CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Azure App Service ve Web Uygulama Güvenliğini Artırma Yöntemleri

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Azure App Service ile web uygulamalarınızı güvenli bir ortamda yönetin. WAF, kimlik doğrulama ve güvenlik ayarları hakkında bilgi edinin.

Azure App Service ve Web Uygulama Güvenliğini Artırma Yöntemleri

Azure App Service, web uygulamaları ve REST API'ler için güvenli bir PaaS platformudur. WAF gibi araçlarla uygulama güvenliğinizi artırmanın yollarını keşfedin.

Giriş ve Konumlandırma

Azure App Service ve Web Uygulama Güvenliğini Artırma Yöntemleri

Gelişen teknolojilerle birlikte web uygulamaları ve hizmetleri, işletmelerin kalbini oluşturan en temel unsurlar haline gelmiştir. Bu bağlamda, Microsoft’un Azure platformu üzerinde sunmuş olduğu App Service, geliştiricilere ve işletmelere güvenli bir PaaS (Platform as a Service) ortamında uygulama geliştirme ve barındırma imkanı sağlamaktadır. Ancak, bulut tabanlı sistemlerin sürekli erişebilirliği ve ölçeklenebilirliği, aynı zamanda siber güvenlik tehditlerini de beraberinde getirmektedir. Dolayısıyla, Azure App Service üzerinde gerçekleştireceğiniz güvenlik önlemleri, olası siber saldırılara karşı kritik bir öneme sahiptir.

Siber güvenlik, uygulama ve verilerinizi korumanın ötesinde, müşteri güvenini sağlamak ve markanızın itibarı için de hayati bir rol oynamaktadır. Uygulama güvenliği, kötü niyetli kullanıcılar tarafından gerçekleştirilen web tabanlı saldırılara karşı tüm stratejik önlemleri içerir. Özellikle SQL enjeksiyonu, XSS (Cross-Site Scripting) ve DDoS (Distributed Denial of Service) gibi tehditler, işletmelerin veri bütünlüğünü tehdit eden unsurlardır. Bu güvenlik boşluklarının farkında olarak, uygulama geliştiricileri ve güvenlik ekipleri, uygulamalarını her aşamada koruma altına almak için etkili yöntemler geliştirmelidir.

Azure App Service, sadece uygulamanızı barındırmakla kalmaz, aynı zamanda çeşitli yerleşik güvenlik özelliklerine de sahiptir. Bu özelliklerin başında, kimlik doğrulama mekanizmaları ve Web Application Firewall (WAF) gibi temel unsurlar gelmektedir. App Service içerisinde yer alan kolay kimlik doğrulama seçenekleri, geliştiricilerin kod yazmadan önce Entra ID, Google veya Facebook gibi kimlik doğrulama servislerini entegre edebilmelerini sağlar. Bu, kullanıcıların güvenli bir şekilde uygulamalara erişimini sağlayarak potansiyel tehditleri minimize eder.

Web Application Firewall (WAF), uygulama katmanında yer alan bir güvenlik korumasıdır ve ağ üzerinden gelen kötü niyetli istekleri tespit etmek için tasarlanmıştır. WAF, trafiği analiz ederek şüpheli istekleri gerçek zamanlı olarak engelleyebilir ya da bu istekleri yalnızca günlükleyebilir. Örneğin, bir kullanıcı SQL enjeksiyonu denemesi yaptığında, WAF bu isteği tespit edip ya engelleyebilir ya da durumu kayıt altına alabilir. Bu tür bir koruma mekanizmasının kullanımı, uygulama güvenliğini sağlamak için kritik öneme sahiptir.

Aynı zamanda, App Service üzerinde ağ güvenliğini artırmak için çeşitli kısıtlamalar ve yapılandırmalar uygulanabilir. Örneğin, "Access Restrictions" ayarları ile sadece belirli IP adreslerinden veya sanal ağlardan gelen isteklerle uygulamaya erişim sağlanabilir. Bu şekilde, yalnızca izin verilen kaynakların uygulamaya erişimi mümkün olurken, olası kötü niyetli erişimleri önleyebilirsiniz.

Uygulama güvenliğini artırmak için sağladığı diğer bir avantaj ise HTTPS zorunluluğudur. Bu ayar, güvenli olmayan HTTP trafiğini otomatik olarak güvenli HTTPS üzerinden yönlendirir ve veri iletiminde şifrelenmiş bir iletişim sağlar. Dolayısıyla, iletilen verilerin gizliliği korunur ve veri sızıntıları en aza indirilir.

Sonuç olarak, Azure App Service üzerinde uygulama güvenliğini sağlamak, geliştiricilerin ve işletmelerin öncelikli hedeflerinden biri haline gelmelidir. Siber güvenlik tehditlerinin her geçen gün artmasıyla birlikte, bu tehdide karşı alınacak önlemler de gün geçtikçe önem kazanmaktadır. Bu blog yazısının devamında, Azure App Service üzerindeki güvenlik özelliklerini daha detaylı bir şekilde inceleyerek, uygulama güvenliğini artırma yöntemlerine dair somut praktik bilgileri ele alacağız. Gelişen teknoloji ve tehditler karşısında proaktif bir yaklaşım benimsemek, yalnızca güvenliği sağlamanın ötesinde, sürdürülebilir bir iş modeli oluşturmanın da anahtarı olacaktır.

Teknik Analiz ve Uygulama

Azure App Service Güvenliği

Azure App Service, kullanıcıların web uygulamalarını, REST API'lerini ve mobil arka uçları güvenli bir şekilde barındırmalarını sağlayan bir Platform as a Service (PaaS) çözümüdür. App Service üzerinde yerleşik olarak sağlanan güvenlik mekanizmaları, uygulama geliştiricilerin dikkat etmesi gereken temel unsurlar olarak öne çıkmaktadır. Bu bölümde, Azure App Service'in güvenliğini artırma yöntemlerini derinlemesine inceleyeceğiz.

Kimlik Doğrulama (Easy Auth)

App Service, rehberlik eden bir kimlik doğrulama mekanizması olan Easy Auth ile kullanıcıların Entra ID, Google veya Facebook hesapları aracılığıyla giriş yapabilmelerini sağlar. Böylece, uygulama geliştiricilerinin kendi kimlik doğrulama sistemlerini yazmasına gerek kalmaz. Kullanıcı kimliklerinin güvenli bir şekilde doğrulanmasını sağlayan Identity Provider hizmetleriyle entegre çalışarak, güvenli belirteçler sunar.

# Azure CLI ile Easy Auth etkinleştirme
az webapp auth update --resource-group <ResourceGroupName> --name <AppName> --enabled true --action Login

Yukarıdaki komut, belirtilen kaynak grubundaki web uygulamasında Easy Auth'ı etkinleştirir.

Web Application Firewall (WAF)

Web uygulamalarını korumak adına WAF, Azure'da katman 7 seviyesinde çalışan bir güvenlik çözümüdür. SQL enjeksiyonu, siteler arası betik çalıştırma gibi yaygın web tabanlı saldırılara karşı merkezi bir koruma sağlar. WAF, bir uygulamanın trafik analizini gerçekleştirerek şüpheli istekleri engelleyebilir.

WAF Çalışma Modları

WAF, iki temel çalışma moduna sahiptir: Detection ve Prevention. Detection modunda, şüpheli istekler günlüklenirken, engellenmez. Prevention modunda ise bu istekler otomatik olarak bloke edilir. Uygulama güvenliğini artırmak için bu modların hangisinin kullanılacağına karar vermek kritik bir adımdır.

WAF Kural Setleri

WAF üzerinde, hem Microsoft tarafından sağlanan Managed Rules hem de kullanıcı tarafından oluşturulabilen Custom Rules olmak üzere iki farklı kural seti bulunur. Managed Rules, OWASP standartlarına dayanan ve yaygın saldırıları hedefleyen hazır setlerdir. Custom Rules ise, uygulamaya özel ihtiyaçlara yönelik IP kısıtlaması veya belirli URL bloklama gibi kullanıcı tanımlı kuralları içerir.

# Örnek: Özel kural ekleme
az network application-gateway waf-policy custom-rule create --policy-name <PolicyName> --resource-group <ResourceGroupName> --name <RuleName> --priority 1 --action Block --match-condition <Condition>

Bu komut, belirtilen WAF politikasına yeni bir özel kural ekler.

Ağ Kısıtlamaları (Access Restrictions)

App Service üzerinde, yalnızca belirli IP adreslerinden veya kurumsal sanal ağlardan erişime izin verme imkanı bulunur. Bu özellik, ağ güvenliğini artırmak adına kritik bir rol üstlenir. 

# Azure CLI ile IP kısıtlaması eklemek
az webapp ipsecurity add --name <AppName> --resource-group <ResourceGroupName> --ip-address <IPAddress> --action Allow

Yukarıdaki komut, belirtilen IP adresine web uygulamasına erişim izni verir.

Güvenli Bağlantı Zorunluluğu

Güvenli olmayan HTTP trafiğinin otomatik olarak HTTPS'e yönlendirilmesi, iletişimin güvenli bir şekilde gerçekleşmesini sağlar. Bu ayar, veri güvenliği için oldukça önemlidir.

# HTTPS yönlendirmeyi etkinleştirme
az webapp update --resource-group <ResourceGroupName> --name <AppName> --https-only true

Bu komut, web uygulamanızda HTTPS zorunluluğunu etkinleştirir.

Sertifika ve Protokol Yönetimi

App Service, kullanıcıların App Service Managed Certificate ile ücretsiz SSL sertifikası edinmesine olanak tanır. Ayrıca, minimum TLS sürümünü belirleyerek, zayıf şifreleme protokollerinin (ör. TLS 1.0) devre dışı bırakılmasını sağlamak da mümkündür. Bu ayar, güncel ve güvenli iletişim protokollerinin kullanılmasını zorunlu kılar.

# Minimum TLS sürümünü ayarlama
az webapp update --resource-group <ResourceGroupName> --name <AppName> --min-tls-version 1.2

App Service Environment (ASE)

Yüksek güvenlik ihtiyacı olan uygulamalar için App Service Environment (ASE) kullanımı önerilmektedir. ASE, uygulamaların tamamen izole bir sanal ağ içinde ve adanmış kaynaklar üzerine yerleşmesine olanak tanır. Bu yapı, daha sıkı güvenlik önlemleri uygulamak için idealdir.

İzleme: Application Insights

Application Insights, web uygulamalarındaki hataları ve performans sorunlarını izlemeye olanak tanır. Ayrıca, şüpheli isteklere dair analiz yaparak, uygulama güvenliğini artıran önemli bir bileşendir. 

# Application Insights özelliği ekleme
az monitor app-insights component create --app <AppInsightsName> --location <Location> --resource-group <ResourceGroupName> --application-type web

Bu komut, belirtilen kaynak grubunda yeni bir Application Insights örneği oluşturur.

Azure App Service ve onunla beraber kullanılan güvenlik araçları, web uygulamalarının güvenliğini artıran kapsamlı bir ekosistem sunar. Yukarıda bahsedilen yöntemler, uygulama güvenliğini sağlamak için kritik öneme sahiptir ve düzenli olarak uygulanmalıdır.

Risk, Yorumlama ve Savunma

Azure App Service, uygulama geliştirme ve barındırma süreçlerini kolaylaştırırken, aynı zamanda güvenlik risklerini de beraberinde getirir. Bu bölümde, Azure App Service kullanırken karşılaşılabilecek potansiyel zayıflıkların değerlendirilmesi ve güvenlik önlemlerinin uygulanmasına dair bilgiler verilmiştir.

Risk Değerlendirme

Azure App Service, kullanıcılara çok sayıda yerleşik güvenlik özelliği sunar. Ancak, doğru yapılandırılmadığı takdirde bu özellikler beklenen korumayı sağlamayabilir. Özellikle kimlik doğrulama işlemleri, yanlış yapılandırmalar nedeniyle kullanıcı verilerinin tehlikeye girmesine neden olabilir. Örneğin, kimlik doğrulama işlemleri için Azure'un Easy Auth mekanizması kullanılmadığında, uygulama dışarıdan gelen istekleri gerektiği gibi doğrulamayabilir.

Risk Skoru: Yüksek
Olası Senaryolar: Yetkisiz erişim, veri sızıntısı

Yorumlama

Kullanıcı verilerinin güvenliği, özellikle uygulama katmanında büyük önem taşır. Eğer uygulama, kullanıcı kimlik bilgilerini korumak için gerekli önlemleri almazsa, kötü niyetli bir kullanıcı tarafından bu bilgilerin çalınması kaçınılmaz hale gelir. Ayrıca, uygulamanın HTTP yerine HTTPS protokolü üzerinden çalışması gerekmektedir. Aksi takdirde, verilerin şifrelenmeden iletilmesi, verilere yönelik man-in-the-middle (MitM) saldırılarına yol açabilir.

Özellikle, bu tür bir yapılandırmanın eksikliği, kullanıcıların oturum açma bilgilerinin ve diğer hassas verilerin dışarıda bırakılmasına neden olabilir. Azure App Service içinde uygulama güvenliğini artırma yolunda alınacak önlemler, yalnızca veri korumasını sağlamakla kalmayacak, aynı zamanda kullanıcıların açık hava ağları gibi potansiyel tehlikeli durumlarda dahi güvenli bir erişim deneyimi yaşamalarını temin edecektir.

Savunma

Web Application Firewall (WAF), Azure App Service üzerinde güvenliği artırmaya yönelik merkezi bir bileşendir. WAF, web uygulamalarını SQL enjeksiyonu ve XSS (Cross-Site Scripting) gibi saldırılara karşı korur. Fakat, WAF'ın etkili olabilmesi için doğru şekilde yapılandırılması gerekir. WAF, iki farklı çalışma moduna sahiptir: Detection ve Prevention. Detection modunda, şüpheli istekler yalnızca kaydedilirken, Prevention modunda bu istekler doğrudan engellenmektedir.

WAF Kullanım Önerileri

  • Yönetilen Kurallar: Microsoft’un sürekli güncellenen ve yaygın saldırılara karşı tasarlanmış kuralları kullanmak. Bu, uygulamanız için en güncel tehditlere karşı bir koruma sağlar.
  • Özelleştirilmiş Kurallar: Uygulama ihtiyaçlarınıza göre belirli IP adreslerine izni sınırlamak veya belirli URL'leri bloke etmek gibi kurallar oluşturarak koruma sağlamak.
Uygulamaya Özel Kural Örneği:
- Belirli bir IP adresine erişimi engellemek için aşağıdaki örnek kuralı kullanabilirsiniz:

if client.ip == "192.168.1.1" {
  block();
}

Diğer Güvenlik Önlemleri

  1. Ağ Kısıtlamaları:

    • Azure App Service üzerinde yalnızca belirli IP adreslerinden veya kurumsal sanal ağlardan erişime izin verecek şekilde yapılandırma yapmalısınız.

  2. Güvenli Bağlantı Zorunluluğu:

    • Tüm trafiği HTTPS protokolü üzerinden yönlendirmek için "HTTPS Only" ayarını etkinleştirin. Bu, verilerin güvenli bir şekilde aktarılmasını sağlar.

  3. Sertifika Yönetimi:

    • Azure'ın sağladığı yönetilen sertifikaları kullanarak SSL sertifikalarınızı takip edin. Bu, kullanıcı verilerinin güvenliğini artıracaktır.

  4. Application Insights ile İzleme:

    • Uygulama hataları ve performans sorunlarını belirlemek amacıyla Application Insights gibi araçları kullanarak uygulamanızı izlemeniz faydalı olacaktır. Bu izleme, şüpheli ve hatalı istekleri hızlı bir şekilde tespit etmenizi sağlar.

Sonuç

Azure App Service'in güvenliğini artırmak, potansiyel zayıflıkları belirlemek ve bunları etkili bir şekilde ele almak adına gerekli olan yapılandırmaları doğru bir biçimde uygulamak zorunludur. Kimlik doğrulama mekanizmalarının sağlam bir şekilde düzenlenmesi, WAF kurallarının etkin bir biçimde kullanılması, güvenli bağlantı ve ağ kısıtlamalarının uygulanması, kullanıcı verilerinin korunmasında kritik öneme sahiptir. Uygulama güvenliği, devam eden bir süreçtir ve sürekli güncellenen güvenlik önlemleri ile desteklenmelidir.