Web Application Firewall (Waf) Nedir ?

Web Application Firewall; günümüzde bir çok uygulamanın webe taşınması ile artan güvenlik zaafiyetlerine karşı merkezi çözümler üretmek, HTTP/HTTPS/SOAP/XML-RPC/Web Servisler üzerinden gelen istekleri denetlemek, analiz etmek ve engellemek için kullanılmaktadır. Waf uygulama üzerinden yapılan tüm GET ve POST isteklerini derinlemesine inceleyerek talebin kötü amaçlı olup olmadığını değerlendirir ve kurala dayalı aksiyon alarak işleme cevap verir.

Bankalara ait web siteleri, e-ticaret siteleri ve yüksek hitli siteler waf kullanımı tercih etmekte olup PCI DSS uyumluluğu içinde web application firewall kullanımı ile standartın şartlarını karşılayabilmektedir.

Web Application Firewall Güvenlik Modelleri

Positive Security Model : Sadece güvenilirliği bilinen isteklerin kabul edeceği ve haricinde gelecek tüm isteklerin reddedileceği kural bazlı güvenlik modelinde istek yapacak ip adreslerinin yer aldığı beyaz liste baz alınırak koruma sağlanır.

Negative Security Model : Varsayılan olarak tüm isteklere cevap verirken imza veritabanında tanımlı olan kurallar dahilinde kötü amaçlı trafiği engeller.Gelen isteklere cevap verirken sadece yasaklanmış olanları engellemeye yönelik işlemler yapılan kara liste modelinde yapılan isteğin zararsız olup olmadığı önceden testip edilemediği için çok fazla trafik kullanılmasına neden olur.

Learning-Based Security Model : Gelen ve giden isteklerin analiz edilmesi ile  sistem yöneticisi tarafından oluşturulan güvenlik kurallarına dayalı modeldir. Bu model öğrenmeye dayalı olduğu için gelişim aşamasında zorlasada sonrasında gelişmiş seviyede güvenlik sağlanmasında faydalı olacaktır.

Waf tercihlerinde mutlaka güncel teknoloji takip edilmeli ve OWASP (Open Web Application Security Project) TOP 10 listesinde yer alan maddelere uyumlu olup olmadığı kontrol edilmelidir.

OWASP TOP 10

• Broken Access Control
• Cryptographic Failures
• Injection
• Insecure Design
• Security Misconfiguration
• Vulnerable and Outdated Components
• Identification and Authentication Failure
• Software and Data Integrity Failures
• Security Logging and Monitoring Failures
• Server-Side Request Forgery

Owasp Top 10 hakkında detaylı bilgi için projenin resmi web sitesini ziyaret edebilirsiniz.

Yazılım ekipleri her ne kadar güvenli kod geliştirse de gelişen siber güvenlik sektöründe işlerin daha hızlı halledilmesi için ek önemler gerekmektedir. Web uygulama güvenliği tarafında Waf kullanarak gözden kaçan zaafiyetleri tespit edebilir ve tanımlı kurallar ile kötü amaçlı isteklere cevap verebilirsiniz.

Cihaz, Lisans, Fiyatlandırma ve Destek için  [email protected] adresine mail atabilir veya 0850 308 0025 nolu telefondan bize ulaşabilirsiniz.