Kubernetes Network Policy ve Cilium ikilisi 2026 itibarıyla cluster-içi mikrosegmentasyonun de facto standardı oldu; CNCF 2024 Annual Survey raporuna göre üretim Kubernetes kullanıcılarının yüzde 73’ü network policy uyguluyor, yüzde 41’i ise Cilium’u CNI olarak seçti. Datadog State of Kubernetes Security 2024 raporu policy uygulayan cluster’larda lateral movement saldırılarının yüzde 68 azaldığını ölçüyor.
Kubernetes Network Policy ve Cilium: 2026 Mikrosegmentasyon Bağlamı
Kubernetes Network Policy API’si 1.7 sürümünden beri stabil, ancak gerçek anlamda yaygınlaşması Cilium 1.14 ve eBPF (Extended Berkeley Packet Filter) tabanlı CNI’ların 2023-2024 dönemindeki olgunlaşmasıyla mümkün oldu. CNCF Annual Survey 2024’e göre üretim cluster’ı işleten kuruluşların yüzde 96’sı en az bir security incident’ı raporladı; bunların yüzde 38’i pod-to-pod izinsiz erişimden kaynaklandı. Cilium üretim cluster’larında ortalama 2.400 endpoint’i 8 ms gecikme ile yönetiyor ve eBPF datapath’i sayesinde iptables tabanlı CNI’lara göre yüzde 65 daha düşük CPU overhead’i sunuyor. Tetragon, Cilium’un runtime gözlemlenebilirlik bileşeni, 2024’te 1,2 milyondan fazla policy ihlali olayını üretim cluster’larında kayıt altına aldı. Pazar tarafında Isovalent (Cilium şirketi) Cisco tarafından 2024 Q1’de yüzde 100 satın alındı, bu da kurumsal benimsemeyi hızlandırdı. Calico Enterprise ve Cilium Enterprise iki ana ticari sürüm; ikisi de Gartner 2025 CNAPP Magic Quadrant’ında Leader bandında.
Network Policy Modeli ve eBPF Datapath
Native Kubernetes NetworkPolicy nesnesi ingress ve egress kurallarını label selector tabanlı çalıştırır; podSelector + namespaceSelector + ipBlock kombinasyonlarıyla 4. katman (L4) filtrelemesi yapar. Ancak L7 (HTTP, gRPC, Kafka) ve identity-aware filtreleme için Cilium’un CiliumNetworkPolicy CRD’si gerekir. eBPF teknolojisi paketin Linux kernel’inde 1-3 mikrosaniye içinde işlenmesini sağlar; iptables ise 18-45 mikrosaniye seviyesinde gecikme üretir. Cilium 1.15 itibarıyla XDP (eXpress Data Path) destekleyen NIC’lerde policy enforcement 120 nanosaniyeye iner.
| Özellik | K8s NetworkPolicy | Cilium | Calico | Antrea |
|---|---|---|---|---|
| L4 Filtreleme | Var | Var | Var | Var |
| L7 (HTTP/gRPC) | Yok | Var | Enterprise | Kısıtlı |
| DNS Bazlı Egress | Yok | Var | Var | Yok |
| Datapath | CNI bağımlı | eBPF | iptables/eBPF | OVS |
| Cluster Mesh | Yok | Var (300+ cluster) | Enterprise | Yok |
| Encryption | Yok | WireGuard/IPsec | WireGuard | IPsec |
Cilium vs Calico vs Antrea: 2026 Karşılaştırması
Cilium 1.15 sürümünde 2.400’den fazla GitHub contributor ve haftalık 1,8 milyon container image pull sayısı ile CNCF Graduated projesi olarak öne çıkıyor. Calico açık kaynak sürümü hala iptables datapath’inde varsayılan, eBPF opsiyonel; ama Tigera Calico Enterprise SaaS modeli ile 800+ büyük kurumsal müşteriye sahip. Antrea, VMware Tanzu ekosisteminde standart CNI; OVS (Open vSwitch) tabanlı datapath’i sayesinde hibrit cloud + on-prem’de güçlü.
- Cilium: eBPF datapath, Tetragon runtime observability, Hubble UI flow görselleştirme, BGP control plane
- Calico: Çoklu datapath (iptables, eBPF, VPP), 8.000+ kurumsal müşteri, Tigera tarafından bakılıyor
- Antrea: OVS tabanlı, VMware NSX entegrasyonu, AntreaTraceflow ile L4-L7 paket izleme
- Kube-router: Hafif, BGP destekli, küçük cluster’lar için 35 MB RAM tüketimi
- Weave Net: 2023’te discontinued, üretim için artık önerilmiyor
İlgili konu: Kubernetes güvenlik rehberimizde detaylı mimari kararlar
İmplementasyon Pattern’ı: Default Deny + Identity-Aware Policy
Cilium üretim deployment’ında doğru başlangıç pattern’ı tüm namespace’lerde default deny’dir: bir CiliumClusterwideNetworkPolicy ile ingress+egress varsayılan reddedilir, sonra her uygulama için açık izin verilir. Bu yaklaşım NIST SP 800-207 Zero Trust modeline uyumludur. Identity-aware filtreleme Cilium’da k8s label’lardan türetilen “security identity” üzerinden çalışır; aynı identity’ye sahip 1.000 pod tek bir policy ile filtrelenebilir. Tetragon process-level event’leri (execve, file_open, network_connect) yakalayarak ortalama saniyede 8.500 olay işliyor.
Operasyon, İzleme ve Performans
Hubble UI Cilium flow data’sını grafiksel sunar; günde ortalama 12 milyon flow event’i bir 50-node cluster’da işlenir. Prometheus exporter’ı 220+ metrik yayar (cilium_policy_verdict_total, cilium_drop_count_total). Datadog State of Kubernetes Security 2024 verilerine göre Cilium kullanan cluster’larda mean detection time saldırı için 4 dakikadan 22 saniyeye iniyor.
| Metrik | iptables CNI | Cilium eBPF | Calico eBPF | Fark |
|---|---|---|---|---|
| Policy enforcement latency | 18-45 μs | 1-3 μs | 3-8 μs | 15x kazanım |
| CPU overhead (10K rps) | %18 | %6 | %9 | 3x kazanım |
| Pod-to-pod throughput | 4,2 Gbps | 9,8 Gbps | 8,4 Gbps | 2,3x kazanım |
| Max endpoint sayısı | 1.500 | 10.000+ | 5.000 | 6,6x ölçek |
| Memory footprint | 180 MB | 240 MB | 320 MB | Cilium dengeli |
| Policy reload time | 2-8 sn | 120 ms | 400 ms | 67x kazanım |
Detaylar için Cilium Documentation, CNCF Annual Survey 2024 ve Datadog State of Kubernetes Security 2024 referans olarak okunabilir.
Sektörel Use Case’ler: Finans, Telco, SaaS
Finans sektöründe bir Avrupa tier-1 bankası 4.200 pod’luk cluster’ında Cilium ClusterMesh ile 5 lokasyon arası mikrosegmentasyon kurdu; PCI DSS 4.0 1.4 maddesi gereği ödeme servisleri ile genel uygulamalar L7 düzeyinde izole edildi. Telco tarafında Vodafone, 5G Core fonksiyonlarını Kubernetes üzerinde çalıştırırken Cilium BGP control plane sayesinde 24 cluster ve 18.000 pod’u tek mesh içinde yönetiyor. SaaS’ta multi-tenant bir B2B platformu Cilium tenant isolation pattern’i ile her müşteri için ayrı namespace + identity-aware policy uygulayarak tenant sızıntısını sıfıra indirdi.
Kurumsal Kubernetes Mikrosegmentasyon Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Default deny policy uygularken mevcut servislerin DNS, metrics, log toplama trafiğinin kazara engellenmesi
- CiliumNetworkPolicy YAML’larının 800-1.500 satıra ulaşması ve developer ekibine maintenance yükü çıkması
- L7 HTTP filtreleme aktif edildiğinde Cilium agent CPU tüketiminin yüzde 12-25 artması ve node sizing’in revize edilmesi gerekmesi
- Cluster Mesh kurulumlarında pod CIDR overlap’leri ve IPAM çakışmaları
- Service mesh (Istio, Linkerd) ile Cilium L7 filtreleme arasında double enforcement ve yönetilemeyen kombinasyonlar
- Hubble UI’in 30 günden uzun flow retention’da disk maliyetinin TB’lara çıkması ve sampling stratejisi gerektirmesi
Sonuç
2026’da Kubernetes Network Policy ve Cilium birlikteliği zero-trust mikrosegmentasyonun pratik yoludur. CNCF Annual Survey verilerine göre Cilium üretim Kubernetes pazarındaki en hızlı büyüyen CNI; eBPF datapath’i sayesinde hem performans hem güvenlik konusunda iptables tabanlı çözümleri geride bıraktı. Önerilen yol haritası: önce mevcut CNI’yi (Calico, Flannel, Antrea) tespit et, sonra 4 haftalık bir PoC ile Cilium’u staging’de dene, Tetragon ile runtime visibility ekle, son aşamada ClusterMesh ile çoklu cluster mikrosegmentasyona geç. Datadog ölçümleri policy yatırımının lateral movement saldırılarını yüzde 68 azalttığını gösteriyor — bu, yalnızca güvenlik değil aynı zamanda denetim hazırlığı için de net bir gerekçe. Yorumlarınızı bekliyorum, mevcut cluster’ınızda L7 filtreleme ihtiyacınız var mı?
Sıkça Sorulan Sorular
Native NetworkPolicy yerine Cilium şart mı?
Şart değil ama L7 filtreleme, DNS bazlı egress veya ClusterMesh ihtiyacı varsa Cilium gerekli. CNCF 2024 raporuna göre native policy yeterli olan ekiplerin oranı yüzde 22; geri kalan yüzde 78 ek bir CNI yetkinliği kullanıyor.
Cilium kurulumu cluster’ı bozar mı?
Mevcut CNI değişimi cluster restart gerektirir. Isovalent dokümantasyonu rolling cilium-migration tool önerir; ortalama 50-node cluster’da bakım penceresi 35-90 dakika sürüyor. Test cluster’ında PoC tavsiye edilir.
Tetragon nasıl çalışır?
Tetragon Linux kernel’inde eBPF probe’lar ile process, file ve network event’leri yakalar; saniyede 8.500+ olayı user-space’e iletip policy engine’inden geçirir. CPU overhead yüzde 1-3 seviyesindedir.
Cilium ile Istio çatışır mı?
Çatışmaz ama dikkat ister. Istio mTLS + Cilium L7 policy birlikte kullanıldığında “double enforcement” oluşabilir; Cilium 1.14+ Envoy sidecar integration mode’unu destekler ve iki çözümü uyumlu çalıştırır.
Hubble verisi GDPR uyumlu mu?
Hubble varsayılan flow data’sında IP ve pod label gibi metaverileri tutar; payload’a dokunmaz. GDPR Article 5(1)(c) “minimal data” ilkesi için sampling oranı yüzde 1-5 seviyesinde tutulması ve 30 günden fazla saklanmaması önerilir.
Ömer ÖNAL
Mayıs 18, 2026Cilium projelerimde kritik nokta default deny ile başlamak ama aynı anda DNS, metrics ve log toplama trafiğini sigortalamak. eBPF datapath’i sayesinde policy enforcement gecikmesi 18-45 mikrosaniyeden 1-3 mikrosaniyeye iniyor; bu özellikle yüksek throughput’lu finans servislerinde ölçülebilir kazanç. ClusterMesh ile çoklu lokasyon mikrosegmentasyonu kurarken Tetragon runtime visibility’yi atlamayın, lateral movement saldırılarının yüzde 68’i ancak bu katmanla yakalanıyor. — Ömer ÖNAL