unsuru. VM’ler aynı sanal özel bulut (VPC) ya da sanal ağ (VNet) içinde herhangi bir kısıtlama olmadan birbirleriyle iletişim kurabildiği için, bir VM diğer örnekleri tarayabilir, veri tabanlarına sızabilir ve mevcut izinleri suistimal edebilir. Ağ mikro-bölümlendirmesi genellikle karmaşık olduğundan bu tehlike daha da artıyor. Hibrit kimliklere sahip karma bulut ortamlarında ise bu karmaşa katlanarak büyüyor.

Geçmişte yaşanan siber saldırı vakaları da bu riski açıkça ortaya koyuyor. Bir saldırı kampanyasında, tehdit unsurları dahili RDP bağlantılarıyla AWS EC2 örnekleri arasında hareket ederek, ele geçirdikleri verileri VM’lere aktarmış ve fidye yazılımı bulaştırmıştı. İzleme sistemleri bu durumu tespit etse bile, otomatik müdahale mekanizması bulunmadığından saldırı devam etmişti. Başka olaylarda ise ele geçirilen hesaplar üzerinden kısa ömürlü VM’ler, saldırganlar tarafından altyapı olarak kullanılmıştı.

BT ve güvenlik ekipleri genellikle küçük ve yoğun tempolu bir iş yükü altında çalışıyor. Platforma bağımlı ve karmaşık ürünler, VM yayılması gibi göz ardı edilen tehditlerin yönetilmesini daha da zorlaştırıyor. Bir olay, kimlik bilgilerinin kötüye kullanımını içerdiğinde, sahte bir VM üzerinden gerçekleştirilen işlemler tamamen normal görünebilir. Bu sebeple, anormallikleri yakalayabilmek adına VM içindeki aktivitelerin, kimliğin genel sistemdeki hareketleriyle ilişkilendirilmesi şart. Entra ID ve Active Directory entegrasyonu, bu kritik süreçte hayati bir rol oynuyor.

Hız faktörü de bir diğer kilit nokta. Güvenliği ihlal edilmiş bir iş yükü, kısa sürede şirket içi kaynaklara erişebilir. Yatay hareket başlamadan VM’nin otomatik olarak izole edilmesi büyük önem arz ediyor. Bu aşamada yapay zekâ destekli korelasyon ve çalışma anı tespit teknolojileri devreye giriyor. Son dönem anketlerine göre, her üç KOBİ’den biri bir siber saldırı sonrasında idari para cezasına çarptırıldı. NIST 800-53 ve PCI DSS 4.0 gibi düzenleyici çerçeveler, bulut iş yükü güvenliğine dair giderek daha kesin kurallar getiriyor.

Hem bulut hem de şirket içi sistemleri kapsayan genel durum

IBM’in bir araştırmasına göre, yaşanan ihlallerin %30’u birden fazla ortamı aynı anda etkiliyor. Bu ihlallerin maliyeti, saldırganların sisteme ne kadar süre erişim sağladığıyla doğrudan bağlantılı. Sınırlı görünürlüğe sahip kurumlar, ihlali çoğunlukla müşteri şikâyeti gibi dış uyarılarla fark ediyor ve bu süre zarfında saldırganlar haftalarca sistemde kalabiliyor.

Sanal makineler, bulut teknolojilerinin en eski ve en yaygın kullanılan bileşenleri arasında yer alıyor. VM yayılması sessizce ilerliyor ve genellikle sorun ortaya çıktıktan sonra gözlemleniyor. Korumasız iş yükleri kimlik bilgileri taşıyor ve geleneksel güvenlik denetimlerinin fark edemeyeceği trafik modelleri üzerinden iletişim kuruyor.

Bu nedenle her kuruluşun, tüm bulut platformlarındaki VM envanterini çıkarması, yetkilendirmeleri gözden geçirmesi ve gereksiz erişim açıklarına karşı sıkı kontroller yapması hayati önemde.