Container Security 2026: Trivy, Cosign, Kyverno ve Falco ile Üretim Mimarisi

Kubernetes ve container deployment’ları 2026’da işletmelerin %84’ünün üretim ortamlarında bulunuyor. Buna karşın container saldırıları yıllık %34 artıyor — yanlış yapılandırılmış pod’lar, imzasız image’lar, kötü secret yönetimi, kernel-level exploit’ler. Sysdig’in 2026 Cloud-Native Security raporuna göre orta-büyük şirketlerde tipik bir container ekosistemi 1.500-15.000 critical/high vulnerability içeriyor, çoğu üretime taşınıyor. Doğru tasarlanmış bir container security pipeline (Trivy + Cosign + OPA/Kyverno + Falco) bu rakamı %92-97 azaltıyor. Türkiye’de bankacılık ve fintech regülasyonları (BDDK Bilgi Sistemleri Yönetmeliği) artık container ortamları için spesifik denetim maddeleri istiyor; tedarik zinciri saldırıları (xz-utils, SolarWinds) sonrası SBOM zorunluluğu da KOBİT denetimlerine girmiş durumda.

Bu rehberde modern container security stack’ini, build-to-runtime savunma katmanlarını ve gerçek üretim pratiğini somut sayılarla aktarıyoruz. Hedef kitle: Kubernetes operasyon ekipleri, DevSecOps mühendisleri ve container ortamını compliance audit’lerine hazırlayan güvenlik liderleri.

Container Security Aşamaları

• Build: Image hazırlanırken vulnerability scan.
• Registry: Image imzalama, scan, RBAC.
• Admission: Cluster’a kabul etmeden önce policy kontrolü.
• Runtime: Çalışan container’ların izleme + behavioral detection.
• Network: Service mesh + network policy + zero-trust.
• Secrets: Vault, KMS — kimseye erişim hakkı verme.
• Supply chain: SBOM + provenance + SLSA seviyesi.

1. Build-Time: Vulnerability Scanning

• Trivy (Aqua Security): En yaygın, hızlı, açık kaynak. CVE + misconfiguration + IaC.
• Grype (Anchore): Trivy alternatifi, SBOM uyumu güçlü.
• Snyk Container: Ticari, dev’in alıştığı UI.
• Docker Scout: Docker Desktop native.
• Clair (CoreOS): Eskimekte ama hâlâ Quay registry ile kullanılıyor.

Build-time scan’in altın kuralı: hız + threshold + auto-fail. Trivy ile 3-5 saniyede orta bir image taranabilir; ancak yapılan en yaygın hata “scan ettim ama fail etmedim” durumu — CI pipeline’da CRITICAL/HIGH için exit code 1 zorunlu olmalı. Aksi takdirde scan dekoratif kalır.

Distroless ve Minimal Base Image

• Distroless (Google) veya Chainguard Images.
• Standart Ubuntu image: 500-800 vulnerability.
• Distroless image: 5-20 vulnerability.
• Saldırı yüzeyi %95 düşer.
• Side-effect: shell, package manager yok — debug zor.
• Wolfi (Chainguard’un base distro’su) daha da agresif — paket bazlı CVE 0 hedefler.

2. Image Signing ve Supply Chain

• Cosign (Sigstore): Image imzalama, açık kaynak.
• SBOM: Yazılım bileşen listesi (SPDX, CycloneDX format).
• SLSA framework: Supply chain trust level (L1-L4).
• Verification: Cluster sadece imzalı image’ları çalıştırır (admission policy).
• In-toto attestation: Build process’in cryptographic kanıtı.

Supply chain saldırıları (xz-utils 2024 backdoor olayı, SolarWinds, npm package’ları) sonrası SBOM artık opsiyonel değil. Detaylar için SBOM ve yazılım tedarik zinciri güvenliği rehberimize ve SPDX vs CycloneDX karşılaştırmamıza bakabilirsiniz.

3. Admission Control: OPA Gatekeeper / Kyverno

Cluster’a kabul edilmeden önce her resource policy kontrolünden geçer:

• Container root user olarak çalıştırılamaz.
• Privileged mode kapalı.
• Resource limit zorunlu.
• Image tag :latest yasak.
• Network policy mevcut.
• Secret env var olarak değil, file mount.
• Imzasız image yasak.
• HostPath mount yasak (escape vektörü).

Kyverno vs OPA Gatekeeper

• Kyverno: YAML ile policy tanımla — Kubernetes native.
• OPA Gatekeeper: Rego dili — daha güçlü ama dik öğrenme eğrisi.
• Bizim 2026 tercih: Kyverno (basitlik kazanır).
• Hibrit yaklaşım: Kyverno’yu standart pod policy için, OPA’yı network/multi-cluster karmaşık policy için kullanan ekipler de var.

4. Runtime Security: Falco / Tetragon

Çalışan container’larda anormal davranış tespiti:

• Beklenmedik file write (örn. /etc/passwd).
• Privilege escalation (setuid).
• Şüpheli outbound network (Tor, C2 server).
• Process execution anomaly (web container içinden bash).
• System call pattern detection.

• Falco (Sysdig): Klasik runtime detection, eBPF tabanlı.
• Tetragon (Cilium): eBPF tabanlı, daha düşük overhead.
• Tracee (Aqua): Forensics ve audit.

5. Network: Zero Trust + Service Mesh

• NetworkPolicy default deny.
• Service mesh (Cilium/Istio) ile mTLS varsayılan.
• Egress kontrolü — sadece izinli outbound endpoint.
• Pod-to-pod L7 authorization (HTTP path, method).
• Encrypted overlay (WireGuard, IPsec) opsiyonel.

Cilium’un eBPF tabanlı mimarisi 2026 itibarıyla pek çok production K8s ortamında varsayılan network plugin. Detaylar için mTLS zero trust rehberimiz ve ZTNA mimarisi içeriklerimize bakın.

6. Secret Management

• HashiCorp Vault: Standard.
• AWS Secrets Manager / GCP Secret Manager / Azure Key Vault: Managed.
• External Secrets Operator: Kubernetes’e syncs.
• SOPS + Age: GitOps friendly encrypted secrets.
• Sealed Secrets: Bitnami, basit, public commit’lenebilir.

7. Cluster Hardening Checklist

• API server audit log açık.
• etcd encryption-at-rest.
• RBAC en az hak (least privilege).
• ServiceAccount token mount default off (1.24+).
• Pod Security Standards (PSS) baseline veya restricted.
• Image pull secret RBAC.
• Auto-update + patching pipeline.
• CIS Kubernetes Benchmark uyumu (kube-bench ile tarama).

Üretim Mimarisi Örneği

1. Geliştirici PR açar.
2. CI: Trivy scan + IaC scan + secret scan.
3. Image build + Cosign sign + SBOM generate.
4. Push to private registry.
5. ArgoCD/Flux deploy.
6. Kyverno admission: signature verify + policy check.
7. Pod çalışır → Falco/Tetragon runtime monitoring.
8. Anomaly → SIEM (Splunk, Sumo Logic) → alert.

Türkiye Sektörel Pratik

Türkiye’de container security olgunluk düzeyi sektöre göre farklılaşıyor:

• Bankacılık (Garanti BBVA, Akbank, İş Bankası): Tipik olarak Sysdig Secure veya Aqua + Cosign + BDDK denetim hattı.
• Fintech (Param, ininal, Iyzico): Açık kaynak stack (Trivy + Kyverno + Falco) + sızma testi entegrasyonu.
• E-ticaret (Trendyol, Hepsiburada, Getir): Multi-cluster ölçek; Tetragon + Cilium mesh tercihi.
• Kamu (Türksat, USOM): Distroless + Wolfi + air-gapped registry.
• KOBİ/Mid-market: Çoğu hâlâ Trivy + ad-hoc scan; admission control yok.

USOM (Ulusal Siber Olaylara Müdahale Merkezi) ve UDBHM tarafından yayımlanan kritik altyapı rehberleri container ortamları için CIS Benchmark uyumunu beklerken, NIST SP 800-190 Container Security spesifik bir referans dokümanı olarak öne çıkıyor.

Performans Etkisi

• Trivy scan: orta image için 30-90 saniye.
• Cosign sign + verify: < 1 saniye.
• Kyverno admission: < 50 ms.
• Falco runtime overhead: %1-3 CPU per node.
• Tetragon (eBPF) overhead: < %1.

Yaygın Hatalar

• :latest tag kullanımı.
• Root user olarak çalıştırılan container.
• Hardcoded secret ENV var.
• NetworkPolicy yok (default allow all).
• Privileged: true devre dışı bırakılmamış.
• Image pull policy IfNotPresent (cache poisoning).
• Resource limit yok → DoS riski.
• “Falco kuruldu ama alert sessize alındı” anti-pattern.

Maliyet ve Süre

Kapsam	Süre	Maliyet (TL)
MVP: Trivy + Kyverno + basic policy	1-2 ay	150.000-280.000
Orta: + Cosign + SBOM + runtime detection	3-5 ay	500.000-900.000
Enterprise: + SOC integration + GRC	8-14 ay	1.500.000-3.500.000
Aylık ops (lisans + SIEM)	—	25.000-180.000

Sık Sorulan Sorular

Ömer Önal’dan pratik not: Türkiye’de Kubernetes danışmanlığı verdiğim büyük ölçekli e-ticaret ve fintech projelerinde en sık karşılaştığım hata, “Trivy CI’da çalışıyor” demekle güvenliği bittik sanmak. Build-time scan toplam saldırı yüzeyinin sadece %30’unu kapsıyor; asıl iş runtime + admission tarafında. Doğru sıralama: önce Kyverno admission baseline policy (privileged, hostPath, root user reddet), ardından Cosign verify zorunluluğu, en son Falco/Tetragon runtime alert. Bu üçü olmadan Trivy “raporlama aracı” olur, koruyucu olamaz. Bir diğer kritik nokta: Falco kurduktan sonra ilk 4-6 hafta “alert fatigue” yaşanır; doğru çözüm tuning’i pas geçip Slack’i susturmak değil, false positive’leri exception list’e doğru şekilde eklemek. Sizin cluster’ınızda şu an admission policy seviyesinde hangi katmandasınız — Pod Security Standards ‘baseline’ mı ‘restricted’ mı çalışıyor?

Sonuç

Container security, 2026’da artık opsiyonel değil zorunluluk. Doğru tasarlanmış bir pipeline (Trivy + Cosign + Kyverno + Falco/Tetragon + Vault) ile critical vulnerability sayısı %92-97 azalır, supply chain saldırılarına direnç sağlanır, KVKK/SOC2 audit hazırlığı kolaylaşır. Açık kaynak stack, doğru kurulumla ticari çözümlerin %80’inin işini görür. Bu rehberi DevSecOps shift-left, GitOps secret yönetimi ve threat modeling içeriklerimizle tamamlayabilirsiniz. İletişim formundan projeniz için container security değerlendirme talep edebilirsiniz.

Dış otorite kaynaklar: Trivy · Sigstore · NIST SP 800-190 Container Security · CIS Kubernetes Benchmark