Runtime security pazarı 2025’te 2,1 milyar dolardan 2030’da 8,7 milyar dolara büyürken (MarketsandMarkets 2024 raporu), Falco, Tetragon ve Tracee eBPF tabanlı Kubernetes runtime tehdit tespiti için üç olgun OSS seçeneği. Konuyla ilişkili olarak Falco ile Runtime Container Security: Threat Detection 2026 rehberimiz detaylı incelemeyi içerir.
eBPF ve Runtime Security 2026: Tehdit Tespiti Stratejisi
Container runtime güvenliği, build-time tarama (Trivy/Snyk/Grype) ile yakalanmayan dinamik tehditleri hedefliyor: cryptojacking, lateral movement, reverse shell, container escape, abnormal network connection. CNCF 2024 Cloud Native Security Whitepaper bu vektörleri “Phase 3 – Runtime” olarak sınıflandırıyor ve eBPF temelli tooling’in fiili standart olduğunu belirtiyor. eBPF (extended Berkeley Packet Filter) Linux kernel’ında userland’e geçmeden syscall, network ve LSM hook’larını yakalayabiliyor; tipik overhead yüzde 1-3 bandında.
Sysdig 2024 Threat Research Report cryptojacking saldırılarının yüzde 60’ının container ortamlarını hedeflediğini, ortalama tespit süresinin 7 saat olduğunu gösterdi. Wiz 2024 State of Cloud Security raporu cloud-native ihlallerin yüzde 38’inin runtime tehdidi olduğunu ölçtü. MITRE ATT&CK for Containers matrix’i 2024’te 11 tactic + 47 technique listeledi; Falco, Tetragon ve Tracee bu matrix’in büyük bölümünü kapsayan detection kuralları sunuyor.
Falco vs Tetragon vs Tracee: Mimari Karşılaştırma
Falco (Sysdig’in açtığı CNCF Graduated projesi) klasik syscall-based detection; Tetragon (Isovalent / Cilium ekibi) eBPF + kernel-side enforcement; Tracee (Aqua Security) eBPF + signature engine. Üçü de Apache 2.0 lisansıyla açık kaynak. Falco userland’de Lua/Rego (Falco rules DSL) ile kural değerlendirir; Tetragon kernel-side tracing’le eylem öncesi blocking yapabilir; Tracee Go tabanlı signature engine ile sandbox detection yapar.
| Özellik | Falco | Tetragon | Tracee |
|---|---|---|---|
| CNCF statüsü | Graduated (2024) | Sandbox (2022) | Sandbox (2023) |
| Sürdürücü | Sysdig + community | Isovalent + Cisco | Aqua Security |
| Yaklaşım | Detection only | Detection + Enforcement | Detection + Sandbox |
| eBPF kullanımı | Modern driver (libbpf) | Native eBPF | Native eBPF |
| Kural dili | Falco rules YAML | TracingPolicy CRD | Rego + Go signature |
| Performans overhead | %2-5 | %1-3 | %2-4 |
| Kubernetes-native | Helm chart | Cilium ile sıkı entegre | Helm chart |
| Enforcement (kill) | Hayır (sadece alert) | Evet (kernel-side) | Sınırlı (signal) |
Detection Coverage ve Kural Ekosistemi
Falco’nun en güçlü yanı 200+ default rule içeren falcosecurity/rules repository’si. MITRE ATT&CK mapping kategorize edilmiş, “Privilege Escalation”, “Defense Evasion”, “Credential Access” gibi tactic’lere göre gruplanmış. Falco rules DSL “evt.type”, “container.image”, “fd.name”, “proc.cmdline” gibi alanlar üzerinde boolean expression desteği sağlıyor. Topluluk katkılı kurallar (k8saudit, container, application) Falco Hub üzerinden paylaşılıyor.
- Falco — Crypto miner detection, reverse shell, sensitive mount, kubectl exec
- Tetragon — Network policy enforcement, kprobe-based block, namespace escape
- Tracee — Anti-debugging, defense evasion, container privilege change, kernel module load
İlgili konu: MITRE ATT&CK for Containers detection pattern
Production Deployment Pattern’ları
Falco için tipik production deployment DaemonSet üzerinden node başına bir agent şeklinde; kernel modülü yerine modern eBPF driver (libbpf) tercih ediliyor. Output sink’i olarak Falcosidekick OpenTelemetry, Elasticsearch, Slack, AWS SNS, PagerDuty gibi 50+ hedefe alert taşıyabiliyor. Tetragon Cilium ile birlikte kurulduğunda network policy enforcement + tracing tek bir agent’a düşüyor; CiliumNetworkPolicy ve TracingPolicy CRD’leri ile unified policy yönetimi sağlıyor.
Tracee için aquasecurity/tracee Go binary CLI veya Helm chart deployment seçenekleri var. Signature engine “anti-debugging”, “container privilege escalation”, “code injection” gibi 100+ signature içeriyor. SIEM entegrasyonu için OpenTelemetry collector ile output schema standardize ediliyor; Splunk, QRadar, Datadog, Chronicle gibi platformlara native taşınabiliyor.
Operasyon, Maliyet ve Alert Fatigue Yönetimi
Runtime security’nin en büyük operasyonel zorluğu alert fatigue. Falco default rule set ile cluster başına günde 1.000-5.000 alert üretebiliyor; bunların yüzde 80-90’ı false positive veya beklenen davranış. Bu nedenle “tuning” işi production’da haftalık ritm gerektiriyor. Tetragon TracingPolicy ile precize match yaptığı için baseline alert hacmi daha düşük; Tracee signature-based olduğu için orta seviyede alert üretiyor. Maliyet tarafında üçü de OSS, ana yük node CPU/memory ve SIEM ingestion ücreti.
| Metrik | Falco | Tetragon | Tracee |
|---|---|---|---|
| Node CPU overhead | %2-5 | %1-3 | %2-4 |
| Bellek (DaemonSet) | ~120-200 MB | ~80-150 MB | ~100-180 MB |
| Alert/cluster/gün (default) | 1.000-5.000 | 200-800 | 500-2.000 |
| SIEM ingestion (50 node) | ~25 GB/gün | ~8 GB/gün | ~15 GB/gün |
| Tuning süresi (initial) | 4-8 hafta | 2-4 hafta | 3-6 hafta |
Sektörel Kullanım ve Vendor Pattern’ları
Finansal sektörde Falco en yaygın tercih (Sysdig commercial backing, SOC 2 entegrasyonu). Sağlık ve PCI DSS regulated workload’larda Tetragon network enforcement yeteneği ile öne çıkıyor. Telekomünikasyon operatörleri 5G core network’lerinde Tracee’nin signature engine’ini tercih ediyor. ENISA 2024 raporu cloud-native runtime security için “minimum baseline” olarak eBPF tabanlı çözümleri öneriyor. Falco resmi sitesi, Tetragon dokümantasyonu ve Tracee docs kapsamlı production örnekleri içeriyor.
Kurumsal Runtime Security Adopsiyonunda Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Alert fatigue: Default rule set ile günde binlerce alert SOC ekibini boğuyor; tuning süreci başlangıçta öncelik haline getirilmiyor
- SIEM bütçesi: Runtime event hacmi Splunk/QRadar lisansını patlatıyor; OpenTelemetry collector ile filter/sample yapılmıyor
- Kernel uyumluluk: Eski Linux kernel’ları (4.x serisi) modern eBPF feature’larını desteklemiyor; node OS upgrade gerekiyor
- Privileged DaemonSet: Runtime agent’ı host-PID, host-net erişimi ister; cluster admin onay süreçleri uzuyor
- Multi-cluster yönetimi: Falco/Tetragon/Tracee policy’lerini 20+ cluster’a tutarlı dağıtma için GitOps pattern eksik
- Response automation eksik: Alert geliyor ama otomatik response (pod kill, network izolasyon) için Argo Workflows veya Falcosidekick response action’ı kurulmamış
Sonuç
Falco, Tetragon ve Tracee 2026 Kubernetes runtime security pazarının üç olgun OSS seçeneği. Doğru tercih kurum mimarisine ve operasyon ekibi yetkinliğine bağlı: detection-only istiyorsanız ve Sysdig commercial yolunu açık tutmak isterseniz Falco; Cilium ile zaten çalışıyorsanız ve enforcement bekliyorsanız Tetragon; SIEM-ağırlıklı bir SOC ekibiniz varsa Tracee. Hangi seçenek seçilirse seçilsin üç pratik şart var: birinci, ilk 4-8 hafta tuning fazına bütçe ayırın (default rule set production’da çalışmaz). İkinci, SIEM entegrasyonu için OpenTelemetry collector ile filter/sample stratejisi tasarlayın. Üçüncü, alert geldiğinde otomatik response için runbook ve workflow kurun (Falcosidekick + Argo Workflows). Bu üç pratik runtime tehdit tespit süresini 7 saatten 5 dakikaya indiriyor ve incident response maturity’sini ciddi şekilde yükseltiyor.
Sıkça Sorulan Sorular
Falco mı Tetragon mu Tracee mi? Hangi senaryoda hangisi?
Detection-only ve geniş community ile Falco (CNCF Graduated, en olgun). Cilium kullanıyorsanız ve kernel-side enforcement gerekiyorsa Tetragon. Signature engine ve sandbox detection isteyenler için Tracee. Üçü de Apache 2.0; karar mimari ve ekosistem entegrasyonuna göre.
eBPF runtime security’nin performans etkisi ne?
Tipik node CPU overhead yüzde 1-5 bandında, bellek 80-200 MB DaemonSet başına. eBPF kernel-side çalıştığı için userland’e syscall maliyeti olmadan veri toplayabiliyor. Eski kernel modülü tabanlı çözümlerden 10-20 kat daha düşük etkilemekteki sebep bu.
Alert fatigue ile nasıl başa çıkılır?
İlk 4-8 hafta tuning fazı (custom exception’lar, namespace whitelist, image allowlist), OpenTelemetry collector ile filter/sample, SIEM tarafında MITRE ATT&CK enrichment ve playbook-driven response. Sonrasında haftalık ritm ile tuning sürdürülür.
Tetragon ile Cilium ne kazandırıyor?
Tetragon + Cilium birlikte unified eBPF agent: network policy enforcement (CiliumNetworkPolicy) + tracing/detection (TracingPolicy) + observability (Hubble) tek agent’tan. Operasyon yükü düşüyor, policy yönetimi tutarlılığı artıyor.
Türk şirketleri runtime security için hangi standarda uymalı?
BDDK Bilgi Sistemleri Yönetmeliği “olay tespit ve müdahale” maddesi runtime monitoring bekliyor. KVKK güvenlik tedbirleri kapsamında ihlal tespit süresi önemli. AB pazarı için DORA ICT incident reporting (4 saatlik bildirim) runtime detection altyapısını şart kılıyor.
Ömer Önal
Mayıs 23, 2026Runtime security 2026 Kubernetes stack’in kritik katmanı. Falco detection-only ve community gücüyle güvenli tercih; Tetragon Cilium ile çalışıyorsanız enforcement avantajı sunuyor; Tracee SIEM-ağırlıklı SOC ekipleri için ideal. Hangisi seçilirse ilk 4-8 hafta tuning fazına bütçe ayırın; default rule set production’da çalışmaz. Türk kurumlar için BDDK olay tespit ve KVKK ihlal bildirimi süreleri runtime detection olgunluğunu zorunlu kılıyor.