İçeriğe Atla
Teknoloji · 8 dk okuma · görüntülenme
100%

Firewall Rulebase Temizliği: Hitcount ve Shadow Rules ile Dalga

Firewall kural setini ‘dokunma patlar’ noktasından çıkarıp; hitcount, log kanıtı, sahiplik ve dalga yaklaşımıyla güvenli şekilde sadeleştirme yöntemi.

#security #network #firewall #operations #automation #risk
Firewall kural tablosu, hitcount ve gölge kural ilişkisini gösteren kapak görseli

Firewall kural seti büyüdükçe güvenlik artmaz; çoğu zaman tam tersi olur: görünürlük azalır, yanlış pozitif artar, değişiklik riski büyür. En tehlikeli nokta, rulebase’in “kimse dokunmasın” diye kutsallaştırıldığı andır. Çünkü o an itibarıyla firewall, kontrol katmanı olmaktan çıkıp operasyonel borç haline gelir.

Firewall kural tablosu, hitcount ve gölge kural ilişkisini gösteren kapak görseli
Temizliğin hedefi estetik değil: kural davranışını kanıtla, sonra güvenli dalga ile sadeleştir.

Neden rulebase temizliği “güvenlik işi” kadar “operasyon işi”dir?

Çünkü kuralı silmek iki riski taşır:

  • Üretim kesintisi (meşru trafik kesilir)
  • Güvenlik açığı (kötü trafik açılır)

Bu yüzden doğru yaklaşım; “kuralı sil” değil, “kuralın gerçekten ne yaptığını kanıtla”dır.

1) Envanter: her kuralın bir sahibi ve bir son kullanma tarihi olmalı

Minimum alanlar:

  • Owner ekip/servis
  • İş gerekçesi (1 cümle)
  • İlgili ticket/change kaydı
  • Süre (örn. 90 gün) ve yenileme kuralı

2) Kanıt: hitcount tek başına yeterli değil, ama iyi bir başlangıç

Sahada kural temizliğini hızlandıran üç kanıt kaynağı:

  • Hitcount / rule usage: belirli periyotta hiç çalışmayan kural
  • Log kanıtı: kuralın gerçekten hangi akışlara hizmet ettiği
  • Bağımlılık analizi: ilgili servislerin dinlediği portlar, IP’ler, değişiklik geçmişi

Hitcount ile ilgili kritik nüans:

  • “0 hit” her zaman “gereksiz” demek değildir (nadiren çalışan ama kritik akışlar)
  • Ölçüm penceresi önemlidir (ay sonu batch, kampanya dönemleri vb.)

Bu yüzden 0 hit kuralı için benim pratik yaklaşımım:

  1. 30 gün hitcount + log
  2. owner onayı
  3. dalga ile devre dışı bırak → gözlemle → sil

3) Shadow rules: kural çalışıyor sanırsın ama aslında gölgede kalmıştır

Shadow rule (gölge kural) şudur:

  • Daha üstteki geniş kural zaten trafiği permit/deny eder
  • Alttaki kural “var gibi” görünür ama efektif değildir

Bu sınıf kurallar, rulebase’i şişirir ve denetimi yanıltır. Temizlikte en hızlı kazanım çoğu zaman buradan gelir.

4) Güvenli silme dalgası: önce disable, sonra delete

Rulebase temizliğini “tek büyük değişiklik” olarak değil, dalgalarla yap:

  • Wave 0 (staging/lab): export, analiz, rapor
  • Wave 1 (düşük risk): shadow + 0 hit + owner onaylı
  • Wave 2 (orta risk): düşük hit ama iş kritikliği belirsiz
  • Wave 3 (yüksek risk): geniş permit kuralları, legacy servisler

Her dalgada standart akış:

  1. Kuralı disable et (loglamayı koru)
  2. 7–14 gün gözlemle (bağlama göre)
  3. Incident yoksa delete
  4. Sonucu dokümante et (kural borcu azalıyor mu?)

5) Otomasyon: export/diff ve değişiklik disiplinini kur

Rulebase temizliğinde otomasyonun amacı “AI kural yazsın” değil:

  • Kural seti export (günlük/haftalık)
  • Diff raporu (kim neyi değiştirdi)
  • Standart etiketleme (owner, ticket)
  • “Süre doldu” uyarısı (expired rules)

Bu disiplini kurduğunda, rulebase tekrar büyüse bile kontrollü büyür.

Sonuç

Firewall rulebase temizliği; hitcount, log kanıtı ve sahiplik olmadan yapılan “cesur silme” değildir. Benim sahada en stabil sonuç aldığım model; önce envanteri ve kanıtı kurmak, sonra shadow rule’lardan başlayarak dalga yaklaşımıyla sadeleştirmek. Bu sayede firewall, tekrar “dokunulmaz kara kutu” değil; yönetilebilir bir kontrol düzlemi olur.

Paylaş:

Bu yazı faydalı oldu mu?

Yükleniyor...

Bu yazı nasıldı?

ME

Mustafa Erbay

Sistem Mimarisi · Network Uzmanı · Altyapı, Güvenlik ve Yazılım

2006'dan bu yana sistem mimarisi, network, sunucu altyapıları, büyük yapıların kurulumu, yazılım ve sistem güvenliği ekseninde çalışıyorum. Bu blogda sahada karşılığı olan teknik deneyimlerimi paylaşıyorum.

Kişisel Notlar

Bu notlar sadece sizde saklanır. Tarayıcınızda yerel olarak tutulur.

Hazır 0 karakter

Yorumlar

Sunucu Taraflı AI Moderasyon

Yorumlar sunucuda yapay zeka ile denetlenir ve kalıcı olarak saklanır.

?
0/2000

Sunucu taraflı AI denetim

Yeni yazılardan haberdar olun

Haftada bir yeni içerikler ve kaynaklar doğrudan e-postanıza gelsin.

Spam yok. Yalnızca yeni ve önemli içerikler için e-posta gönderilir.

Okuma İstatistikleriniz

0

Yazı Okundu

0dk

Okuma Süresi

0

Gün Serisi

-

Favori Kategori

İlgili Yazılar

Teknoloji

DDoS Scrubbing Center Tasarımı: GRE, BGP ve Failover

Saldırı anında trafiği scrubbing’e yönlendirip temizleyerek servisi ayakta tutmak için GRE tünel, BGP sinyali, kapasite ve operasyon runbook’u.

Teknoloji

Self-Hosted CI Runner Güvenliği: İzolasyon, OIDC ve Secret’lar

Self-hosted CI runner kullanırken izolasyon, ağ sınırı ve OIDC tabanlı kısa ömürlü yetkilendirme ile supply-chain riskini azaltan pratik model.

Teknoloji

Hibrit Bulutta Transit Gateway ile Segmentasyon ve Yönetişim

Hub-spoke ve Transit Gateway tasarımını güvenlik, rota kontrolü ve operasyonel gözlemlenebilirlik ile birlikte ele alan pratik mimari rehber.