Kurumsal \u015firketler dijital d\u00f6n\u00fc\u015f\u00fcm s\u00fcre\u00e7lerine milyonlarca lira yat\u0131r\u0131m yaparken, web sitelerinin ve e-ticaret platformlar\u0131n\u0131n g\u00fcvenli\u011fini genellikle ayl\u0131k birka\u00e7 dolarl\u0131k yaz\u0131l\u0131msal WordPress eklentilerine emanet etme hatas\u0131na d\u00fc\u015ferler. \u0130\u015fletmeler ancak b\u00fcy\u00fck bir DDoS sald\u0131r\u0131s\u0131 ald\u0131klar\u0131nda veya m\u00fc\u015fteri verileri s\u0131zd\u0131r\u0131ld\u0131\u011f\u0131nda bu eklentilerin sadece birer “ill\u00fczyon” oldu\u011funu ac\u0131 bir \u015fekilde fark ederler.<\/p>\n
Bir web sitesinin g\u00fcvenli\u011fini, o sitenin kurulu oldu\u011fu i\u015fletim sisteminin i\u00e7ine hapsedemezsiniz. Tek ba\u015f\u0131n\u0131za t\u00fcm \u015firketin a\u011f altyap\u0131s\u0131n\u0131 ve g\u00fcvenli\u011fini y\u00f6neten bir Bilgi \u0130\u015flem Sorumlusu (IT Lead) g\u00f6z\u00fcyle bakt\u0131\u011f\u0131n\u0131zda; ger\u00e7ek kurumsal g\u00fcvenli\u011fin eklentilerde de\u011fil, a\u011f ge\u00e7idinde (Gateway) ba\u015flayan \u00e7ok katmanl\u0131 bir donan\u0131m mimarisinde yatt\u0131\u011f\u0131n\u0131 g\u00f6r\u00fcrs\u00fcn\u00fcz.<\/p>\n
Peki, a\u015f\u0131lamaz bir web sunucusu mimarisi nas\u0131l in\u015fa edilir?<\/p>\n
Sitenize Wordfence veya benzeri bir yaz\u0131l\u0131m kurdu\u011funuzu varsayal\u0131m. K\u00f6t\u00fc niyetli bir Botnet a\u011f\u0131, sitenize saniyede on binlerce istek g\u00f6nderdi\u011finde bu istekler; veri merkezini ge\u00e7er, sunucunuzun i\u015flemcisine (CPU) ula\u015f\u0131r ve en sonunda eklentinize \u00e7arpar.<\/p>\n
Eklentiniz bu sald\u0131r\u0131y\u0131 engellese bile, o binlerce iste\u011fi analiz edip reddetmek i\u00e7in sunucunuzun RAM ve CPU kaynaklar\u0131n\u0131 t\u00fcketir. Sonu\u00e7? Siteniz hacklenmez ama kaynaklar t\u00fckendi\u011fi i\u00e7in tamamen kilitlenir (DDoS kesintisi). Kurumsal bir a\u011fda veya veri merkezinde IP \u00e7ak\u0131\u015fmalar\u0131n\u0131 ve a\u011f d\u00f6ng\u00fclerini (Network Loop) H3C gibi omurga anahtarlar \u00fczerinden donan\u0131m seviyesinde nas\u0131l engelliyorsak, siber sald\u0131r\u0131lar\u0131 da sunucuya ula\u015fmadan durdurmal\u0131y\u0131z.<\/p>\n
SaviorHost<\/b> altyap\u0131s\u0131nda, sitenizi korumak i\u00e7in yaz\u0131l\u0131mlar\u0131n insaf\u0131na g\u00fcvenmek yerine end\u00fcstri standard\u0131 “Derinlemesine Savunma” (Defense in Depth) stratejisini uyguluyoruz. Bu strateji \u00fc\u00e7 ana kalkan \u00fczerinden \u00e7al\u0131\u015f\u0131r:<\/p>\n1. Kalkan: Donan\u0131msal G\u00fcvenlik Duvarlar\u0131 (Edge Firewall)<\/h3>\n
Zararl\u0131 trafik daha sunucunuza fiziksel olarak ula\u015fmadan, a\u011f\u0131n en u\u00e7 noktas\u0131ndaki geli\u015fmi\u015f donan\u0131msal g\u00fcvenlik duvarlar\u0131 (FortiGate gibi UTM cihazlar\u0131n\u0131n veri merkezi muadilleri) taraf\u0131ndan kar\u015f\u0131lan\u0131r. Bu donan\u0131mlar, saf i\u015flem g\u00fcc\u00fcyle gelen trafi\u011fi milisaniyeler i\u00e7inde filtreler. Siteniz saniyede milyonlarca sahte istek alsa bile arka plandaki Ryzen 9 sunucunuzun i\u015flemcisi %1 bile yorulmaz.<\/p>\n
Donan\u0131m katman\u0131n\u0131 ge\u00e7meyi ba\u015faran sinsi ve hedefe y\u00f6nelik ataklar (\u00d6rne\u011fin bir form \u00fczerinden g\u00f6nderilen SQL Injection veya XSS denemeleri), do\u011frudan web sunucumuzun \u00e7ekirde\u011finde \u00e7al\u0131\u015fan ModSecurity (Web Application Firewall) taraf\u0131ndan kar\u015f\u0131lan\u0131r. Burada standart kurallar yerine, “False Positive” (ger\u00e7ek m\u00fc\u015fteriyi sald\u0131rgan san\u0131p engelleme) oranlar\u0131 optimize edilmi\u015f, e-ticaret s\u00fcre\u00e7lerinizi asla kesintiye u\u011fratmayan \u00f6zel SysAdmin kurallar\u0131 devrededir.<\/p>\n
Siber g\u00fcvenlikte neyi engelledi\u011finizi g\u00f6remezseniz, k\u00f6r say\u0131l\u0131rs\u0131n\u0131z. Ba\u015far\u0131l\u0131 bir savunma mimarisinde g\u00fcvenlik duvar\u0131 loglar\u0131, sunucunun kendi diski yerine izole edilmi\u015f y\u00fcksek kapasiteli (\u00f6rne\u011fin 8TB gibi devasa depolama alanlar\u0131na sahip) merkezi Syslog sunucular\u0131na aktar\u0131lmal\u0131d\u0131r. Biz de altyap\u0131m\u0131zdaki anl\u0131k tehditleri bu merkezi log izleme sistemleri \u00fczerinden saniye saniye analiz ederek, yeni nesil tehditlere kar\u015f\u0131 kurallar\u0131m\u0131z\u0131 an\u0131nda g\u00fcncelliyoruz.<\/p>\n
Siber g\u00fcvenlik, birka\u00e7 butona basarak sa\u011flanacak bir i\u015flem de\u011fil; a\u011f topolojisine, donan\u0131m katmanlar\u0131na ve siber tehdit istihbarat\u0131na tam hakimiyet gerektiren ciddi bir m\u00fchendislik i\u015fidir. E-ticaret sitenizin, m\u00fc\u015fteri verilerinizin ve kurumsal itibar\u0131n\u0131z\u0131n eklenti zafiyetleri y\u00fcz\u00fcnden tehlikeye girmesine izin vermeyin.<\/p>\n