WAF Türleri Nelerdir?
Piyasada pek çok web uygulama güvenlik duvarları (WAF) bulunmaktadır. Yer alan bu WAF’ların hepsi aynı özelliklere sahip değildir. Her WAF’ın kendine ait avantajları ve dezavantajları vardır; bu sebeple kullanıcı olarak bir web application firewall almaya karar vermeden önce aralarındaki farklılıkları anlamak oldukça önemlidir.
Daha önceki yazımda web uygulama güvenlik duvarının yani WAF’ın ne olduğuna ve nasıl çalıştığına değinmiştim. Şimdi ise WAF türlerinin neler olduğunu değinerek, her türün ne gibi artılarını ne gibi eksileri olduğundan söz edeceğim. 3 tip web uygulama güvenlik duvarı (WAF) vardır; peki bunlar nelerdir?
Donanım Tabanlı Web Uygulama Güvenlik Duvarı (WAF)
Donanım tabanlı WAF, web ve uygulama sunucularına yakın yerel alan ağında (LAN) yerel olarak kurulan bir donanım aracılığıyla dağıtılır. Cihazın içerisinde bir işletim sistemi çalışır ve yazılım yapılandırmaları ile güncellemeri destekler.
Donanım tabanlı (Hardware-based) WAF’ın en büyük avantajı yüksek hız ve performans sağlamasıdır. Sunucuya fiziksel olarak yakın olması sebebiyle, çok düşük gecikmeyle web sitesine giden ve gelen veri paketlerini izler ve filtreler.
En büyük dezavantajı ise, donanım makinelerine sahip olmanın ve bakımının oldukça maliyetli olmasıdır. Satın alma ve kurulumdan, depolama ve bakıma kadar donanım tabanlı web uygulama güvenlik duvarları, diğer WAF türlerine kıyasla yüksek maliyetleri sebebiyle daha az tercih edilirler.
Yazılım Tabanlı Web Uygulama Güvenlik Duvarı (WAF)
Yazılım tabanlı WAF, fiziksel bir donanım cihazı yerine sanal bir makineye (VM) yüklenir. Tüm WAF bileşenleri temelde hardware-based WAF ile aynıdır. Aralarındaki tek fark, kullanıcıların sanal makineyi çalıştırmak için kendi hipervizörlerine sahip olması gerektiğidir.
Yazılım tabanlı (Software-based) WAF’ın temel avantajı esnekliğidir. Sadece şirket içi bir sistemde değil, aynı zamanda bulut tabanlı web ve uygulama sunucularına bağlanarak bulutta da konuşlandırılabilir. Bir yazılım WAF’ı, donanım WAF’larına kıyasla daha ucuz bir seçenektir.
Dezavantajı ise, sanal bir makinede çalıştırıldığı için, izleme ve filtreleme işlemi sırasında daha yüksek bir gecikme yaşanır; bu da donanım tabanlı WAF’dan daha yavaş çalışması anlamına gelir.
Bulut Tabanlı Web Uygulama Güvenlik Duvarı (WAF)
Bulut tabanlı WAF, SaaS (hizmet olarak yazılım) şeklinde bir servis sağlayıcı tarafından doğrudan sağlanan ve yönetilen yeni bir web application firewall türüdür. Yazılım tabanlı bir WAF’nin aksine, WAF bileşenleri tamamen bulutta bulunur, böylece kullanıcının yerel olarak veya herhangi bir sanal makineye herhangi bir şey yüklemesine gerek kalmaz.
Bulut tabanlı (Cloud-based) WAF’ın en büyük avantajı basitliğidir. Kullanıcının fiziksel olarak herhangi bir yazılım yüklemesi gerekmez ve yalnızca bir abonelik planına kaydolması gerekir. Servis sağlayıcı, kullanıcının web uygulama güvenlik duvarını, kendi başına yönetmesine gerek kalmaması için tüm optimizasyonu ve güncellemeleri sağlar.
Dezavantajı ise, WAF tamamen servis sağlayıcı tarafından yönetildiğinden, özelleştirme için fazla yer olmamasıdır.
Hangi WAF’ı Kimler Neden Tercih Etmelidir?
Donanım tabanlı WAF’ları, günlük olarak yüzbinlerce ziyaret alan, müsterilerine verimli bir şekilde hizmet verebilmek için hız ve performansı öncelik olarak kabul eden ve yüksek maliyetleri karşılayabilecek büyük kuruluşların tercih etmesi daha doğru olacaktır.
Yazılım tabanlı WAF’ları, veri merkezleri ve barındırma sağlayıcıları gibi bulut tabanlı web ve uygulama sunucularına sahip kuruluşlar yada web uygulamalarını daha düşük maliyetlerle korumak isteyen şirketler tercih edebilirler.
Bulut tabanlı web uygulama güvenlik duvarlarını ise, herhangi bir fiziksel depolama yeri ve manuel bakım gerektirmediği için küçük veya orta ölçekli kuruluşlar tercih edebilirler.
