Bulut yerel uygulamaların yaygınlaşmasıyla birlikte Kubernetes, altyapıların merkezinde yer alıyor. 2026'ya gelindiğinde sıfır güven (Zero Trust) ilkeleri, ağ sınırlarına dayalı eski güvenlik yaklaşımlarının yerini almış durumda. Bu makalede Kubernetes kümeleri üzerinde pratik, uygulanabilir ve güncel araçlarla Zero Trust güvenlik mimarisi nasıl kurulacağını adım adım ele alacağız.
Zero Trust nedir? Kubernetes için temel ilkeler
Zero Trust üç ana ilkeye dayanır: "her isteği doğrula (verify explicitly)", "en az ayrıcalık prensibini uygula (least privilege)", ve "ihlali varsay (assume breach)". Kubernetes ortamında bu ilkeler şu anlamlara gelir:
- Her pod, servis ve CI/CD bileşeni kimlik doğrulamalı ve yetkilendirmeli iletişim kurmalı.
- Ağ, namespace ve kaynak seviyesinde mikro segmentasyon uygulanmalı.
- Güvenlik politika ve kontroller otomatik, sürüm kontrollü ve policy-as-code yaklaşımı ile yönetilmeli.
Genel Mimari: Hangi katmanlarda Zero Trust uygulanmalı?
Kubernetes üzerinde Zero Trust şu katmanlarda uygulanır:
- Kimlik ve Güven (Identity): workload identity, SPIFFE/SPIRE, Kubernetes service account'larının güçlendirilmesi.
- Ağ ve İletişim (Network): mTLS, servis mesh (Istio/Linkerd) veya eBPF tabanlı mikro segmentasyon (Cilium).
- Politika ve Kontrol (Policy): OPA/Gatekeeper, Kyverno gibi policy-as-code çözümleri.
- Tedarik Zinciri Güvenliği (Supply Chain): Sigstore/Cosign ile imzalama, SBOM, SLSA uyumluluğu.
- Çalışma Zamanı Koruması (Runtime): Falco, eBPF tabanlı gözlemleme ve IPS/IDS entegrasyonları.
- İzleme & İnceleme: Audit log'lar, OpenTelemetry, Prometheus, Grafana ve merkezi loglama.
Adım Adım Uygulama Rehberi
1) Durum tespiti ve varlık envanteri
İlk adım mevcut kümelerin, namespace'lerin, node'ların, yönetilen servislerin ve CI/CD boru hattının tespitidir. Otomatik envanter araçları (Kubernetes API, kube-state-metrics, OpenTelemetry) ile hangi uygulamaların nerede çalıştığı, hangi imajların kullanıldığı ve hangi servislerin dış erişime açık olduğu belirlenmelidir.
2) Kimlik temelli güven: SPIFFE & workload identity
Kubernetes kaynaklarına dayanarak workload identity sağlamak Zero Trust'un kalbidir. SPIFFE/SPIRE ile pod'lara kısa ömürlü, federe edilebilir kimlikler verin. Ayrıca cert-manager ile sertifika yaşam döngüsünü yönetin ve Vault/Google/Azure/AWS secrets manager ile hassas anahtarları saklayın.
3) Güvenli iletişim: mTLS ve servis mesh
Servisler arası iletişimi mTLS ile zorunlu kılın. 2026'da Cilium eBPF tabanlı network politikaları ile entegrasyon ve service mesh yetenekleri (Cilium + Istio veya Linkerd) yaygın. Service mesh, trafik şifreleme, kimlik doğrulama ve ince taneli erişim kontrolü sağlar. Ancak küçük kümelerde sadece Cilium NetworkPolicies ile de güçlü mikro segmentasyon elde edilebilir.
4) Politika Katmanı: OPA, Kyverno, Gatekeeper
Policy-as-code yaklaşımıyla istenmeyen konfigurasyonları önleyin. OPA/Rego veya Kyverno kullanarak şu politikaları uygulayın:
- PodSecurityStandards (PodSecurityAdmission) kuralları: non-root, readOnlyRootFilesystem, seccomp profilleri
- Image imzalama zorunluluğu (Cosign/Sigstore imzalı imajlar)
- LimitRange/ResourceQuota ve NetworkPolicy zorunlulukları
Aşağıda örnek bir Kyverno politikası (kısa) gösterilmektedir:
apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
name: require-cosign-signed-images
spec:
validationFailureAction: enforce
rules:
- name: check-images-signed
match:
resources:
kinds: ["Pod"]
validate:
message: "Container images must be signed with Cosign"
pattern:
spec:
containers:
- image: "cosign-verified:*"5) Tedarik Zinciri Güvenliği: Imza, SBOM, SLSA
Imaj imzalama (Cosign/Sigstore), SBOM üretimi ve SLSA seviyesinin benimsenmesi kritik. CI/CD boru hattında (Tekton/GitHub Actions/GitLab) imaj inşa edilirken otomatik olarak SBOM oluşturun, imajları imzalatın ve dağıtım öncesi imzayı doğrulayın. GitOps araçları (ArgoCD, Flux) ile dağıtımlar sürüm kontrollü olmalı.
6) Runtime Güvenliği ve Tehdit Tespiti
Çalışma zamanı anomalilerini tespit etmek için Falco, Tracee veya eBPF tabanlı çözümleri kullanın. Cilium + Hubble gibi araçlar ile servis iletişimlerini gerçek zamanlı izleyin. Herhangi şüpheli davranışta otomatik izolasyon (kapsayıcı karantinaya alma, ağ erişimini kesme) yapabilmelisiniz.
7) Centralized Audit, Telemetry ve SIEM entegrasyonu
Kubernetes audit log'larını merkezi bir SIEM'e (Splunk, Elastic, Sumo Logic veya bulut SIEM) gönderin. OpenTelemetry ile dağıtık izleme ve tracing toplayın. Bu veriler saldırı tespiti ve adli analizler için gereklidir.
8) Otomasyon, GitOps ve Sürekli Test
Güvenlik politikalarını kod olarak tutun ve GitOps ile dağıtın. PR pipeline'larında politika denetimleri, imaj taramaları (Trivy/Grype) ve IaC taramaları (Terraform, Helm) otomatik çalışsın. Unit/integration/security testleri CI'da zorunlu hale getirilmeli.
Uygulama Örnekleri ve En İyi Uygulamalar
- Namespace bazlı mikro segmentasyon: Her uygulamaya ayrı namespace ve sıkı NetworkPolicy'ler.
- PodSecurityAdmission ile PodSecurityStandards uygulayın; PSP yerine PSS benimsenmiştir.
- Root ayrıcalıklarını kaldırın, CAP_NET_ADMIN gibi yetkileri düşürün, seccomp ve filesystem kısıtlamaları kullanın.
- ServiceAccount kullanımı ve Role/ClusterRole ile en az ayrıcalık verin; otomatik token rotasyonu uygulayın.
- eBPF ile gerçek zamanlı ağ ve syscalls gözlemi, daha düşük performans maliyetiyle geniş görünürlük sağlar.
Kontrol Listesi (Checklist)
- Küme envanteri ve risk değerlendirmesi yapıldı mı?
- Workload identity (SPIFFE/SPIRE) kullanılıyor mu?
- mTLS veya servis mesh ile trafik şifreleniyor mu?
- Image imzalama ve SBOM oluşturma uygulanıyor mu?
- Policy-as-code ile kurallar enforce ediliyor mu (Kyverno/OPA)?
- Runtime izleme ve anomali tespiti (Falco/eBPF) mevcut mu?
- Audit log'lar merkezi SIEM'e gönderiliyor mu?
- Güncelleme, yamalama ve node hardening süreçleri otomatik mi?
Sonuç
Zero Trust, Kubernetes ortamlarında statik bir yapı değil; sürekli iyileşen, otomasyon ve gözlemlenebilirlik ile desteklenen bir süreçtir. 2026 itibariyle eBPF tabanlı çözümler, servis mesh ile sıkı entegrasyon, Sigstore/Cosign tabanlı imzalama ve policy-as-code araçları klasik referanslar haline geldi. Bu bileşenleri bir araya getirerek uygulayacağınız Zero Trust mimarisi, hem saldırı yüzeyinizi küçültür hem de olaylara müdahale süresini kısaltır.
Sen Ekolsoft olarak, Kubernetes güvenlik stratejilerinde danışmanlık ve uygulama desteği sunuyoruz. Mimarinizi değerlendirmek ve adım adım güvenliğe geçiş planı almak için bizimle iletişime geçebilirsiniz.
