Ana içeriğe geç

Bölüm 18: Transparent Proxy Yönetimi

Transparent Proxy'ye Genel Bakış

Transparent Proxy, istemci tarafında herhangi bir yapılandırma değişikliği gerektirmeden AI trafiğini denetlemeyi sağlayan çalışma modudur. Arceris, ağ katmanında HTTPS trafiğini man-in-the-middle (MITM) dinleyicisi ile keser ve güvenlik politikalarını (PII tarama, prompt injection kontrolü, erişim kuralları, MIME/OCR filtreleri) bu trafik üzerinde uygular.

Bu yaklaşım özellikle tarayıcı tabanlı AI kullanımının (ChatGPT, Claude, Gemini vb.) denetlenmesi gerektiğinde değerlidir. Son kullanıcılar Arceris'i bir proxy olarak bilerek yapılandırması gerekmez; trafik ağ altyapısındaki yönlendirme kurallarıyla Arceris'e yönlendirilir.

Ne Zaman Kullanılmalı?

Transparent Proxy, özellikle şu durumlarda anlamlıdır:

  • Tarayıcı tabanlı AI kullanımını denetlemek: ChatGPT, Claude, Gemini gibi servislere tarayıcıdan erişimin kontrol edilmesi gerektiğinde.
  • Son kullanıcı yapılandırması beklenemeyeceğinde: Kullanıcıların proxy ayarı yapması mümkün veya pratik olmadığında.
  • Ağ seviyesinde görünürlük ve kontrol: Kurumun tüm AI trafiğini merkezi olarak görmesi ve denetlemesi gerektiğinde.

API entegrasyonu olan sistemlerde doğrudan API proxy kullanımı daha uygun olabilir; ancak son kullanıcı davranışı açısından Transparent Proxy güçlü bir katmandır.

Transparent Proxy Ayarları

Transparent proxy ayarları, Settings → Proxy Runtime Overrides bölümünden yönetilir. Bu ayarlar veritabanında saklanır ve Arceris'i yeniden başlatmaya gerek olmadan anında uygulanır.

Transparent Proxy Enabled: Toggle ile açılıp kapatılır. Etkinleştirildiğinde, Arceris HTTPS trafiği MITM dinleyicisi ile keser. Devre dışı bırakıldığında tüm transparent proxy trafiği durur ve kullanıcılar doğrudan AI servislerine erişir.

Transparent Proxy Port: Dinleyicinin çalıştığı port numarası. Varsayılan: 443. Bu port, ağ altyapısındaki yönlendirme kurallarıyla eşleşmelidir. Farklı bir port kullanılıyorsa (ör. 8443), ağ altyapısındaki NAT/redirect kuralları da buna göre güncellenmelidir.

Intercept Domains (Dinlenen Alan Adları)

Transparent proxy'nin hangi AI servislerini dinleyeceği, INTERCEPT_DOMAINS ortam değişkeni ile belirlenir. Bu değer kurulum sırasında .env dosyasında tanımlanır ve Arceris yeniden başlatıldığında etkili olur. Varsayılan olarak şu alan adları dinlenir:

  • claude.ai — Anthropic Claude web arayüzü
  • chatgpt.com — OpenAI ChatGPT web arayüzü
  • gemini.google.com — Google Gemini web arayüzü
  • api.anthropic.com — Anthropic API
  • api.openai.com — OpenAI API
  • generativelanguage.googleapis.com — Google Generative AI API
  • copilot-proxy.githubusercontent.com — GitHub Copilot
  • oaiusercontent.com — OpenAI kullanıcı içeriği CDN'i

Bu liste, kurumun denetlemek istediği servislere göre genişletilebilir veya daraltılabılır. Eklenecek yeni bir alan adı için .env dosyasına eklenmesi ve Arceris'in yeniden başlatılması gerekir.

Captive Portal

Captive Portal, kimliği doğrulanmamış tarayıcı trafiğini otomatik olarak bir giriş akışına yönlendiren mekanizmadır. Transparent proxy ile birlikte çalışır.

Captive Portal Enabled: Toggle ile açılıp kapatılır. Etkinleştirildiğinde, Arceris'e gelen ve kimliği doğrulanmamış tarayıcı istekleri otomatik olarak giriş sayfasına yönlendirilir. Kullanıcılar AI servislerine erişmeden önce kimlik doğrulaması yapmak zorunda kalır.

Captive Portal Login URL: Kullanıcıların yönlendirileceği giriş sayfasının URL'si. Örnek: https://login.corp.com. LDAP veya OIDC tabanlı kimlik doğrulama sayfaları bu alanda belirlenir. Arceris'in kendi yerleşik LDAP login sayfası kullanılacaksa boş bırakılabilir.

Captive Portal Branding: Giriş sayfasının görünümü özelleştirilebilir: - Title: Captive portal başlığı. Varsayılan: "Arceris Access". En fazla 40 karakter. - Subtitle: Captive portal alt başlığı. Varsayılan: "Captive Portal". En fazla 60 karakter. - Logo: Kurum logosu yüklenebilir. Logo, captive portal giriş sayfasında gösterilir.

Branding ayarları Settings → Branding bölümünden yapılır ve anında uygulanır.

Captive Portal Akışı

  1. Kullanıcı tarayıcıda bir AI servisine (ör. chatgpt.com) erişmek ister.
  2. İstek ağ altyapısı tarafından Arceris'e yönlendirilir.
  3. Arceris, kullanıcının kimlik doğrulama durumunu kontrol eder.
  4. Kimliği doğrulanmamışsa, kullanıcı captive portal giriş sayfasına yönlendirilir.
  5. Kullanıcı LDAP veya OIDC kimlik bilgileriyle giriş yapar.
  6. Başarılı girişten sonra kullanıcı orijinal AI servisine yönlendirilir.
  7. Artık tüm AI trafiği Arceris üzerinden denetlenir ve güvenlik politikaları uygulanır.

İstemci Tarafı CA Güven Dağıtımı

Transparent interception kullanan kurumlarda en kritik operasyon konularından biri istemci tarafı CA sertifika güven dağıtımıdır. Arceris, HTTPS trafiğini kesip tekrar şifrelemek için kendi CA sertifikasını kullanır. Bu CA sertifikası, kurumdaki tüm istemci cihazlara (bilgisayarlar, mobil cihazlar) "güvenilir kök sertifika" olarak dağıtılmalıdır.

Güven dağıtımı yapılmazsa: - Tarayıcılarda sertifika uyarısı görünür ve kullanıcılar güvenlik hatası alır. - Bazı uygulamalar bağlantıyı tamamen reddeder. - Denetim akışı düzgün çalışmaz.

Dağıtım yöntemleri: - GPO (Group Policy Object): Active Directory ortamında CA sertifikası tüm bilgisayarlara otomatik olarak dağıtılabilir. Bu en ölçeklenebilir yöntemdir. - MDM (Mobile Device Management): Mobil cihazlarda sertifika dağıtımı için kullanılır. - Manuel kurulum: Küçük ortamlarda her cihaza el ile yüklenebilir. Önerilmez.

CA sertifikası Arceris kurulumu sırasında ca_setup.sh betiğiyle oluşturulur ve /opt/arceris/ca/ dizininde bulunur.

Runtime Enable/Disable Davranışı

Transparent proxy ve captive portal ayarları çalışma zamanında açılıp kapatılabilir (yeniden başlatma gerektirmez). Ancak bu değişikliklerin canlı sistem üzerindeki etkisi dikkatle değerlendirilmelidir:

  • Transparent proxy kapatıldığında: Tüm transparent trafiği denetimsiz olarak doğrudan AI servislerine gider. Güvenlik politikaları (PII, prompt guard, erişim kuralları) bu trafik üzerinde uygulanmaz.
  • Captive portal kapatıldığında: Kimliği doğrulanmamış kullanıcılar da AI servislerine erişebilir. Yalnızca proxy token ile kimlik doğrulama yapılıyorsa bu sorun yaratmayabilir.
  • Transparent proxy açıldığında: Ağ altyapısının trafiği Arceris'e yönlendirdiğinden emin olunmalıdır.

Bu tür değişiklikler yalnızca teknik seçenek değil; canlı trafik davranışını doğrudan etkileyen operasyon kararlarıdır. Planlı bakım penceresinde yapılması önerilir.

Ağ Altyapısı Gereksinimleri

Transparent proxy'nin çalışması için ağ altyapısının trafiği Arceris'e yönlendirmesi gerekir. Bu genellikle şu yöntemlerle yapılır:

  • DNS hijacking: AI servislerinin DNS kayıtları Arceris'in IP adresine yönlendirilir.
  • Policy-based routing (PBR): Belirli hedef IP/port kombinasyonlarına giden trafik Arceris'e yönlendirilir.
  • WCCP (Web Cache Communication Protocol): Ağ cihazlarının trafiği proxy'ye yönlendirmesi için kullanılır.

Ağ yönlendirme kuralları, INTERCEPT_DOMAINS listesindeki tüm alan adlarını kapsamalıdır. Eksik bir alan adı, o servisin denetim dışı kalmasına neden olur.

Browser Tabanlı Denetim Akışları

Tarayıcı akışları, normal API istemcilerinden farklı davranır. WebSocket bağlantıları, streaming yanıtlar ve chunked transfer encoding gibi durumlar transparent proxy'de özel işlem gerektirebilir. Arceris bu durumları destekler, ancak her sağlayıcının farklı bir akış mimarisi olabileceği göz önünde bulundurulmalıdır.

Tarayıcı tabanlı denetimin gerçek kullanıcı akışları üzerinden doğrulanması önerilir. Özellikle dosya yükleme, uzun prompt gönderme ve streaming yanıt alma senaryoları test edilmelidir.

Sağlayıcı Bazlı Sınırlar

Tüm sağlayıcılar transparent kullanımda aynı görünürlüğü sunmaz. Bazı sağlayıcılar certificate pinning kullanabilir, bazıları özel WebSocket protokolleri gerektirebilir. Kurumlar destek bilgisini gerçek kullanım senaryosu ile test ederek doğrulamalıdır. Özellikle yeni bir AI servisi INTERCEPT_DOMAINS listesine eklenmeden önce uyumluluk testi yapılması önerilir.

Transparent Proxy, istemci tarafında görünür bir API değişikliği olmadan AI trafiği denetlemeyi sağlar. Bu yaklaşım özellikle tarayıcı tabanlı kullanımın veya kontrol edilmesi zor istemci akışlarının bulunduğu kurumsal ortamlarda değerlidir.