Kubernetes Güvenliği: Üretim için 15 Kritik Kural

1) kubectl API server erişimi sadece VPN/WireGuard arkasında. 2) RBAC least-privilege — her service account sadece ihtiyacı olan resource'a erişsin. 3) Cluster-admin rolü insan kullanıcılara verilmesin, break-glass scenario için ayrı hesap.

4) Audit log etcd'de saklansın, offsite'a ship edilsin. K8s audit policy tüm sensitive operations'ı loglasın (secret read/write, pod exec, etc.). 5) Anonymous ve unauthenticated erişim tamamen kapalı.

6) PSS 'restricted' profile namespace label ile zorlansın. 7) Pod root ile çalışmasın (runAsNonRoot: true). 8) Capabilities drop: ALL. 9) privileged: false, hostNetwork: false, hostPID: false.

10) ReadOnlyRootFilesystem: true. Writable path gerekiyorsa emptyDir veya specific volume mount.

11) Default deny all — namespace'te her pod'un trafiği başlangıçta kapalı olsun, sonra allowlist ile açılsın. 12) Egress kontrolü — pod'lar sadece onaylı external endpoint'lere çıkabilsin (örn: sadece AWS API, sadece Stripe API).

Cilium veya Calico CNI ile daha gelişmiş L7 network policy. Service mesh (Istio, Linkerd) mTLS ile pod-to-pod trafiği encrypt eder.

13) ImagePolicyWebhook veya OPA Gatekeeper ile sadece imzalanmış image deploy edilebilir. Trivy/Grype ile CVE taraması CI/CD'de. 14) Secret'ları KMS ile encrypt edin (etcd encryption at rest). Externally Sealed Secrets veya External Secrets Operator ile git'e secret giremesin.

15) Regular secret rotation (özellikle DB credentials, API keys) — HashiCorp Vault dynamic secrets. Vault K8s auth method ile pod'lar kısa ömürlü token alır.

Falco runtime security — anormal syscall pattern'ini yakalar (örn: pod içinde /etc/shadow okuma, shell execution). Prometheus + Grafana ile cluster metric'leri. kube-bench ile CIS benchmark compliance check.

VefaSec müşterilerimize K8s cluster güvenlik audit'i yapıyor — ortalama ilk audit'te 25-40 bulgu çıkıyor, büyük çoğunluğu konfigürasyon hatası. 1-2 hafta içinde kritik bulgular kapanabilir.