Web Güvenliği Rehberi: SSL, Firewall, Sunucu Güvenliği ve Modern Siber Tehditlere Karşı Çok Katmanlı Savunma
Web güvenliği, yalnızca bir uygulamanın çevrim içi kalmasını değil aynı zamanda veri bütünlüğünü, kullanıcı gizliliğini ve sistem sürekliliğini sağlamayı amaçlayan geniş kapsamlı bir disiplindir. Gelişen saldırı yöntemleri, otomatik bot ağları, API suistimalleri ve artan siber suç teknolojileri nedeniyle güvenlik artık reaktif bir yaklaşım olmaktan çıkmış, proaktif bir operasyon haline gelmiştir. Bu rehber, modern işletmelerin ihtiyaç duyduğu tüm güvenlik yapı taşlarını hem teknik hem operasyonel açıdan detaylandırır.
Günümüz sistemleri; bulut altyapıları, mikroservis mimarileri, container tabanlı dağıtımlar, API-first yapılar, third-party entegrasyonlar ve mobil istemcilerle çok daha karmaşık hale gelmiştir. Bu yapı, saldırı yüzeyini genişlettiğinden güvenlik artık yalnızca sunucu tarafında değil; yazılım geliştirme sürecinin en başından itibaren ele alınması gereken bütünsel bir konu haline gelmiştir.
Güvenlik Perspektifi: Network, Uygulama, Veri ve Operasyon Katmanları
Web güvenliği temelde dört kritik alanın etrafında şekillenir: ağ, uygulama, veri ve operasyon. Bu alanların her biri saldırı yüzeyinin bir bölümünü temsil eder ve eksik bırakılan herhangi bir katman tüm sistemi savunmasız bırakabilir. Bu nedenle çok katmanlı güvenlik yaklaşımı (defense in depth) kurumlar için standart haline gelmiştir.
- Ağ katmanı: Firewall, IDS/IPS, yük dengeleme, ağ segmentasyonu
- Uygulama katmanı: Input validation, OWASP Top 10, XSS/SQLi koruması
- Veri katmanı: Şifreleme, erişim kontrolü, gizlilik ve veri sınıflandırması
- Operasyon katmanı: Log yönetimi, SIEM, IAM, incident response
Bu katmanların birbirini tamamlaması sayesinde sistem hem bilinçli saldırılara hem de yanlış konfigürasyon kaynaklı risklere karşı dirençli hale gelir.
SSL/TLS Güvenliği: Web Uygulamalarının Temel Şifreleme Altyapısı
SSL/TLS, sunucu ile istemci arasındaki tüm iletişimi şifreleyen temel protokoldür. Ancak bir SSL sertifikası yüklemek web sitesini güvenli yapmaz. Sertifikanın doğru protokoller, güçlü cipher suite seçenekleri, sertifika zinciri doğrulaması ve otomatik yenileme süreçleri ile birlikte yapılandırılması kritik önemdedir.
Modern SSL/TLS Yapılandırma Gereksinimleri
Modern web uygulamalarında aşağıdaki SSL/TLS konfigürasyon ilkeleri uygulanmalıdır:
- TLS 1.2 ve TLS 1.3 desteği
- Zayıf protokollerin tamamen kapatılması
- Modern cipher suite kullanımı
- Perfect Forward Secrecy (PFS) desteği
- HSTS politikasının aktif edilmesi
- OCSP stapling ile daha hızlı doğrulama
- Süresi yaklaşan sertifikaların otomatik yenilenmesi
Ek olarak, sertifika otoritesi seçimi de kritik bir karardır. Let’s Encrypt, ZeroSSL gibi ACME protokolü ile çalışan CA’lar otomasyon avantajı sağlarken; EV ve OV sertifikalar marka güvenilirliği açısından bazı kurumlarda tercih edilir.
WAF ve Uygulama Güvenlik Katmanı
WAF (Web Application Firewall), HTTP ve HTTPS trafiklerini analiz ederek kötü niyetli istekleri engelleyen bir uygulama katmanı güvenlik aracıdır. Modern saldırıların büyük bölümü uygulama katmanını hedef aldığı için WAF, kurumların öncelikli savunma araçlarından biri haline gelmiştir.
WAF’in Engellediği Başlıca Saldırı Türleri
- SQL Injection
- Cross-Site Scripting (XSS)
- Remote Code Execution (RCE)
- Local File Inclusion (LFI)
- Cross-Site Request Forgery (CSRF)
- Botnet saldırıları ve credential stuffing
Cloudflare, AWS WAF, Akamai Kona ve Imperva gibi çözümler hem imza tabanlı hem davranış tabanlı analiz yaparak sıfır gün açıklarına karşı da ek koruma katmanı sağlar. Ayrıca API güvenliği için rate limiting ve JWT token analizi gibi özel filtreler sunar.
Sunucu Hardening ve Sistem Güvenliği
Sunucu güvenliği, saldırganların en çok hedef aldığı alanlardan biridir. Yanlış yapılandırılmış bir işletim sistemi, açık bırakılmış servisler, zayıf kullanıcı şifreleri ve gereksiz portlar, saldırı yüzeyini genişletir. Bu nedenle hardening işlemleri, güvenlik süreçlerinin temel parçasıdır.
Linux Hardening Standartları
- SSH anahtar doğrulaması zorunlu olmalı
- Root login kapatılmalı
- Varsayılan portlar değiştirilmelidir
- Gereksiz servisler kapatılmalıdır
- Kernel güncellemeleri otomatik uygulanmalıdır
- Firewall aktif ve minimal izinlerle yapılandırılmalıdır
- Log rotasyonu yapılmalı ve loglar harici bir SIEM’e iletilmelidir
Sunucu hardening aynı zamanda dosya sistemi izinleri, SSH brute force koruması, arka plan servislerinin kontrolü ve container izolasyonu gibi farklı katmanlarla güçlendirilmelidir.
Patch Yönetimi, Dependency Güvenliği ve Supply Chain Risks
Modern web uygulamaları yüzlerce bağımlılık kullanır. Bu bağımlılıkların birçoğu üçüncü taraf geliştiriciler tarafından üretilir ve zaman içinde güvenlik açıkları barındırabilir. Supply chain saldırıları özellikle son yıllarda yaygınlaşan kritik bir tehdittir.
Bağımlılık Güvenliği İçin Yapılması Gerekenler
- Dependabot, Snyk ve OWASP Dependency Check gibi araçlarla otomatik tarama
- Şüpheli paket güncellemelerinin manuel kontrolü
- Versiyon kilitleme (lock file zorunlu kullanım)
- Private package repository ile güvenli yayınlama
Supply chain saldırılarında tehlike yalnızca kodun kendisinden değil; CI/CD pipeline boyunca kullanılan araçlardan da gelir. Bu nedenle pipeline güvenliği de kritik önem taşır.
CI/CD Güvenliği ve DevSecOps Yaklaşımı
Geleneksel yazılım geliştirme süreçlerinde güvenlik çoğunlukla son aşamada değerlendirilir. Ancak modern DevSecOps yaklaşımında güvenlik en baştan itibaren pipeline’a entegre edilir. Böylece hem daha hızlı hem daha güvenli bir geliştirme döngüsü elde edilir.
CI/CD Pipeline Güvenlik Kontrolleri
- Static Application Security Testing (SAST)
- Dynamic Application Security Testing (DAST)
- Infrastructure as Code Security (IaC scanning)
- Container image vulnerability scanning
- Secret leak detection (git history dahil)
- Runtime Application Self-Protection (RASP)
DevSecOps yaklaşımı, geliştirme ekipleri ile güvenlik ekiplerinin birlikte çalışmasını sağlar ve her commit’in otomatik güvenlik testinden geçmesini mümkün kılar.
API Güvenliği ve Modern Web Mimarileri
API-first mimariler, modern web sistemlerinde yaygınlaşmıştır. Ancak API’ler hem yüksek veri trafiği hem de geniş erişim yüzeyi nedeniyle saldırganlar için en kritik hedeflerden biridir.
API Güvenliğinin Temel İlkeleri
- API rate limiting
- IP reputation filtering
- JWT expiration ve revocation politikaları
- Parametre doğrulama ve schema validation
- API Gateway ile merkezi güvenlik yönetimi
OWASP API Top 10 rehberi, API güvenliğinde dikkat edilmesi gereken başlıca zafiyetleri listeler ve güvenlik değerlendirmelerinde standart olarak kullanılır.
SIEM, Log Yönetimi ve Anomali Tespiti
Kapsamlı güvenlik yalnızca koruma değil, aynı zamanda sürekli izleme gerektirir. SIEM (Security Information and Event Management) sistemleri logları merkezi olarak toplar, ilişkilendirir ve şüpheli aktiviteleri tespit eder.
SIEM Sisteminin Sağladığı Avantajlar
- Gerçek zamanlı saldırı tespiti
- Olay korelasyon analizi
- Tehdit istihbaratı entegrasyonu
- Aşırı kaynak kullanımı analizleri
- Kötü niyetli IP ve bot tespiti
SIEM sistemleri yalnızca saldırıları değil, yapılandırma hatalarını ve performans anomalilerini de tespit eder.
Incident Response (Olay Müdahale) Süreçleri
Hiçbir sistem %100 güvenli değildir. Bu nedenle incident response planı, güvenlik stratejisinin kritik bir bileşenidir. Bir olay meydana geldiğinde organizasyon ne kadar hızlı hareket ederse veri kaybı, iş durması ve mali zararın boyutu o kadar azalır.
Incident Response Planı Adımları
- Hazırlık
- Tespit ve analiz
- İzolasyon
- Giderme
- Kurtarma
- Post-mortem değerlendirme
Bu süreçler düzenli olarak tabletop exercise ve saldırı simülasyonlarıyla test edilmelidir.
Hosting, Altyapı Seçimi ve Cloud Güvenliği
Güvenliğin en temel belirleyicilerinden biri doğru altyapı seçimidir. Managed hosting çözümleri birçok güvenlik yükünü otomatik yönetirken; büyük organizasyonlar çoğunlukla izole cloud ortamları ve container tabanlı mimariler kullanır.
Altyapı Güvenliği İçin Öneriler
- DDoS koruması bulunan provider’lar
- Private network desteği
- VPC segmentasyonu
- Kubernetes RBAC politikaları
- Zero Trust Network Access
Altyapının güvenliği yalnızca provider seviyesinde değil; kullanıcı konfigürasyonu ile de doğru yönetilmelidir.
Sonuç
Web güvenliği, yalnızca teknolojik çözümlerden değil; süreç, izleme, eğitim, otomasyon ve düzenli değerlendirmelerden oluşur. SSL, WAF, firewall ve sunucu güvenliği yalnızca başlangıçtır. Modern güvenlik yaklaşımı; API koruması, DevSecOps kültürü, SIEM izleme, IAM yönetimi, supply chain güvenliği ve incident response stratejilerini kapsayan bütünsel bir sistemdir.
Kurumlar, güvenliği bir maliyet değil; hizmet sürekliliği, marka itibarı ve işletme devamlılığı için kritik bir yatırım olarak görmelidir. Güvenlik süreçleri doğru uygulandığında hem operasyonel risk azalır hem de uzun vadeli altyapı istikrarı sağlanır.
