Ana içeriğe geç

Bölüm 6: Sistem Ayarları

Runtime Ayarları

Settings ekranı, Arceris'in günlük çalışma davranışını yöneten ana yapılandırma yüzeyidir. Buradaki ayarlar yalnızca görünümle ilgili değildir; güvenlik davranışı, proxy çalışma biçimi, sistem entegrasyonları ve belirli operasyon parametreleri de bu ekran üzerinden kontrol edilir.

Runtime odaklı ayarlar genel olarak şu amaçlarla kullanılır:

  • Varsayılan güvenlik davranışını belirlemek
  • Proxy çalışma şeklini güncellemek
  • İlgili özelliklerin canlı sistem üzerindeki etkisini yönetmek
  • Operasyon ekiplerine merkezi ve tutarlı bir ayar yüzeyi sunmak

Bu ekran kullanılırken temel yaklaşım, değişiklikleri doğrudan canlı davranışı etkileyen operasyonel kararlar olarak ele almaktır.

Request Protection Varsayılanları

Bu bölümde, gelen isteklerin gövde boyutu sınırı (max body size) yapılandırılır. Bu sınır, işlenecek maksimum istek büyüklüğünü bayt cinsinden belirler ve aşırı büyük isteklerin sistem kaynaklarını tüketmesini önler.

Varsayılan değer genellikle kurumun kullanım senaryolarına göre ayarlanmalıdır. Örneğin, büyük dosya ekleri veya uzun prompt'lar beklenen ortamlarda bu sınırın buna göre artırılması gerekir.

Response Scanning Ayarları

Yanıt tarama ayarları, upstream sağlayıcılardan dönen model cevaplarının da denetlenmesini sağlar. Bu bölüm şu ayarları içerir:

Scan for PII: Etkinleştirildiğinde, model yanıtlarında kişisel bilgi (PII) taraması yapılır. Eşleşmeler bulunduğunda seçili response protocol eylemi uygulanır.

Scan for Injection: Etkinleştirildiğinde, model yanıtlarında prompt injection içeriği aranır. Bu özellik özellikle dış kaynaklardan alınan yanıtların güvenilir olmadığı senaryolarda önemlidir.

Response Protocol: Bir eşleşme tespit edildiğinde uygulanacak eylemi belirler: - Block — İsteği reddeder ve 403 döner. - Mask — Eşleşen içeriği [REDACTED] ile değiştirerek yanıtı iletir. - Log — Yanıtı değiştirmeden iletir ve eşleşmeyi kayıt altına alır.

Chunk Size (bytes): Yanıt taramasının model çıktısını parça parça işlerken kullandığı parça boyutudur. Varsayılan değer 512 bayttır (128–65536 arası yapılandırılabilir). Daha küçük parça boyutları daha hassas tarama sağlarken işlem maliyetini artırır; daha büyük parça boyutları performansı iyileştirir ancak eşleşme duyarlılığını azaltabilir.

Access ve Throughput Ayarları

Bu bölüm, ürünün istek hacmi, erişim davranışı ve akış kontrolüyle ilgili temel parametrelerini bir araya getirir. Özellikle rate limiting, varsayılan trafik davranışı ve belirli yoğunluk sınırları burada operasyonel anlam kazanır.

Bu ayarların amacı, ürünü yalnızca güvenli değil; aynı zamanda öngörülebilir ve sürdürülebilir hale getirmektir. Yüksek trafik altında sistemin nasıl davranacağı, arıza anında hangi kontrol katmanlarının nasıl tepki vereceği ve genel throughput dengesinin nasıl korunacağı bu alanın parçasıdır.

Proxy Runtime Override Ayarları

Bu bölümdeki ayarlar veritabanında saklanır ve Arceris'i yeniden başlatmadan doğrudan çalışma zamanında uygulanır. İki temel bileşenden oluşur:

Transparent Proxy Enabled: Etkinleştirildiğinde, Arceris HTTPS trafiğini man-in-the-middle (MITM) dinleyicisi ile keser. Bu sayede istemciden AI sağlayıcılara giden tüm HTTPS trafiği Arceris üzerinden geçer ve güvenlik politikaları (PII tarama, prompt injection kontrolü, erişim kuralları) bu trafik üzerinde uygulanır. İstemciler, Arceris'i bir proxy olarak bilerek yapılandırılması gerekmez; trafik ağ katmanında yönlendirilir.

Transparent Proxy Port: Transparent proxy dinleyicisinin çalıştığı port numarasıdır. Varsayılan olarak 443 kullanılır. Bu port, ağ altyapısındaki yönlendirme kurallarıyla eşleşmelidir.

Captive Portal Enabled: Etkinleştirildiğinde, kimliği doğrulanmamış tarayıcı trafiği otomatik olarak bir giriş akışına yönlendirilir. Kullanıcılar Arceris üzerinden AI hizmetlerine erişmeden önce kimlik doğrulaması yapmak zorunda kalır. Bu özellik özellikle kurumsal ağlarda, tüm kullanıcıların kimlik doğrulamasının zorunlu olduğu ortamlarda kullanılır.

Captive Portal Login URL: Captive portal aktifken kullanıcıların yönlendirileceği giriş sayfasının URL'sidir. Örneğin https://login.example.com şeklinde yapılandırılır. LDAP veya OIDC tabanlı kimlik doğrulama sayfaları bu alanda belirlenir.

Cost Enforcement Varsayılanları

Arceris yalnızca güvenlik ve erişim açısından değil, maliyet kontrolü açısından da yönetilebilir bir yüzey sunar. Cost enforcement alanı; token, prompt veya maliyet bazlı sınırların varsayılan mantığını tanımlamak için kullanılır.

Bu bölüm özellikle çok kullanıcılı veya maliyet hassasiyetinin yüksek olduğu ortamlarda önem kazanır. Amaç tek tek kullanıcı davranışını elle takip etmek değil; genel maliyet disiplinini ürün içinde kurumsal politika haline getirmektir.

Audit ve Diagnostic Ayarları

Bu bölüm, denetim görünürlüğü ve operasyonel teşhis ile ilgili ayarları içerir. Dört temel kontrol bulunur:

Air-Gapped Mode: Etkinleştirildiğinde, Arceris'in tüm dışarıya giden bağlantıları (telemetri, güncelleme kontrolleri, dış servis çağrıları) kesilir. Sistem tamamen izole çalışır. Bu mod özellikle internet erişiminin olmadığı veya dış trafiğin güvenlik politikasıyla yasaklandığı ortamlarda kullanılır. Dikkatli kullanılmalıdır; çünkü etkinleştirildiğinde ürün güncelleme bildirimleri ve dış sağlayıcılarla iletişim de durur.

Heuristic Scan: Etkinleştirildiğinde, bilinen prompt injection imzalarının ötesinde kalıplaşmamış şüpheli içerikleri tespit etmek için örüntü tabanlı (pattern-based) algılama devreye girer. Bu özellik, henüz kural olarak tanımlanmamış veya yeni türdeki prompt saldırılarına karşı ek bir savunma katmanı sağlar.

Audit Full Payload: Etkinleştirildiğinde, audit kayıtlarında isteğin ve yanıtın tamamı (prompt ve response metinleri) loglanır. Varsayılan olarak yalnızca özet bilgiler kaydedilir. Bu mod sorun giderme ve derinlemesine analiz için yararlıdır; ancak prompt ve yanıtlarda hassas veri (PII) bulunabileceği için dikkatli kullanılmalıdır. Gerekmedikçe açık bırakılmamalıdır.

Path Filter: Etkinleştirildiğinde, API uç noktalarına erişim yol tabanlı (path-based) erişim kontrolü ile sınırlandırılır. Bu sayede belirli URL yollarına kimin erişebileceği kural tabanlı olarak yönetilebilir.

Host Network & Time Ayarları

Bu bölüm, Arceris'in çalıştığı ana makinenin ağ ve zaman yapılandırmasını doğrudan yönetim arayüzünden yönetmeyi sağlar. Ayarlar systemd drop-in dosyaları olarak yazılır ve kaydedildiğinde ana makineye uygulanır.

DNS Configuration: Arceris'in alan adı çözümlemesi için kullandığı DNS sunucularını yapılandırır. En fazla 3 birincil (primary) ve yedek (fallback) çözücü (resolver) belirlenebilir. Zaman aşımı (timeout) ve deneme sayısı (attempts) parametreleri ile DNS sorgu davranışı ince ayarlı olarak kontrol edilebilir.

NTP & Timezone: Saat senkronizasyonu için NTP sunucularını ve sistemin saat dilimini yapılandırır. NTP etkinleştirildiğinde, belirlenen sunuculara göre sistem saati otomatik olarak güncellenir. Birincil ve yedek NTP sunucuları eklenebilir. Saat dilimi listeden seçilir; varsayılan UTC'dir.

Bu bölüm özellikle Arceris'in fiziksel veya sanal bir makine üzerinde çalıştığı ve kurumun merkezi DNS/NTP altyapısına entegre edilmesi gereken dağıtımlarda kullanılır.

PII & NLP Configuration

Bu bölüm, kişisel bilgi (PII) tespitinde kullanılacak motoryu seçmeyi ve yapılandırmayı sağlar. İki arka uç (backend) seçeneği vardır:

Presidio: Harici bir Presidio Analyzer servisini kullanarak NLP destekli varlık tespiti yapar. Seçildiğinde iki ek alan aktif olur: - Presidio Analyzer URL: Presidio servisinin erişim adresi (ör. http://presidio-analyzer:5002). - Default Language: Tespit dilini belirleyen ISO 639-1 kodu (ör. tr Türkçe, en İngilizce için).

Presidio, regex'e göre daha gelişmiş tespit yeteneği sunar ancak harici bir servis gerektirir.

Regex: Düzenli ifade (pattern) tabanlı hızlı tespit motorudur. Yaygın kimlik, telefon, e-posta gibi formatları tanır. Ek bir servis gerektirmez ve daha düşük kaynak tüketir. Presidio'nun gerekmediği ortamlar için uygundur.

Syslog Integration

Bu bölüm, Arceris audit olaylarını harici bir SIEM veya log toplama sistemine göndermeyi sağlar. Endpoint alanı boş bırakıldığında iletim devre dışı kalır.

Transport: Olayların gönderileceği iletişim protokolü: - HTTP Webhook: Olayları JSON payload olarak HTTP POST isteğiyle gönderir. - UDP Syslog/CEF: Olayları UDP üzerinden syslog veya CEF formatında iletir. - TCP Syslog/CEF: Olayları TCP üzerinden syslog veya CEF formatında iletir.

Endpoint: Olayların gönderileceği hedef adres. HTTP için tam URL (ör. https://siem.local/collector), syslog için siem.local:514 biçiminde girilir.

Format: Gönderilecek olayların çıktı biçimi: - JSON: Yapılandırılmış JSON formatı. - Syslog (RFC 5424): Standart syslog mesaj formatı. - CEF: Common Event Format.

Min Severity: İletim için minimum önem seviyesi. Bu seviye ve üzeri olaylar gönderilir. Seçenekler: DEBUG, INFO, WARNING, ERROR, CRITICAL, AUDIT.

Token (Write-only): HTTP webhook için opsiyonel bearer token. UDP/TCP syslog taşıyıcılarında kullanılmaz. Mevcut token'ı korumak için boş bırakılır.

Model Pricing

Bu bölüm, kayıtlı AI modelleri için maliyet bilgilerinin (USD/1M token bazında) yönetildiği alandır. Her model için giriş (input) ve çıkış (output) maliyetleri tanımlanabilir. Bu bilgiler dashboard'daki maliyet raporlamasında ve kullanıcı bazlı cost enforcement hesaplamalarında kullanılır.

System Info Görünümü

System Info bölümü, değiştirmekten çok anlamak ve doğrulamak için kullanılan bir görünüm alanıdır. Burada sistemin hangi ayarlarla çalıştığı, hangi deployment bağlamında bulunduğu ve belirli temel çalışma bilgileri operatöre sunulur.

Bu görünüm özellikle ilk kurulum, sorun giderme ve değişiklik sonrası doğrulama anlarında faydalıdır. Operasyon ekipleri için bir "mevcut durum özeti" işlevi görür.