Web uygulamas\u0131 g\u00fcvenli\u011fi alan\u0131, kurumsal i\u015fletmeler i\u00e7in b\u00fcy\u00fcyen bir endi\u015fe kayna\u011f\u0131d\u0131r. T\u00fcm sald\u0131r\u0131lar\u0131n yar\u0131s\u0131 web uygulamalar\u0131na y\u00f6neliktir ve bu oran giderek artmaktad\u0131r. B\u00f6yle bir ortamda, i\u015fletmelerin, \u00fcretkenliklerini art\u0131rmas\u0131, kendilerini ve m\u00fc\u015fterilerini ortaya \u00e7\u0131kan g\u00fcvenlik tehditlerine kar\u015f\u0131 korumas\u0131 i\u00e7in web sitelerinin tam olarak korunmalar\u0131n\u0131 sa\u011flamalar\u0131 gerekir.<\/p>\n
Web Application Firewall (WAF)<\/strong> yani Web Uygulamas\u0131 G\u00fcvenlik Duvar\u0131<\/strong>, bir web uygulamas\u0131ndan veya web sitesinden gelen ve giden veri paketlerini izleyen, filtreleyen ve engelleyen bir g\u00fcvenlik arac\u0131d\u0131r.<\/p>\n Bir web sitesi sunucusu ve istemci istekleri aras\u0131nda bir bariyer olu\u015fturarak web sitelerini ve web uygulamalar\u0131n\u0131 sald\u0131r\u0131lara kar\u015f\u0131 korumaya yard\u0131mc\u0131 olur.<\/p>\n Uygulama katman\u0131nda bulunur ve \u00e7ok \u00e7e\u015fitli tehdit ve tehlikelere kar\u015f\u0131 g\u00fcvenlik ve emniyet sa\u011flayabilir.<\/p>\n Bir WAF’nin i\u015fleyi\u015fi olduk\u00e7a basittir. En basit ifadeyle, WAF, web siteleri ile web sitesine girmek isteyen ki\u015filer aras\u0131nda bir arac\u0131 g\u00f6revi g\u00f6r\u00fcr.<\/p>\n Bir m\u00fc\u015fteri bir web sitesine eri\u015fmek istedi\u011finde bir istek g\u00f6nderir. Bu istek web sitesi sunucusu taraf\u0131ndan al\u0131n\u0131r ve ard\u0131ndan sunucu bu iste\u011fi \u00e7\u00f6zer.<\/p>\n WAF, web uygulamas\u0131n\u0131 veya web sitesini bar\u0131nd\u0131ran sunucu ile istemci istekleri aras\u0131nda gelir. Herhangi bir tehdit varsa, istemci istekleri web sunucusuna iletilmeden \u00f6nce WAF taraf\u0131ndan ele al\u0131n\u0131r.<\/p>\n Bir dizi kural veya politika, WAF’in bir web sitesinin kar\u015f\u0131 kar\u015f\u0131ya kalabilece\u011fi tehditler \u0131\u015f\u0131\u011f\u0131nda g\u00fcvenli\u011fi sa\u011flamas\u0131na yard\u0131mc\u0131 olur.<\/p>\n Web sitesi trafi\u011fi artt\u0131\u011f\u0131nda, bununla birlikte bir web sitesine sahip olman\u0131n getirdi\u011fi tehditler de artar.<\/p>\n WAF ve di\u011fer ara\u00e7lar, bu bilgisayar korsanl\u0131\u011f\u0131 tehditlerine kar\u015f\u0131 geni\u015f bir koruma yelpazesi sa\u011flamak i\u00e7in kullan\u0131l\u0131r. Web sitesinin son kullan\u0131c\u0131lar\u0131, bilgilerinin zarar g\u00f6rmekten korundu\u011funu ve onlar\u0131 korumak i\u00e7in ara\u00e7lar bulundu\u011funu bilerek kendilerini daha g\u00fcvende hisseder.<\/p>\n \u00d6zetle, WAF ve di\u011fer g\u00fcvenlik ara\u00e7lar\u0131, bilgisayar korsanlar\u0131n\u0131n ba\u015far\u0131l\u0131 bir sald\u0131r\u0131 ger\u00e7ekle\u015ftirememesi i\u00e7in g\u00fcvenli\u011fi sa\u011flar.<\/p>\n WAF, web sitenizin g\u00fcvenli\u011fini sa\u011flamaya yard\u0131mc\u0131 olur ve onu kullanmay\u0131 se\u00e7en web uygulamalar\u0131na bir\u00e7ok fayda sa\u011flar.<\/p>\n WAF’in temel avantajlar\u0131ndan baz\u0131lar\u0131 a\u015fa\u011f\u0131dakileri i\u00e7erir:<\/p>\n WAF, web uygulaman\u0131z\u0131n siber sald\u0131r\u0131lara kar\u015f\u0131 korunmas\u0131na yard\u0131mc\u0131 olur. Bu y\u00fczden sitenizin g\u00fcvenli oldu\u011fundan emin olmak i\u00e7in; bilgisayar korsanlar\u0131n\u0131n web sitenizin bilgilerine eri\u015fmesini, g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 a\u00e7\u0131\u011fa \u00e7\u0131karmas\u0131n\u0131 ve hedef kitlenize zarar vermesini engelleyebilecek WAF gibi ara\u00e7lar kullanman\u0131z gerekir.<\/p>\n M\u00fc\u015fterilerinizi korumak istiyorsan\u0131z \u00e7evrimi\u00e7i g\u00fcvenlik \u00e7ok \u00f6nemlidir. Bir sald\u0131r\u0131 durumunda, yaln\u0131zca web siteniz ve i\u015finiz risk alt\u0131nda de\u011fildir, m\u00fc\u015fterileriniz de \u00e7ok fazla zarar g\u00f6rebilir.<\/p>\n Bilgisayar korsanlar\u0131 sadece web sitenize eri\u015fimi engellemekle kalmaz, baz\u0131 durumlarda m\u00fc\u015fteri bilgilerini ve kimlik bilgilerini de ele ge\u00e7irebilir. WAF, web sitenize gelen trafi\u011fin izlenmesini ve korunmas\u0131n\u0131 sa\u011flayarak m\u00fc\u015fteri verilerinin korunmas\u0131na yard\u0131mc\u0131 olur.<\/p>\n \u0130\u015fletmenizin veya web uygulaman\u0131z\u0131n tasarruf etmesine yard\u0131mc\u0131 olacak ilk \u015fey, bir siber sald\u0131r\u0131 durumunda kar\u015f\u0131la\u015fabilece\u011finiz zararlard\u0131r. Uzun davalar ve k\u00f6t\u00fc tan\u0131t\u0131m, \u015firketlere bir miktar mali s\u0131k\u0131nt\u0131ya neden olabilir. Bununla birlikte, WAF, kaynaklardan tasarruf etmenize yard\u0131mc\u0131 olabilir. Trafi\u011fi manuel olarak izlemek ve site trafi\u011finizin uygun oldu\u011fundan emin olmak i\u00e7in bir profesyonele ihtiyac\u0131n\u0131z kalmaz.<\/p>\n Piyasada \u00fc\u00e7 tip WAF mevcuttur. Hepsi ayn\u0131 amaca ula\u015f\u0131r, ancak farkl\u0131 konumlara kurulur ve da\u011f\u0131t\u0131l\u0131r. Bu nedenle, maliyet, gerekli bak\u0131m ve h\u0131z bak\u0131m\u0131ndan farkl\u0131l\u0131k g\u00f6sterir. Biri di\u011ferinden daha iyidir diyemeyiz, i\u015fletmenizin ihtiya\u00e7lar\u0131 i\u00e7in hangi se\u00e7ene\u011fin en iyi olaca\u011f\u0131n\u0131 belirlemek, BT \u200b\u200bekibinize veya y\u00f6netilen hizmet sa\u011flay\u0131c\u0131n\u0131za ba\u011fl\u0131d\u0131r.<\/p>\n Donan\u0131m tabanl\u0131 bir WAF, LAN veya yerel alan a\u011f\u0131 i\u00e7inde yerel olarak kurulan ve fiziksel bir donan\u0131m par\u00e7as\u0131na da\u011f\u0131t\u0131lan bir WAF’dir. \u0130\u015fletim sistemi, cihaz i\u00e7inde \u00e7al\u0131\u015f\u0131r ve WAF i\u00e7in t\u00fcm g\u00fcncellemeleri destekler. Bu se\u00e7enek bir donan\u0131m par\u00e7as\u0131 \u00fczerinde \u00e7al\u0131\u015ft\u0131\u011f\u0131ndan, otomatik olarak art\u0131lar\u0131 ve eksileri vard\u0131r. Fiziksel ekipmana sahip olmak ve bak\u0131m\u0131n\u0131 \u00fcstlenmek pahal\u0131d\u0131r. Bu da onu di\u011fer WAF t\u00fcrlerinden daha y\u00fcksek maliyetli bir hale getirir. Ancak sunucuya yak\u0131nl\u0131\u011f\u0131 nedeniyle bu se\u00e7enek y\u00fcksek performans ve h\u0131za sahiptir. Bu se\u00e7enek, \u00e7ok say\u0131da m\u00fc\u015fterisi ve g\u00fcnl\u00fck y\u00fcksek web trafi\u011fi olan i\u015fletmeler i\u00e7in ideal olabilir.<\/p>\n Yaz\u0131l\u0131m tabanl\u0131 bir WAF, donan\u0131m yerine sanal makineye veya VM’ye kurulur. Bu se\u00e7enek, donan\u0131m tabanl\u0131 WAF ile ayn\u0131 i\u015flevi g\u00f6r\u00fcr, ancak \u015firket i\u00e7inde veya bulutta kullan\u0131labildi\u011finden esnekli\u011fi art\u0131r\u0131r ve donan\u0131m gerekmedi\u011finden maliyeti d\u00fc\u015f\u00fcr\u00fcr. Ancak yaz\u0131l\u0131m tabanl\u0131 WAF, web uygulamas\u0131n\u0131 yava\u015flatan trafi\u011fi izleme ve filtreleme s\u00fcresini art\u0131r\u0131r. Bu se\u00e7enek, maliyetleri d\u00fc\u015f\u00fck tutarken kendilerini korumas\u0131 gereken k\u00fc\u00e7\u00fck ve orta \u00f6l\u00e7ekli i\u015fletmeler i\u00e7in ideal olabilir.<\/p>\n Bulut tabanl\u0131 bir WAF, bir SaaS veya bir hizmet olarak yaz\u0131l\u0131m yap\u0131s\u0131 olarak sunulur. Bu se\u00e7enek ile WAF tamamen bulutta bulunur ve her \u015fey servis sa\u011flay\u0131c\u0131 taraf\u0131ndan y\u00f6netilir. Bu, hizmet sa\u011flay\u0131c\u0131 gerekti\u011finde optimize edip g\u00fcncelleyece\u011finden, i\u015fletmelerin bir WAF’i da\u011f\u0131tmas\u0131 ve s\u00fcrd\u00fcrmesi i\u00e7in en basit yolu olu\u015fturur. Bu se\u00e7enek, WAF’lerini s\u00fcrd\u00fcrmek ve y\u00f6netmek i\u00e7in s\u0131n\u0131rl\u0131 BT kaynaklar\u0131na sahip i\u015fletmeler i\u00e7in en iyisi olabilir.<\/p>\n WAF, uygulama katman\u0131 d\u00fczeyinde sald\u0131r\u0131lar\u0131 \u00f6nler. Yani bir bilgisayar korsan\u0131 HTTP’yi k\u00f6t\u00fc ama\u00e7l\u0131 etkinlik veya giri\u015f noktas\u0131 olarak kullan\u0131yorsa, WAF bir kalkan g\u00f6revi g\u00f6r\u00fcr.<\/p>\n WAF’in \u00f6nledi\u011fi sald\u0131r\u0131lardan baz\u0131lar\u0131 a\u015fa\u011f\u0131dakileri i\u00e7erir:<\/p>\n Bilgisayar korsanlar\u0131, ticari i\u015flemleri veya m\u00fc\u015fteri bilgilerini i\u00e7erebilen web siteleri i\u00e7in \u00f6nemli olan bilgileri s\u0131zd\u0131rmaya \u00e7al\u0131\u015fabilir.<\/p>\n SQL einjections, web uygulamas\u0131n\u0131n veri taban\u0131n\u0131 hedefleyerek \u00e7al\u0131\u015f\u0131r.<\/p>\n Kurumsal casusluk, rakiplerin rekabet avantaj\u0131n\u0131 yarars\u0131z ve herkesin g\u00f6rebilece\u011fi hale getirebilece\u011fi i\u00e7in y\u00fcksek \u00f6ncelikli verilere maruz kalmay\u0131 tercih eder.<\/p>\n Bir web uygulamas\u0131na eri\u015fmek ve sahip olabilece\u011fi g\u00fcvenlik a\u00e7\u0131klar\u0131ndan yararlanmak i\u00e7in sahte HTTP istekleri yap\u0131labilir.<\/p>\n Bu sald\u0131r\u0131, web uygulamas\u0131n\u0131n kullan\u0131c\u0131s\u0131n\u0131 hedef al\u0131r ve kullan\u0131c\u0131lar\u0131n farkl\u0131 bir web sitesinde bilgilerini de\u011fi\u015ftirirken veya e-posta’lar\u0131n\u0131 g\u00fcncellerken kimlik bilgilerini almay\u0131 hedefler.<\/p>\n DDoS sald\u0131r\u0131lar\u0131, genellikle botlar\u0131 ve di\u011fer ara\u00e7lar\u0131 kullanarak kapasitesini a\u015fmas\u0131n\u0131 sa\u011flayarak bir web uygulamas\u0131n\u0131n sunucular\u0131n\u0131 hedefler.<\/p>\n \u0130\u015fletmenizin bir web sitesi veya ba\u015fka web uygulamalar\u0131 var m\u0131?<\/p>\n Cevab\u0131n\u0131z evetse, bir WAF kullanmay\u0131 d\u00fc\u015f\u00fcnebilirsiniz.<\/p>\n Neden mi?<\/p>\n K\u00fc\u00e7\u00fck web siteleri bile siber su\u00e7lular i\u00e7in bir hedeftir, \u00f6zellikle de bu t\u00fcr g\u00fcvenlik k\u00fc\u00e7\u00fck i\u015fletmelerde genellikle ihmal edildi\u011finden, ne kadar olas\u0131 oldu\u011funu d\u00fc\u015f\u00fcnmeseniz de i\u015fletmenizi riske atar.<\/p>\n T\u00fcm web sitelerinin yakla\u015f\u0131k %70’i, m\u00fc\u015fteri veya \u00f6deme bilgileri gibi web sitenizin toplad\u0131\u011f\u0131 t\u00fcm verilerin g\u00fcvenli\u011fini sa\u011flamada \u00f6nemli bir ilk ad\u0131m olan HTTPS’yi kullan\u0131r. Ne yaz\u0131k ki, HTTPS minimum g\u00fcvenlik gereksinimidir ve siber su\u00e7lular\u0131n veri taban\u0131n\u0131za s\u0131zmas\u0131n\u0131 ve hassas m\u00fc\u015fteri bilgilerini \u00e7almas\u0131n\u0131 durdurmak i\u00e7in yeterli de\u011fildir. WAF, istenmeyen web trafi\u011fini filtrelemek ve engellemek, ayr\u0131ca s\u00fcrekli olarak en yayg\u0131n sald\u0131r\u0131 t\u00fcrlerine kar\u015f\u0131 koruma sa\u011flamak i\u00e7in bir dizi ilke kulland\u0131\u011f\u0131ndan, HTTPS’nin sa\u011flayamad\u0131\u011f\u0131 \u015fekillerde g\u00fcvenli\u011finizi sa\u011flamaya yard\u0131mc\u0131 olabilir. Ayr\u0131ca \u00f6nbelle\u011fe alma mekanizmalar\u0131n\u0131 kullanarak site h\u0131z\u0131n\u0131 ve performans\u0131n\u0131 art\u0131rmaya yard\u0131mc\u0131 olur.<\/p>\n Web uygulamas\u0131 olan herhangi bir i\u015fletme i\u00e7in bir WAF’e sahip olmak ak\u0131ll\u0131ca olsa da, web sald\u0131r\u0131lar\u0131na daha yatk\u0131n olabilecek baz\u0131 belirli i\u015fletme t\u00fcrleri a\u015fa\u011f\u0131dakileri i\u00e7erir:<\/p>\nWeb Application Firewall (WAF) Nas\u0131l \u00c7al\u0131\u015f\u0131r?<\/h2>\n
WAF Neden \u00d6nemlidir?<\/h2>\n
WAF’in Faydalar\u0131 Nelerdir?<\/h2>\n
1. Bilgisayar korsanl\u0131\u011f\u0131 giri\u015fimlerini ve siber sald\u0131r\u0131lar\u0131 \u00f6nler<\/h3>\n
2. M\u00fc\u015fteri verilerini korur<\/h3>\n
3. Maliyetten tasarruf sa\u011flar<\/h3>\n
Web Application Firewalls (WAF) T\u00fcrleri<\/h2>\n
1. Donan\u0131m tabanl\u0131 WAF (Hardware-based WAF)<\/h3>\n
2. Yaz\u0131l\u0131m tabanl\u0131 WAF (Software-based WAF)<\/h3>\n
3. Bulut tabanl\u0131 WAF (Cloud based WAF)<\/h3>\n
WAF’lerin \u00d6nledi\u011fi Sald\u0131r\u0131lar<\/h2>\n
1. Korunan bilgilere yetkisiz eri\u015fim<\/h3>\n
2. SQL injections<\/h3>\n
3. Y\u00fcksek \u00f6ncelikli veri maruziyeti<\/h3>\n
4. Sahte HTTP istekleri<\/h3>\n
5. Siteler aras\u0131 sahtecilik<\/h3>\n
6. Da\u011f\u0131t\u0131lm\u0131\u015f Hizmet Reddi (DDoS)<\/h3>\n
Web Application Firewalls\u2019a Kimler \u0130htiya\u00e7 Duyar?<\/h2>\n