Secrets Yönetimi Nedir ve Vault ile Cloud Native Çözümler Arasında Nasıl Seçim Yapılır
Secrets yönetimi; API anahtarları, veritabanı parolaları, sertifikalar ve token gibi hassas kimlik bilgilerinin merkezi, denetlenebilir ve dinamik biçimde saklanıp dağıtılmasıdır. 2026’da temel seçim ikilemi nettir: bulut-bağımsız ve özellik açısından en olgun çözüm olan HashiCorp Vault mu, yoksa altyapınıza gömülü, sıfır operasyon yükü sunan cloud native çözümler (AWS Secrets Manager, Azure Key Vault, GCP Secret Manager) mi? Doğru yanıt mimarinize bağlıdır: tek bulutta kalıyorsanız cloud native genellikle yeterlidir; çoklu bulut, hibrit veya gelişmiş dinamik secret üretimi gerekiyorsa Vault öne çıkar.
Bu kararın önemi, sızıntı istatistiklerinde gizli. GitGuardian’ın 2024 State of Secrets Sprawl raporuna göre 2023’te halka açık GitHub’da 12,8 milyondan fazla yeni secret sızdırıldı; bu, bir önceki yıla göre yaklaşık %28 artış demek. Verizon DBIR 2024, ihlallerin önemli bölümünde çalınan kimlik bilgilerinin başlangıç vektörü olduğunu doğruluyor; raporda çalınan kimlik bilgileri yıllardır en yaygın ilk erişim yöntemleri arasında. Sabit kodlanmış (hardcoded) secret’lar, sıfır güven dünyasında en ucuz ve en sık istismar edilen giriş kapısıdır.
Sorunun ölçeği “secret sprawl” (secret yayılması) kavramıyla tanımlanıyor: secret’lar yalnızca kod depolarında değil; CI/CD loglarında, container imajlarında, Slack mesajlarında, wiki sayfalarında ve geliştirici makinelerinde dağınık halde bulunuyor. Merkezi bir secrets yönetimi platformunun ilk işlevi, bu dağınıklığı tek bir denetlenebilir kaynağa indirgemektir. İkinci işlevi ise erişimi en az ayrıcalık ilkesiyle sınırlamak ve her erişimi loglamaktır.
Vault ve Cloud Native Çözümlerin Karşılaştırması
Seçim, beş eksende netleşir: çoklu bulut desteği, dinamik secret yeteneği, operasyon yükü, maliyet modeli ve ekosistem entegrasyonu. Aşağıdaki tablo, üretim kararı için referans niteliğindedir.
| Kriter | HashiCorp Vault | AWS Secrets Manager | Azure Key Vault | GCP Secret Manager |
|---|---|---|---|---|
| Çoklu bulut | Tam destek | AWS’e bağlı | Azure’a bağlı | GCP’ye bağlı |
| Dinamik secret | Geniş (DB, PKI, cloud) | Sınırlı (rotation) | Sınırlı | Sınırlı |
| Operasyon yükü | Yüksek (self-host) | Yok (managed) | Yok | Yok |
| Fiyat (yaklaşık) | OSS ücretsiz / Ent. lisans | ~0,40$ / secret-ay | ~0,03$ / 10K işlem | ~0,06$ / secret-ay |
| Şifreleme servisi | Transit engine | KMS entegre | HSM destekli | Cloud KMS |
| PKI / sertifika | Yerleşik CA | ACM ayrı servis | Key Vault Certificates | CAS ayrı servis |
HashiCorp Vault‘un asıl üstünlüğü dinamik secret üretimidir: bir uygulama veritabanına erişeceğinde Vault, anlık olarak kısa ömürlü (örneğin 1 saatlik) bir kimlik bilgisi üretir ve süre dolunca otomatik iptal eder. Bu, “secret hiç var olmadıysa çalınamaz” ilkesini gerçeğe dönüştürür. Cloud native çözümler (AWS Secrets Manager, Azure Key Vault, GCP Secret Manager) bu konuda olgunlaşsa da, çoğu hâlâ statik secret + zamanlanmış rotasyon modelinde kalıyor.
Dinamik Secret’lar: Vault’un Tasarım Felsefesi
Vault’un dinamik secret motorları (database, AWS, PKI, SSH) talep anında kimlik bilgisi üretir. Bunun pratik kazançları şunlardır:
- Kısa ömür (TTL): Her secret’ın yaşam süresi tanımlıdır; sızdırılsa bile geçerlilik penceresi dakikalarla sınırlıdır.
- Otomatik iptal (revocation): İhlal şüphesinde tek komutla tüm leased secret’lar geçersiz kılınır.
- Denetim izi: Hangi kimliğin, hangi secret’a, ne zaman eriştiği tam loglanır; uyumluluk denetimleri için kritik.
Bu yaklaşım, dinamik kimliklerin sürekli doğrulandığı bir sıfır güven mimarisi ile mükemmel uyum gösterir. İnsan olmayan kimliklerin (NHI – Non-Human Identities) sayısı CyberArk 2024 verilerine göre insan kimliklerinin yaklaşık 45 katına ulaşmış durumda; bu ölçekte statik secret yönetimi sürdürülemez. Her mikroservis, her CI runner, her zamanlanmış görev birer makine kimliğidir ve hepsi secret’a ihtiyaç duyar.
Denetim ve uyumluluk açısından dinamik secret’ların bir başka avantajı, tam izlenebilirliktir. Her secret’ın hangi kimlik tarafından, ne zaman talep edildiği ve ne zaman süresinin dolduğu kaydedilir. Bu, SOC 2, ISO 27001 ve PCI-DSS gibi standartların gerektirdiği erişim denetimi kanıtlarını otomatik üretir; manuel parola tablolarıyla bu kanıtı toplamak neredeyse imkânsızdır. Bir ihlal sonrası adli inceleme (forensics) sırasında, “hangi credential ne zaman aktifti ve neye erişti?” sorusunun yanıtı saniyeler içinde bulunabilir. Statik secret dünyasında ise aynı soru, çoğunlukla hiç cevaplanamaz; çünkü secret’lar dağınık, paylaşılmış ve loglanmamış haldedir.
Dinamik secret motorlarının kapsadığı arka uçlar geniştir ve sürekli artıyor. Aşağıdaki tablo, en yaygın motorları ve tipik kullanımlarını özetler.
| Motor | Üretilen Secret | Tipik TTL | Kullanım |
|---|---|---|---|
| Database | DB kullanıcı/parola | 1 saat | Uygulama DB erişimi |
| AWS / Cloud | Geçici IAM credential | 15-60 dk | Bulut API çağrısı |
| PKI | X.509 sertifika | Saat-gün | mTLS / servis kimliği |
| SSH | İmzalı SSH sertifika | Dakika-saat | Sunucu erişimi |
| Transit | Şifreleme (KMS gibi) | Yok (servis) | Uygulama veri şifreleme |
Cloud Native Çözümlerin Güçlü Yanları
Tek bir bulut sağlayıcıda çalışıyorsanız, native çözümün cazibesi operasyonel sadeliktir. Vault’u kendiniz barındırmak; yüksek erişilebilirlik (HA) kümesi, unseal stratejisi, yedekleme ve sürüm yükseltme yükü demektir. Cloud native servisler bu yükü tamamen ortadan kaldırır. Bu sadelik küçümsenmemeli: bir secrets yönetimi platformu tüm uygulamalarınızın kritik bağımlılığıdır; çökerse, secret çekemeyen her servis durur. Cloud native servislerde bu erişilebilirlik garantisi sağlayıcının SLA’sıyla gelir; tipik olarak yüzde 99,9 veya üzeri çalışma süresi taahhüt edilir ve operasyon ekibiniz bu yükten tamamen kurtulur. Vault’u self-host eden ekipler ise bu güvenilirliği kendi elleriyle kurmak ve sürdürmek zorundadır.
- IAM entegrasyonu: Secret erişimi, bulutun kendi kimlik sistemiyle (IAM rolleri) doğrudan yetkilendirilir; ayrı bir auth katmanı gerekmez.
- KMS ile şifreleme: Secret’lar dinlenme halinde (at-rest) bulut KMS anahtarlarıyla şifrelenir; donanım güvenlik modülü (HSM) opsiyonu mevcuttur.
- Sıfır altyapı: Yama, ölçekleme ve erişilebilirlik sağlayıcının sorumluluğundadır.
Altyapınızı kod olarak yönetiyorsanız, secret kaynaklarının tanımı doğal olarak IaC araçlarınıza taşınır; ancak burada kritik kural, secret değerlerinin asla state dosyasına düz metin yazılmamasıdır. Native çözümün gizli maliyeti ise satıcı bağımlılığıdır (vendor lock-in): erişim politikaları, audit formatı ve API’ler buluta özgü olduğundan, ileride çoklu buluta geçmek istediğinizde tüm secret katmanını yeniden yazmanız gerekir. Tek bulutta kalmaya kesin kararlıysanız bu sorun değildir; aksi halde soyutlama maliyetini baştan değerlendirin.
Hibrit Yaklaşım: Vault’u Cloud KMS ile Birleştirmek
Pratikte en olgun kurumlar ikisini birleştirir. Vault, dinamik secret ve çoklu bulut soyutlaması için merkezi katman olarak kalır; ancak Vault’un kendi unseal anahtarı cloud KMS’e (auto-unseal) emanet edilir. Böylece Vault’un en kırılgan operasyonu otomatikleşir, çoklu bulut esnekliği korunur. Bu hibrit, “kontrol Vault’ta, güvenlik temeli bulut HSM’inde” prensibiyle çalışır; iki dünyanın en iyisini birleştirir.
Karar matrisini netleştirmek için senaryo bazlı bir öneri tablosu, mimari toplantılarında en çok başvurulan referanstır:
| Senaryo | Önerilen Çözüm | Ana Gerekçe | Operasyon Yükü |
|---|---|---|---|
| Tek bulut, basit ihtiyaç | Cloud native | Sıfır operasyon | Düşük |
| Çoklu / hibrit bulut | Vault (auto-unseal) | Soyutlama | Orta |
| Dinamik DB credential | Vault | TTL + revocation | Orta |
| İç PKI / sertifika | Vault PKI engine | Yerleşik CA | Orta |
| Kubernetes yoğun | Vault Agent / CSI | Sidecar enjeksiyon | Orta-Yüksek |
Rotasyon ve Yaşam Döngüsü Politikası
Statik secret kaçınılmazsa (bazı eski sistemler dinamik motoru desteklemez), rotasyon zorunludur. Rotasyon sıklığı, secret’ın hassasiyetine ve maruziyetine göre belirlenir. Aşağıdaki tablo, secret türüne göre önerilen yaşam döngüsü politikasını özetler.
| Secret Türü | Önerilen Rotasyon | Tercih Edilen Model | İhlal Riski |
|---|---|---|---|
| DB credential | Dinamik (saatlik) | Dinamik motor | Yüksek |
| Cloud API anahtarı | 15-60 dk geçici | Dinamik motor | Çok yüksek |
| TLS sertifika | 90 gün veya daha az | PKI engine | Orta |
| Üçüncü taraf API key | 90 gün | Zamanlanmış rotasyon | Orta-Yüksek |
| Şifreleme anahtarı | Yıllık + versiyonlama | KMS / Transit | Kritik |
Rotasyonun sessiz tuzağı, “dual control” eksikliğidir: yeni secret yayınlandığında eski secret hemen iptal edilirse, henüz güncellenmemiş istemciler kesintiye uğrar. Doğru yaklaşım, geçiş penceresinde her iki secret’ı da geçerli tutmak (overlap), tüm tüketicilerin geçtiğini doğrulamak ve ardından eskiyi iptal etmektir.
Secret Sızıntısını Önleme: Pipeline ve Tarama
Secret yönetimi yalnızca depolama değil, sızıntı önlemedir. GitGuardian, Snyk ve TruffleHog gibi araçlar, secret’ların git geçmişine veya CI loglarına kaçmasını yakalar. Bu kontroller, geliştirme hattının doğal parçası olmalıdır.
Pre-commit hook ile yerel taramadan, CI aşamasındaki blokaja kadar katmanlı bir savunma kurmak gerekir. Bu denetimleri DevSecOps pipeline’ınıza gömmek, sızdırılmış secret’ı production’a ulaşmadan yakalar. Snyk 2024 verilerine göre erken tespit edilen bir secret sızıntısının maliyeti, production’a ulaşmış olana göre kat kat düşüktür. Açık kaynak TruffleHog gibi araçlar, git geçmişinin tamamını tarayarak gömülü secret’ları yüksek isabetle bulur.
Kritik bir nokta: bir secret bir kez git geçmişine girdiyse, dosyadan silmek yetmez; geçmiş commit’lerde hâlâ erişilebilirdir. Bu durumda tek doğru çözüm, sızdırılan secret’ı derhal döndürmek (rotate) ve geçmişi temizlemektir. “Silindi sandığınız” ama hâlâ geçmişte duran secret, en sinsi açık türüdür.
Tipik Sorunlar ve Çözümleri
Secrets yönetimi kurulumlarında en sık görülen hatalar; secret döngüsünün eksik tasarlanması, yetkilendirmenin gevşek bırakılması ve operasyonel kör noktalardan kaynaklanır. En kritik sorunlar ve doğrulanmış çözümleri:
- Rotasyon yapılmayan statik secret’lar: Çözüm: dinamik secret motorlarına geç veya zamanlanmış otomatik rotasyon zorunlu kıl.
- Vault unseal anahtarının manuel yönetimi: Çözüm: cloud KMS ile auto-unseal yapılandır; Shamir paylaşımını yedek tut.
- Aşırı geniş erişim politikaları: Çözüm: en az ayrıcalık ilkesiyle path-bazlı politikalar; her servis yalnızca kendi secret’ına erişsin.
- Secret’ların IaC state dosyasına sızması: Çözüm: state şifreleme + remote backend; secret değerlerini değişken referansıyla geç, asla düz metin yazma.
- Denetim logu toplanmıyor: Çözüm: audit device etkinleştir, logları merkezi SIEM’e ilet; uyumluluk için kritik.
- Disaster recovery planı yok: Çözüm: Vault için DR replikasyonu veya düzenli snapshot; unseal anahtarlarını coğrafi olarak ayrı sakla.
Sonuç
Secrets yönetiminde 2026’nın doğru kararı, mimariye göre verilir. Tek bulutta sade ihtiyaçlar için cloud native çözümler sıfır operasyon yüküyle yeterlidir; çoklu bulut, hibrit ortam ve dinamik secret üretimi gerektiren senaryolarda HashiCorp Vault hâlâ rakipsizdir. En olgun yaklaşım, Vault’u dinamik secret ve soyutlama için kullanıp unseal’ı cloud KMS’e emanet eden hibrit modeldir. Hangi çözümü seçerseniz seçin, üç şey pazarlık konusu değildir: kısa TTL, en az ayrıcalık ve pipeline’a gömülü secret tarama. GitGuardian’ın 12,8 milyon sızıntı rakamı, bu disiplinin neden hayati olduğunu yeterince anlatıyor.
Sıkça Sorulan Sorular
HashiCorp Vault mu yoksa cloud native çözüm mü daha güvenli?
Güvenlik seviyesi çözümden çok yapılandırmaya bağlıdır. Vault, dinamik secret ve kısa TTL ile çalınma riskini en aza indirir; cloud native çözümler ise olgun KMS ve IAM entegrasyonu sunar. Doğru yapılandırılmış her iki seçenek de güvenlidir; yanlış yapılandırılmış her ikisi de risklidir.
Dinamik secret nedir ve neden önemlidir?
Dinamik secret, talep anında üretilen ve kısa ömürlü (TTL’li) kimlik bilgisidir. Süre dolunca otomatik iptal edilir. Önemi, sızdırılsa bile geçerlilik penceresinin dakikalarla sınırlı olmasıdır; statik secret’ların aksine “var olmayan secret çalınamaz” ilkesini hayata geçirir.
Vault’u kendim mi barındırmalıyım yoksa HCP Vault mu kullanmalıyım?
Operasyon kapasitenize bağlıdır. Self-host tam kontrol verir ama HA kümesi, unseal ve yükseltme yükü getirir. HCP Vault (managed) bu yükü ortadan kaldırır, ek maliyet getirir. Küçük ekipler için managed seçenek, büyük ve düzenlemeye tabi kurumlar için self-host genellikle daha uygundur.
Secret’lar IaC state dosyasına nasıl sızar ve nasıl önlenir?
Terraform veya benzeri araçlar, oluşturulan kaynakların değerlerini state dosyasına düz metin yazabilir. Önlem: state’i şifreli remote backend’de tut, secret değerlerini doğrudan değil değişken referansı veya secret kaynağı çıktısıyla geç, state dosyasını asla versiyon kontrolüne koyma.
Kubernetes’te secret’ları nasıl yönetmeliyim?
Yerleşik Kubernetes Secret‘ları yalnızca base64 kodludur, şifreli değildir; base64 bir kodlamadır, şifreleme değil. Üretimde Vault Agent injector veya Secrets Store CSI Driver ile secret’ları çalışma anında pod’a enjekte etmek, ya da cloud native sağlayıcının CSI sürücüsünü kullanmak önerilir; etcd şifrelemesi de mutlaka etkinleştirilmelidir. Ek olarak RBAC ile secret okuma izinlerini en aza indirin: bir pod’un erişmemesi gereken secret’a erişebiliyorsa, tek bir ele geçirilmiş container tüm kümeyi tehdit eder.
Ömer ÖNAL
Haziran 11, 2026Müşterilerime şunu söylüyorum: secrets yönetiminde araç seçimi mimariye bağlıdır, modaya değil. Tek bulutta kalıyorsanız native servis sıfır operasyonla yeterli; çoklu bulut veya dinamik DB credential gerekiyorsa Vault rakipsiz. Hangisini seçerseniz seçin üç kuraldan taviz vermeyin: kısa TTL, en az ayrıcalık ve pipeline’a gömülü secret tarama. Statik, dönmeyen secret artık teknik borç değil, açık bir güvenlik açığıdır.