API gateway güvenliği 2026 yılında WAF, rate limiting ve bot detection üçlüsüyle yönetiliyor. Salt Security State of API Security 2025 raporu, API saldırı denemelerinin %681 büyüdüğünü ve kurumların %95’inin son 12 ayda bir API güvenlik olayı yaşadığını gösteriyor. Konuyla ilişkili olarak API Rate Limiting Algoritmaları: Token Bucket vs Leaky Bucket vs Sliding Window rehberimiz detaylı incelemeyi içerir.
Modern API Gateway Güvenliği: 3 Katman Mimarisi
API gateway güvenliği tek araçla değil 3 katmanlı savunma ile sağlanır. WAF (Web Application Firewall) bilinen pattern’leri (SQL injection, XSS, path traversal) yakalar; rate limiting volumetric saldırıları sınırlar; bot detection davranışsal anomalileri tespit eder. Akamai 2025 State of the Internet: günlük 3,7 milyar saldırı denemesi, bunların %78’i API hedefli.
Gartner 2025 API Security Magic Quadrant: pazar 4,2 milyar dolara ulaştı, yıllık %32 büyüdü. Liderler: Salt Security, Noname Security, Traceable, Wiz. Cloudflare API Shield ve AWS WAF + Shield managed çözümler olarak öne çıkıyor. Kurumların %62’si en az 2 API güvenlik aracı kullanıyor; %38’i konsolide platforma geçiş niyetinde.
WAF: Signature-Based ve OWASP API Top 10
Modern WAF, OWASP API Security Top 10 2023 listesini referans alır. En kritik tehdit BOLA (Broken Object Level Authorization); signature ile yakalanması zor, behavioral analysis gerektirir. ModSecurity (CRS 4.0, 2023) ve Coraza (CNCF Sandbox) açık kaynak; AWS WAF, Cloudflare WAF, Imperva, F5 yönetimli.
| WAF | Deploy Modeli | OWASP CRS | ML Tabanlı | Fiyat (avg) |
|---|---|---|---|---|
| Cloudflare WAF | Edge (320+ PoP) | Native | Var | $20-200/ay |
| AWS WAF | CloudFront/ALB | Managed Rules | Limited | $5+ per million req |
| Imperva | Cloud/On-prem | Var | Var | Enterprise |
| F5 BIG-IP ASM | On-prem/Cloud | Var | Var | Enterprise |
| ModSecurity | Self-hosted | CRS 4.0 | Yok | Açık kaynak |
Rate Limiting: Algoritma Karşılaştırması
Rate limiting 4 ana algoritma kullanır. Token Bucket: burst tolerance yüksek, basit; çoğu API gateway varsayılan. Leaky Bucket: sabit throughput, queueing ile smoothing. Fixed Window: basit ama window boundary’de spike. Sliding Window: en hassas ve kaynak tüketimi yüksek. Kong, Tyk, AWS API Gateway, Azure APIM dört algoritmayı da destekliyor.
- Token Bucket: Burst-friendly, en yaygın (Cloudflare, Kong, NGINX)
- Leaky Bucket: Smooth output, queueing overhead
- Fixed Window: Basit ama window edge spike riski
- Sliding Window: En hassas, Redis ile tipik implementation
- Distributed counters: Multi-region için Redis Cluster veya Cloudflare KV
İlgili konu: API gateway karşılaştırma rehberimizde Kong, Tyk, AWS API Gateway’in güvenlik özellikleri detaylı.
Bot Detection: 4 Katman Yaklaşım
Bot detection 4 katmanda çalışır. Signature: known bot user-agent ve IP. Fingerprint: TLS/JA3, HTTP/2 fingerprint, canvas fingerprint. Behavioral: mouse movement, typing pattern, navigation flow. ML: anomaly detection, sequence modeling. Cloudflare Bot Management, Akamai Bot Manager, DataDome, Kasada bu 4 katmanı birleştiriyor.
OWASP API Top 10 2023: Her Madde için Savunma
| API Risk | Açıklama | Savunma Katmanı |
|---|---|---|
| API1: BOLA | Object-level authz eksikliği | Authz middleware + ML behavioral |
| API2: Broken Auth | Token/session zayıflığı | OAuth 2.1 + DPoP |
| API3: BOPLA | Property-level authz | Field-level filter + schema validation |
| API4: Resource Consumption | Volumetric saldırı | Rate limit + quota |
| API5: BFLA | Function-level authz | RBAC + OPA policy |
| API6: Server-Side Request Forgery | SSRF | Allow-list + egress filter |
| API7: Security Misconfiguration | Config drift | CSPM + IaC scanning |
| API8: Lack of Protection | API estate görünmezliği | API discovery + inventory |
| API9: Improper Inventory | Shadow/zombie API | Salt/Noname discovery |
| API10: Unsafe Consumption | 3rd party API riski | Schema validation + egress WAF |
Sektörel Use Case: Fintech, E-ticaret, SaaS
Fintech sektöründe PCI DSS 4.0 Requirement 6.4.2 WAF zorunlu; FAPI 2.0 ile API gateway DPoP doğrulaması yapmalı. E-ticarette scalping ve scraping saldırılarına karşı bot management kritik; Akamai 2025 verisine göre flash sale dönemlerinde trafiğin %62’si bot. SaaS’te multi-tenant API quota ve tenant isolation rate limiting kritik.
Kurumsal API Gateway Güvenliği Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- WAF’ı default kurallarla bırakma — %65 false positive ile başlangıç, ekip alarm yorgunluğu
- Rate limiting’i sadece IP’ye uygulama — proxy/NAT arkasındaki kullanıcılar haksız bloklanıyor
- Bot detection’ın legitimate bot’ları (Googlebot, monitoring) tanımaması
- API discovery yapılmadan koruma — shadow API’lar gateway’e bağlı değil, korumasız
- Schema validation’ın eksik veya runtime’da disable edilmesi
- WAF log’larının SIEM’e gönderilmemesi — olay sonrası forensik için veri yok
Sonuç
API güvenliği 2026’da tek araçla değil 3 katmanlı savunma ile sağlanır. WAF imza, rate limit volumetric, bot detection davranış katmanını kapsar. Pilot için en yüksek değerli ve en açık endpoint seçin (login, checkout, search), baseline öğrenin, sonra global politika. Salt veya Noname gibi API security platformları discovery + posture + protection’ı birleştirir; pure WAF üreticileri (Cloudflare, AWS, Imperva) maliyet etkin başlangıç. 90 günlük pilot + 180 günlük kapsamlı rollout pattern’i standart.
Sıkça Sorulan Sorular
WAF tek başına API güvenliği için yeterli mi?
Hayır. WAF imza-tabanlı; BOLA, BOPLA gibi OWASP API Top 10’un üst sıralarındaki riskleri yakalayamaz. Behavioral analytics ve schema validation gerekiyor. Salt Security 2025 verisi: WAF-only ortamların %78’inde aktif API breach mevcut.
Token bucket vs sliding window rate limit hangisi seçilir?
Burst tolerance gerekli ise Token Bucket; hassas SLA gerekiyorsa Sliding Window. Sliding Window 2-3x daha fazla Redis memory tüketir. Çoğu kurumsal senaryoda Token Bucket varsayılan (Cloudflare, Kong, AWS API Gateway).
CAPTCHA bot detection için yeterli mi?
2026’da hayır. AI-driven CAPTCHA solver’lar reCAPTCHA v2’yi %95 doğrulukla çözüyor. Cloudflare Turnstile, hCaptcha Enterprise behavioral fingerprint ekliyor. Pure CAPTCHA conversion rate’i %12 düşürüyor; invisible bot management tercih edilir.
Managed WAF vs self-hosted ModSecurity hangisi daha iyi?
Operasyon yükü tolere edebilen ekipler için ModSecurity + CRS 4.0 maliyet etkin; küresel coverage ve managed update isteyenler için Cloudflare/AWS WAF. Fortune 500’ün %72’si managed kullanıyor.
API discovery nasıl yapılır?
Pasif (traffic mirror), aktif (network scan), runtime (eBPF tracing) ve manifest tabanlı (OpenAPI repo scan) 4 yöntem. Salt, Noname, Traceable platform olarak 4’ünü birleştiriyor. Discovery sonucu shadow API’lar genelde toplam API’ların %15-30’u.
Ömer ÖNAL
Mayıs 23, 2026API gateway güvenliğini WAF-only ile çözmeye çalışan kurumlar 6 ay içinde credential stuffing ve scraping saldırılarına teslim oluyor; çünkü WAF imza tabanlı, bot detection davranış tabanlı. Doğru kombinasyon: managed WAF + token bucket rate limit + ML-driven bot detection (Cloudflare Bot Mgmt, Akamai, DataDome). Pilot için 1 yüksek değerli endpoint seçin, baseline öğrenin, sonra global politika. — Ömer Önal