Kurumunuza ait bir veya birden fazla web uygulamanız var ise güvenlik açıklarını ve saldırı tekniklerini sürekli olarak gelişen bir tehdit ortamı nedeniyle takip etmeniz ve önlem almanız önemlidir. Özellikle bugünkü makale konumuz olan Barracuda WAF as as Service detaylarına girmeden önce Web uygulamalarının saldırganların hedef alabileceği çeşitli saldırı türlerine karşı savunmasız olabileceklerini tekrar hatırlatmak isterim. En yaygın web uygulama saldırılarından bazılarını tekrar gözlerimizin önüne getirmek için aşağıya kısa açıklamaları ile yazıyorum.
- SQL Enjeksiyonu: Bu saldırı türünde, saldırgan, web uygulamasının veri tabanına kötü niyetli SQL kodu enjekte eder. Bu sayede saldırgan, veri tabanını manipüle edebilir, veri çalabilir veya hatta sistemde yetki elde edebilir.
- Cross-Site Scripting (XSS): XSS saldırılarında, saldırgan, web uygulamasına kötü niyetli bir komut veya kod enjekte ederek kullanıcıların tarayıcılarında çalışmasını sağlar. Bu sayede saldırgan, kullanıcıların oturum bilgilerini çalabilir, kötü niyetli işlemler gerçekleştirebilir veya kullanıcıları başka sitelere yönlendirebilir.
- Cross-Site Request Forgery (CSRF): CSRF saldırılarında, saldırgan, kullanıcının tarayıcısında oturum açmış olduğu web uygulamasını hedef alır. Saldırgan, kullanıcının istemeden belirli işlemleri gerçekleştirmesini sağlamak için güvenilir gibi görünen bir web sitesini kullanır. Örneğin, kullanıcı bir bağlantıya tıkladığında, oturum açık olduğu web uygulamasında kötü niyetli bir işlem gerçekleşebilir.
- Uygulama Katmanı Saldırıları: Bu kategori, web uygulamalarına yönelik çeşitli saldırı türlerini kapsar. Örnekler arasında güvenlik açıklarının kötüye kullanılması, hatalı kimlik doğrulama veya yetkilendirme, dosya yüklemesi zafiyetleri, zayıf veri doğrulama, yönetim arayüzü saldırıları ve daha fazlası yer alır.
- Veri Sızdırma: Web uygulamaları, kullanıcıların kişisel veya hassas verilerini sakladıkları yerlerdir. Saldırganlar, güvenlik zafiyetlerini kullanarak bu verilere erişebilir ve çalabilir. Bu tür saldırılar, kullanıcıların kredi kartı bilgileri, parolalar, adresler gibi özel bilgilerini hedef alabilir.
İşte bu noktada yukarıda bir kısmından bahsettiğim web uygulamalarına yönelik saldırı türlerini sadece geleneksel firewall yöntemleriyle korumamız mümkün olmayabilir. WAF’lar yani Web Application Firewall’lar OSI katmanının özellikle 6.ve 7. katmanlarında bu saldırılara karşı koruma sağlar. WAF’ların ayrıca bir diğer özelliğide açık kaynaklı bir topluluk tarafından desteklenen, web uygulamalarının güvenliğini artırmak ve web uygulama güvenliği konusunda farkındalığı artırmak amacıyla kurulmuş olan OWASP’ın ilk 10’da bulunan güvenlik risklerini inceler ve koruma sağlar.
Web uygulamalarının güvenliği için WAF’ların çok büyük bir koruma sağladığını biliyoruz, ama aklınıza ilk şu soru ya da sorun geliyor WAF ortamını tasarlamak, yönetmek ve yapılandırmak son derece karmaşık, zaman alıcı ve zahmetli. Hem güvenli hem de yorucu olmayan bir yöntem arıyorsanız Barracuda’nın bulut teknolojileriyle güçlendirilmiş bir teknolojisi WAF (Web Application Firewall) sizlerin bu ihtiyaçlarınıza çözümler sunuyor.
Barracuda’nın bulut teknolojileriyle güçlenen bir teknolojisi WAF (Web Application Firewall)
Barracuda WAF-as-a-Service son zamanlarda herkesin aşina olduğu as-a-service yaklaşımında Web Uygulamalarına ve API’lere kapsamlı uygulama güvenliği sağlayan bulutta hizmet veren bir WAF ürünüdür. Bulut teknolojisiyle birlikte WAF için şirketinizde fiziksel bir cihaz barındırmanıza, donanım ücreti ödemenize, cihazın fiziksel sağlığıyla uğraşmanızı gerek yoktur.
Dakikalar içinde kapsamlı uygulama güvenliği elde edin.
Hizmet olarak sağlanan bu ürün yaklaşımı sebebi ve bulut teknolojisiyle bizlere benzersiz bir basitlik sağlanmaktadır.
Barracuda WAF-as-a-Service, hem East-West hem de North-South koruması sağlayan ürünlerinizin korunmasında bir SaaS hizmeti olarak veya WAF olarak dağıtılabilir. Barracuda WAF-as-a-Service sadece birkaç dakika içerisinde devreye alınabilir, yapılandırabilir ve hizmet olarak çalışmaya başlatılabilir. Önceden oluşturulmuş hazır güvenlik ilkeleri ve kolay kullanıcı arayüz ve sınırsız kural seti ile kolayca kurulumu gerçekleştirebilir ve iş yüklerinizi korumaya başlayabilirsiniz. Önceden hazırlanmış standart şablonlar ile uygulamalarınızı anında korur, belirli ilkelerde konfigürasyon yapmayı kolaylaştırır. Tam kapsamlı DdoS koruması, sürekli uygulama kullanılabilirliği sağlar.
Yeni nesil uygulamalar ve yeni nesil saldırılar için koruma
Gücünü bulut teknolojisiyle birleştiren bu ürünü üretici bağımsız, ister şirket içinde, istediğiniz bulut platformunda (Azure, AWS, GCP gibi) veya ikisinde birlikte dilediğiniz gibi kullanma esnekliği sağlar. Hızlı yenilenen teknolojilere kolayca uyum sağlama imkanını Bulut Mimarisi aracılığıyla birleştirebilirsiniz. OWASP İlk 10 güvenlik riskine, OWASP Web Uygulamalarına Yönelik Otomatik Tehditlere ve sıfır gün tehditleri dahil daha fazlasına karşı koruma sağlayan, kurumsal olarak kanıtlanmış teknoloji üzerine kurulmuştur. Gelişmiş bot savunması, web scraping, ölçeklendirme, tarama, bot spamı ve kimlik bilgisi doldurma/hesap ele geçirme gibi otomatik saldırıları durdurur.
Sistemleri otomatize etmek bu konuda da çok önemlidir. Her kuruluş bünyesinde Monitoring uygulamaları veya SOC ekipleri barındırmıyor. Koruma yöntemlerini olabildiğince otomatikleştirmek bu konuda çok önemli bir etkendir. Sizlerin efor sarfetmeden, gözünüzden kaçmasına izin vermeden gelişmiş sistemleriyle trafiğinizde oluşacak botları durdurmaktadır.
Built-in Barracuda Vulnerability Remediation Service, uygulamalarınızı otomatik olarak tarar. Otomatik taramalar sonucu zafiyet raporu sunmakla kalmayıp güvenlik açıklarını da kendisi düzeltmektedir.
Resim- 1
Tam Kapsamlı DdoS koruması
Barracuda WAF-as-a-service OWASP ilk 10’da bulunan güvenlik açığından çok daha fazlasını korumaya yardımcı olur. Kendisini sürekli olarak güncellemektedir. Çıkan saldırı yöntem ve tekniklerine karşı hızlı bir şekilde savunma pozisyonu alma imkânı sunmaktadır.
Tüm uygulama tehditlerini engelleyerek size tam bir gönül rahatlığı sağlar. Zengin analizler ve sezgisel raporlar, uyumluğu belgelemenize yardımcı olur. Bu raporlar yapılan saldırı türlerine karşı korunmanız için sizlere ışık tutacaktır.
Uygulamalarınızın kesintisiz hizmet verebilmesi için Layer 3-7 DdoS koruması sağlar, üstelik yerleşik kapsamlı DdoS korumasına hiçbir ekstra ücret ödemeniz gerekmez. DdoS korumasıyla sistemlerinizde oluşabilecek yavaşlık, kesinti ve kullanılamaz hale gelme sorunlarından kurtulmuş olursunuz.
API’lerinizi keşfedin ve koruyun
Günümüzün vazgeçilmezleri olan API’lerinizi, XML, JSON ve GraphQL API’leriniz için koruma sağlar. API güvenlik açıklarını yakalamak ve yapılandırmak uzun süreçlerden geçen, ilgili ekiplerinizin fazla efor harcaması gereken bir aşamadır.
Barracuda WAF-as-a-Service otomatikleştirilmiş JSON API Discovery’si, ilgili ekiplerinizin yükünü azaltmak için uygulama trafiğindeki API uç noktalarını belirlemek üzere Machine Learning’i kullanarak olabilecek en üst düzey seviyede korumak için otomatikleştirilmiş güvenlik ayarları önerir. Bu sayede hızlı aksiyon almanızı sağlar.
En gelişmiş kötü amaçlı botları durdurun
Barracuda Advanced Bot Protection, bot trafiğini minimum düzeyde ilerlemesine izin verirken, kötü botları ve insanları taklit etmeye çalışan botları tespit ederek engelleme yeteneğini geliştirmek için Machine Learning kullanır. Bu sayede yeni çıkan botlara karşı bile koruma sağlayabilmektedir. İlk taramada bot olarak algılanmayan trafikleri inceleyip analiz ederek bu ve bunun benzeri trafiklerin bot olduğunu algılayarak artık engellemeye başlayabilir.
Bulut tabanlı Active Threat Intelligence layer ile ortaya çıkan tehditleri neredeyse gerçek zamanlı olarak tespit eder ve engeller. Bunun için kendi kitle kaynaklı tehdit istihbaratını kullanır.
Ayrıntılı erişim kontrolünü ve güvenli uygulama teslimini etkinleştirin
Barracuda WAF-as-a-Service, uygulamalarınız için güvenli bir HTTPS ön ucu sağlayan SSL/TLS yığınına sahiptir. Hem HTTP1.x hem de HTTP2 trafiğini güvence altına alır. Sunucu yük dengeleme, içerik yönlendirme, önbelleğe alma, sıkıştırma, DNS güvenliği ve CDN yetenekleri sunar.
Güvenliğinizi otomatikleştirin
CI/CD süreçlerini tamamen otomatik olmasını sağlamak için birçok popüler 3rd party DevOps aracıyla entegre olur. Tam özellikli REST API, Puppet, Chef, Ansible, Terraform, Azure ARM, AWS CloudFormation ve daha fazlasıyla sorunsuz bir şekilde entegre olur.
Tehlikeli istemci tarafı saldırılara karşı koruyun
CSP ve SRI yapılandırmasını otomatikleştiren, yönetici ek yüklerini ve yapılandırma hatalarını azaltan bir özellik olan ClientSide Protection ile doğrudan tarayıcı üzerinden finansal verileri çalmak için Magecart gibi istemci tarafı dijital gözden geçirme saldırıları, üçüncü taraf komut dosyalarına karşı koruma sağlar.
Ayrıntılı görselleştirme ve raporlama ile trafiğe derinlemesine bakış açısı sağlar.
Güçlü raporlama yetenekleriyle geleceğe ışık tutun
Barracuda WAF-as-a-Service, bilinçli kararlar vermenize yardımcı olan gerçekleştirilebilir adımlar ve ipuçlarıyla ayrıntılı bir raporlamaya sahiptir. Yalnızca saldırı trafiği için güvenlik duvarı günlüklerini değil uygulamanıza gelen her istek için detaylı trafik günlükleri oluşturur ve bunları saklar.
Ürünün içerisinde bulunan koruma yöntemlerinin kendisine has Dashboard’larıyla derinlemesine raporlama ve inceleme imkânı sunmaktadır. Ürün içerisindeki her raporlamanın sonuçlarını eğer Syslog veya AMQP özelliği bulunan bir SIEM/SOAR çözümünüz mevcutsa bunları sistemlere aktarma imkânı sağlamaktadır. Bu sayede SIEM/SOAR daha anlamlı koruma sağlayacaktır.
Barracuda WAF-as-a-Service aşağıda maddeler halinde belirtilen 10 yaklaşım ile koruma sağlar.
- Web Uygulama Güvenliği
- OWASP Top 10 Web uygulaması güvenlik riski koruması
- Genel proxy’ler ve Tor düğümleri dahil ederek coğrafi IP ve IP itibarı
- Akıllı imzalar
- Giden Veri Hırsızlığı Koruması (Kredi kartları, kişisel bilgiler vb.)
- Dosya Yükleme Kontrolü ve koruma için Anti-Virüs
- Web Sitesi Gizleme
- Protokol Limit Kontrolleri
- URL/Parametre politikalarına göre ayrıntı
- Otomatik Yapılandırma Motoru
- API Koruması
- OWASP İlk 10 API güvenliğine karşı koruma
- JSON Güvenliği
- XML Güvenliği
- GraphQL Güvenliği
- Şema tabanlı API Keşfi
- Machine Learning’e dayalı otomatik JSON API keşfi
- Bot Koruması
- Web Scraping koruması
- Bulut tabanlı Machine Learning ile Gelişmiş Bot Koruması
- Bilinen Bot Veritabanı
- Bot Spam Koruması
- Kimlik Bilgileri Doldurma Koruması
- Ayrıcalıklı Hesap Koruması
- CAPTCHA Desteği
- reCAPTCHAv2/v3 Desteği
- İstemci Taraflı Koruma
- Alt Kaynak Bütünlüğü ve İçerik Güvenliği Politikalarının Otomatik Uygulanması
- Kaynaklara ve değişikliklere ilişkin derin izleme
- Tam Kapsamlı Ölçülmemiş DdoS Koruması
- Hacimsel DdoS Koruması
- Uygulama DdoS Koruması
- Güvenli Uygulama Teslimi
- TLS/SSL Aktarımı
- Sunucu Yükü Dengeleme
- İçerik Yönlendirme
- DNS Güvenliği
- İçerik Dağıtımı Ağı Entegrasyonu
- Dinamik URL Şifrelemesi
- HTTP/1.0, HTTP/1.1 ve HTTP/2.0 Desteği
- WebSocket Desteği
- IPv6 Desteği
- İstek ve Yanıt Kontrolü
- Önbelleğe Alma ve Sıkıştırma
- Kimlik ve Erişim Kontrolü
- İstemci Sertifikaları
- JSON Web Jetonları
- Sanal Yama ve Geri Bildirim
- Barracuda Güvenlik Açığı Raporlama Hizmeti (Ücretsiz)
- Günlüğe Kaydetme ve Raporlama
- Yerleşik Günlük Kaydı (Erişim Günlükleri, Web Güvenlik Duvarı Günlükleri ve Denetim Günlükleri)
- İsteğe bağlı ve planlanmış raporlama
- Sistem Günlüğünü Dışa Aktarma
- AMQP/AMQPS Dışa Aktarma
- Ek Dağıtım
- Yakından koruma için Kapsayıcılı Dağıtım
Eğer siz de bu ürünün deneme sürümünü ücretsiz olarak test etmek istiyorsanız ya da demo talebinde bulunmak istiyorsanız bu linki kullanabilirsiniz.
Bu konuyla ilgili sorularınızı http://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.
Referanslar
https://www.barracuda.com/products/application-protection/waf-as-a-service
TAGs: Barracuda, Firewall, WAF, Web Application Firewall, Barracuda WAF, Barracuda WAF-as-a-Service, OWASP Top 10, Bot Protection, Secure Application Delivery, API Protection, Client Side Protection, Identity and Access Control, Logging and Reporting