Defaults.Exposed › Düzeltmeler › CDN / WAF ve barındırma

CDN / WAF ve barındırma nasıl düzeltilir

Web sitenizin arkasındaki tesisatın iki okuması: saldırıları filtreleyen ve trafik artışlarını emen koruyucu bir kalkanın (Cloudflare gibi WAF'lı CDN) arkasında mısınız ve DNS'nizi, web sitenizi ve e-postanızı gerçekte kimin çalıştırdığının haritası. Her ikisi de puanlamamızda yalnızca bilgilendiricidir — notunuzu hareket ettirmezler — ama kaynak sunucunuzun saldırı ve kesintiye ne kadar açık olduğunu ve sağlayıcılarınızın ne kadar iç içe geçtiğini tanımlarlar. Önde bir kalkan ve mantıklı şekilde bölünmüş sağlayıcı seti, dayanıklı işletmelerin göründüğü şeydir.

İşletmeniz için sonuç: Önünde hiçbir kalkan olmadan web sitesi her saldırıyı ve her trafik artışını doğrudan kaynak sunucuda alır — bot seli, lansmanı günü artışı veya tek otomatik saldırı sizi saatlerce çevrimdışı bırakabilir ve kurtarma size kalır. Önüne CDN/WAF koymak (ücretsiz katman mevcut) otomatik saldırıların büyük çoğunluğunu filtreler, artışları emer ve siteyi dünya genelinde hızlandırır — genellikle BT uzmanınız için bir öğleden sonra, lisans maliyeti olmadan. Ayrı olarak, DNS'niz, web siteniz ve e-postanız tek sağlayıcıda yaşıyorsa, oradaki tek kesinti veya ihlal tüm çevrimiçi varlığınızı aynı anda çökertir; sağlayıcı haritanızı bilmek bir olayda ihtiyacınız olan ilk şeydir. Her iki kontrol de notunuzu değiştirmez — ama her ikisi de kesinti, kayıp satışlar ve yavaş, ağrılı kurtarmaya maruz kalmayı tanımlar.

Bu size ne mal olabilir

• Büyük bir promosyonun sabahında korumasız sunucunuza bot trafiği patlaması veya küçük DDoS çarpar — site yavaşlar veya çöker, müşteriler kasada hata alır ve barındırıcınız çabaladığı sırada günün satışlarını kaybedersiniz. Önde bir CDN/WAF bunu emmiş olurdu.
• DNS'niz, web siteniz ve e-postanız tek sağlayıcıdan geçiyor; o sağlayıcının kesintisi var ve siteniz, rezervasyon sisteminiz VE e-postanız aynı anda kararlıyor — 'sorunu biliyoruz' bile gönderemiyorsunuz çünkü posta kutusu da çökmüş durumda.
• Otomatik saldırı geceyi boyunca sitenizi araştırıyor — doğrudan kaynak sunucuya çarpan SQL enjeksiyonu ve giriş tahmin komut dosyaları, filtreleyen güvenlik duvarı katmanı olmadan — ve yalnızca bir şey bozulduğunda öğreniyorsunuz. WAF, gürültünün büyük bölümünü kodunuza ulaşmadan bloke eder.
• Bir olay geliyor ve kimse temel soruyu cevaplayamıyor: 'Kimi arıyoruz ki?' — web sitesi e-posta ile aynı barındırıcıda mı? DNS'i kim çalıştırıyor? Tesisat haritası çıkarılırken site aşağıda saatler geçiyor.
• Potansiyel müşterinin BT ekibi imzalamadan önce sizi tarıyor ve CDN/WAF'sız açık kaynak sunucu görüyor — ve çalıştırdığınız tam yazılımı (ve versiyonu) reklam eden sızdıran sunucu versiyon başlığıyla birlikte. En kötü zamanda küçük 'temelleri sertleştirmediler' sinyali.

Neden önemlidir. Buradaki her iki kontrol de metodolojimizde yalnızca bilgilendiricidir — sıfır puanla kaydedilmiş olup notunuzu asla değiştirmezler — çünkü geçer/başarısız güvenlik kontrolünü test etmek yerine altyapınızı tanımlarlar. Bunları gündeme getiriyoruz çünkü gerçek iş maruziyetini haritalarlar. CDN/WAF'sız site her saldırıyı ve trafik artışını doğrudan kaynak üzerinde, filtreleme ve artış emme olmadan alır; birini eklemek (Cloudflare'nin ücretsiz katmanı yaygın yoldur) küçük işletmenin yapabileceği en yüksek kaldıraçlı, en düşük maliyetli dayanıklılık yükseltmelerinden biridir. Ve açık sağlayıcı haritası — DNS, web ve e-postanızın bölünmüş mü yoksa tek sağlayıcıda mı yığılmış olduğunu bilmek — bir şeyler ters gittiğinde ihtiyacınız olan ilk şeydir ve içerilen olay ile tam karartma arasındaki farktır.

Sade dilde nedir

Her web sitesi bir yerde bir sunucuda çalışır. Bu sayfanın yanıtladığı soru şudur: açık internet ile o sunucu arasında ne duruyor — ve çevrimiçi varlığınızın parçalarını gerçekte kim çalıştırıyor?

İki bölümü var:

1. CDN / WAF — öndeki kalkan. CDN (İçerik Dağıtım Ağı), sitenizin önünde oturan, her yerdeki ziyaretçilere içeriği hızlı sunan ve trafik artışlarını emen küresel ağdır. WAF (Web Uygulama Güvenlik Duvarı), gelen istekleri denetleyip sunucunuza ulaşmadan önce kötü niyetlileri bloke eden filtre katmanıdır. Popüler hizmetler (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri ve diğerleri) bunları birlikte paketler. Sitenizin yanıtlarına bakıyor ve önde kalkan olup olmadığını raporluyoruz — ve hangi web sunucusunu çalıştırdığınızı da not ediyoruz.

2. Barındırma / sağlayıcı haritası — tesisatınızı kimin çalıştırdığı. Alan adınızı adrese dönüştüren DNS’i kimin ele aldığını ve e-postanızı kimin ele aldığını söyleyen genel kayıtları okuyoruz. Buradan DNS’inizin, web sitenizin ve e-postanızın sağlayıcılara bölünmüş mü (dayanıklı) yoksa tek bir sağlayıcıda yığılmış mı (kullanışlı, ama tek başarısızlık noktası) olduğunu anlayabiliyoruz.

Önceden bilinmesi gereken en önemli şey: puanlamamızda her ikisi de yalnızca bilgilendiricidir. Notunuzu etkilemezler. Bunları gündeme getiriyoruz çünkü işletmenizin kesinti ve saldırıya ne kadar açık olduğunu tanımlıyorlar — bu nottan farklı ve çok pratik bir sorudur.

Size maliyeti ne olabilir

Bunlar soyut riskler değil — korumasız, iç içe geçmiş kurulumun küçük bir sorunu kötü bir güne dönüştürdüğü günlük yollar.

• En önemli günde çevrimdışına alınmak. Siteniz önünde hiçbir şey olmadan kaynak sunucuda duruyor. Bir lansman veya promosyonun sabahında trafik yükseliyor — veya mütevazı bot seli vuruyor — ve sunucu başa çıkamıyor. Sayfalar zaman aşımına uğruyor, kasada hatalar çıkıyor ve barındırıcınız yangınla uğraşırken günün gelirini kaybediyorsunuz. CDN artışları emer ve WAF önemsiz trafiği filtreler; birlikte “yoğun gün” ile “sabah boyunca çökmüş” arasındaki farktır.

• Her şey aynı anda kararlıyor. DNS’niz, web siteniz ve e-postanız tek sağlayıcıdan geçiyor. O sağlayıcının kesintisi var (eninde sonunda hepsinde oluyor) ve siteniz, rezervasyon sisteminiz ve e-postanız eş zamanlı kayboluyor. Sipariş işleyemiyor ve müşterilere durumun farkında olduklarınızı e-postayla bile bildiremiyor — posta kutusu da çökmüş. Sağlayıcıları bölmek bir arızanın kapsamlı değil, sınırlı olduğu anlamına gelir.

• Kodunuz her saldırıyı doğrudan alıyor. WAF olmadan her otomatik araştırma — enjeksiyon girişimleri, giriş tahmini, bilinen istismar tarayıcıları — uygulama kodunuza filtreleme olmadan çarpıyor. Yazılımınızın kusursuz ve tam yamalı olduğuna sonsuza kadar bahse giriyorsunuz. WAF, aslınıza ulaşmadan önceki otomatik gürültünün büyük çoğunluğunu bloke eder; “sürekli arka plan saldırısı”nı “büyük ölçüde filtrelenmiş”e dönüştürür.

• Hiç kimsenin haritaya sahip olmadığı yavaş, panik içindeki olay. Bir şey bozuluyor ve ilk saat “dur, DNS’imizi kim çalıştırıyor? E-posta aynı barındırıcıda mı? Kimi arıyoruz?” a harcanıyor. Sağlayıcı haritanız belirsizken her olay sıfırdan başlıyor. Haritayı önceden bilmek paniği telefon görüşmesine dönüştürür.

• Dikkatli bir alıcıya kötü ilk izlenim. Potansiyel müşterinin BT ekibi imzalamadan önce sizi tarıyor ve CDN/WAF’sız açık kaynak görüyor — ve tam yazılımınızı ve versiyonunuzu açıkça reklam eden sunucu başlığıyla birlikte. Küçük sinyal, ama tam yanlış anda “temelleri sertleştirmemiş” sütununa sizi yerleştiriyor.”

Teknik olarak nedir

CDN / WAF — koruyucu katman

Ziyaretçi (veya saldırgan) sitenizi istediğinde, istek ya doğrudan kaynak sunucunuza gidebilir, ya da önce CDN/WAF üzerinden geçebilir. Önde kalkan varsa, bu kalkan şunları yapabilir:

• Kötü niyetli istekleri filtrelemek (WAF bölümü): enjeksiyon girişimlerini, bot saldırılarını ve kodunuza ulaşmadan önce bilinen istismar kalıplarını bloke etmek.
• Trafiği emmek (CDN bölümü): her ziyaretçinin yakınındaki sunuculardan önbelleğe alınmış içerik sunmak ve artışları emmek; böylece artış — meşru veya düşmanca — kaynağınızı ezmez.
• Siteyi hızlandırmak: yakın kenar sunucudan teslim edilen içerik dünya genelindeki ziyaretçiler için daha hızlı yüklenir.

Kalkanı, bu hizmetlerin sitenizin yanıt başlıklarında bıraktığı parmak izlerine bakarak tespit ederiz — örneğin cf-ray başlığı (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai) veya x-sucuri-id (Sucuri). Ayrıca Server başlığını okuyarak temel web sunucunuzu (nginx, Apache, IIS, LiteSpeed, Caddy vb.) tanımlarız ve aşırı bilgi paylaşan X-Powered-By başlığını işaretleriz.

“İyi” neye benziyor: kaynak sunucunuzun önünde tespit edilmiş CDN/WAF ve belirli versiyon numarası reklam etmeyen Server başlığı.

Barındırma / sağlayıcı haritası — altyapı bağımlılıklarınız

Alan adınız sessizce birkaç farklı hizmete işaret eder:

• DNS — isletmeniz.com’u gerçek sunucu adresine dönüştüren dizin. Ad sunucusu (NS) kayıtlarınızı okur ve yaygın sağlayıcıları tanırız (Cloudflare, AWS Route 53, Azure DNS, GoDaddy, Namecheap, DigitalOcean, Hetzner, Linode ve bölgesel kayıt şirketleri aralarında).
• E-posta — postanızın nerede ele alındığı. MX kayıtlarınızı okur ve yaygın sağlayıcıları tanırız (Google Workspace, Microsoft 365, Proofpoint, Mimecast, Barracuda, Zoho ve diğerleri).

Buradan bu sorumlulukların sağlayıcılara bölünmüş mü (birindeki arıza diğerlerini çökürmez) yoksa tek sağlayıcıda yığılmış mı (kullanışlı, ama tek kesinti veya ihlal her şeyi alır) olduğunu görebiliyoruz.

“İyi” neye benziyor: en azından, her şeyle aynı hesaba paketlenmek yerine özel, güvenilir sağlayıcının tuttuğu DNS — böylece alan adınızın dizini barındırmanız ve posta kutunuzla aynı kaderi paylaşmaz.

Nasıl düzeltilir (ücretsiz, ~bir öğleden sonra)

Bu bölümü BT uzmanınıza veya web geliştiriciye iletin — düzeltme ücretsizdir. Sitenizin önüne CDN/WAF koymak yaygın ücretsiz katlarda hiçbir şeye mal olmaz ve sunucu versiyonunuzu bastırmak bir satır ayardır. Satın alınacak lisans yok. (Buradaki ücretli seçenekler yalnızca izleme, portföy takibi ve denetimler — düzeltmenin kendisi asla değil.) Sahibin tek kararı şudur: evet, sitenin önüne kalkan koy.

Her iki kontrol de yalnızca bilgilendirici olduğundan, bunların hiçbiri puanlanmaz — ama CDN/WAF küçük işletmenin yapabileceği en yüksek değer dayanıklılık yükseltmelerinden biridir, dolayısıyla yapmaya değer.

1. Sitenizin önüne CDN/WAF koyun

En yaygın, ücretsiz yol Cloudflare’dir:

1. Ücretsiz Cloudflare hesabı oluşturun ve alan adınızı ekleyin.
2. Cloudflare mevcut DNS kayıtlarınızı okur; doğru içe aktarıldıklarını kontrol edin.
3. Alan adınızın ad sunucularını (kayıt şirketinizde) Cloudflare’in size verdikleriyle değiştirin. Bu, trafiği Cloudflare üzerinden yönlendiren değişikliktir.
4. SSL/TLS modunu Tam (katı) olarak ayarlayın, böylece şifreleme ziyaretçi → Cloudflare → kaynak sunucu arasında uçtan uca kalır. (“Esnek”ten kaçının — son segmenti şifrelenmemiş bırakır.)
5. CDN ve temel WAF şimdi aktif. WAF kurallarını sonra ayarlayabilirsiniz, ama varsayılanlar zaten çok şeyi filtreler.

Yığınınıza bağlı diğer yollar:

• AWS CloudFront — kaynağınıza işaret eden dağıtım oluşturun; filtreleme için AWS WAF ile eşleştirin. Zaten AWS’deyseniz en iyisi.
• Sucuri WAF — DNS tabanlı, sunucunuzda değişiklik gerektirmez; kaynağa dokunamıyorsanız iyi.
• Fastly / Akamai — kurumsal düzeyde CDN’ler/WAF’lar, genellikle daha büyük veya daha yüksek trafikli siteler için.

Değiştirdikten sonra siteyi test edin, HTTPS’nin her yerde çalıştığını doğrulayın ve bir gün izleyin. Kişisel veya canlı kalması gereken sayfaları (giriş yapılmış alanlar, sepetler, kasalar) agresifce önbelleğe almayın.

2. Sunucu versiyonunuzu reklam etmeyi bırakın

CDN ekleyip eklememenizden bağımsız olarak, sunucunuzun duyurduğu versiyonu bastırın — saldırganlara bedavaya verdiğiniz bilgidir.

Nginx:

server_tokens off;

Apache (ana yapılandırmada):

ServerTokens Prod
ServerSignature Off

Aşırı paylaşan X-Powered-By başlığını kaldırın (ör. PHP veya uygulama çerçevesinden) sunucu veya CDN düzeyinde — Cloudflare’de bir yanıt başlığı dönüştürme kuralıyla çıkarabilirsiniz.

3. Sağlayıcı haritanızı mantık kontrolü yapın (isteğe bağlı, ~10 dakika)

DNS’inizin, web sitenizin ve e-postanızın nerede gerçekte yaşadığına bakın:

• Üçü de tek sağlayıcı hesabındaysa, en azından DNS’i özel sağlayıcıya taşımayı düşünün (Cloudflare DNS ücretsiz ve hızlı). Bu tek bölünme, alan adınızın dizininin barındırma kesintisinden hayatta kalmasını sağlar.
• Haritayı yazın — DNS sağlayıcısı, web barındırıcısı, e-posta sağlayıcısı, kayıt şirketi ve her biri için giriş/destek iletişim bilgileri. Bu tek sayfa, bir olay sırasında önünüzde bulundurmak isteyeceğiniz en yararlı şeydir.

Platform notları

• Google Workspace / Microsoft 365: bunlar e-posta sağlayıcılarınız, web siteniz değil. Web sitenizin önüne CDN/WAF koymak e-postaya dokunmaz ve tam tersi — bunlar ayrı kararlardır. (E-postanın Google/Microsoft’ta ve web sitesinin Cloudflare’nin arkasında olması mükemmel, kasıtlı olarak bölünmüş kurulumdur.)
• Yönetilen site oluşturucular (Wix, Squarespace, Shopify): bunlar platformun bir parçası olarak kendi CDN’lerini ve belirli düzeyde WAF korumasını içerir, dolayısıyla başlık kontrolümüz sağlayıcıyı adlandırmasa bile zaten korumalı olabilirsiniz. Genellikle kendi Cloudflare’nizi önüne ekleyemezsiniz; bu normal — platform bunu ele alır.
• Kendi barındırmanızdaki WordPress: önünde ücretsiz Cloudflare katmanı için ideal aday. Uygulama düzeyi kurallar için güvenlik eklentisinin güvenlik duvarıyla birleştirin.

Yaygın hatalar

• “Site küçük olduğu için” açık kaynak çalıştırmak. Küçük siteler büyüklerle aynı otomatik saldırıları ve bot sellerini alır — botlar önce gelirinizi kontrol etmez. Ücretsiz CDN/WAF katmanı tam olarak küçük siteler için vardır; onu kullanmamak masada kolay kazanım bırakmaktır.
• Cloudflare’nin “Esnek” SSL’ini kullanmak. Asma kilit gösterir ama Cloudflare ile kaynağınız arasındaki bağlantıyı şifrelenmemiş bırakır. Her zaman Tam (katı) kullanın, böylece uçtan uca şifreli olur.
• Yanlış şeyleri önbelleğe almak. Oturum açılmış sayfaları, sepetleri veya kasaları agresifce önbelleğe almak bir müşteriye diğerinin içeriğini veya eski fiyatları gösterebilir. Statik içeriği önbelleğe alın; kişiselleştirilmiş ve işlemsel sayfaları önbelleksiz bırakın.
• Fark etmeden her şeyi tek sağlayıcıda yığmak. Bilinçli seçimse kullanışlılık normaldir — ama pek çok işletme DNS, web ve e-postanın tek hesabı paylaştığını yalnızca üçünü birden çöküren kesinti sırasında keşfeder. Sürpriz değil, karar olsun.
• Sunucu versiyonunu görünürde bırakmak. Unutması kolay, ücretsiz, bir satır sertleştirme adımı. Kapatın.

Not hakkında bir not

Tamamen açık olmak için: bu kontrollerin hiçbiri notunuzu etkilemez. Metodolojimizde yalnızca bilgilendirici olarak, sıfır puanla kaydedilmişlerdir ve korumasız kaynak veya tek sağlayıcı kurulum için asla ceza vermeyiz. Bunları gündeme getiriyoruz çünkü kesinti, saldırı ve yavaş olay kurtarmaya gerçek maruziyeti tanımlıyorlar — ve ücretsiz CDN/WAF eklemek küçük işletmenin yapabileceği en iyi değer yükseltmelerinden biridir. Burada hiçbir şey yapmazsanız notunuz değişmez. Sitenizin önüne kalkan koyup DNS’i bölürseniz, işletmeyi ücretsiz olarak anlamlı ölçüde daha dayanıklı yaptınız. Bu sayfayı okumanın doğru yolu budur: savunulacak sayı değil, almaya değer dayanıklılık yükseltmesi.

SSS