ISO 27001 API Security:
Bilgi Güvenliği Standartlarında API Koruma Gereksinimleri, Stratejik Adımlar ve 2026 Trendleri
Uygulama Programlama Arayüzleri (API - Application Programming Interfaces), modern kurumsal yazılım mimarilerinin, bulut bilişim sistemlerinin ve dijital ekosistemlerin tartışmasız omurgasını oluşturmaktadır. Günümüz siber dünyasında mikro servisleri birbirine bağlayan, mobil uygulamaları besleyen, yapay zeka ajanlarının (AI Agents) veri alışverişini sağlayan ve üçüncü taraf iş ortaklarıyla entegrasyonu yürüten yegane yapı API teknolojileridir.
Ancak bu devasa ekosistem ve hiper-bağlantılılık durumu, kuruluşların en hassas verilerini, kurumsal lojiklerini ve kritik operasyonlarını siber saldırganların hedefi haline getirmektedir. Akamai tarafından yayınlanan siber tehdit raporları, web uygulamalarına ve API’lere yönelik saldırıların geometrik bir hızla arttığını; 2026 yılı itibarıyla API tabanlı veri ihlallerinin küresel organizasyonlara maliyetinin 100 milyar dolar barajını aştığını net bir şekilde ortaya koymaktadır. Bu çarpıcı veriler, API korumasının artık lüks bir tercih değil, operasyonel bir zorunluluk olduğunu kanıtlamaktadır. Günümüz iş dünyasında kurumsal alıcılar ve dijital partnerler, satın alma ve entegrasyon süreçlerinde her bir API uç noktasının güvenliğini titizlikle incelemekte ve bunu kurumsal risk yönetiminin merkezine koymaktadır.
Uluslararası Standartlar Teşkilatı (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC) tarafından ortaklaşa yayınlanan ISO/IEC 27001 standardı, dünyada en çok kabul gören ve uygulanan Bilgi Güvenliği Yönetim Sistemi (BGYS - ISMS) çerçevesidir. ISO/IEC 27001, risk tabanlı bir yaklaşımı, üst yönetim taahhüdünü, sürekli iyileştirmeyi ve birbirine entegre siber güvenlik kontrollerini temel alır. Dijital varlıkların korumasını sağlarken ISO 27001 API Security süreçlerini bu çerçeveye dahil etmek, sadece denetçileri memnun etmekle kalmaz; aynı zamanda müşterilerinize ve hissedarlarınıza kurumsal güvenlik programınızın ne kadar sağlam, şeffaf, ölçülebilir ve sürdürülebilir olduğunu gösterir. API mimarinizi ISO/IEC 27001 standartlarına göre yapılandırmak, kurumsal verilerin internete sızmasını engellemenin en sistematik yoludur. Bu kapsamlı rehberimizde, ISO 27001 API Security mimarisinin neden kurumsal siber dayanıklılığın merkezinde yer aldığını, en güncel ISO 27001:2022 Ek A (Annex A) kontrolleriyle nasıl eşleştiğini, pratik uygulama adımlarını ve denetimlere hazırlık şablonlarını 2026 yılı siber tehdit parametreleri eşliğinde derinlemesine inceleyeceğiz.
ISO 27001:2022 Kontrolleri ile API Güvenliği Arasındaki Stratejik Bağlantı
ISO/IEC 27001 standardının güncel versiyonu, siber güvenlik kontrollerini dört ana kategori altında toplar: Organizasyonel, İnsan, Fiziksel ve Teknolojik kontroller. API'ler doğası gereği hem organizasyonel süreçleri (yazılım geliştirme yaşam döngüsü, tedarikçi yönetimi vb.) hem de doğrudan teknolojik kontrolleri ilgilendirir. Başarılı bir ISO 27001 API Security stratejisi oluşturmak için, standardın Ek A kontrol maddelerinin API dünyasındaki karşılıklarını doğru okumak gerekir.
Aşağıdaki matris, ISO/IEC 27001:2022 Ek A kontrollerinin kurumsal API güvenliği mimarisindeki teknik karşılıklarını ve 2026 yılı siber savunma pratiklerindeki izdüşümlerini göstermektedir:
| ISO 27001:2022 Kontrol Kodu | Kontrol Adı (Annex A) | API Güvenliği Teknik Karşılığı ve Uygulama Alanı | 2026 Siber Tehdit ve Defans Trendi |
|---|---|---|---|
| A.8.8 | Teknik Zafiyetlerin Yönetimi | API uç noktalarındaki (endpoints) kod hatalarının, mantıksal zafiyetlerin (BOLA, BOPLA) ve güncel olmayan kütüphanelerin taranması. | Yapay zeka tabanlı DAST/SAST araçları ile CI/CD hatlarında otomatik API zafiyet taramalarının gerçekleştirilmesi. |
| A.8.12 | Veri Sızıntısının Önlenmesi | API yanıtlarında (responses) hassas verilerin (PII, kredi kartı, kurumsal sırlar) kontrolsüz bir şekilde dışarıya aktarılmasının engellenmesi. | API Gateway (Geçit) seviyesinde gerçek zamanlı veri maskeleme, tokenizasyon ve DLP (Data Loss Prevention) filtrelerinin uygulanması. |
| A.8.20 | Ağ Güvenliği | API sunucularının ağ seviyesinde izole edilmesi, şifreli protokollerin zorunlu kılınması ve internet trafiğinin filtrelenmesi. | mTLS (Karşılıklı TLS) mimarisine geçiş, API'lerin sadece WAAP (Web Uygulaması ve API Koruması) arkasından dışarıya açılması. |
| A.8.24 | Güvenli Kod Geliştirme | Yazılım geliştiricilerin API kodlarken OWASP API Security Top 10 dökümanını referans alarak güvenli yazılım ilkelerine uyması. | Geliştirme ekiplerine otonom kod asistanlarının güvenli kod üretimi için ince ayar (fine-tuning) yapılmış modellerle destek verilmesi. |
| A.5.8 | Tedarikçi İlişkilerinde Bilgi Güvenliği | Üçüncü taraf entegratörlere, SaaS sağlayıcılarına ve iş ortaklarına açılan kurumsal API yetki sınırlarının belirlenmesi. | Sıfır Güven (Zero Trust) felsefesiyle, dış paydaşlara sadece ihtiyaç duydukları veri kadar (Least Privilege) API erişimi sağlanması. |
| A.8.16 | İzleme, Günlük Kaydı Tutma ve Gözden Geçirme | Her bir API çağrısının (request/response) kullanıcı kimliği, IP adresi ve işlem detayıyla birlikte merkezi sistemlere loglanması. | Anomali tespiti için SIEM/XDR sistemlerine beslenen API loglarının yapay zeka tabanlı kullanıcı davranış analitiğiyle (UEBA) taranması. |
Etkin Bir ISO 27001 API Security Yapısı Kurmak İçin 5 Kritik Adım
Kuruluşunuz bünyesinde ISO 27001 standartlarıyla tam uyumlu, sürdürülebilir ve siber saldırılara karşı dirençli bir API koruma kalkanı oluşturmak için disiplinlerarası bir yol haritası izlenmelidir. Sadece bir güvenlik duvarı satın almak ISO 27001 API Security gereksinimlerini karşılamaz. Aşağıdaki adımlar, kurumsal BGYS yapınıza API korumasını organik olarak nasıl entegre edeceğinizi açıklamaktadır:
Adım 1: Kapsamlı API Varlık Keşfi ve Envanter Yönetimi (Gölge API'leri Engelleme)
Siber güvenlik dünyasının temel mottosu burada da geçerlidir: Varlığını bilmediğiniz bir API uç noktasını koruyamazsınız. Birçok kurumsal veri sızıntısının arkasında, yazılımcıların test amaçlı açıp unuttuğu, belgelendirilmemiş veya artık kullanılmayan eski versiyon API'ler, yani "Gölge API'ler" (Shadow APIs) yer almaktadır. ISO 27001 API Security mimarisinin ilk adımı, ağınızdaki ve bulut ortamlarınızdaki tüm aktif/pasif API uç noktalarını otonom keşif araçlarıyla tespit ederek canlı bir envantere bağlamaktır. Her API'nin hangi veriyi taşıdığı, hangi sistemlerle konuştuğu ve sahibinin hangi departman olduğu bu envanterde netleştirilmelidir.
Adım 2: API Risk Değerlendirmesi ve Tehdit Modellemesi
ISO/IEC 27001 standartlarının kalbi risk yönetimidir. API envanteriniz çıktıktan sonra, her bir uç noktanın kurumsal risk profilini çıkarmalısınız. "Bu API dış dünyaya açık mı yoksa sadece iç mikro servisler mi kullanıyor?", "Taşıdığı veri kişisel veri (KVKK/GDPR) ya da finansal veri içeriyor mu?" gibi sorularla risk analizi yapılmalıdır. Ardından, OWASP API Security Top 10 listesinde yer alan BOLA (Broken Object Level Authorization), Kimlik Doğrulama Hataları ve Aşırı Veri İfşası gibi siber tehdit senaryoları simüle edilerek kurumsal risk matrisine işlenmelidir.
Adım 3: Kimlik Doğrulama, Yetkilendirme ve Sıkı Erişim Kontrolleri
API güvenliğinin en çok kırıldığı nokta mantıksal yetkilendirme hatalarıdır. Saldırganlar meşru bir kullanıcı hesabı ele geçirdikten sonra, API parametrelerini değiştirerek diğer kullanıcıların verilerine erişmeye çalışırlar. Bu riski bertaraf etmek için kurumsal ISO 27001 API Security politikalarınızda API anahtarları (API Keys) yerine, OAuth 2.0, OpenID Connect ve JSON Web Tokens (JWT) gibi modern, süreli ve kriptografik kimlik doğrulama mekanizmalarını zorunlu kılmalısınız. Ayrıca her API çağrısında, isteği yapan kişinin o nesneye erişmeye gerçekten yetkisi olup olmadığı (Fine-Grained Authorization) kod seviyesinde doğrulanmalıdır.
Adım 4: Trafik Yönetimi, İstek Sınırlama (Rate Limiting) ve WAAP Entegrasyonu
API uç noktaları, otomatik bot saldırılarına, DDoS girişimlerine ve kaba kuvvet (brute-force) veri çekme eylemlerine karşı son derece hassastır. API sunucularınızın çökmesini veya veri kazıma (data scraping) yöntemleriyle kurumsal verilerinizin çalınmasını engellemek için API Gateway seviyesinde istek sınırlama (Rate Limiting), Throttling ve kota yönetim politikaları uygulamalısınız. Dış dünyaya açık tüm API trafiğini, imza tabanlı geleneksel WAF'ların ötesine geçen, yapay zeka destekli davranışsal analiz yapabilen yeni nesil Web Uygulaması ve API Koruması (WAAP) platformlarının arkasından geçirmelisiniz.
Adım 5: Sürekli İzleme, Gerçek Zamanlı Alarm Üretimi ve Loglama
ISO 27001 BGYS'nin sürdürülebilirliği, sistemlerin kesintisiz izlenmesine bağlıdır. API Gateway, uygulama sunucusu ve veri tabanı seviyesinde üretilen tüm loglar merkezi bir SIEM veya XDR platformuna akıtılmalıdır. Başarılı bir ISO 27001 API Security operasyonu için, log verileri üzerinde anomali tespiti yapan kurallar işletilmelidir. Örneğin, bir API uç noktasından normal şartlarda saniyede 5 istek gelirken aniden 5000 istek gelmeye başlaması veya gecenin bir yarısı olağan dışı büyüklükte bir veri paketinin dışarıya transfer edilmesi durumunda sistem siber güvenlik ekiplerine (SOC) gerçek zamanlı alarmlar üretmeli ve proaktif engelleme süreçlerini başlatmalıdır.
---Kurumsal ISO 27001 API Security Politikası ve Denetim Şablonu
ISO/IEC 27001 denetimlerinden başarıyla geçmek ve API koruma süreçlerinizi kurumsallaştırmak için bu süreçlerin yazılı politikalarla desteklenmesi ve dokümante edilmesi şarttır. Aşağıda, organizasyonunuzda özelleştirerek kullanabileceğiniz, ISO 27001 standartlarıyla tam uyumlu bir **API Güvenliği Kurumsal Politika Şablonu** yer almaktadır. Bu dökümanı kurumsal BGYS kütüphanenize dahil ederek iç ve dış denetimlerde denetçilere resmi kanıt olarak sunabilirsiniz.
Bu politika metni, ISO 27001 API Security standart gereksinimlerini karşılamak amacıyla organizasyon içindeki tüm yazılım, altyapı ve siber güvenlik ekiplerinin uymakla yükümlü olduğu asgari teknik kuralları belirler.
```htmlDÖKÜMAN REFERANSI: POL-BGYS-API-04
YÜRÜRLÜK TARİHİ: 31 Mayıs 2026
DÖKÜMAN SAHİBİ: Chief Information Security Officer (CISO)
UYUMLULUK KODU: ISO/IEC 27001:2022 Ek A (A.8.24, A.8.8, A.8.12, A.8.16)
1. AMAÇ VE KAPSAM
Bu politikanın amacı, kuruluşumuz tarafından geliştirilen, işletilen veya üçüncü taraflardan tedarik edilen tüm Uygulama Programlama Arayüzlerinin (API) güvenliğini sağlamak, kurumsal verilerin sızmasını engellemek ve ISO/IEC 27001 BGYS gereksinimlerini eksiksiz yerine getirmektir. Bu politika, şirket ağı içindeki ve bulut altyapılarındaki tüm API uç noktalarını, mikro servis mimarilerini ve veri transfer kanallarını kapsar.
2. TEKNİK STANDARTLAR VE ZORUNLULUKLAR
- Kimlik Doğrulama: Tüm dış dünyaya açık ve kritik iç API uç noktalarında kriptografik, süreli token tabanlı kimlik doğrulama (OAuth 2.0 veya JWT) kullanımı zorunludur. Sabit kodlanmış şifreler veya güvensiz temel kimlik doğrulama (Basic Auth) yöntemleri kesinlikle yasaktır.
- Erişim Yetkilendirmesi: Her API servisi, nesne ve fonksiyon seviyesinde yetki kontrolü yapmalıdır (BOLA/BOPLA koruması). Kullanıcıların sadece kendi yetki alanlarındaki veri kimlikleriyle (ID) işlem yapması kod seviyesinde garanti altına alınacaktır.
- Şifreleme: Aktarım halindeki tüm API trafiği en az TLS 1.3 (kabul edilemeyen eski sistemlerde asgari TLS 1.2) protokolü ile şifrelenmelidir. HTTP üzerinden şifresiz API yayını yapmak kesinlikle yasaktır. Mikro servisler arası iletişimde mTLS mimarisi uygulanacaktır.
- Giriş Doğrulama ve Filtreleme: API'lere gelen tüm parametreler, başlıklar (headers) ve gövde (body) verileri sunucu tarafında sıkı bir giriş doğrulamasından (input validation) geçirilmelidir. SQL Enjeksiyonu, XSS ve Komut Enjeksiyonu siber saldırılarına karşı veriler sanitize edilmelidir.
- İstek Sınırlama (Rate Limiting): Hizmet dışı bırakma (DDoS) ve veri kazıma saldırılarına karşı, her bir API uç noktasına kullanıcı ve IP bazlı saniye/dakika başına maksimum istek kotası (Rate Limit) tanımlanması zorunludur.
3. LOGLAMA VE SÜREKLİ İZLEME
Kurumsal güvenlik mimarimizin ISO 27001 API Security hedefleri doğrultusunda, üretilen tüm API istek ve yanıt hareketleri loglanmalıdır. Log kayıtları; işlemi yapan kullanıcı kimliğini, kaynak IP adresini, çağrılan metodu, HTTP durum kodunu ve işlem zaman damgasını içermelidir. Loglar içinde kullanıcı şifreleri, kredi kartı bilgileri veya kişisel veriler gibi hassas verilerin açık metin olarak yazılması (maskelenmeden kaydedilmesi) kesinlikle yasaktır. Toplanan loglar, ISO 27001 Ek A.8.16 kontrolü uyarınca merkezi SIEM/XDR sistemine aktarılacak ve en az 1 yıl boyunca değiştirilemez (immutable) şekilde saklanacaktır.
4. İHLAL YÖNETİMİ VE YAPTIRIMLAR
Bu politikada belirtilen kurallara uymayan yazılım geliştirme, dağıtım veya altyapı süreçleri tespit edildiğinde, ilgili API uç noktası siber güvenlik ekipleri tarafından canlı ortamlardan izole edilebilir. Politika ihlalleri kurumsal BGYS Disiplin Prosedürleri kapsamında değerlendirilir.
by The Bellisan
May.2026
RELATED LAW ARTICLES
Would you like to know more?
If you require help or advice please contact our clerking team
Call -
+44 (0)20 75
or
email our clerks