Container ve Kubernetes Güvenlik Testi Nedir?
Nisan 15, 2026
Siber Güvenlik
Container ve Kubernetes Güvenlik Testlerinin Temel Yapısı ve Kapsamı
Container ve Kubernetes güvenlik testi nedir ve geleneksel altyapı testlerinden nasıl farklılaşır?
Container ve Kubernetes güvenlik testi, konteynerize edilmiş uygulamaların ve orkestrasyon platformlarının yaşam döngüsü boyunca maruz kaldığı riskleri değerlendiren uzmanlık alanıdır. Geleneksel testler statik sunucu odaklıyken; bu testler dinamik, ephemeral (geçici) ve mikroservis tabanlı mimarilerin getirdiği yeni saldırı yüzeylerini hedefler. Yaklaşım, “perimeter-based” (çevre odaklı) güvenlikten çıkarak, “zero-trust” ve “shift-left” prensiplerine odaklanır.
Container yaşam döngüsünün hangi aşamalarında güvenlik testleri uygulanmalıdır?
Build Aşaması: Base imaj zafiyetleri ve hardcoded secret’lar imaj tarama araçlarıyla (Trivy, Grype vb.) tespit edilir.
Deploy Aşaması: YAML dosyaları policy-as-code (OPA, Kyverno) ile denetlenerek yanlış yapılandırmalar engellenir.
Runtime Aşaması: Falco veya Tetragon gibi araçlarla anormal proses davranışları ve syscall pattern’leri gerçek zamanlı izlenir.
Tedarik Zinciri: Image signing (Cosign) ve SLSA uyumluluğu ile bütünlük doğrulanır.
Kubernetes mimarisinin güvenlik test kapsamı hangi bileşenleri içerir?
Test süreci; Control Plane (API server, etcd), Worker Node (kubelet, runtime), Ağ Katmanı (CNI, Service Mesh), Depolama (CSI, Secret şifreleme) ve Uygulama (Pod security context) katmanlarını kapsar. Bu bütüncül yaklaşım, Kubernetes’in her katmanını potansiyel bir saldırı vektörü olarak ele alır.
Container İmaj Güvenliği ve Runtime Koruma Testleri
Container imaj zafiyetleri hangi metodolojilerle taranır ve önceliklendirilir?
İmaj taraması katman bazlı analiz gerektirir. İşletim sistemi paketleri ve uygulama kütüphaneleri zafiyet veritabanlarına karşı taranır. SCA (Software Composition Analysis) ile bağımlılık ağacı incelenir. Bulgular; CVSS skoru, exploit edilebilirliği ve konteynerin maruz kaldığı ağ segmentine göre önceliklendirilir.
Runtime davranış testleri container izolasyonunu ve sistem bütünlüğünü nasıl doğrular? eBPF tabanlı izleme araçları ile syscall seviyesinde aktivite takibi yapılır. Beklenmedik dosya erişimleri veya reverse shell bağlantıları anında algılanır. Kontrollü ortamlarda container escape (konteynerden sızma) senaryoları simüle edilerek AppArmor/SELinux profillerinin ve seccomp filtrelerinin etkinliği ölçülür.
Image signing ve supply chain bütünlüğü testleri nasıl kurgulanır?
Cosign veya Notary ile imzalanan imajların doğrulama mekanizmaları ve anahtar yönetim süreçleri incelenir. SLSA framework’ü ile build sürecinin şeffaflığı ve artifact hash zincirlerinin tutarlılığı değerlendirilir. Bu, imajın hangi kaynaktan ve kimin onayıyla üretildiğini kanıtlanabilir kılar.
Kubernetes Cluster Yapılandırması ve Erişim Kontrolü Testleri
RBAC ve ServiceAccount yapılandırmaları hangi yöntemlerle denetlenir?
Tüm Role ve RoleBinding objeleri envanterlenir; wildcard (*) izinler ve aşırı yetkili servis hesapları tespit edilir. Yetki yükseltme (privilege escalation) senaryoları simüle edilir. İş yükü kimlik entegrasyonları (IRSA vb.) ve token rotasyon politikaları güvenlik açısından incelenir.
Pod Security Standards ve Admission Controller politikaları nasıl test edilir?
PSS seviyeleri (Privileged, Baseline, Restricted) için örnek manifestler oluşturularak, Admission Webhook’ların bu politikaları doğru uygulayıp uygulamadığı (engelleme yapıp yapmadığı) sınanır. Politika ihlali durumunda loglama ve otomatik düzeltme (auto-remediation) akışları test edilir.
Cluster network izolasyonu ve CNI plugin güvenliği hangi kriterlerle doğrulanır?
Default-deny kuralının aktifliği, namespace izolasyonu ve pod-to-pod iletişim kuralları doğrulanır. Service Mesh (Istio vb.) kullanılıyorsa mTLS zorunluluğu ve sertifika rotasyonu incelenir. DNS spoofing ve lateral movement senaryoları ile ağ katmanındaki önleme yetenekleri ölçülür.
CI/CD Entegrasyonu ve Sürekli Güvenlik Doğrulama
Kubernetes manifest ve Helm chart güvenlik denetimi nasıl otomatize edilir?
Kube-linter, Checkov veya Datree gibi araçlar CI/CD pipeline’ına entegre edilerek YAML dosyalarındaki anti-pattern’ler tespit edilir. Kurum standartlarına aykırı deploy talepleri pipeline aşamasında reddedilir. Bu, güvenlik hatalarının üretim ortamına sızmasını engeller.
Runtime güvenlik izleme ve olay yanıtı Kubernetes ortamında nasıl kurgulanır?
Olay yanıtı playbook’ları, Kubernetes-native aksiyonlarla kurgulanır: ihlal yapan pod’un izole edilmesi, network policy ile trafik engelleme ve otomatik yamalama. Adli analiz (forensics) için pod logları ve dosya sistemi snapshot’ları otomatik olarak arşivlenir.
Container ve Kubernetes güvenlik metrikleri nasıl ölçülür?
Temel KPI’lar; “zafiyetli imaj deploy oranı”, “policy ihlali düzeltme süresi” ve “compliance skor trendi” üzerinden takip edilir. Purple Team tatbikatları ile Kubernetes ortamında gerçekçi saldırılar simüle edilerek tespit ve yanıt kapasitesi sahada doğrulanır.
Tags :
#ContainerSecurity,#DevSecOps,K8sGüvenliği,Kubernetes
Share This :