Cloud Güvenliği: AWS ve Azure'da KVKK Uyumu için 12 Kontrol
Bulut KVKK uyumunu otomatik kılmaz — paylaşılan sorumluluk modeli gereği uygulama katmanı hâlâ sizde. AWS ve Azure'da KVKK uyumlu mimari için kritik 12 kontrol.
Veri Konumu ve Transfer
KVKK verinin Türkiye dışına transferini sınırlar. AWS'de `eu-central-1` (Frankfurt) veya yeni açılan İstanbul (`tr-central-1`) region'ını seçin. Azure'da Turkey North / Turkey West region'ları mevcut. Cross-region replication'ı aynı jurisdiksiyonda tutun.
CDN, analytics, e-posta gönderim gibi servisler global yayılıyor olabilir — data residency ayarlarını kontrol edin. CloudFront region restriction, Azure Front Door geo-filter kullanın.
Şifreleme (In-Transit + At-Rest)
S3 bucket'larda default encryption açık (AES-256 veya KMS-managed keys). RDS, EBS, Azure SQL için transparent data encryption. KMS customer-managed keys kullanmak audit için önerilir.
Transit için TLS 1.2 min, public bucket yasak (S3 Block Public Access account-level ON). VPC endpoint'ler ile özel servislere internal trafik. AWS PrivateLink, Azure Private Endpoint.
IAM ve Least Privilege
Her servis için specific IAM role — 'admin' rolü app'te kullanmayın. Service-to-service auth için assume role. Access key rotation 90 gün. Root user MFA + kullanılmayan, tüm gündelik iş IAM user/role üzerinden.
Azure'da RBAC + Azure AD conditional access. AWS'de SCP (Service Control Policies) organization-wide yasaklar (örn: 'US region'ına kaynak açılamaz'). Hem AWS Config hem Azure Policy compliance-as-code ile ihlali dakikalar içinde tespit eder.
Audit ve Logging
CloudTrail (AWS) / Activity Log (Azure) tüm API çağrılarını kaydeder — KVKK denetiminde kritik kanıt. 1 yıl minimum saklama, şifreli log bucket'ı, immutable storage (object lock).
GuardDuty / Azure Defender tehdit tespiti için. CloudWatch / Log Analytics centralized dashboard. VefaSec'te müşterilerimize AWS Config + GuardDuty + SNS alerting standart olarak kuruyoruz.
Backup ve Disaster Recovery
AWS Backup / Azure Backup ile otomatik policy. 3-2-1 kuralı burada da geçerli — farklı region'a replika, offsite (farklı cloud provider bile) kopya. Restore testleri aylık.
Ransomware koruması için S3 Object Lock (compliance mode, 90 gün). Azure Immutable Blob. Versioning on + MFA delete on. KVKK müşteri verisi için 7 yıl saklama zorunluluğu olabilir (hukuki danışmanlık konusunda kontrol edin).
Projeniz veya denetim ihtiyacınız için VefaSec'le konuşun.
Diyarbakır merkezli ekibimiz; kurumsal müşterilere uçtan uca yazılım geliştirme, sızma testi ve siber güvenlik danışmanlığı hizmetleri sunar. Keşif görüşmesi ücretsiz, bağlayıcı değil.