Kubernetes, konteyner orkestrasyon standardı hâline geldi — ama devasa esnekliği, devasa bir yapılandırma karmaşıklığı da getirdi. Varsayılan ayarlar güvenli değildir: aşırı geniş RBAC yetkileri, izole edilmemiş ağlar ve korunmasız secret’lar, saldırganlar için açık davetiyedir.
SAVKOR’un Kubernetes güvenlik değerlendirmesi, CIS Kubernetes Benchmark ve NIST SP 800-190 doğrultusunda yürütülür. RBAC yapılandırmasından Pod Security Standards’a, Network Policy’den Secret yönetimine kadar kümenizi inceler; bir pod’un ele geçirilmesinin tüm kümeye yayılmasını engelleyecek kontrolleri önceliklendirir.
Test Kapsamı
- RBAC ve yetkilendirme yapılandırması
- Pod Security Standards
- Network Policy ve ağ izolasyonu
- Secret yönetimi ve şifreleme
- API sunucu ve control plane güvenliği
- Container runtime ve node güvenliği
Metodoloji
- 01
Envanter & Erişim
Küme mimarisi, bileşenler ve yapılandırma güvenli biçimde çıkarılır.
- 02
Yapılandırma Analizi
RBAC, Pod Security ve Network Policy CIS Kubernetes Benchmark'a göre değerlendirilir.
- 03
Secret & API Güvenliği
Secret yönetimi ve API sunucu güvenliği incelenir.
- 04
Risk Önceliklendirme
Bulgular sömürülebilirlik ve etkiye göre önceliklendirilir.
- 05
Raporlama
Bulgular ve sertleştirme önerileri raporlanır.
Teslimatlar
- Yönetici özeti ve Kubernetes risk görünümü
- RBAC ve Pod Security bulguları
- CIS Kubernetes Benchmark uyum eşleştirmesi
- Network Policy ve Secret yönetimi önerileri
- İyileştirme sonrası yeniden değerlendirme
Sık Sorulan Sorular
Yönetilen Kubernetes (EKS/AKS/GKE) de değerlendiriliyor mu?
Evet. Yönetilen hizmetlerde control plane'i sağlayıcı yönetse de, RBAC, Pod Security, Network Policy ve iş yükü yapılandırması sizin sorumluluğunuzdadır ve değerlendirilir.
RBAC neden en kritik alan?
Kubernetes'te aşırı geniş RBAC yetkileri, en yaygın ve en tehlikeli yanlış yapılandırmadır. Fazla yetkili bir servis hesabı ele geçirildiğinde, saldırgan tüm kümenin kontrolünü alabilir.
Network Policy tanımlamamız şart mı?
Varsayılan olarak Kubernetes'te tüm pod'lar birbiriyle serbestçe konuşur. Network Policy olmadan, tek bir ele geçirilmiş pod tüm kümede yanal hareket edebilir. Bu yüzden ağ izolasyonu kritik bir kontroldür.