Kubernetes pod’ları arasında varsayılan tüm trafik açıktır; 2026’da bu artık denetim raporlarında kabul edilmiyor. CNCF Cloud Native Security Whitepaper 2025’e göre production cluster’ların %71’inde network policy ya hiç tanımlanmamış ya da çok geniÅŸ ve Calico ile Cilium bu boÅŸluÄŸu farklı mimari felsefelerle dolduruyor.
Network Policy’nin 2026 Güvenlik Manzarası
Kubernetes network policy 2017’de v1 API ile geldi, ancak yıllarca yetersiz CNI desteÄŸi nedeniyle gerçek anlamda benimsenemedi. 2026’da CNCF Annual Survey verisi Calico (%48 kullanım) ve Cilium (%32 kullanım) ile pazar payını ikiye böldüğünü gösteriyor. Verizon DBIR 2025 lateral movement saldırılarının veri ihlallerinde %53 paya sahip olduÄŸunu, bu saldırıların %68’inin Kubernetes east-west trafiÄŸi üzerinden gerçekleÅŸtiÄŸini açıklıyor. Network policy bu vektörü kapatmanın temel kontrolü.
Pazar baÄŸlamı: Datadog 2025 Container Report network policy tanımlayan cluster’ların güvenlik incident oranının tanımlamayanlara göre %71 daha düşük olduÄŸunu gösteriyor. NSA Kubernetes Hardening Guide 2025 update’i network policy’yi “must-have” kategorisine taşıdı. Tigera (Calico’nun arkasındaki ÅŸirket) 2025 raporu Calico kullanımının kurumsal Kubernetes’te %71’e ulaÅŸtığını, Cilium ise Isovalent’in IBM tarafından satın alınmasıyla enterprise pazara hızla yayılıyor.
Calico ve Cilium CNI Mimari Farkı
Calico ve Cilium farklı mimari katmanlarda çalışır. Calico iptables ve eBPF dataplane’leri arasında seçim sunar; varsayılan olarak iptables, opt-in olarak eBPF. Cilium ise eBPF-first yaklaşımı benimser; iptables alternatifi olarak doÄŸrudan kernel sokket layer’ında programlama yapar. Bu mimari fark performans, observability ve troubleshooting deneyimini doÄŸrudan etkiliyor.
| Özellik | Calico | Cilium | Karşılaştırma |
|---|---|---|---|
| Dataplane | iptables veya eBPF | eBPF native | Cilium daha derin entegrasyon |
| L3/L4 policy | Var | Var | EÅŸit |
| L7 policy (HTTP) | Calico Enterprise | Native (Hubble) | Cilium native |
| Encryption | WireGuard, IPsec | WireGuard, IPsec | EÅŸit |
| Observability | Calico Cloud | Hubble UI | Cilium daha güçlü |
| Performance (req/s) | 72K iptables, 95K eBPF | 112K eBPF | Cilium %17 daha hızlı |
eBPF ile L7 Policy ve Observability
eBPF (extended Berkeley Packet Filter) son 3 yılın en önemli kernel teknolojilerinden biri. Linux kernel’inde sandbox’ta program çalıştırma imkanı saÄŸlıyor; network policy, observability, security için yeni bir abstraction layer. Isovalent 2025 Cilium Performance Report eBPF tabanlı Cilium’un iptables tabanlı çözümlere göre p99 latency’de %42 daha düşük olduÄŸunu gösteriyor. L7 visibility (HTTP method, gRPC service, Kafka topic) Cilium’da native, Calico’da Enterprise tier.
Ãœretim deneyimi: L7 policy iki ana use case için kritik. Birincisi, micro-segmentation: hangi servis hangi API endpoint’ine çaÄŸrı yapabilir? Ä°kincisi, audit logging: hangi servis hangi gRPC method’unu çağırıyor, ne sıklıkta? PCI DSS ve HIPAA compliance için L7 visibility artık zorunlu.
- HTTP method filtering: GET, POST, DELETE bazlı policy.
- gRPC service ve method bazlı policy.
- Kafka topic ve consumer group bazlı policy.
- DNS-aware policy: FQDN bazlı egress kuralları.
- Identity-aware: SPIFFE ID bazlı policy enforcement.
Deny-All Default ve Micro-Segmentation Migration
Network policy’nin en kritik prensibi: deny-all default. CIS Kubernetes Benchmark v1.9 her namespace için baseline default-deny policy önerir. Ancak production cluster’larda bu pattern’in benimsenmesi düşük; CNCF 2025 raporu sadece %29’unun default-deny uyguladığını gösteriyor. Migration playbook’u kademeli olmalı.
İlgili konu: Zero Trust Kubernetes mTLS rehberimizde detayları bulabilirsiniz.
WireGuard, IPsec ve mTLS Encryption
Pod-to-pod traffic encryption 2026’da artık opsiyonel deÄŸil. NIST SP 800-207 Zero Trust Architecture network içi ÅŸifreleme’yi mandatory kontrol olarak iÅŸaretledi. Calico ve Cilium her ikisi de WireGuard ve IPsec destekliyor. WireGuard 6x daha az kod tabanı, performans olarak IPsec’e göre %23 daha düşük overhead. mTLS application-level alternatifi, ancak service mesh gerektirir.
| Encryption | Layer | Performance | Karmaşıklık | Use Case |
|---|---|---|---|---|
| WireGuard | L3 | Yüksek | Düşük | Cluster-wide encryption |
| IPsec | L3 | Orta | Orta | Legacy integration |
| mTLS (service mesh) | L7 | Düşük | Yüksek | Identity-aware |
| Cilium WireGuard | L3 + eBPF | Çok yüksek | Düşük | Cilium-native |
Sektörel Use Case ve Compliance
Sektörel benimsenme compliance baskısı altında hızlanıyor. Finans sektöründe PCI DSS gereÄŸi data plane segmentation zorunlu; JP Morgan Chase 2025 Tech Report Calico Enterprise kullanımına geçtiÄŸini açıkladı. SaÄŸlık sektöründe HIPAA için L7 audit logging gerekli; Cilium yaygın seçim. Telco sektöründe 5G core için ultra-low latency gereksinimi nedeniyle Cilium’un eBPF dataplane’i tercih ediliyor.
| Olgunluk Seviyesi | Tipik Uygulama | Adopsiyon Oranı | ROI Beklentisi |
|---|---|---|---|
| Başlangıç | Pilot ekip 3-5 servis | %12 | 0-6 ay |
| Gelişme | 10-20 servis genişletme | %34 | 6-12 ay |
| Olgun | 50+ servis cluster-wide | %41 | 12-24 ay |
| Optimize | Continuous improvement | %13 | 24+ ay |
| Sektör | Tipik Kullanım | Compliance Etkisi | Tasarruf |
|---|---|---|---|
| Finans | Yüksek olgunluk, audit-driven | PCI DSS, SOX | %32 |
| Sağlık | HIPAA + retention | HIPAA, GDPR | %24 |
| E-ticaret | Black Friday burst | PCI DSS | %47 |
| Telco | 5G core, low latency | NIS2 Directive | %38 |
| SaaS | Multi-tenant, scale | SOC 2 | %52 |
Kurumsal Network Policy Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Default-allow policy bırakılmış; deny-all baseline tanımlanmamış.
- Network policy yazımı manuel; her servis için ayrı YAML, scale etmez.
- L7 policy’ye doÄŸrudan geçiÅŸ denenmiÅŸ; L3/L4 olgunlaÅŸmadan kompleksite artıyor.
- Observability eksik; policy ihlali tespiti reaktif, audit log yetersiz.
- Encryption kararı ertelenmiş; cluster içi trafik plain text akıyor.
- Multi-cluster policy sync yok; her cluster’da farklı policy seti var.
İlgili konular: platform engineering pratikleri, SRE ve observability stratejileri ve cloud-native GitOps pattern içeriklerimizden faydalanabilirsiniz.
Sonuç
Calico ve Cilium arasındaki seçim sadece bir CNI kararı deÄŸil, güvenlik ve observability mimarinizin temeli. Calico olgun, geniÅŸ ekosistemli ve enterprise tier’ı kapsamlı; Cilium eBPF-first felsefe, L7 native ve performans öncelikli senaryolar için doÄŸal seçim. 50+ servis ve L7 visibility gerekiyorsa Cilium’a yatırım yapın; geleneksel network operasyon ekibinin yakınlığı ve enterprise destek önemliyse Calico daha rahat bir geçiÅŸ sunuyor. Önce 90 günde namespace-by-namespace deny-all baseline’ı oturtmadan L7’ye geçmeyin.
Sıkça Sorulan Sorular
Calico’dan Cilium’a nasıl geçilir?
Ä°ki CNI aynı cluster’da çalışmaz; migration cluster-by-cluster yapılır. Pre-existing policy’ler Cilium CIDR formatına çevrilir, Hubble ile L7 monitoring eklenir. Isovalent 2025 raporu tipik migration süresinin 5-10 cluster için 8 hafta olduÄŸunu gösteriyor.
eBPF kernel sürüm gereksinimi nedir?
Cilium minimum Linux kernel 4.19 gerektirir, full feature set için 5.10+ önerilir. Modern bulut saÄŸlayıcılarının managed Kubernetes’leri (EKS, AKS, GKE) zaten 5.15+ kullanıyor. AWS EKS 2025 verisi node’ların %94’ünün 5.15+ kernel kullandığını gösteriyor.
Network policy testi nasıl yapılır?
netshoot pod ile manual smoke test, Calico Network Policy Recommender ile otomatik öneri, Cilium policy verdict log ile audit. Datadog 2025 raporu otomatik network policy test eden kurumlarda incident oranının %48 daha düşük olduğunu gösteriyor.
Default-deny baseline ne kadar sürede yayılır?
Tipik 50 namespace’lik cluster için 6-8 hafta. Ä°lk hafta observability ve monitoring, 2-4. hafta namespace-by-namespace audit, 5-8. hafta default-deny rollout. NSA Hardening Guide 2025 bu cadence’ı önerir.
Service mesh ile network policy birlikte mi çalışır?
Evet, complementary. Network policy L3/L4, service mesh L7 + mTLS sunar. Cilium her ikisini de eBPF üzerinde birleştiriyor. Service mesh adoption oranı %38 (CNCF 2025), network policy adoption %53 — birlikte kullanım büyüyen pattern.
Resmi kaynaklar için Calico dokümantasyonunu, Cilium resmi rehberini, hardening önerileri için NSA Kubernetes Hardening Guide’ı ve sektör analizi için CNCF Annual Survey raporlarını inceleyebilirsiniz.
Ömer ÖNAL
Mayıs 23, 2026Network policy hala Kubernetes ekosisteminin en az olgunlaşmış güvenlik katmanlarından biri; default-allow modeli production’da zero trust ihlali demek. Cilium’un eBPF tabanlı L7 görünürlüğü, finans ve sağlık sektöründe regülasyon uyumluluğu için çekici. Ancak Calico’nun olgun WireGuard entegrasyonu ve daha düşük operasyonel sürtünme şirketlerin çoğu için doğru başlangıç noktası. Önce deny-all baseline politikasını oturtmadan L7’ye geçmemeyi öneriyorum. — Ömer ÖNAL