Web Application Firewall (Waf) Nedir ?
WAF veya web uygulaması güvenlik duvarı , bir web uygulaması ile İnternet arasındaki HTTP trafiğini filtreleyerek ve izleyerek web uygulamalarının korunmasına yardımcı olur. Genellikle web uygulamalarını, diğerleri arasında siteler arası sahtecilik , siteler arası komut dosyası çalıştırma (XSS) , dosya ekleme ve SQL enjeksiyonu gibi saldırılardan korur. WAF, protokol katmanı 7 savunmasıdır ( OSI modelinde ) ve her tür saldırıya karşı savunmak için tasarlanmamıştır. Bu saldırı azaltma yöntemi, genellikle birlikte çeşitli saldırı vektörlerine karşı bütünsel bir savunma oluşturan bir araç takımının parçasıdır. Bir web uygulamasının önüne bir WAF yerleştirilerek, web uygulaması ile İnternet arasına bir kalkan yerleştirilir. Bir proxy sunucusu, bir aracı kullanarak bir istemci makinesinin kimliğini korurken, bir WAF bir tür ters proxy'dir ve istemcilerin sunucuya ulaşmadan önce WAF'tan geçmesini sağlayarak sunucuyu açığa çıkmaktan korur.
Bir WAF, genellikle ilkeler olarak adlandırılan bir dizi kural aracılığıyla çalışır. Bu politikalar, kötü niyetli trafiği filtreleyerek uygulamadaki güvenlik açıklarına karşı koruma sağlamayı amaçlar. Bir WAF'nin değeri, kısmen, değişen saldırı vektörlerine daha hızlı yanıt verilmesine olanak tanıyan ilke değişikliğinin uygulanabilme hızı ve kolaylığından gelir; bir DDoS saldırısı sırasında , WAF ilkeleri değiştirilerek hız sınırlaması hızla uygulanabilir.
Engellenenler Listesi ve İzin Verilenler Listesi WAF'ları arasında Farklar
Bir engelleme listesine (negatif güvenlik modeli) dayalı olarak çalışan bir WAF, bilinen saldırılara karşı koruma sağlar. Engellenenler listesindeki bir WAF'yi, kıyafet kurallarına uymayan misafirlerin girişini reddetmesi talimatı verilen bir kulüp fedaisi olarak düşünün. Bunun tersine, izin verilenler listesine (pozitif güvenlik modeli) dayalı bir WAF, yalnızca önceden onaylanmış trafiği kabul eder. Bu, özel bir partideki fedai gibidir, sadece listedeki kişileri kabul eder. Hem engellenenler hem de izin verilenler listelerinin avantajları ve dezavantajları vardır, bu nedenle birçok WAF, her ikisini de uygulayan bir hibrit güvenlik modeli sunar.
Ağ Tabanlı, Ana Bilgisayar Tabanlı ve Bulut Tabanlı WAF'lar
Bir WAF, her biri kendi yararları ve eksiklikleri olan üç farklı yoldan biriyle uygulanabilir:
Ağ tabanlı bir WAF genellikle donanım tabanlıdır. Yerel olarak kuruldukları için gecikmeyi en aza indirirler, ancak ağ tabanlı WAF'ler en pahalı seçenektir ve ayrıca fiziksel ekipmanın depolanmasını ve bakımını gerektirir.
Ana bilgisayar tabanlı bir WAF, bir uygulamanın yazılımına tam olarak entegre edilebilir. Bu çözüm, ağ tabanlı bir WAF'den daha ucuzdur ve daha fazla özelleştirilebilirlik sunar. Ana bilgisayar tabanlı bir WAF'nin dezavantajı, yerel sunucu kaynaklarının tüketimi, uygulama karmaşıklığı ve bakım maliyetleridir. Bu bileşenler tipik olarak mühendislik süresi gerektirir ve maliyetli olabilir.
Bulut tabanlı WAF'ler, uygulanması çok kolay olan uygun maliyetli bir seçenek sunar; genellikle trafiği yeniden yönlendirmek için DNS'de bir değişiklik kadar basit olan anahtar teslimi bir kurulum sunarlar. Kullanıcılar bir hizmet olarak güvenlik için aylık veya yıllık ödeme yaptıklarından, bulut tabanlı WAF'lerin minimum ön maliyeti de vardır. Bulut tabanlı WAF'ler, kullanıcı tarafında herhangi bir ek iş veya maliyet olmaksızın en yeni tehditlere karşı koruma sağlamak için sürekli olarak güncellenen bir çözüm de sunabilir. Bulut tabanlı bir WAF'ın dezavantajı, kullanıcıların sorumluluğu üçüncü bir tarafa devretmesidir, bu nedenle WAF'ın bazı özellikleri onlar için bir kara kutu olabilir.
WAF veya web uygulaması güvenlik duvarı , bir web uygulaması ile İnternet arasındaki HTTP trafiğini filtreleyerek ve izleyerek web uygulamalarının korunmasına yardımcı olur. Genellikle web uygulamalarını, diğerleri arasında siteler arası sahtecilik , siteler arası komut dosyası çalıştırma (XSS) , dosya ekleme ve SQL enjeksiyonu gibi saldırılardan korur. WAF, protokol katmanı 7 savunmasıdır ( OSI modelinde ) ve her tür saldırıya karşı savunmak için tasarlanmamıştır. Bu saldırı azaltma yöntemi, genellikle birlikte çeşitli saldırı vektörlerine karşı bütünsel bir savunma oluşturan bir araç takımının parçasıdır. Bir web uygulamasının önüne bir WAF yerleştirilerek, web uygulaması ile İnternet arasına bir kalkan yerleştirilir. Bir proxy sunucusu, bir aracı kullanarak bir istemci makinesinin kimliğini korurken, bir WAF bir tür ters proxy'dir ve istemcilerin sunucuya ulaşmadan önce WAF'tan geçmesini sağlayarak sunucuyu açığa çıkmaktan korur.
Bir WAF, genellikle ilkeler olarak adlandırılan bir dizi kural aracılığıyla çalışır. Bu politikalar, kötü niyetli trafiği filtreleyerek uygulamadaki güvenlik açıklarına karşı koruma sağlamayı amaçlar. Bir WAF'nin değeri, kısmen, değişen saldırı vektörlerine daha hızlı yanıt verilmesine olanak tanıyan ilke değişikliğinin uygulanabilme hızı ve kolaylığından gelir; bir DDoS saldırısı sırasında , WAF ilkeleri değiştirilerek hız sınırlaması hızla uygulanabilir.
Engellenenler Listesi ve İzin Verilenler Listesi WAF'ları arasında Farklar
Bir engelleme listesine (negatif güvenlik modeli) dayalı olarak çalışan bir WAF, bilinen saldırılara karşı koruma sağlar. Engellenenler listesindeki bir WAF'yi, kıyafet kurallarına uymayan misafirlerin girişini reddetmesi talimatı verilen bir kulüp fedaisi olarak düşünün. Bunun tersine, izin verilenler listesine (pozitif güvenlik modeli) dayalı bir WAF, yalnızca önceden onaylanmış trafiği kabul eder. Bu, özel bir partideki fedai gibidir, sadece listedeki kişileri kabul eder. Hem engellenenler hem de izin verilenler listelerinin avantajları ve dezavantajları vardır, bu nedenle birçok WAF, her ikisini de uygulayan bir hibrit güvenlik modeli sunar.
Ağ Tabanlı, Ana Bilgisayar Tabanlı ve Bulut Tabanlı WAF'lar
Bir WAF, her biri kendi yararları ve eksiklikleri olan üç farklı yoldan biriyle uygulanabilir:
Ağ tabanlı bir WAF genellikle donanım tabanlıdır. Yerel olarak kuruldukları için gecikmeyi en aza indirirler, ancak ağ tabanlı WAF'ler en pahalı seçenektir ve ayrıca fiziksel ekipmanın depolanmasını ve bakımını gerektirir.
Ana bilgisayar tabanlı bir WAF, bir uygulamanın yazılımına tam olarak entegre edilebilir. Bu çözüm, ağ tabanlı bir WAF'den daha ucuzdur ve daha fazla özelleştirilebilirlik sunar. Ana bilgisayar tabanlı bir WAF'nin dezavantajı, yerel sunucu kaynaklarının tüketimi, uygulama karmaşıklığı ve bakım maliyetleridir. Bu bileşenler tipik olarak mühendislik süresi gerektirir ve maliyetli olabilir.
Bulut tabanlı WAF'ler, uygulanması çok kolay olan uygun maliyetli bir seçenek sunar; genellikle trafiği yeniden yönlendirmek için DNS'de bir değişiklik kadar basit olan anahtar teslimi bir kurulum sunarlar. Kullanıcılar bir hizmet olarak güvenlik için aylık veya yıllık ödeme yaptıklarından, bulut tabanlı WAF'lerin minimum ön maliyeti de vardır. Bulut tabanlı WAF'ler, kullanıcı tarafında herhangi bir ek iş veya maliyet olmaksızın en yeni tehditlere karşı koruma sağlamak için sürekli olarak güncellenen bir çözüm de sunabilir. Bulut tabanlı bir WAF'ın dezavantajı, kullanıcıların sorumluluğu üçüncü bir tarafa devretmesidir, bu nedenle WAF'ın bazı özellikleri onlar için bir kara kutu olabilir.