Container runtime güvenliği 2026 yılında eBPF tabanlı araçlarla dönüştü. Aqua Security 2025 Cloud Native Threat Report, container hedefli saldırıların %600 arttığını ve ortalama dwell time’ın 56 gün olduğunu raporluyor. CNCF Annual Survey 2025’e göre kurumların %72’si Kubernetes kullanıyor ama yalnızca %29’u runtime security aracı koşturuyor. Konuyla ilişkili olarak eBPF ile Linux Gözlemlenebilirliği ve Güvenlik Tracing rehberimiz detaylı incelemeyi içerir.
Container Runtime Security: 2026 Tanım ve Tehdit Bağlamı
Container runtime security, çalışan container’ların sistem çağrılarını, dosya sistemi erişimini, ağ trafiğini ve süreç ağacını izleyerek anormal davranışları tespit eden katmandır. Image scan (Trivy, Clair) shift-left kapsamında yer alır; runtime security ise shift-right olarak production’da aktif tehditleri yakalar. Sysdig 2025 Cloud-Native Security Report, container ortamlarındaki saldırıların %72’sinin runtime’da başlatıldığını gösteriyor.
2026 itibarıyla 3 baskın araç: Falco (CNCF Graduated, Sysdig), Tetragon (CNCF Incubating, Isovalent/Cisco) ve Tracee (Aqua Security). Hepsi eBPF kernel tracing teknolojisi kullanıyor; Linux 4.18+ kernel’larda kullanılabilir, Linux 5.10+ önerilir. Aqua Security 2025: Top 10 attacker technique listesinde container escape ve cryptojacking ilk 3’te.
eBPF: Kernel Düzeyinde Görünürlük
eBPF (extended Berkeley Packet Filter), Linux kernel’ında çalışan sandbox’lı VM’lerdir; sistem çağrıları, ağ olayları, dosya erişimleri gibi olayları kernel modülü yazmadan izlemenizi sağlar. Eski yaklaşım kernel module veya ptrace; her ikisi de production’da yüksek overhead ve kararsızlık riski taşır. eBPF programları verifier ile doğrulanır, %1-3 CPU overhead garanti eder.
| Yaklaşım | Olay Yakalama | Overhead | Kararlılık |
|---|---|---|---|
| Kernel Module | Tam | Yüksek (5-15%) | Düşük (panic risk) |
| ptrace | Per-process | Çok yüksek | Orta |
| Auditd | Syscall log | Yüksek (10%+) | Orta |
| eBPF Tracing | Kernel + user | Düşük (1-3%) | Yüksek |
| eBPF LSM | Policy enforcement | Çok düşük | Yüksek |
Falco: Kural Tabanlı Tehdit Tespiti
Falco, Sysdig tarafından 2016’da yayınlanan, CNCF Graduated proje. 60+ varsayılan kuralla terminal shell spawning, container escape, suspicious filesystem write gibi pattern’leri tespit eder. Kurallar YAML’da yazılır, “condition” alanında syscall context, file path, process tree filtrelenir. Falco 0.39 (2025) ile Wasm plugin desteği eklendi; ekipler kural ötesinde custom logic ekleyebiliyor.
- Kural sayısı: 60+ varsayılan, organizasyon ölçeğinde 200-400 kural yaygın
- Kapsama: syscall + k8s_audit + container metadata + AWS CloudTrail
- Çıkış: stdout, JSON, gRPC, Kafka, S3, Slack webhook
- SIEM entegrasyonu: Splunk, Datadog, Elastic, Sumo Logic
- Performans: 10.000 events/sec, %1.5 CPU overhead production’da
İlgili konu: Kubernetes güvenlik rehberimizde runtime security’nin pod security standards ile birleşimini detaylandırdık.
Tetragon: Policy Enforcement ve Process Lineage
Tetragon, Isovalent (Cisco) tarafından geliştirilen ve Cilium ekosistemiyle entegre eBPF tabanlı runtime security platformu. Falco’dan ayrışan kritik özellik: yalnızca tespit değil, eBPF LSM ile policy enforcement (suspicious process kill, syscall block). TracingPolicy CRD ile Kubernetes-native kural yönetimi sağlar.
Tetragon 1.2 (2025) ile Process Lineage tracking eklendi; bir cryptojacker process’in nasıl spawn edildiğini parent-child zinciri ile geriye sarabiliyorsunuz. Cisco Hypershield platformunda dahili motor olarak kullanılıyor. CNCF Incubating, ortalama deploy büyüklüğü 1.500 node. Linkerd ekibi 2025’te runtime security için Tetragon ile entegrasyon yayınladı.
Tracee: Behavioral Detection ve Forensics
Aqua Security Tracee, 30+ behavioral signature ile container drift, kernel module loading, fileless malware gibi gelişmiş tehditleri tespit eder. Diğer iki araçtan farkı: signature’lar Rego veya Go ile yazılır, multi-event correlation native destekli. Tracee 0.22 (2025) ile Microsoft Sentinel ve Wazuh entegrasyonu eklendi.
| Özellik | Falco | Tetragon | Tracee |
|---|---|---|---|
| Lisans | Apache 2.0 | Apache 2.0 | Apache 2.0 |
| CNCF | Graduated | Incubating | Sandbox |
| Kural dili | YAML | YAML CRD | Rego / Go |
| Enforcement | Tespit | Tespit + Block | Tespit |
| Correlation | Plugin | Process Lineage | Native |
| Yaygınlık (2025) | %41 | %18 | %9 |
False Positive Yönetimi ve Alarm Yorgunluğu
Runtime security’nin en yaygın başarısızlık modu alarm yorgunluğudur. Sysdig 2025 raporuna göre default Falco kuralları üretim ortamlarında %78 false positive üretiyor; ekipler 6 ay içinde sistemi sessize alıyor. Doğru yaklaşım: 30 günlük baseline öğrenme modu, sonra ortama özgü kural tune etme. Falco “macros” özelliği ile ortam-spesifik exception tanımlamak gerekli.
Sektörel Use Case: Finans, Sağlık, Telekom
Finans sektöründe PCI DSS 4.0 Requirement 10.7 anomaly detection’ı zorunlu kılıyor; container ortamlarında Falco veya Tetragon ile karşılanıyor. Sağlık sektöründe HIPAA Security Rule audit logging gereksinimi; Tracee’nin file integrity monitoring (FIM) bu kapsama hizmet ediyor. Telekomda STIG (Security Technical Implementation Guide) compliance için runtime evidence zorunlu.
Kurumsal Container Runtime Security Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Default kuralları production’a kopyalama — %78 false positive ile başlangıç
- Baseline öğrenme aşamasının atlanması — ortama özgü normal davranış tanımlanamıyor
- SIEM’e ham syscall log akıtılması — depolama maliyeti ay 50.000 dolara çıkıyor
- Tetragon enforcement’ı production’da hemen aktif etme — kritik servisler bloklanıyor
- Falco/Tetragon ile image scanning arasındaki ilişkinin kurulmaması
- Pod Security Standards (PSS) ile runtime kuralları arasında politika çakışması
Sonuç
Container runtime security 2026’da image scan’in yanına eşdeğer önemde bir katman olarak yerleşti. Falco geniş ekosistem ve düşük öğrenme eğrisi için ideal başlangıç; Tetragon enforcement ve eBPF LSM gerektiren regülasyon ağırlıklı ortamlarda; Tracee forensics ve advanced correlation isteyen ekipler için. 30 günlük baseline + 60 günlük kural tuning + 90 günlük SIEM entegrasyonu pilot pattern’i öneririz. False positive oranını %5 altına indirmeden production alarm fatigue kaçınılmazdır.
Sıkça Sorulan Sorular
Falco’yu Kubernetes olmayan ortamda kullanabilir miyim?
Evet, Falco bare-metal Linux, VM ve Docker ortamlarında da çalışır. Kubernetes ekstra k8s_audit ve metadata zenginleştirme sağlar; legacy data center’larda da Falco runtime security için kullanılıyor. AWS ECS Fargate’de host eBPF erişimi olmadığı için sınırlamalar mevcut.
eBPF performansı üretim yükünü etkiler mi?
Doğru yapılandırılmış eBPF program %1-3 CPU overhead getirir; Sysdig 2025 benchmark 10.000 syscall/sec workload’da %1,8 ölçtü. Kötü yazılmış custom eBPF program verifier’ı geçer ama hot-path’te yavaşlayabilir; her zaman bpf_stat ile profile alın.
Tetragon ve Falco birlikte kullanılabilir mi?
Teknik olarak evet ama overhead 2 kat artar ve kural mantığı dağılır. Tipik karar: Tetragon enforcement (block) için, Falco tespit/audit için. Cisco’nun Hypershield platformu bu hibrit modeli kurumsal pakette sunuyor.
Image scanning runtime security’nin yerini alamaz mı?
Hayır. Image scan known CVE’leri yakalar; zero-day exploit, supply chain attack veya runtime drift’i yakalayamaz. Snyk 2025 verisi: scan edilmiş image’lerin %23’ünde runtime’da yeni CVE keşfedildi. İki katman birbirini tamamlar.
Türkiye’de container runtime security regülasyonu var mı?
Doğrudan zorunlu olmasa da BDDK Bilgi Sistemleri Yönetmeliği EK-A “anormal davranış tespiti” maddesi container ortamlarda Falco/Tetragon ile karşılanıyor. ISO 27001:2022 A.8.16 “monitoring activities” kontrolü için runtime security audit gerekiyor.
Ömer ÖNAL
Mayıs 23, 2026Falco kuralları kopyala-yapıştır deploy edilen kurumlarda %78 false positive görülüyor; ekip alarm yorgunluğuyla 6 ay içinde sistemi sessize alıyor. Doğru yaklaşım: önce 30 günlük baseline öğrenme modu, sonra ortama özgü kural setini tune etme. Tetragon eBPF policy enforcement gerektiren regülasyon ağırlıklı ortamlarda öne çıkıyor; Falco daha geniş ekosistem ve düşük öğrenme eğrisi sunuyor. — Ömer Önal