Kubernetes Secret kaynağı tek başına production’da kabul edilemez; etcd seviyesinde base64 encoded, gerçek anlamda ÅŸifrelenmiyor. CyberArk 2025 Identity Security Threat Landscape raporu kimlik tabanlı saldırıların veri ihlallerinde %71 paya sahip olduÄŸunu, HashiCorp Vault ile dynamic secret pattern’in sızıntı pencere süresini saatlerden dakikalara indirdiÄŸini gösteriyor. Konuyla ilişkili olarak Kubernetes Operator Yazımı 2026: Operator SDK ve Kubebuilder Pattern rehberimiz detaylı incelemeyi içerir. Konuyla ilişkili olarak External Secrets Operator 2026: AWS Secrets Manager Kubernetes Sync rehberimiz detaylı incelemeyi içerir. Konuyla ilişkili olarak Service Account Token Volume Projection 2026: Kubernetes Audience-Bound JWT rehberimiz detaylı incelemeyi içerir.
Kubernetes Secret Yönetiminin 2026 Manzarası
Kubernetes native Secret kaynağı 2014’ten bu yana var, ancak güvenlik modeli zayıf: etcd’de base64 encoded (encryption deÄŸil). Kubernetes 1.13’te etcd encryption at rest desteÄŸi eklendi ama key yönetimi cluster admin sorumluluÄŸunda. HashiCorp Vault 2015’te enterprise secret management için olgun bir çözüm olarak baÅŸladı; 2026’da Kubernetes ekosistemiyle entegrasyonu en olgun çözüm. CyberArk Conjur, AWS Secrets Manager, Azure Key Vault, GCP Secret Manager benzer alternatiflerdir. Konuyla ilişkili olarak Pulumi 3.0 2026: Multi-Cloud IaC Production ve Stack Management Pattern rehberimiz detaylı incelemeyi içerir. Konuyla ilişkili olarak Spack vs Conan vs vcpkg 2026: C++ Package Manager Production rehberimiz detaylı incelemeyi içerir. Konuyla ilişkili olarak OpenShift 4.18 2026: Red Hat Enterprise Kubernetes Production Pattern rehberimiz detaylı incelemeyi içerir.
Pazar baÄŸlamı: HashiCorp 2025 State of Cloud Strategy raporuna göre kurumsal Kubernetes kullanıcılarının %63’ü hala basic Secret kaynaklarına güveniyor. Verizon DBIR 2025 leaked credential vektörü ihlallerin %38’inde rol oynadı; ortalama sızdırılan credential’in exploit edilmesi 3 ay alıyor. NSA Kubernetes Hardening Guide 2025 Vault veya external secret management’ı mandatory olarak iÅŸaretledi.
Vault Agent Injector vs External Secrets Operator
Vault’u Kubernetes’e entegre etmenin iki ana yaklaşımı var: Vault Agent Injector ve External Secrets Operator (ESO). Vault Agent Injector pod’a sidecar veya init container olarak Vault Agent ekler; secret’lar pod volume’üne yazılır. ESO Kubernetes-native CRD ile çalışır; ExternalSecret CRD oluÅŸturulduÄŸunda Vault’tan secret çekilip native K8s Secret olarak yazılır.
| Özellik | Vault Agent Injector | External Secrets Operator |
|---|---|---|
| Pattern | Sidecar/init container | CRD operator |
| Secret formatı | Pod volume file | K8s Secret resource |
| Rotation | Sidecar otomatik | Refresh interval |
| Multi-backend | Vault-only | Vault, AWS SM, Azure KV, GCP SM |
| Olgunluk | Production-ready | Production-ready |
| Use case | Vault-only kurum | Multi-backend hibrit |
Dynamic Secret Pattern: DB, AWS IAM, PKI
Vault’un en güçlü tarafı dynamic secret generation. Static secret yerine her uygulama veya kullanıcı için ephemeral credential üretiliyor. Database secret engine: Postgres, MySQL, MongoDB, Cassandra için on-demand DB user yaratır; lifetime sonunda otomatik revoke eder. AWS secret engine: IAM user, STS credential üretir. PKI engine: X.509 sertifikası issue eder. Konuyla ilişkili olarak EnvoyProxy Production 2026: xDS API ile Dynamic Configuration Pattern rehberimiz detaylı incelemeyi içerir.
Üretim deneyimi: Dynamic secret pattern sızıntı pencere süresini saatlerden dakikalara indiriyor. Bir API key 24 saat geçerli static secret yerine, 15 dakikalık TTL ile dynamic secret olduğunda exploit pencere süresi 96 kat azalıyor. CyberArk 2025 raporu dynamic secret kullanan kurumlarda credential-based saldırı oranının %68 daha düşük olduğunu gösteriyor.
- Database secret engine: DB başına on-demand user.
- AWS/Azure/GCP secret engine: ephemeral cloud credential.
- PKI secret engine: kısa ömürlü TLS sertifikası.
- SSH secret engine: signed SSH key.
- Transit secret engine: encryption-as-a-service.
Transit Encryption ve Envelope Encryption
Vault Transit secret engine encryption-as-a-service sunuyor. Uygulama plain text’i Vault’a gönderir, Vault encrypted ciphertext döner. Key yönetimi tamamen Vault’ta, uygulama key görmez. Envelope encryption pattern: data encryption key (DEK) ile veri ÅŸifrelenir, DEK ise master key (KEK) ile ÅŸifrelenir. Master key Vault’ta veya cloud KMS’de.
İlgili konu: Container Image Security Distroless rehberimizde detayları bulabilirsiniz.
Kubernetes Auth Method: ServiceAccount JWT
Vault Kubernetes auth method, pod’ların ServiceAccount token’larını kullanarak Vault’a authenticate olmasını saÄŸlıyor. Pod boot sırasında SA token Vault’a gönderiliyor, Vault Kubernetes API’ye doÄŸrulama yapıyor ve Vault token issue ediyor. Bu pattern hiçbir credential pod’a hard-coded olmadan secret eriÅŸimi saÄŸlıyor.
| Auth Method | Use Case | Olgunluk |
|---|---|---|
| Kubernetes | Pod-level auth | Production-ready |
| AppRole | External app/CI/CD | Production-ready |
| AWS IAM | AWS EC2/EKS | Production-ready |
| JWT/OIDC | Federated identity | Production-ready |
| Cert (mTLS) | X.509 sertifikası | Production-ready |
| LDAP/Okta | Human user | Production-ready |
Secret Rotation ve TTL Stratejisi
Secret rotation Vault dynamic secret pattern’inin doÄŸal sonucu. TTL (Time-To-Live) seçimi tipik secret tipine göre deÄŸiÅŸir: DB credential 30 dakika – 24 saat, API token 15 dakika – 1 saat, TLS sertifikası 1 gün – 30 gün, encryption key 90 gün rotation. CyberArk 2025 raporu kısa TTL ile çalışan kurumlarda incident detection süresinin ortalama 8 saatten 47 dakikaya indiÄŸini gösteriyor.
| Olgunluk Seviyesi | Tipik Uygulama | Adopsiyon Oranı | ROI Beklentisi |
|---|---|---|---|
| Başlangıç | Pilot ekip 3-5 servis | %12 | 0-6 ay |
| Gelişme | 10-20 servis genişletme | %34 | 6-12 ay |
| Olgun | 50+ servis cluster-wide | %41 | 12-24 ay |
| Optimize | Continuous improvement | %13 | 24+ ay |
| Sektör | Tipik Kullanım | Compliance Etkisi | Tasarruf |
|---|---|---|---|
| Finans | Yüksek olgunluk, audit-driven | PCI DSS, SOX | %32 |
| Sağlık | HIPAA + retention | HIPAA, GDPR | %24 |
| E-ticaret | Black Friday burst | PCI DSS | %47 |
| Telco | 5G core, low latency | NIS2 Directive | %38 |
| SaaS | Multi-tenant, scale | SOC 2 | %52 |
Kurumsal Vault Kubernetes Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Native K8s Secret hala kullanılıyor; Vault yatırımı sadece bazı uygulamalarda.
- Dynamic secret yerine static secret Vault’ta saklanıyor; Vault sadece “ÅŸifreli Secret” oluyor.
- Auth method karmaşık; her uygulama farklı pattern kullanıyor.
- Vault namespace tasarımı yok; multi-tenant Vault scope karmaşık.
- Backup ve disaster recovery planı yok; Vault outage tüm uygulamayı durduruyor.
- Audit log analizi yok; Vault audit data’sı SIEM’e gönderilmiyor.
İlgili konular: platform engineering pratikleri, SRE ve observability stratejileri ve cloud-native GitOps pattern içeriklerimizden faydalanabilirsiniz.
Sonuç
Vault ve Kubernetes entegrasyonu 2026’da kimlik tabanlı saldırılara karşı en güçlü kontrol. Native K8s Secret base64 encoding production için kabul edilemez; Vault dynamic secret, transit encryption ve Kubernetes auth method üçlüsü modern secret yönetiminin temeli. Production’da önce yüksek deÄŸerli 3-5 secret class’ı (DB, API token, signing key) tanımlanıp Vault’a taşınmalı, sonra dynamic secret pattern ile static secret’lar deÄŸiÅŸtirilmeli. External Secrets Operator + Vault kombinasyonu çoÄŸu kurum için doÄŸru baÅŸlangıç. Backup ve disaster recovery planı, audit log SIEM entegrasyonu zorunlu.
Sıkça Sorulan Sorular
Vault yerine cloud secret manager kullansam olur mu?
Single-cloud kurumlar için AWS Secrets Manager, Azure Key Vault, GCP Secret Manager yeterli. Multi-cloud veya cloud-agnostic strateji varsa Vault avantajlı. External Secrets Operator hepsiyle entegre çalışıyor; başlangıç için multi-backend pattern önerilir.
Dynamic secret yeterli mi static secret bırakmamak için?
ÇoÄŸu DB, cloud IAM, PKI use case’i için yeterli. Ancak third-party SaaS API key gibi external sistemler için hala static secret gerekiyor. CyberArk 2025 raporu kurumların %78’inin hibrit pattern kullandığını gösteriyor: yeni workload dynamic, legacy static.
Vault HA mimarisi nasıl?
Vault Enterprise integrated storage (Raft) ile 3-5 node HA cluster, otomatik leader election. Open source Consul backend ile aynı pattern. HashiCorp 2025 raporu production Vault deployment’larının %91’inin HA mode kullandığını gösteriyor.
Vault outage’ı uygulamayı durdurur mu?
Vault Agent caching pattern ile kısa süreli outage’lar tolere ediliyor; cached secret memory’de tutuluyor. Ancak uzun outage uygulama failure’a yol açar. DR için cross-region Vault replication standart.
Vault audit log’unu nereye göndermeli?
SIEM (Splunk, Datadog Logs, Elastic) zorunlu. CyberArk 2025 raporu audit log SIEM’e gönderen kurumlarda incident detection süresinin ortalama 8 saatten 47 dakikaya indiÄŸini gösteriyor.
Resmi kaynaklar için HashiCorp Vault resmi sitesini, Kubernetes entegrasyonu için Vault Kubernetes dokümantasyonunu, ESO için External Secrets Operator ve CyberArk Identity Threat raporlarını inceleyebilirsiniz.
Ömer ÖNAL
Mayıs 23, 2026Kubernetes Secret kaynağı tek başına production’da kabul edilemez; etcd seviyesinde base64 encoded, gerçek anlamda şifrelenmiyor. Vault dynamic secret pattern’i (DB, AWS IAM, PKI) sızıntı pencere süresini saatlerden dakikalara indiriyor. External Secrets Operator + Vault kombinasyonu çoğu kurum için doğru başlangıç. Production’da önce yüksek değerli 3-5 secret class’ı (DB, API token, signing key) tanımlanıp pilot uygulanmalı. — Ömer ÖNAL