API Gateway Güvenliği
Modern yazılım mimarilerinde API Gateway, sistemin dış dünyaya açılan “ön kapısıdır”. Mikroservislerin karmaşık yapısını dışarıdan gizlerken, tüm güvenlik kontrollerini tek bir noktada merkezileştirir. Ancak bu kritik rol, onu siber saldırganlar için de bir numaralı hedef haline getirir.
Nesil Teknoloji olarak, TSE A Sınıfı sızma testi yetkinliğimizle, API ekosisteminizi korumak için gerekli olan üç temel sütunu (Hız Sınırlama, WAF ve Bot Koruması) profesyonel bir bakış açısıyla yapılandırıyoruz.
Giriş noktası güvenliği; Token Bucket algoritmaları, mTLS protokolü ve davranışsal analizler kullanılarak katmanlı bir savunma mimarisiyle sağlanmalıdır.
1. API Gateway’in Merkezi Güvenlik Rolü
API Gateway, istemciler ile servisler arasındaki bir trafik yöneticisidir. Her mikroservisin kendi kimlik doğrulamasını (AuthN) ve yetkilendirmesini (AuthZ) bağımsız yapması, ciddi güvenlik boşluklarına yol açabilir. Gateway bu işlemleri merkezileştirerek servislerin sadece kendi iş mantığına odaklanmasını sağlar.
Ayrıca, Gateway katmanı dahili sistem yapısını dış dünyadan soyutlar. SSL/TLS sonlandırma ve JWT doğrulama gibi politikalar burada uygulanır. Endüstriyel tesislerde kullanılan Modbus veya DNP3 gibi zayıf protokoller de Gateway katmanı ile modern güvenlik kalkanlarına sarılabilir.
| Fonksiyon | Güvenlik Etkisi | Standart Uyumu |
|---|---|---|
| İstek Yönlendirme | Arka uç servislerini gizler | ISO 27001 |
| Kimlik Doğrulama | OAuth2/OIDC ile merkezi kontrol | NIST SP 800-204 |
| Protokol Dönüşümü | Güvenli protokol köprüleri kurar | IEC 62443 |
2. Rate Limiting (Hız Sınırlama) Stratejileri
Hız sınırlama, bir kullanıcının belirli bir sürede yapabileceği istek sayısını kontrol eder. Bu sadece DoS saldırılarını engellemekle kalmaz, aynı zamanda kaynakların adil kullanımını sağlar ve bulut maliyetlerini kontrol altında tutar.
Token Bucket (Jeton Kovası) Algoritması
Modern sistemlerde altın standarttır. Sabit kapasiteli bir kovaya belirli bir hızda jeton eklenir. Her istek için bir jeton alınır; jeton yoksa istek reddedilir. Bu yöntem, anlık trafik patlamalarına (burst) izin vermesi nedeniyle SaaS uygulamaları için idealdir.
Leaky Bucket (Sızdıran Kova)
Trafiği pürüzsüzleştirerek sabit bir hızda çıkış sağlar. Özellikle veri tabanı gibi yük altında kolayca ezilebilecek servisleri korumak için Nesil Teknoloji uzmanları tarafından önerilen birincil yöntemdir.
3. WAF ve WAAP: Katmanlı İçerik Denetimi
Geleneksel WAF’lar web trafiğine odaklanırken, WAAP (Web Application and API Protection) çözümleri API’lara özgü JSON/XML veri yapılarını da denetler. Nesil Teknoloji, burada hibrit bir model savunur:
- Negatif Güvenlik: Bilinen saldırı imzalarını (SQLi, XSS) kara liste yöntemiyle engeller.
- Pozitif Güvenlik: Sadece OpenAPI/Swagger şemasına uyan istekleri kabul eder, tanımlı olmayan her şeyi reddeder (Default Deny).
4. Bot Koruma ve Davranışsal Analiz
Botlar, şifre denemek veya fiyat kazımak için API’ları hedef alır. Modern botlar artık kendilerini “insan” gibi gizleyebildiği için statik kurallar yetersiz kalır. Nesil Teknoloji olarak kullandığımız ileri seviye teknikler:
- Parmak İzi Analizi: Donanım ve tarayıcı özelliklerinden benzersiz bir kimlik oluşturur.
- Proof-of-Work (PoW): Şüpheli istemciye işlemci gücü gerektiren matematiksel problemler göndererek saldırı maliyetini artırır.
- Anomali Tespiti: Normal kullanım paterninden sapan hareketleri (örneğin dakikada 5 istek atan birinin aniden 1000 istek atması) anında durdurur.
5. OWASP API Security ve Savunma Derinliği
Nesil Teknoloji’nin sızma testi metodolojisi, OWASP API Top 10 risklerini temel alır. Özellikle BOLA (Yetkisiz Nesne Erişimi) ve Shadow API (Gölge API) gibi riskler, Gateway seviyesinde sıkı filtreleme ve envanter takibi ile engellenmelidir.
Savunma derinliği (Defense-in-Depth) stratejimiz uyarınca; Gateway katmanında kimlik doğrulama, ağ katmanında VPC ve iç ağda mTLS (Karşılıklı TLS) kullanarak “Sıfır Güven” (Zero Trust) mimarisi inşa ediyoruz.
Sık Sorulan Sorular
API Gateway ve WAF arasındaki fark nedir?
Gateway trafiği yönlendirir ve yetkilendirir; WAF ise gelen isteğin içindeki zararlı kodları (SQL enjeksiyonu vb.) tarar.
Shadow (Gölge) API neden tehlikelidir?
Bunlar güvenlik ekibinin bilgisi dışında kalan, belgelenmemiş uç noktalardır ve genellikle en zayıf halkalardır.
TSE A Sınıfı sızma testi neden önemlidir?
Bu yetki, en üst düzey teknik yeterlilik belgesidir ve kritik altyapılarda denetim yapma yasal akreditasyonuna sahip olduğumuzu gösterir.
