CSPM (Cloud Security Posture Management) 2026 yılında multi-cloud güvenliğin omurgası haline geldi. Gartner 2025 Magic Quadrant for CNAPP raporu, CNAPP pazarının %33 büyüyerek 7,8 milyar dolara ulaştığını gösteriyor. IBM Cost of a Data Breach 2025’e göre cloud misconfiguration ihlallerinde ortalama maliyet 4,72 milyon dolar. Konuyla ilişkili olarak Cloud Security Posture Management (CSPM): Wiz, Lacework, Prisma Cloud rehberimiz detaylı incelemeyi içerir.
CSPM: 2026 Tanım ve Pazar Bağlamı
CSPM, bulut altyapısındaki konfigürasyon hatalarını, compliance ihlallerini ve riskli kaynak duruşlarını tespit eden araç kategorisidir. Cloud Native Application Protection Platform (CNAPP) şemsiyesi altında CSPM, CWPP (Cloud Workload Protection), KSPM (Kubernetes Security Posture), CIEM (Cloud Infrastructure Entitlement Management) ile birlikte konsolide ediliyor. Gartner Q1 2025: kurumların %60’ı 2026 sonuna kadar konsolide CNAPP platforma geçecek.
2026 itibarıyla CSPM/CNAPP pazarının 3 baskın oyuncusu Wiz (2024’te Google tarafından satın alındı, 32 milyar dolar), Palo Alto Prisma Cloud (Bridgecrew ve Twistlock konsolidasyonu) ve Orca Security. Crowdstrike Falcon Cloud Security ve Microsoft Defender for Cloud güçlü oyuncular. Forrester Wave Q3 2025: Wiz lider segmentte; Orca güçlü oyuncu.
Wiz: Agentless Snapshot Tarama
Wiz, 2020 sonrası kurulan en hızlı büyüyen siber güvenlik startup’ı; 2024’te Google tarafından 32 milyar dolara satın alındı. Ayırt edici özellik: agentless snapshot tarama. Workload disklerin snapshot’ı alınır, side-by-side analiz edilir; production’a sıfır agent, sıfır performans etkisi. Wiz Security Graph multi-cloud asset graph, attack path analysis ve “toxic combination” tespiti.
| CSPM/CNAPP | Yaklaşım | Cloud Kapsama | Container/K8s | Lisans |
|---|---|---|---|---|
| Wiz | Agentless + Sensor | AWS, Azure, GCP, OCI | Tam | Subscription |
| Prisma Cloud | Agent + Agentless | AWS, Azure, GCP, Alibaba | Twistlock CWPP | Subscription |
| Orca Security | SideScanning agentless | AWS, Azure, GCP, OCI | Var | Subscription |
| Crowdstrike CSPM | Falcon agent + agentless | AWS, Azure, GCP | Var | Subscription |
| Microsoft Defender | Native Azure + multi-cloud | Azure, AWS, GCP | Var | Subscription |
| Lacework | Polygraph behavioral | AWS, Azure, GCP | Var | Subscription |
Prisma Cloud: Geniş Ekosistem
Palo Alto Prisma Cloud, Twistlock (container security) ve Bridgecrew (IaC scanning) acquisition’ları sonrası en kapsamlı CNAPP platformlarından biri. Ayırt edici özellikler: derin container security (Twistlock kökenli), shift-left IaC scanning (Checkov sahibi), kapsamlı compliance framework kataloğu (PCI DSS, HIPAA, NIST 800-53, ISO 27001, CIS Benchmark). 2025 verisi: Fortune 100’ün %72’si Prisma Cloud kullanıyor.
Orca Security: SideScanning Patenti
Orca, SideScanning teknolojisiyle agentless yaklaşımın öncüsü. AWS, Azure, GCP API’leri üzerinden disk snapshot okur, kapsamlı vulnerability + malware + secret + misconfig analizi. Agentless avantajı: %0 production etki, deploy 24 saatte tamamlanabilir. Forrester Wave 2025: Orca strong performer; CrowdStrike Q4 2024 acquisition söylentileri sonuçsuz.
- Agentless deploy: Read-only IAM role yeterli, agent yok
- Coverage: Cloud asset, container image, K8s, IaC, ML model
- Attack Path: Crown Jewels’a giden path’leri graph üzerinden gösterir
- Shift-Left: IaC scan (Terraform, CloudFormation, Kubernetes manifest)
- Compliance: 100+ framework, custom rule engine
İlgili konu: IaC güvenlik rehberimizde Checkov, Terrascan ve CSPM’in shift-left entegrasyonunu detaylandırdık.
Attack Path Analysis: Crown Jewels Perspektifi
Modern CNAPP’ın ayırt edici özelliği attack path analysis. Tek tek misconfiguration’lara odaklanmak yerine “bir saldırgan public internet’ten production database’e nasıl ulaşabilir” sorusuna cevap verir. Wiz Security Graph, Orca Discover Attack Paths, Prisma Cloud Attack Paths 3 örnek. Toxic combination: tek başına orta riskli ama birleşince yüksek riskli misconfiguration grubu.
Compliance Framework Kapsamı
| Framework | Wiz | Prisma | Orca | Crowdstrike |
|---|---|---|---|---|
| CIS Benchmark (AWS/Azure/GCP) | Tam | Tam | Tam | Tam |
| NIST 800-53 | Var | Var | Var | Var |
| PCI DSS 4.0 | Var | Native | Var | Var |
| HIPAA | Var | Var | Var | Var |
| ISO 27001:2022 | Var | Var | Var | Var |
| SOC 2 Type II | Var | Var | Var | Var |
| FedRAMP High | Authorized | Authorized | Authorized | Authorized |
| GDPR / KVKK | Mapping | Mapping | Mapping | Mapping |
Sektörel Use Case: Finans, Sağlık, SaaS
Finansta PCI DSS 4.0 (Mart 2025 zorunlu) Requirement 11.5 anomaly detection ve Requirement 6.5 secure config zorunluluğu CSPM ile karşılanıyor. Sağlıkta HIPAA Security Rule continuous monitoring CSPM’in standart use case’i. SaaS’te SOC 2 Type II için CSPM evidence collection otomatik; auditor için “konfigürasyon süreçte tutarlı” kanıtı.
Kurumsal CSPM Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Agent + agentless karışık deploy’da policy çakışması ve duplicate alert
- Findings’in remediation owner’ı atanmaması — alert birikiyor, kimse aksiyon almıyor
- Severity tuning yapılmadan default kullanım — kritik bulgular noise’a karışıyor
- Multi-account/multi-cloud coverage’ın eksik kalması — shadow account’lar bilinmiyor
- IaC shift-left ile CSPM runtime arasında policy parity olmaması
- Auto-remediation’ın production hesaplarda yetkisiz değişiklik yapması riski
Sonuç
CSPM/CNAPP 2026’da multi-cloud güvenliğinin omurgası. Agentless yaklaşım deploy hızı ve operasyon yükü açısından lider; agent-based hibrit modeller derin runtime protection için tercih. Wiz pazarın hızlı büyüyeni (Google acquisition sonrası); Prisma Cloud derin container security için; Orca SideScanning ile saf agentless; Crowdstrike mevcut EDR müşterileri için doğal genişleme. Pilot 30 günlük read-only IAM ile başlayabilir; production rollout 90-180 gün, remediation runbook ve owner mapping olmadan başlama hatası ekiplerin %62’sinde alarm yorgunluğuna yol açıyor.
Sıkça Sorulan Sorular
Wiz vs Orca: agentless yarışında hangisi daha iyi?
İki ürün yakın; Wiz Security Graph derinliği ve UX’i öne çıkıyor, Orca SideScanning patenti ve daha uzun history’si var. Forrester Wave 2025: Wiz lider, Orca strong performer. Çoğu kurumsal PoC iki ürünü de değerlendirir; karar genelde fiyat ve ekosistem entegrasyonuyla netleşir.
Microsoft Defender for Cloud yeterli mi?
Yalnızca Azure ortamlarında güçlü; multi-cloud kapsama (AWS, GCP) zayıf. Azure ağırlıklı kurumlar için maliyet etkin başlangıç; multi-cloud’a evrilen kurumlar 18 ay içinde Wiz/Prisma/Orca’ya geçiyor.
Auto-remediation production’da güvenli mi?
Düşük riskli, well-understood findings için evet (örn: S3 bucket public ACL kapatma). Kritik infrastructure’da approval workflow gerekli; ChatOps (Slack/Teams) ile manuel onay sonrası remediation tercih edilir. Wiz 2025 verisi: müşterilerin %47’si gated auto-remediation kullanıyor.
CSPM ile KSPM farkı nedir?
CSPM bulut katmanı (VPC, IAM, S3, RDS); KSPM Kubernetes katmanı (RBAC, NetworkPolicy, Pod Security Standards). Modern CNAPP iki katmanı birleştirir; saf KSPM ürünleri (Kubescape) niş kullanım için.
Türkiye’de KVKK ve BDDK için CSPM gerekli mi?
Zorunlu değil ancak KVKK Veri Güvenliği Rehberi “düzenli güvenlik değerlendirmesi” zorunluluğunu CSPM otomasyon ile karşılıyor. BDDK Bilgi Sistemleri Yönetmeliği EK-A bulut güvenlik kontrolleri için CSPM evidence kabul ediliyor.
Ömer ÖNAL
Mayıs 23, 2026CSPM’i ‘agent yükleyelim her şey çözülsün’ yaklaşımıyla seçenler 2-3 ay içinde maintenance overhead’i ve agent uyumluluğu sorunlarına saplanıyor. 2024-26 trendi agentless: snapshot tabanlı tarama, attack path analysis, runtime workload protection için hibrit ek. Wiz ve Orca agentless öncüler; Prisma Cloud ekosistem genişliği ve mature container security ile öne çıkıyor. — Ömer Önal