AĞ.09 — Web Uygulama Güvenlik Duvarı Standartları
Açıklama
Şirketin Web Uygulama Güvenlik Duvarı (WAF) altyapısı için geçerli olan minimum standartlar bu doküman içerisinde tanımlanmıştır.
Şirketin PCI uyumlu olma zorunluluğunun bulunması durumunda, internete açık web uygulamalarının önünde saldırıları sürekli tespit edip önleyen otomatik bir teknik çözümün, yani WAF (Web Application Firewall) sisteminin devreye alınması PCI DSS (güncel sürüm) kapsamında zorunlu tutulmaktadır. Kod analizi ve kaynak kod incelemesi güvenli yazılım geliştirme kapsamında ayrıca sürdürülmelidir; WAF bu kontrollerin yerine geçmez, onları tamamlar.
Standartlar
Kurulum ve Devreye Alma
- Web ortamına açık tüm uygulamaların önüne konumlandırılacak olan WAF donanımı, uygulama erişilebilirlik seviyesini artırmaya yönelik olarak yedekli olarak alınır ve kurulur.
- Cihazın “reverse-proxy” modda devreye alımı sağlanır. Bu sayede mevcut topolojide herhangi bir değişiklik yapılması gerekmez ve sadece HTTP trafiğinin yönlendirilmesi sağlanabilir. Bununla birlikte, tüm paketler WAF üzerinden onaylı geçtiğinden, HTTP istek ve cevapları üzerinde daha sıkı güvenlik kontrolleri yapılmasına imkân sağlar.
- HTTPS trafiği yoğunluğu söz konusuysa, donanımsal TLS hızlandırma (offload) desteği olan bir ürün tercih edilir; TLS sonlandırmada TLS 1.2 ve üzeri (TLS 1.3 tercih) desteklenir. Aksi durumda şifreleme işlemleri sistem kaynaklarını tüketir.
- Koruma sağlanacak URL'ler belirlenir ve bunlara ilişkin profil tanımları hazır edilir.
- Ürün asgari olarak aşağıdaki atak türlerini başarı ile yakalayıp engeller:
- Buffer Overflow Exploit,
- Forceful Browsing,
- Parameter Tampering,
- Cookie/Session Poisoning,
- Form/Hidden Field Manipulation,
- Cross-Site Scripting (XSS),
- SQL Injection,
- Command Injection,
- Sensitive Information Leaks,
- Server Misconfiguration,
- Well-known Platform Vulnerabilities.
- DNS değişikliği yaparak URL'leri WAF arkasına almadan önce, bilgisayarlarda bulunan “hosts” dosyası değişikliğiyle yapının çalıştığı test edilir.
- Son versiyon yerine, üreticiden güvenli ve kararlı çalıştığı ile ilgili onay alınan yazılım versiyonu tercih edilir.
- Yönetim konsoluna erişim belirli IP'ler ile sınırlandırılır.
- Sisteme erişim sağlayacak kişi sayısı birden fazla ise AAA (Authentication, Authorization, Accounting) entegrasyonu yapılır.
- Cihaz üzerinde HTTPS veya SSH yöntemi ile erişim belirli IP'lerden olacak şekilde sınırlandırılır. Telnet, HTTP, FTP gibi güvensiz erişim yöntemleri ve gereksiz servisler kapatılır.
- Saat ve takvim otomatik olarak zaman sunucusu üzerinden senkronize edilir.
- Sistem, öncelikli olarak belirlenen süre boyunca öğrenme modunda devreye alınır. Süre bitiminde koruma özelliği aktif edilir.
İşletim ve Bakım
- Cihaza ait güncel topoloji hazır bulundurulur. Yapılan her türlü değişiklikte güncelleme yapılır.
- Cihaz konfigürasyonunun haftalık bazda yedeği alınır.
- Yeni oluşabilecek tehditlere karşı, sistemin yazılım güncellemeleri takip edilir, incelendikten sonra uygulanır.
- Sistemin trafik veya en azından olay loglarının ilgili yöntemlerce (Syslog, SIEM vb.) sürekli olarak başka bir ortama (merkezi log vb.) alınması sağlanır.
- En az yılda 1 kez sistemin yedeklilik testleri yapılır.
- Sistem konfigürasyonunda yapılan her tür ek tanımlama ve değişiklik, açıklaması ile birlikte gerçekleştirilir.
- En fazla 6 aylık periyotlarla cihaz üzerindeki kural ve imzalar analiz edilerek gereksiz olanlar plan dâhilinde kontrollü olarak silinir.
- Güvenlik cihazlarının performans değerleri (CPU, RAM vb.), trafik yoğunluğu, bağlantı sayısı ve atak durumlarının sürekli olarak izlenmesine yönelik planlama yapılır. E-posta, SNMP trap ve benzeri yöntemler ile çevrimiçi alarm mekanizması aktif edilir.
- Sistemlerin sızma testleri kapsamında denetlenmesi sağlanır.
- 6 aylık periyotlarda performans testleri yapılır (k6, JMeter, wrk gibi araçlarla).
- Sistem raporları düzenli aralıklarla analiz edilir, eksiklikler giderilir.
İyi Uygulama Örnekleri
- İnternete açık web siteleri yanında intranet web siteleri için de WAF koruması sağlanabilir. WAF cihazları, sadece internete açık olan uygulamaları değil, iç ağa bakan web uygulamalarını da takip edecek şekilde konfigüre edilebilir.
Referanslar
- OWASP: Web Application Firewall — owasp.org
- OWASP: Best Practices — Use of Web Application Firewalls — owasp.org (PDF)
- PCI Security Standards Council: Application Firewalls and Code Reviews (Info Supplement 6.6) — www.pcisecuritystandards.org