Origin WAF (ModSecurity) vs CDN WAF: Küçük ve Orta Ölçekli Siteler İçin Doğru Seçim

Origin WAF ve CDN WAF Arasındaki Farkı Doğru Anlamak

Bir noktadan sonra çoğu müşteri bize aynı soruyu soruyor: “CDN tarafında WAF açtım, sunucuda ModSecurity’ye gerçekten ihtiyacım var mı?” veya tam tersi, “Sunucuda ModSecurity zaten çalışıyor, CDN WAF’a para vermeye değer mi?” Küçük ve orta ölçekli sitelerde bütçe ve operasyon yükü sınırlı olduğu için bu sorunun cevabını netleştirmek kritik. Gereğinden fazla katman kurduğunuzda hem gereksiz karmaşıklık hem de yanlış pozitif (gerçek kullanıcıların engellenmesi) sorunlarıyla uğraşıyorsunuz. Az katman kurduğunuzda ise tek bir zayıf nokta tüm sitenizi açığa çıkarabiliyor.

Bu yazıda DCHost ekibi olarak, origin WAF (ModSecurity) ile CDN WAF’ı pratik gözle karşılaştıracağız. Avantajlar, dezavantajlar, performans etkisi, loglama, KVKK/GDPR gibi uyumluluk konularını küçük ve orta ölçekli projeler perspektifinden ele alacağız. Zaten WAF kavramına yabancıysanız, önce Cloudflare WAF ve ModSecurity’yi birlikte anlattığımız WAF rehberimize göz atmanızı; ardından bu yazıyı “hangi katman bana uygun?” sorusunu yanıtlamak için okumanızı öneririz.

Temel Tanımlar: Origin WAF (ModSecurity) ve CDN WAF Nedir?

Önce akışı sadeleştirelim. Tarayıcıdan çıkan bir HTTP isteği normalde şu yolu izler:

Tarayıcı → DNS → (varsa CDN) → Web sunucusu (origin) → Uygulama (WordPress, Laravel, vb.)

Origin WAF, doğrudan web sunucusunun üzerinde çalışan WAF katmanıdır. Apache, Nginx veya LiteSpeed üzerinde ModSecurity modülüyle, genellikle OWASP Core Rule Set (CRS) kural seti kullanılarak devreye alınır. Tüm trafiği uygulamaya ulaşmadan milisaniyeler önce filtreler.

CDN WAF ise, genellikle Cloudflare benzeri CDN sağlayıcıların kenar (edge) sunucularında çalışan WAF’tır. Ziyaretçiye en yakın noktada devreye girer, istek daha sizin sunucunuza gelmeden saldırıları kesmeye odaklanır. Çoğu zaman DDoS ve bot korumasıyla entegre çalışır.

Yani özetle:

• Origin WAF: Sunucunuzun üzerinde, uygulamaya en yakın güvenlik katmanı
• CDN WAF: Ağın kenarında, sunucunuza en uzak ama saldırıya en ilk karşılık veren katman

Origin WAF (ModSecurity): Küçük ve Orta Ölçekli Siteler İçin Artılar ve Eksiler

Origin WAF’in Temel Özellikleri

Origin WAF’ı, web sunucunuzun ön kapısına yerleştirilmiş çok detaylı bir güvenlik filtresi gibi düşünebilirsiniz. Apache veya Nginx üzerinde çalışan ModSecurity modülüyle:

• SQL injection, XSS, RCE gibi klasik web saldırılarını imza ve davranış bazlı tespit edebilirsiniz,
• Belirli URL desenlerine, parametrelere veya HTTP header’larına özel kurallar yazabilirsiniz,
• Uygulamanın gerçek hata mesajlarını ve loglarını görerek güvenlik politikalarını ince ayar yapabilirsiniz.

ModSecurity kullanımıyla ilgili detaylı teknik ipuçları isterseniz, ModSecurity ve OWASP CRS ile WAF’ı uysallaştırma rehberimizde yanlış pozitifleri azaltma ve performans ayarlarını adım adım anlattık.

Origin WAF Avantajları

• Uygulama katmanına en yakın nokta: CDN devre dışı kalsa, DNS hatası yaşansa bile, doğrudan IP ile erişen saldırganlara karşı hala koruma sağlar.
• Detaylı görünürlük: Sunucu logları, uygulama logları ve WAF logları aynı yerde birikir. Hangi isteğin, hangi kural yüzünden engellendiğini uçtan uca izleyebilirsiniz.
• İç servisler ve API’ler için zorunlu: CDN üzerinden geçmeyen dahili servisler, panel alt alan adları, staging ortamları gibi noktaları ancak origin WAF ile koruyabilirsiniz.
• İnce ayar imkanı: Kendi uygulamanıza özel, çok hassas kurallar yazabilirsiniz. Örneğin sadece “/admin” altındaki isteklerde belirli User-Agent’leri engellemek gibi.
• CDN bağımlılığını azaltır: CDN değiştirdiğinizde güvenlik politikalarınızın önemli kısmı aynı kalır; sadece DNS yönlendirmesi değişir.

Origin WAF Dezavantajları

• Kaynak tüketimi: ModSecurity yoğun kural setleriyle çalışırken CPU kullanımı artabilir. Özellikle küçük VPS’lerde kötü ayarlanmış bir WAF, trafiğinizden önce sunucunun canını yakar.
• DDoS’a tek başına çare değil: L7 (uygulama katmanı) saldırılarını azaltabilir ama L3/L4 ve hacimsel DDoS saldırılarında trafiğin tamamı yine sunucunuza gelir.
• Yönetim zorluğu: Yanlış yapılandırılmış kurallar, özellikle WooCommerce gibi karmaşık uygulamalarda müşterilerin ödeme adımlarını bozabilir. Kurulumdan sonra bir süre titiz log takibi ister.
• Güncelleme ve test ihtiyacı: OWASP CRS veya özel kuralları güncel tutmak gerekir. Her güncelleme küçük de olsa test süreci anlamına gelir.

Gerçekçi Senaryo: Tek VPS Üzerinde WooCommerce

DCHost’ta yayında olan tipik bir KOBİ senaryosu düşünelim: Tek bir NVMe VPS üzerinde çalışan, Türkiye hedefli bir WooCommerce mağazası. Trafik düzenli ama ani kampanyalarda artış oluyor.

• Bu mimaride ModSecurity + OWASP CRS ile temel koruma,
• Ek olarak Nginx/Apache rate limiting,
• Ve basit bir fail2ban kurgusu

çoğu SQLi/XSS denemesini ve kaba kuvvet saldırılarını sunucu tarafında etkili şekilde süzüyor. Bu projede CDN WAF zorunlu değil; ancak uluslararası trafik, yoğun DDoS riski veya çok sayıda bot taraması ortaya çıktığında tablo değişiyor.

CDN WAF: Edge Katmanında Güvenlik, Performans ve DDoS Koruması

CDN WAF Nasıl Çalışır?

CDN WAF, DNS’inizi CDN sağlayıcısına yönlendirdiğinizde devreye giren, ziyaretçi ile origin sunucunuz arasına giren bir katmandır. Tüm HTTP(S) trafiği önce CDN’in edge sunucusuna gelir, burada:

• IP itibar kontrolleri,
• Bot skorlama,
• Managed kural setleri (OWASP tabanlı),
• Oran sınırlama (rate limiting) ve DDoS filtreleri

uygulanır. Temizlenen istekler cache’ten veya gerekirse origin’den çekilir.

Cloudflare tarafında WAF, bot koruması ve rate limiting ayarlarının nasıl kurgulanacağını adım adım görmek isterseniz, Cloudflare güvenlik ayarları rehberimiz ile Cloudflare WAF kuralları ve oran sınırlama yazımıza göz atabilirsiniz.

CDN WAF Avantajları

• DDoS’a karşı güçlü kalkan: Hacimsel saldırılar daha sizin sunucunuza gelmeden CDN’in devasa ağı üzerinde süzülür. KOBİ’ler için tek başına bile oyun değiştirici olabilir.
• Performans artışı: Statik içerik cache’lenir, dinamik içerik bile bazı akıllı cache politikalarıyla hafifletilir. Böylece origin WAF ve uygulama daha az yük altında kalır.
• Kolay yönetim: Çoğu CDN WAF, hazır kural şablonları ve basit arayüzlerle gelir. Derin Linux bilgisi olmayan ekipler bile temel koruma kurallarını hızla devreye alabilir.
• Global erişim: Yurtdışı trafik alan projelerde, ziyaretçiye en yakın edge noktasında hem hız hem güvenlik sağlanır.

CDN WAF Dezavantajları

• Gizlilik ve uyumluluk soruları: Tüm trafiğiniz üçüncü taraf bir ağ üzerinden geçtiği için, KVKK/GDPR ve sözleşmesel yükümlülükler açısından kimin neyi gördüğünü kurumsal olarak netleştirmeniz gerekir.
• Loglama parçalanır: Bir kısım log CDN tarafında, bir kısım origin tarafında oluşur. İyi kurgulanmazsa sorun teşhis süreçleri uzar.
• İç servisleri korumaz: Sadece CDN üzerinden geçen alan adlarınız için çalışır. Admin panelleri, dahili API’ler veya IP ile erişilen servisler korunmaz.
• Yanlış kuralın etkisi büyük: Edge tarafında yaptığınız sert bir kural hatası, tüm trafiği kesebilir. Özellikle ödeme sayfaları için bypass kuralları dikkatle tasarlanmalıdır.

Gerçekçi Senaryo: Çok Trafikli İçerik Sitesi

Türkiye ağırlıklı ama zaman zaman global trafiği de olan yüksek trafikli bir haber/blog sitesini düşünelim. Bu tip projelerde:

• CDN cache oranı yüksektir,
• Bot trafiği ve scrapper’lar ciddi yük bindirir,
• Rakip kaynaklı DDoS denemeleri olağandır.

Bu senaryoda CDN WAF, hem cache sayesinde sunucu maliyetini düşürmek hem de geniş ölçekli saldırıları daha siz fark etmeden vakumlamak için çok güçlü bir araçtır. Bu tür projeler için ayrıca Küçük ve orta ölçekli siteler için DDoS koruma stratejileri rehberimizi mutlaka okumanızı öneririz.

Küçük ve Orta Ölçekli Siteler İçin Karar Matrisi

Teoriyi bir kenara bırakıp “bizim site için ne mantıklı?” sorusuna gelelim. Aşağıdaki faktörleri netleştirdiğinizde origin WAF mi, CDN WAF mı, yoksa hibrit mi sorusu çok daha kolay cevaplanıyor.

1. Trafik Hacmi ve Dağılımı

• Düşük-orta trafik, tek ülke odaklı: Genelde iyi ayarlı bir ModSecurity + temel hız optimizasyonları yeterli olur. CDN WAF, daha çok DDoS ve bot baskısı hissetmeye başladığınız noktada devreye alınabilir.
• Orta-yüksek trafik, çok ülkeli: CDN WAF tarafına eğilmek anlamlıdır. Cache oranı yükseldikçe hem sunucu hem WAF maliyetiniz düşer.

2. Tehdit Modeli

• Ağırlıklı olarak klasik zafiyetler: Zayıf eklentiler, eski WordPress, basit SQL injection/XSS denemeleri… Bu tabloda origin WAF + düzenli yama yönetimi çoğu zaman yeterlidir.
• Düzenli DDoS veya yoğun bot trafiği: Saldırının hedefi bant genişliğiniz veya CPU değil, tamamen sitenizi çökertmekse CDN WAF büyük fark yaratır.
• API odaklı SaaS ürünleri: Yetkisiz istekler, brute-force denemeleri ve rate limiting ihtiyacı öne çıkar. Bu tür projelerde hem CDN WAF hem de origin WAF birlikte kurgulanmaya daha uygundur. Ayrıntı için API güvenliği ve WAF mimarisi rehberimize mutlaka göz atın.

3. Teknik Ekip Kapasitesi

• Küçük ekip, sınırlı Linux bilgisi: Cloudflare gibi bir CDN WAF’in hazır şablonlarıyla başlamak, ardından DCHost üzerindeki ModSecurity ayarlarını minimum seviyede tutmak mantıklı olabilir.
• Deneyimli DevOps/Sysadmin ekibi: Hem origin WAF hem CDN WAF ince ayar yapılarak birlikte kullanılabilir. Kuralları birbiriyle çakışmayacak şekilde tasarlamak için log analizi şarttır.

4. Bütçe ve Maliyet-Getiri Dengesi

Küçük projelerde her ek hizmetin maliyetini sorgulamak doğal. Genel tablo şu şekilde:

• Origin WAF (ModSecurity): Çoğu zaman zaten DCHost gibi hosting sağlayıcınızın sunduğu bir özellik. Ek lisans maliyeti gerektirmez; asıl maliyet, yönetim ve tuning tarafındadır.
• CDN WAF: Genelde trafik, istek sayısı veya kural sayısına göre fiyatlanır. DDoS riski düşük, lokal bir siteyseniz başlangıç için şart olmayabilir; ama bir saldırı yaşadığınız gün parasının karşılığını fazlasıyla verir.

Hibrit Model: Origin WAF + CDN WAF Birlikte Nasıl Kullanılır?

Gerçekte orta ve büyük projelerde en sağlıklı mimari çoğu zaman hibrittir: “Önce edge’te kaba filtre, sonra origin’de ince ayar.” Küçük ve orta ölçekli projelerde bile, belirli bir eşiği geçtiğinizde bu modelin faydasını net görmeye başlıyorsunuz.

Tipik Hibrit Akış

1. DNS, alan adınızı CDN’e yönlendirir.
2. CDN WAF, IP itibarını, basit botları, bilinen exploit pattern’lerini ve hacimsel saldırıları daha sunucunuza gelmeden süzer.
3. Temizlenen istekler DCHost’taki origin sunucunuza gelir.
4. ModSecurity, uygulamaya çok özel kurallarla ikinci bir filtre uygular; staging alt alan adları, admin panelleri gibi CDN’den geçmeyen parçalar da burada korunur.

Hibrit Kullanırken Dikkat Etmeniz Gerekenler

• Kural katmanı ayrımı yapın: Çok genel imza ve IP itibar kontrollerini CDN WAF’e; uygulamaya özel, parametre/URL odaklı kuralları ModSecurity tarafına koymak, çakışma riskini azaltır.
• Logları tek yerden okuyun: Mümkünse CDN loglarını da merkezi loglama sisteminize (örneğin ELK veya Loki) aktarın. Böylece “bu istek edge’te mi, origin’de mi kesilmiş?” sorusunun yanıtı bir ekranda görünür.
• Health-check ve bypass senaryolarını planlayın: CDN tarafında hatalı bir kural tüm siteyi kapatırsa, DNS’i hızlıca direkt origin’e çekebilecek bir runbook’unuz olsun. Aynı şekilde origin’de sorun yaşadığınızda, CDN üzerinden bakım sayfası göstermek için kurgunuz hazır olsun.

Bu hibrit modelin pratikte nasıl çalıştığını ve ModSecurity ile Cloudflare WAF’ın nasıl barıştırılabileceğini daha hikayeli bir dille okumak isterseniz, WAF ve bot koruması üzerine yazdığımız detaylı rehbere mutlaka göz atın.

DCHost Perspektifinden Önerilen Yol Haritası

1. paylaşımlı hosting veya Küçük VPS Üzerindeki Kurumsal Site

Yeni açılmış bir kurumsal WordPress sitesi, blog veya basit bir hizmet sitesi için genelde şu stratejiyi öneriyoruz:

• DCHost tarafında ModSecurity + OWASP CRS’in makul seviyede açık olduğundan emin olun.
• WordPress, eklentiler ve tema güncellemelerini düzenli takip edin; WAF, yamalanmamış kritik açıkların yerini dolduramaz.
• Brute-force girişleri için basit rate limiting ve gerekirse 2FA kullanın.

Bu aşamada CDN WAF kullanmak güzel bir ekstradır ama çoğu küçük işletme için zorunlu değildir. Asıl odak, yazılım güncelliği, yedekler ve temel WAF koruması olmalıdır.

2. Büyüyen WooCommerce Mağazası veya Orta Ölçekli İçerik Sitesi

Trafiğiniz yükseliyor, stok/ödeme hataları yaşandığında maddi kaybınız artıyorsa tablo değişir:

• Origin tarafında ModSecurity’yi biraz daha sıkılaştırır, yanlış pozitifleri izleyerek ince ayar yaparız.
• CDN devreye alınarak hem cache ile performans, hem de CDN WAF ile DDoS ve bot koruması güçlendirilir.
• Ödeme ve sepet adımları için CDN tarafında “bypass/özel kural” senaryoları net tanımlanır.

Bu büyüme aşamasında genelde WAF katmanlarıyla birlikte, log analizi, yedek stratejisi ve ölçeklendirme konularını da masaya yatırıyoruz. İlgili diğer konular için WooCommerce için CDN ve önbellek ayarları rehberimize göz atmanız faydalı olacaktır.

3. SaaS, API ve Özel Panel Yoğun Projeler

Çok kiracılı SaaS uygulamaları, mobil uygulama backend’leri veya müşteri panelleri olan projelerde:

• CDN WAF ile IP itibar kontrolü, temel bot süzme, ülke bazlı engelleme ve API rate limiting devreye alınır.
• Origin WAF (ModSecurity) ile belirli endpoint’lere, HTTP metotlarına (POST, PUT, DELETE) ve hassas parametrelere özel kurallar yazılır.
• JWT, CORS, mTLS gibi diğer güvenlik mekanizmalarıyla birlikte ele alınır.

Bu mimarilerde tek bir WAF katmanına güvenmek yerine, zincirin her halkasını güçlendirmek gerekir. DCHost olarak bu tip projelerde hem VPS hem dedicated sunucu, hem de gerekiyorsa colocation tarafında size uygun yapıyı birlikte tasarlıyoruz.

Sonuç: Hangi Katmanla Başlamalı, Ne Zaman Diğerine Geçmelisiniz?

Özetleyelim:

• Sıfır noktasında: DCHost üzerindeki sitenizde mutlaka origin WAF (ModSecurity) açık olsun. Bu, küçük sitelerde bile “olmazsa olmaz” temel güvenlik katmanıdır.
• Düzenli trafik ve gelir üretmeye başladığınızda: Logları izleyin, yanlış pozitifleri azaltın, kritik sayfalar (login, ödeme, API) için özel kurallar tanımlayın.
• DDoS baskısı, yoğun bot trafiği veya global ziyaretçi artışı gördüğünüzde: CDN WAF’i devreye almayı masaya koyun. Böylece bant genişliği ve CPU’nuzun büyük bir kısmını edge’te korumuş olursunuz.
• SaaS ve API projelerinde: Hibrit model (CDN WAF + origin WAF) neredeyse standarttır. Tek katmana güvenmek yerine savunmayı katmanlı düşünmek, riskinizi ciddi şekilde düşürür.

En sağlıklı yaklaşım, proje türü, trafik, bütçe ve ekip yapınızı birlikte değerlendirmek. DCHost’ta biz genelde önce origin WAF’i sağlamlaştırıp, ardından gerek gördüğümüz noktada CDN WAF ile destekleyen bir yol haritası çiziyoruz. Siz de altyapınızı gözden geçirirken, mevcut risklerinizi, loglarınızı ve büyüme planınızı beraber değerlendirmek isterseniz, DCHost ekibi olarak mimarinizi inceleyip somut öneriler sunmaktan memnuniyet duyarız.