KURUMSAL EĞİTİM, HİBRİT BULUT ORTAMLARINDA GÜVENLİK (CROSS-TEAM EĞİTİM SERİSİ)

HİBRİT BULUT ORTAMLARINDA SİBER GÜVENLİK EĞİTİMİ

Geleneksel veri merkezlerinin yerini alan hibrit bulut mimarileri, kurumlara esneklik ve ölçeklenebilirlik sunarken beraberinde eşi benzeri görülmemiş bir saldırı yüzeyi genişlemesi getirmektedir. Gartner'ın raporlarına göre, 2025 yılına kadar bulut güvenliği hatalarının %99'u müşteri kaynaklı yanlış yapılandırmalardan kaynaklanacaktır. Hibrit ortamlarda en büyük zorluk; on-premise altyapının katı güvenlik kontrolleri ile bulutun dinamik, ephemeral (geçici) yapısını tek bir tutarlı güvenlik politikası altında birleştirmektir.

Bu eğitim; "Shared Responsibility" (Ortak Sorumluluk) modelinin derinlerinden başlayarak, heterojen ortamlarda kimlik yönetimini (IAM), ağ segmentasyonunu ve veri şifreleme stratejilerini kurumsal bir perspektifle ele alır. Katılımcılar; AWS, Azure ve Google Cloud gibi ana sağlayıcıların yerel güvenlik servislerini, on-premise VPN ve Direct Connect hatlarıyla nasıl güvenli bir şekilde bütünleştireceklerini, Zero Trust (Sıfır Güven) mimarisini hibrit bir topolojiye nasıl yansıtacaklarını ve "Defense in Depth" (Derinlemesine Savunma) prensibini bulut-yerel yöntemlerle nasıl uygulayacaklarını öğrenirler.

Program boyunca; Infrastructure as Code (IaC) güvenliği, container ve Kubernetes güvenliği, CSPM (Cloud Security Posture Management) araçlarının kullanımı ve hibrit ortamlarda olay müdahalesi (Incident Response) gibi kritik başlıklar uygulamalı senaryolarla işlenir. Sadece araçların kullanımı değil, aynı zamanda KVKK, GDPR ve ISO 27001 gibi regülasyonların hibrit mimarilerdeki teknik karşılıkları ve "Compliance-as-Code" yaklaşımları da eğitimin ayrılmaz bir parçasıdır.

Vebende Akademi'nin bu uzmanlık programı; siber güvenlik mühendisleri, bulut mimarları, ağ uzmanları ve BT yöneticileri için tasarlanmıştır. Eğitim sonunda katılımcılar; kurumlarının dijital dönüşüm yolculuğunda hibrit bulut altyapısını bir güvenlik zafiyeti değil, güvenli bir büyüme platformu olarak tasarlayacak ve yönetecek yetkinliğe ulaşırlar.

EĞİTİM HEDEFİ

Eğitim sonunda katılımcılar; hibrit bulut mimarilerinde "Shared Responsibility" modelini her servis modeli (IaaS, PaaS, SaaS) için ayrı ayrı analiz edebilir ve sorumluluk matrisini oluşturabilir; heterojen ortamlarda merkezi Kimlik ve Erişim Yönetimi (IAM) stratejisi kurgulayarak "En Az Ayrıcalık" (Least Privilege) ilkesini çapraz platformlarda uygulayabilir; on-premise veri merkezleri ile VPC/VNet yapılarını VPN, Direct Connect veya ExpressRoute üzerinden siber saldırılara dayanıklı şekilde entegre edebilir; Zero Trust mimarisinin hibrit bulut ortamlarına yönelik mikro-segmentasyon ve sürekli doğrulama prensiplerini hayata geçirebilir; CSPM (Cloud Security Posture Management) araçlarıyla yanlış yapılandırmaları (misconfigurations) gerçek zamanlı tespit edip otomatik iyileştirme (auto-remediation) süreçlerini tasarlayabilir; IaC (Terraform, CloudFormation) scriptlerini güvenlik tarama araçlarıyla (Checkov, tfsec) denetleyebilir; hibrit Kubernetes cluster'larında (EKS, AKS, GKE) RBAC, ağ politikaları ve secret yönetimini standartlaştırabilir; KMS ve HSM entegrasyonu ile "at-rest" ve "in-transit" veri şifreleme mimarilerini kurumsal anahtar yönetim politikalarıyla uyumlu hale getirebilir; SIEM/SOAR sistemlerine hibrit bulut telemetrisini (CloudTrail, Flow Logs vb.) doğru şekilde besleyerek merkezi tehdit tespiti kapasitesini artırabilir ve hibrit bulut ortamlarına özel olay müdahale (Incident Response) playbook'larını hazırlayabilir hale gelirler.

EĞİTİM İÇERİĞİ

1. HİBRİT BULUT GÜVENLİK TEMELLERİ VE STRATEJİSİ

• Yeni Nesil Saldırı Yüzeyi: On-premise vs. Kamu Bulutu arasındaki güvenlik paradoksu; Shadow IT ve kontrol kaybı riskleri; Cloud-native güvenliğin temel prensipleri.
• Ortak Sorumluluk Modeli Derinliği: IaaS, PaaS ve SaaS modellerinde sorumluluk sınırlarının belirlenmesi; çoklu bulut (Multi-cloud) ortamlarında sorumluluk karmaşasının yönetimi.
• Güvenlik Sertifikasyonları ve Standartlar: SOC2, ISO 27017, PCI-DSS ve KVKK'nın hibrit bulut mimarisindeki teknik izdüşümleri; güvenli iniş bölgeleri (Landing Zones).
• Risk Analizi ve Tehdit Modelleme: Hibrit buluta özgü saldırı vektörleri; bulut sağlayıcı açıklarından kaynaklanan sistemik risklerin değerlendirilmesi.

2. MERKEZİ KİMLİK VE ERİŞİM YÖNETİMİ (IAM)

• Kimlik Federasyonu ve SSO: Active Directory'nin Azure AD (Entra ID), AWS IAM ve Okta ile entegrasyonu; SAML 2.0 ve OIDC protokolleri.
• Granüler Yetkilendirme ve Koşullu Erişim: "Attribute-Based Access Control" (ABAC) ve "Role-Based Access Control" (RBAC) stratejileri; lokasyon, cihaz ve zaman bazlı erişim politikaları.
• Privileged Access Management (PAM): Bulut konsolu ve API erişimlerinde "Just-in-Time" (JIT) erişim mekanizmaları; root hesap güvenliği ve kısıtlamaları.
• MFA ve Passwordless Güvenlik: Hibrit ortamlarda MFA sarmalama; FIDO2 ve passkey teknolojilerinin kurumsal adaptasyonu.

3. HİBRİT AĞ GÜVENLİĞİ VE SEGMENTASYON

• Güvenli Hibrit Bağlantı Tasarımı: IPsec VPN, AWS Direct Connect ve Azure ExpressRoute güvenliği; trafik şifreleme ve tünel yönetimi.
• Sanal Ağ Güvenliği (VPC/VNet): Security Groups, Network ACLs ve Application Security Groups (ASG) tasarımı; on-premise firewall kurallarının buluta taşınması.
• Mikro-Segmentasyon ve East-West Trafiği: Bulut içinde katmanlar arası izolasyon; Service Mesh (Istio, Linkerd) ile servisler arası güvenli iletişim.
• WAF ve DDoS Koruması: Bulut-yerel WAF çözümleri; kenar (Edge) güvenliği; Cloudflare ve AWS Shield gibi servislerin hibrit entegrasyonu.

4. VERİ KORUMA, ŞİFRELEME VE ANAHTAR YÖNETİMİ

• Veri Şifreleme Stratejileri: "At-rest" ve "In-transit" şifreleme; TLS 1.3 yapılandırması; veritabanı ve nesne depolama (S3, Blob) seviyesinde şifreleme.
• Key Management Service (KMS) ve HSM: Cloud HSM kullanımı; Bring Your Own Key (BYOK) ve Hold Your Own Key (HYOK) modelleri; anahtar rotasyonu ve yaşam döngüsü.
• Veri Sınıflandırma ve DLP: Bulut ortamlarında hassas veri keşfi (Amazon Macie, Google Cloud DLP); veri sızıntılarını hibrit kanallarda izleme ve engelleme.
• Yedekleme Güvenliği ve Anti-Ransomware: Değiştirilemez (Immutable) yedekleme; felaket kurtarma (DR) senaryolarında veri bütünlüğü doğrulaması.

5. KONTEYNER VE KUBERNETES GÜVENLİĞİ (CLOUD-NATIVE)

• İmaj Güvenliği ve Tarama: Güvenli base image seçimi; CI/CD pipeline içinde Trivy veya Snyk ile statik zafiyet analizi (SCA).
• Kubernetes Cluster Sertleştirmesi: API Server güvenliği; etcd şifrelemesi; Kubernetes RBAC ve Pod Security Admission politikaları.
• Runtime Koruması: Falco ile çalışma zamanı anomali tespiti; konteyner içinde şüpheli işlem ve ağ hareketlerinin izlenmesi.
• Secret Yönetimi: Kubernetes Secret vs. HashiCorp Vault; secret store CSI driver entegrasyonu ve otomatik rotasyon.

6. IAC (INFRASTRUCTURE AS CODE) GÜVENLİĞİ

• Güvenlik Olarak Altyapı: Terraform ve CloudFormation dosyalarda güvenlik analizi; Checkov ve tfsec araçlarıyla statik kod tarama.
• Policy as Code (PaC): Open Policy Agent (OPA) ve Rego dili ile altyapı dağıtımı öncesi otomatik kural denetimi; "Wrong config, No deploy" yaklaşımı.
• DevSecOps Entegrasyonu: Güvenlik kontrollerini CI/CD süreçlerine (GitLab CI, GitHub Actions) gömme; güvenlik kapıları (Security Gates) oluşturma.
• Drift Detection: Manuel yapılan değişikliklerin (drift) tespiti ve otomatik olarak güvenli konfigürasyona geri döndürülmesi.

7. ZERO TRUST MİMARİSİ VE UYGULAMA GÜVENLİĞİ

• Zero Trust İlkeleri: "Asla güvenme, her zaman doğrula" prensibi; güvenli uzaktan erişim (ZTNA) vs. geleneksel VPN.
• API Güvenliği: OWASP API Top 10 zafiyetleri; API Gateway üzerinden kimlik doğrulama, hız sınırlama ve şema doğrulaması.
• Service Mesh ile mTLS: Istio veya Linkerd kullanarak mikroservisler arası karşılıklı TLS doğrulaması; servis bazlı yetkilendirme politikaları.
• Uygulama Güvenlik Testleri (DAST/IAST): Çalışan uygulamaların hibrit ortamlarda dinamik olarak taranması; OWASP ZAP entegrasyonu.

8. CSPM VE CWPP: SÜREKLİ GÖZETİM

• Cloud Security Posture Management (CSPM): AWS Security Hub, Azure Security Center ve Google Cloud Security Command Center kullanımı; yanlış yapılandırmaların (exposed S3 bucket vb.) tespiti.
• Cloud Workload Protection (CWPP): Sanal makineler, konteynerler ve sunucusuz (serverless) fonksiyonlar için çalışma zamanı koruması.
• Uyumluluk Raporlaması: CIS Benchmarks, NIST ve ISO uyumluluk skorlaması; otomatik denetim raporları oluşturma.
• Anomali Tespiti ve ML: CloudTrail ve VPC Flow logları üzerinden makine öğrenmesi destekli tehdit analizi (Amazon GuardDuty vb.).

9. HİBRİT ORTAMLARDA OLAY MÜDAHALESİ (IR) VE SIEM

• Merkezi Log Yönetimi: On-premise logları ile bulut metriklerinin tek bir noktada (Elastic Stack, Splunk, Azure Sentinel) toplanması.
• Olay Müdahale Playbook'ları: Hibrit zafiyet senaryolarında müdahale adımları; bulut üzerinde "Forensics" teknikleri ve kanıt toplama.
• Otomatik Müdahale (SOAR): Güvenlik olaylarını otomatik tetiklerle (Serverless functions) anında sınırlama (isolation) ve kısıtlama.
• Tehdit İstihbaratı (Threat Intel): Hibrit saldırgan profilleri ve IoC (Indicator of Compromise) takibi.

10. HİBRİT BULUT GÜVENLİK YÖNETİMİ VE OYUN ALANI (HANDS-ON)

• Vaka Analizi: Gerçek bir hibrit bulut veri ihlalinin anatomisi ve engelleme yolları.
• Tatbikat (Red/Blue Team Seansı): Sınıf içi hibrit bulut saldırı ve savunma simülasyonu çalışması.
• Gelecek Projeksiyonu: Kuantum sonrası şifreleme ve yapay zeka destekli otonom güvenlik sistemleri.
• Final Değerlendirmesi: Hibrit bulut güvenlik mimarisi tasarımı ve sunumu.

EĞİTİM YÖNTEMİ

• Uygulamalı Tehdit Avcılığı: Her modül; teorik altyapının aktarılmasının ardından AWS, Azure ve on-premise simülasyon ortamlarında gerçek araçlarla (Terraform, Trivy, Falco, ZAP) pekiştirilir.
• Senaryo Bazlı Hata Giderme: Katılımcılar; bilerek yanlış yapılandırılmış hibrit sistemleri "hack-back" ederek veya güvenliğini sağlayarak pratik problem çözme yeteneklerini geliştirirler.
• Live Demo ve Canlı Kurulumlar: VPN tünellerinin oluşturulması, mTLS sertifika zincirinin kurulması ve CSPM araçlarının konfigürasyonu canlı olarak sınıfta gerçekleştirilir.
• Grup Odaklı Mimari Tasarım: Katılımcılar küçük gruplar halinde bir kurumun on-premise'den buluta geçiş sürecindeki güvenlik mimarisini "Zero Trust" prensiplerine göre tasarlar ve akran geri bildirimi alırlar.
• Interaktif Vaka Çalışmaları: Geçmişteki büyük ölçekli bulut ihlalleri (Capital One, Uber vb.) üzerinde kök neden analizi yapılarak teknik kontrollerin önemi tartışılır.
• Mentorluk ve Soru-Cevap: Her gün sonunda katılımcıların kendi kurumsal projelerine yönelik güvenlik zorlukları üzerinde birebir eğitmen danışmanlığı sağlanır.

HEDEF KİTLE

SİBER GÜVENLİK VE AĞ MÜHENDİSLERİ

• Kuruluşun on-premise ağını buluta güvenle bağlamak, hibrit VPN ve firewall kurallarını yönetmek ve ağ segmentasyonu ile lateral movement (yatay ilerleme) risklerini minimize etmek isteyen uzmanlar.

BULUT MİMARLARI VE DEVOPS UZMANLARI

• "Security as Code" prensibini IaC süreçlerine entegre etmek, container ve Kubernetes güvenliğini standartlaştırmak ve çoklu bulut ortamlarında tutarlı bir güvenlik mimarisi tasarlamak isteyen mühendisler.

DAİRE BAŞKANLARI VE BT YÖNETİCİLERİ

• Hibrit bulut yatırımlarının siber güvenlik risklerini yönetmek, KVKK/GDPR uyumluluğunu teknik düzeyde denetlemek ve kurumun güvenlik olgunluk seviyesini bulut servisleriyle yükseltmek isteyen karar vericiler.

SİSTEM YÖNETİCİLERİ VE SRE EKİPLERİ

• Merkezi log izleme, anomali tespiti ve olay müdahale süreçlerini hibrit ortamda işletmek, yama yönetimini (patching) ve secret rotasyonunu her iki dünyada senkronize yürütmek isteyen operasyonel ekipler.

KATILIMCILARDAN BEKLENTİLERİMİZ

• Temel Ağ ve Sistem Bilgisi: TCP/IP, DNS, VPN, firewall ve sanallaştırma teknolojileri hakkında en az 1-2 yıllık operasyonel deneyim; IP adresleme ve subnetting konularına tam hakimiyet.
• Bulut Platformu Aşinalığı: En az bir büyük bulut sağlayıcısı (AWS, Azure veya GCP) üzerinde temel servisleri (VM, Storage, VPC) kullanabilme becerisi.
• Linux ve Komut Satırı Yetkinliği: Terminal üzerinden dosya düzenleme, basit shell scriptleri okuma ve CLI araçlarını (aws-cli, kubectl vb.) kullanabilme becerisi.
• Güvenlik Temelleri Farkındalığı: Temel siber güvenlik kavramları (Encryption, Hashing, Authentication, Authorization) hakkında teorik altyapı.
• Öğrenme ve Adaptasyon Merakı: Hızla değişen bulut teknolojilerini takip etme ve karmaşık topolojilerdeki güvenlik açıklarını merak duygusuyla analiz etme zihniyeti.