Bulut Yanarken: AWS Orta Doğu Kesintisi ve Jeopolitik Altyapı Riskinin Yeni Çağı

1 Mart 2026'da Dubai saatiyle 16:30'da ticari bulut bilişim tarihinde görülmemiş bir olay yaşandı. Amazon Web Services tarafından yalnızca "nesneler" olarak tanımlanan füzeler veya insansız hava araçları, Birleşik Arap Emirlikleri'ndeki bir AWS veri merkezini vurdu. Ardından çıkan yangın, tesis genelinde acil güç kesintisini tetikledi. Sonraki 24 saat içinde AWS'nin ME-Central-1 (BAE) bölgesindeki üç kullanılabilirlik bölgesinden ikisi devre dışı kaldı. Bahreyn bölgesi (ME-SOUTH-1) de kendi güç sorunlarını bildirdi. EC2, S3, RDS, DynamoDB, Lambda, Cognito, EKS, CloudWatch dahil 60'tan fazla bulut hizmeti ciddi kesintiler yaşadı. Körfez genelinde bankacılık sistemleri, e-ticaret platformları ve kurumsal iş yükleri çevrimdışı oldu. İşletmelerin sonsuz dayanıklı bir hizmet olarak güvendiği bulut, bir savaş eylemiyle fiziksel olarak vurulmuştu.

Olay: Ateş Altındaki Veri Merkezi

Bağlam kritik önem taşıyor. 28 Şubat 2026'da ABD ve İsrail kuvvetleri, Dini Lider Ayetullah Ali Hamaney'i ve üst düzey yetkilileri öldüren büyük ölçekli koordineli bir İran askeri altyapı saldırısı olan Operasyon Epic Fury'yi başlattı. İran'ın yanıtı hızlı geldi: BAE, Katar, Kuveyt, Bahreyn, Ürdün ve Suudi Arabistan'a 137 füze ve 209 insansız hava aracı fırlatıldı. Körfez genelinde havalimanları, limanlar ve sivil altyapı hedef alındı. AWS ME-Central-1 veri merkezi bu bombardıman sırasında vuruldu. AWS'nin resmi açıklaması dikkatle kaleme alınmıştı: tesis "veri merkezine çarpan ve kıvılcım ile yangına neden olan nesnelerden" etkilenmişti. Şirket İran saldırılarıyla bağlantıyı hiçbir zaman doğrulamadı ancak zamanlama belirsizliğe çok az yer bıraktı. İtfaiye, yangını söndürmek için tesisin ve yedek jeneratörlerinin gücünü kesti. Önce mec1-az2 kullanılabilirlik bölgesi çöktü. Ardından mec1-az3 izledi. Doğrudan vurulmayan mec1-az1 bile yüksek EC2 API hata oranları ve başarısız instance başlatma denemeleri bildirdi. 2 Mart'a kadar AWS'nin Bahreyn bölgesi de bölgelerinden birinde yerel bir güç sorunu bildirerek 50'den fazla hizmeti olumsuz etkiledi. Körfez kurumsal bilişiminin bulut omurgasını temsil eden iki AWS Orta Doğu bölgesi eş zamanlı olarak işlevsiz hale gelmişti.

Altmış Hizmet Devre Dışı: Domino Etkisi

Hizmet kesintisinin genişliği, bulut mimarisi hakkında kritik bir gerçeği ortaya koydu: işlem, depolama ve veri hizmetleri birbirine derinden bağlıdır. EC2 instance'ları çöktüğünde, üzerlerinde çalışan her hizmet sırayla çöker. ME-Central-1'de etkilenen hizmetlerin tam listesi Amazon EC2, EBS birimleri, RDS, DynamoDB, Lambda, EKS, Cognito, Redshift, Glue, CloudWatch, Service Catalog ve AWS Resource Groups'u içeriyordu — toplamda 60'tan fazla hizmet. BAE ve daha geniş Körfez bölgesinde faaliyet gösteren işletmeler için etki anlıktı. Çevrimiçi bankacılık portalları erişilemez hale geldi. E-ticaret platformları sipariş işleme kapasitesini kaybetti. Bulut altyapısında çalışan kurumsal ERP sistemleri çevrimdışı oldu. AWS tüm müşterilere iş yüklerini alternatif bölgelere taşımalarını tavsiye etti — ancak önceden hazırlanmış yük devretme altyapısı olmayan organizasyonlar için bu tavsiyeyi gerçek zamanlı uygulamak imkansızdı. Kurtarma saatler sürdü ve tam restorasyon birkaç güne yayıldı.

Yeni Tehdit Modeli: Altyapı Riski Olarak Jeopolitik

Onlarca yıldır kurumsal risk çerçeveleri, bulut altyapı tehditlerini doğal afetler, donanım arızaları veya yazılım kesintileri olarak sınıflandırdı. Jeopolitik risk, tedarik zincirleri ve uluslararası genişleme için geçerli bir kavramdı — güçlendirilmiş, yedekli ve bölgesel çatışmaların üstünde kabul edilen hyperscaler veri merkezleri için değil. 1 Mart 2026, bu varsayımı kalıcı olarak değiştirdi. Güvenlik analistleri, İran'ın müdahalenin ekonomik maliyetini maksimize etmek için yüksek değerli Batılı ekonomik altyapıları — veri merkezleri, enerji merkezleri, liman lojistik sistemleri — kasıtlı olarak hedef aldığına dikkat çekiyor. Veri merkezleri bu hesapta ideal hedeflerdir: küçük bir fiziksel alanda muazzam ekonomik değer yoğunlaştırır, binlerce alt işletmeye hizmet verir ve kesintileri tüm ekonomilere yayılır. AWS, 39 küresel bölgede 123 altyapı kümesi işletmektedir. Bu bölgelerden ikisi bir ulus-devlet çatışmasının doğrudan ateş hattındaydı. Bu bir uç durum değil — jeopolitik gerilim Orta Doğu, Doğu Avrupa ve Asya-Pasifik'i şekillendirmeye devam ettikçe tekrarlanacak bir senaryodur.

Sağlayıcı Tarafı Yedekliliği Neden Yeterli Olmadı

AWS, bölgelerini tek hata noktalarına dayanıklı olması için üç veya daha fazla kullanılabilirlik bölgesiyle tasarlar. Bir AZ arızalanırsa — güç kesintisi, soğutma arızası, donanım hatası — iş yükleri otomatik olarak kalan bölgelere devredilir. Teoride çoklu AZ dağıtımı yeterli olmalıydı. Pratikte 1 Mart olayı, bu modelin fiziksel saldırı altındaki sınırlarını ortaya koydu. ME-Central-1'deki üç AZ'den ikisi işlevsiz hale geldi. Üçüncüsü, tali operasyonel stresten kaynaklanan yüksek hata oranları bildirdi. Saldırı vektörü bir füze veya insansız hava aracı saldırısı olduğunda — güç, bağlantı ve fiziksel hasarı eş zamanlı olarak verebilen — tek bir bölge içindeki AZ'lerin coğrafi yakınlığı bir zafiyet haline gelir. AWS'nin üç BAE kullanılabilirlik bölgesi aynı metropol alanında, aynı füze savunma koridorunda ve aynı bombardımana karşı savunmasız konumdadır. Çoklu AZ yedekliliği donanım ve yazılım arıza senaryolarını iyi karşılar. Bölgesel altyapıya yönelik koordineli kinetik saldırıları karşılamaz.

Jeopolitik Şoklara Dayanıklı Altyapı İnşa Etmek

Bu olayı kesinti yaşamadan atlatan işletmeler ortak mimari kalıplara sahiptir. İleriye giden yol, coğrafi ve sağlayıcı çeşitliliğine bilinçli yatırım gerektirir.

Orta Doğu Bulut Stratejisini Yeniden Değerlendirmek

AWS ME-Central-1 veya ME-South-1 üzerine inşa edilmiş işletmeler için — özellikle fintek, lojistik ve kamu hizmetlerinde pek çoğu var — bu olay resmi bir risk yeniden değerlendirmesi gerektirmektedir. Bu, Orta Doğu'yu bir bulut dağıtım hedefi olarak terk etmek anlamına gelmiyor. AWS, Azure ve GCP, Körfez işletmelerinin ve devlet dijitalleşme girişimlerinin muazzam talebi nedeniyle bölgesel altyapıya yoğun yatırım yapmıştır. Ancak Orta Doğu bulut dağıtımlarının, küresel işletmelerin yüksek riskli coğrafyalara uyguladığı aynı çoklu bölge disipliniyle ele alınması gerektiği anlamına gelmektedir. BAE'de bankacılık altyapısı çalıştıran bir işletme, artık aktif çatışma bölgelerinde operasyon yürütenlerle aynı düzeyde coğrafi yedekliliğe ihtiyaç duymaktadır — çünkü Mart 2026 itibarıyla tam olarak öyle bir bölgede faaliyet göstermektedir.

Bulut Güçlüdür — Ama Yenilmez Değildir

AWS'nin BAE veri merkezine yapılan fiziksel saldırı, dijital altyapı tarihinde bir dönüm noktasıdır. Bulut bilişimin kesin olarak jeopolitik risk alanına girdiği anı işaret eder — hyperscaler tesislerin bölgesel çatışmaların üstünde var olduğu varsayımının yanlış olduğu kanıtlanmıştır. Orta Doğu'da veya jeopolitik açıdan hassas herhangi bir bölgede faaliyet gösteren CTO'lar, altyapı mimarları ve iş liderleri için ders açıktır: bulut dayanıklılığı tek bir sağlayıcının kullanılabilirlik bölgesi tasarımına devredilemez. Gerçek dayanıklılık, bilinçli çoklu bölge ve çoklu bulut mimarisi, düzenli olarak test edilen yük devretme prosedürleri ve ticari altyapıya yönelik kinetik saldırı olasılığını hesaba katan bir risk modeli gerektirir. Bulut güçlüdür. Ama güç şebekeleri kesilebilir. Tesisler yanabilir. Bir sonraki olaydan sağ çıkacak işletmeler, bu gerçekliğe bugünden hazırlananlar olacaktır.