API Gateway Güvenliği Nedir?
İngilizce: API Gateway Security
API Gateway güvenliği, kimlik doğrulama, kota, WAF kuralları ve trafik gözlemini API giriş noktasında merkezi olarak uygular.
API Gateway Güvenliği Nedir?
API Gateway güvenliği, API trafiğinin ilk karşılandığı noktada kimlik doğrulama, yetkilendirme, hız sınırlama ve tehdit filtreleme kontrollerini uygulamaktır. Amaç, arka uç servislerine ulaşmadan önce isteklerin güvenilirliğini ve sınırlarını değerlendirmektir.
Gateway, token doğrulama, mTLS, IP allowlist, WAF kuralları, JSON şema doğrulama, bot filtreleme ve şüpheli trafik loglama gibi kontrolleri merkezi hale getirebilir. Bu, servislerin güvenlikten muaf olduğu anlamına gelmez; gateway geçilse bile servis tarafında yetki kontrolü devam etmelidir.
Koruduğu Riskler
- Geçersiz veya süresi dolmuş token ile erişim denemeleri
- Credential stuffing ve otomatik deneme trafiği
- Aşırı istekle servis maliyetinin veya kapasitenin tüketilmesi
- Beklenmeyen payload formatları ve temel enjeksiyon girişimleri
- Hassas endpoint’lerin yanlışlıkla herkese açık kalması
Uygulamada Dikkat Edilecekler
API Gateway, rate limiting ve OAuth2 birlikte tasarlandığında sınır güvenliği daha tutarlı olur. Yine de yalnızca gateway loglarına bakmak yeterli değildir; servis logları, korelasyon ID’leri ve alarm kuralları aynı akışa bağlanmalıdır.
Güvenlik politikaları müşteri planı, endpoint hassasiyeti ve iş etkisine göre ayrılmalıdır. Her endpoint’e aynı limit veya aynı WAF kuralını uygulamak hem gereksiz engellemeye hem de açık kalan risklere yol açabilir.
İlgili Terimler
API Gateway, istemciler ile servisler arasına girerek yönlendirme, kimlik doğrulama, kota, gözlemleme ve sürümleme görevlerini toplar.
OAuth 2.0OAuth 2.0, üçüncü taraf uygulamaların kullanıcı şifresi olmadan kaynaklara erişmesini sağlayan yetkilendirme çerçevesidir.
Rate LimitingRate limiting, kullanıcı, IP veya token başına belirli sürede izin verilen istek sayısını sınırlayarak API'leri kötüye kullanım ve yük artışından korur.