Web sitelerinin güvenliğini artırmak, performansını optimize etmek ve DDoS gibi siber saldırılara karşı koruma sağlamak amacıyla yaygın şekilde kullanılan
Cloudflare, aynı zamanda bir ters proxy hizmetidir. Ancak kullanıcıların aklındaki temel sorulardan biri şudur:
Cloudflare, ziyaretçilerin IP adreslerini topluyor mu? Bu makalede, Cloudflare’ın IP adresi toplama politikası, verilerin işlenme şekli ve güvenlik uygulamaları teknik olarak incelenmektedir.
1. Cloudflare Nedir?
Cloudflare; CDN (Content Delivery Network), WAF (Web Application Firewall), DNS çözümleyici ve DDoS koruma hizmetleri sunan küresel bir ağ altyapısıdır. Bir site Cloudflare’a bağlandığında, ziyaretçiler doğrudan sunucuya değil, önce Cloudflare sunucularına yönlendirilir. Bu noktada
IP trafiği Cloudflare tarafından işlenmiş olur.
2. Cloudflare IP Adresi Topluyor mu?
Evet, Cloudflare IP adreslerini toplar. Ancak bu durum, GDPR (Genel Veri Koruma Tüzüğü), CCPA ve diğer veri koruma yönetmeliklerine uygun olarak gerçekleştirilir. IP adresi, teknik olarak bir
kişisel veri kabul edilir çünkü bireylerin kimliklerinin dolaylı yoldan belirlenmesine imkan tanır.
Toplanan IP Verisi Türleri:
| Veri Türü | Açıklama |
|---|
| IPv4 / IPv6 Adresi | Kullanıcının bağlantı yaptığı ağ adresi |
| User-Agent | Tarayıcı bilgisi |
| Coğrafi Konum | IP üzerinden tahmini yer |
| Giriş zamanı | Zaman damgası ile birlikte |
| HTTP Header’lar | Yönlendirme ve kaynak bilgileri |
3. IP Verileri Ne Amaçla Kullanılıyor?
Cloudflare, topladığı IP adreslerini aşağıdaki amaçlarla kullanır:
- Güvenlik Denetimi: Şüpheli IP’leri kara listeye almak.
- DDoS Saldırı Tespiti: Yüksek trafik akışlarını analiz ederek saldırıyı algılamak.
- Performans Optimizasyonu: Coğrafi konuma göre en yakın veri merkezine yönlendirme yapmak.
- Hizmet İstatistikleri: Trafik analizi, bot tespiti ve kaynak kullanımı izleme.
4. IP Adresleri Kalıcı mı Saklanıyor?
Cloudflare IP adreslerini kalıcı olarak saklamaz. Şirketin gizlilik politikasına göre:
"Cloudflare IP adresi gibi verileri sadece gerekli süre boyunca tutar ve bu veriler anonimleştirilerek analiz süreçlerinde kullanılır."
Bu süre, genellikle
24 saat ile 7 gün arasında değişebilir. Ancak IP adreslerine dayalı uzun süreli kayıtlar, yalnızca özel güvenlik olaylarında tutulur.
5. GDPR ve Veri İşleme Uygunluğu
Cloudflare, Avrupa Birliği'nin
GDPR kurallarına ve Kaliforniya'nın
CCPA düzenlemelerine uyumlu şekilde çalıştığını beyan eder. Ayrıca, Cloudflare aşağıdaki adımları atmıştır:
- Veri İşleme Anlaşması (DPA) sunar.
- Veri merkezleri AB içinde de barındırılır.
- Anonimleştirme ve Maskeleme Teknikleri uygulanır.
- Müşterilere veri talebi yapma ve silme hakkı tanır.
6. Gerçek IP'ler Sunucuya Ulaşır mı?
Hayır, varsayılan olarak
Cloudflare arkasında olan sunucular gerçek ziyaretçi IP'sini göremez. Ancak bu IP bilgisine ihtiyaç duyan sistemler için Cloudflare özel HTTP header’ları sağlar:
- CF-Connecting-IP
- X-Forwarded-For
Bunlar üzerinden gerçek IP bilgisi sunucu tarafında erişilebilir hale getirilebilir. Apache veya NGINX gibi sunucular için ek yapılandırma gerekir.
7. Güvenlik Açısından Risk Var mı?
Cloudflare, verilerin güvenliğini aşağıdaki yollarla sağlamaktadır:
- TLS/SSL Şifrelemesi
- Bot yönetim sistemleri
- Hızlı tepki veren güvenlik ekibi
- SOC 2 Type II, ISO 27001 gibi sertifikasyonlar
Ancak, her dış hizmette olduğu gibi, kullanıcılar Cloudflare’a
bir düzeyde güvenmek zorundadır. Kritik hassasiyet içeren projelerde, Cloudflare kullanımının artı ve eksileri detaylıca değerlendirilmelidir.
Sonuç
Cloudflare, IP adresi dahil olmak üzere belirli kullanıcı verilerini toplar. Ancak bu veri toplama süreci şeffaf, yasal ve teknik protokollere uygun şekilde yürütülür. Kullanıcı güvenliği ve sistem verimliliği açısından gerekli olan bu veriler, kötüye kullanım riski olmadan sınırlı süre ile işlenir.
