Birçok web sitesi sahibi SSL sertifikası kurduktan sonra tüm verilerin güvende olduğunu düşünür. Ama gerçek şu ki:
SSL sadece veri transferini korur, verinin kendisini değil.
Gerçek veri güvenliği hosting katmanında başlar.
1. Veri Nerelerde Bulunur?
Bir web sitesinde veri sadece tek bir yerde bulunmaz.
| Veri | Nerede Saklanır |
|---|---|
| Web sitesi dosyaları | Sunucu diski |
| Müşteri bilgileri | Veritabanı |
| Yedekler | Backup sunucusu |
| E-postalar | Mail sunucusu |
| Log kayıtları | Log sunucusu |
Bu yüzden güvenlik de katmanlı olmalıdır.
2. Veri Transferi Sırasında Şifreleme (In Transit Encryption)
Bu, SSL/TLS ile sağlanır.
Kullanıcı → Sunucu arasındaki veri şifrelenir.
Örnek:
- Şifre
- Kredi kartı
- Form verileri
- Login bilgileri
SSL yoksa bu veriler okunabilir.
Ama bu sadece ilk katmandır.
3. Sunucuda Saklanan Verinin Şifrelenmesi (Data At Rest)
Bu, hosting güvenliğinin en önemli kısmıdır.
Disk şifreleme genelde şu algoritma ile yapılır:
- AES-256 disk encryption
Bu sayede: Sunucu çalınsa bile disk içindeki veriler okunamaz.
4. Veritabanı Şifreleme
En kritik veriler veritabanında tutulur:
- Kullanıcı bilgileri
- Şifreler
- Siparişler
- Kişisel veriler
İyi bir hosting ortamında:
| Veri | Şifreleme |
|---|---|
| Kullanıcı şifreleri | Hash (bcrypt / argon2) |
| Kredi kartı | Tokenization |
| Kişisel veriler | Database encryption |
| API anahtarları | Encrypted storage |
5. Backup Şifreleme
En büyük güvenlik açıklarından biri backup dosyalarıdır.
Çünkü: Backup içinde her şey vardır.
Bu yüzden backup’lar:
- Ayrı sunucuda
- Şifreli
- Erişim kısıtlı
olmalıdır.
6. Hosting Güvenlik Katmanları Özeti
| Katman | Ne Korur |
|---|---|
| SSL/TLS | Veri transferi |
| Disk Encryption | Sunucu diski |
| Database Encryption | Veritabanı |
| Backup Encryption | Yedekler |
| Firewall | Ağ |
| WAF | Web uygulaması |
| Access Control | Yetkisiz erişim |
7. Hosting Sağlayıcıya Sorulacak Güvenlik Soruları
- Diskler şifreli mi?
- Backup’lar şifreli mi?
- Veritabanı şifreleme var mı?
- SSL ücretsiz mi?
- WAF var mı?
- DDoS koruması var mı?
- Erişim logları tutuluyor mu?
- 2FA var mı?
Eğer bu soruların çoğuna cevap “hayır” ise: Hosting güvenli değildir.
8. En Güvenli Hosting Mimarisi
En güvenli yapı şu şekildedir:
Kullanıcı → SSL → Firewall → WAF → Sunucu → Şifreli Disk → Şifreli Database → Şifreli Backup
Bu yapı: Kurumsal hosting güvenlik mimarisidir.
9. Sonuç
Gerçek veri güvenliği şu 3 şeyle sağlanır:
- Veri transferi şifreleme (SSL)
- Sunucuda veri şifreleme (Disk + Database)
- Backup şifreleme
SSL varsa güvenlik var demek değildir. Şifreleme her katmanda olmalıdır.