Bakın şimdi, Azure tarafında en sevdiğim ama aynı zamanda en çok yanlış kurulan ürünlerden biri Firewall Premium. Kağıt üstünde güçlü görünüyor, fiyat etiketi de ona göre kabarık… ama işin aslı şu ki, birçok ekip Premium lisansını açıyor, sonra da o pahalı özelliklerin yarısını hiç kurcalamadan bırakıyor. Geçen ay İstanbul’daki bir müşteride tam buna — ki bu tartışılır — benzer bir tablo gördüm; mimari diyagramda “güvenlik için Premium” yazıyordu ama portalı açınca TLS inspection tarafı bomboştu. Para gidiyor, fayda yok.
İşin can sıkıcı kısmı şu: Azure Firewall Premium ile Standard arasındaki fark sadece isim farkı değil — ama bu farkın gerçek olması için birkaç ayarı tek tek elle yapmanız gerekiyor. Hani arabayı satın alıp bagajdaki koruma filmini sökmeden kullanmak gibi; dışarıdan iyi duruyor, içerideyse asıl iş başlamamış oluyor. 2024 Kasım’ında kendi lab ortamımda bunu test ederken de aynı hissi aldım — firewall çalışıyordu, log akıyordu, ama güvenlik ekibinin beklediği “ekstra” şeyler ortada görünmüyordu. Tam anlamıyla boşlukta.
Premium Fiyatını Ödeyip Standard Gibi Kullanmak
Aslında, Azure Firewall Standard ile Premium arasındaki fiyat farkı küçük değil. Saatlik bazda bakınca aradaki makas yıl sonuna gelince bayağı şişiyor — tek bir örnekte bile yıllık maliyet on bin dolarların üstüne çıkabiliyor, üstelik kolayca. Gel gelelim asıl mesele fiyat değil. O paranın karşılığında ne aldığınız.
Bir dakika — bununla bitmedi.
Premium sürümün sunduğu ana farklar şunlar: TLS inspection, IDPS, URL filtering ve web category filtering. Güzel liste, haklısınız. Fakat bunların hiçbiri “kurulur kurulmaz aktif” gelmiyor. Yani Premium diye deploy ettiğiniz şey, yanlış yapılandırılırsa çoğu zaman Standard davranışı sergiliyor. Bu ne anlama geliyor? Bu da, açık konuşayım, biraz hayal kırıklığı yaratıyor.
Geçen sene Ankara’da bir finans ekibiyle konuşurken aynı soruyu sordum: “TLS inspection gerçekten açık mı?” Cevap kısa geldi. “Sanırım öyle.” Sanırım kısmı — en azından ben öyle düşünüyorum — zaten alarm ziliydi — sonra baktık ki sertifika Key Vault’a yüklenmemiş bile. E tabi, böyle olunca HTTPS trafiğinin içini görmek mümkün olmuyor. Hiç olmuyordu.
Premium’u seçmek tek başına güvenlik artışı sağlamıyor. Özellikleri gerçekten açmadığınız sürece çoğu senaryoda Standard’a yakın bir sonuç alıyorsunuz; fatura ise Premium kalıyor.
Asıl Fark Nerede Başlıyor?
Aslında, Şunu söyleyeyim direkt: Azure Firewall Premium’un değer üreten tarafı varsayılan değil, manuel olarak etkinleştirilen özelliklerdir. Oturup birkaç politika tanımlamanız gerekiyor. Yoksa sistem kendi kendine mucize yapmıyor.
TLS inspection bunun en bariz örneği. Ortadaki CA sertifikasını oluşturmanız lazım, bunu Key Vault’a koymanız lazım, sonra policy tarafında bağlamanız lazım — kulağa basit geliyor ama pratikte küçük bir startup için bile uğraştırıcı olabiliyor; enterprise ortamdaysa süreç iyice uzuyor çünkü onay zinciri devreye giriyor, herkes birbirini bekliyor, neyse uzatmayalım.
IDPS de benzer şekilde çalışıyor (bizzat test ettim). Alert modunda bırakılırsa yalnızca rapor üretir. Yani saldırgan trafiği görürsünüz ama bloklamazsınız. Ben bunu 2023’te kendi deneme ortamımda ilk kurduğumda kaçırmıştım — loglar doluyordu ama trafik hâlâ geçiyordu. Sonra fark ettim ki Deny moduna geçmeden koruma eksik kalıyor. Tamamen eksik.
Kısaca hangi özellik ne istiyor?
| Özellik | Standard | Premium | Açıkça Ayar İster mi? | Varsayılan Durum |
|---|---|---|---|---|
| TLS inspection | Yok | Var | Evet | Kapalı |
| IDPS | Yok | Var | Evet | Sadece Alert |
| URL filtering | Kısıtlı | Daha detaylı | Evet | Kural yoksa pasif |
| Web category filtering | Yok | Var | Evet | Kategori uygulanmamışsa etkisiz |
Neyi Kontrol Etmezseniz Paranız Boşa Gider?
Bana sorarsanız en büyük tuzak “zaten Premium aldık” rahatlığıdır. Maalesef. Güvenlik ekipleri bazen satın alma kararından sonra ayaru ikinci plana atıyor; çünkü proje teslim tarihi yaklaşıyor, başka işler var, ticket kuyruğu dolu… derken aylar geçiyor. Sonra da kimse sormuyor. Bu konuyla ilgili Çoklu Müşteri Takvimini Yönetmek: Kaosu Bitiren Yöntemler yazımıza da göz atmanızı tavsiye ederim.
TLS inspection açık mı? — önce buna bakın. Eğer transportSecurity alanı boş dönüyorsa HTTPS trafiğini çözmüyorsunuz demektir. İkinci adım IDPS modu; Alert and Deny seçilmediyse koruma yarım kalır. Üçüncü adım URL ve kategori politikalarıdır — kural tanımlamadığınız sürece premium etiket sadece etiket olarak kalır. Başka bir şey değil.
Kontrol etmek için hızlı CLI örneği
az network firewall policy show \
--name <policy-name> \
--resource-group <rg-name> \
--query "transportSecurity"
az network firewall policy show \
--name <policy-name> \
--resource-group <rg-name> \
--query "intrusionDetection"
az network firewall policy show \
--name <policy-name> \
--resource-group <rg-name> \
--query "transportSecurity"
az network firewall policy show \
--name <policy-name> \
--resource-group <rg-name> \
--query "intrusionDetection"
Lafı gevelemeden söyleyeyim: bu komutlardan boş ya da varsayılan dönen çıktılar görürseniz Premium’u tam kullanmıyorsunuz demektir. Bir de portal ekranına bakarken sadece yeşil tiklere aldanmayın — bazı paneller çok nazik görünür ama arkada iş yapmıyordur. Tecrübeyle söylüyorum.
Küçük Startup İçin Başka, Kurumsal İçin Başka Düşünmek Lazım
Küçük bir startup’ta öncelik genelde hız olur. Ekip iki kişi olabilir. DevOps işleri. Omuz omuza yürürken güvenlik politikalarını derinlemesine kurcalamak geri plana düşer — böyle durumlarda Premium almak yerine Standard artı iyi tasarlanmış ağ segmentasyonu daha mantıklı bile olabilir. Çünkü kullanılmayan özelliğe para vermek hoş değil.
Kurum tarafında ise tablo değişiyor. Hele bir de regülasyon baskısı olan sektörlerde TLS inspection ve URL kategorileri ciddi avantaj sağlar — ama burada da her şeyin doğru dokümante edilmesi şart, yoksa audit günü geldiğinde kimse “biz onu planlamıştık” cümlesine puan vermiyor. Tahmin eder misiniz? Hiç vermiyor.
E tabi performans meselesi de var. TLS inspection her şeyi şifre çözüp tekrar şifrelediği için ekstra gecikme yaratabilir. Büyük trafikli ortamlarda bu etkisi küçük görünse de hassas uygulamalarda hissedilir — ben geçen yıl Frankfurt bölgesinde yaptığım testte bunu net gördüm, latency artışı dramatik değildi ama göz ardı edilecek kadar da ufak değildi (inanın bana). Peki bunu neden söylüyorum? Ortada bir yerde kalıyor yani.
Şimdi gelelim işin can alıcı noktasına. Apple’ın Akıllı Gözlüğü: Neden Asıl Sürpriz O Olabilir? yazımızda bu konuya da değinmiştik. Daha fazla bilgi için ABD Senatosu’nda Kripto Haftası: Clarity Act ve Bankalar Gündemde yazımıza bakabilirsiniz.
Nerede mantıklı olur?
- Pilot / PoC: Önce ihtiyaçları ölçün, sonra Premium’a geçin. — ciddi fark yaratıyor
- KOBİ: Eğer URL filtresi ve IDS gerçekten kullanılacaksa anlamlı olabilir.
- Büyük kurum: Politika yönetimi oturmuşsa Premium’un hakkını verebilirsiniz.
Bence En Doğru Yaklaşım Ne?
Açık konuşayım, ben bu ürünü “satın al-kapat-unut” kategorisine koymam. Doğru kurulursa baya işe yarıyor; yanlış kurulursa ise bütçe yakıyor. Yani ürün kötü değil — kullanım şekli problemli olabiliyor. Bu ayrımı yapmak önemli. Siz hiç denediniz mi? Gerçekten önemli.
Mantıklı yol şu: önce hangi tehditleri durdurmak istediğinizi yazın, sonra hangi premium özelliğin o ihtiyacı karşıladığını eşleyin, ardından da gerçekten aktif olup olmadığını kontrol edin. Basit gibi duruyor ama çoğu ekip bu üçlü kontrolü atlıyor. İşte mesele tam burada kopuyor. Autoscaling Faturayı Şişiriyorsa: Sessiz Tuzaklar yazımızda da bu konuya değinmiştik. 2026’de Finans API’leri: MCP ve Agent Dönemi yazımızda da bu konuya değinmiştik.
Aklınızda tutmanız gereken şey şu olsun: Azure Firewall Premium’un değeri lisans adında değil, aktif edilen politikalarda saklı. Bir özelliğin adı güzel diye güvenlik otomatik yükselmiyor. Bazen düz standart yapı, iyi tasarlanmış kurallarla daha dürüst sonuç veriyor — garip ama gerçek.
Sıkça Sorulan Sorular
Azure Firewall Premium almak tek başına yeterli mi?
Hayır.Premium lisansı almak yetmez;TLS inspection,IDPS. Filtreleme özelliklerini ayrıca yapılandırmanız gerekir. Aksi halde çoğu senaryoda Standard’a yakın davranır.
TLS inspection neden açılmıyor gibi görünüyor?
Tuhaf ama, Sertifika zinciri doğru kurulmamış olabilir veya Policy içinde etkinleştirilmemiş olabilir. Key Vault entegrasyonu eksikse HTTPS trafiği çözümlenmez.
IDPS Alert modunda güvenlik sağlar mı?
Tuhaf ama, Sadece izleme sağlar,bloklama yapmaz. Gerçek koruma için Alert and Deny moduna geçmeniz gerekir.
Küçük şirketler için Premium gerekli mi?
Zorunlu değil. Eğer gelişmiş URL filtreleme ya da TLS inceleme ihtiyacınız yoksa Standard çoğu zaman yeterlidir. Bütçe açısından daha rahat olabilir. (bizzat test ettim)
Kaynaklar ve İleri Okuma
Microsoft Learn — Azure Firewall Premium features
Microsoft Learn — Azure Firewall TLS Inspection belgeleri (kendi tecrübem)
Şunu fark ettim: Microsoft Learn — Azure Firewall Policy overview
Benim kısa hükmüm şu: Azure Firewall Premium iyi ürün, evet… ama ancak gerçekten kurup çalıştırırsanız iyi.
20+ yıl deneyimli Azure Solutions Architect. Microsoft sertifikalı bulut mimari ve DevOps danışmanı. Azure, yapay zekâ ve bulut teknolojileri üzerine Türkçe teknik içerikler üretiyor.
İlgili Yazılar
Bu içerik işinize yaradı mı?
Benzer içerikleri kaçırmamak için beni sosyal medyada takip edin.
