Azure Kubernetes Service’teki (AKS) uygulamalar ve kümeler için güvenlik kavramları

Kapsayıcı güvenliği, derlemeden Azure Kubernetes Service'te (AKS) çalışan uygulama iş yüklerine kadar uçtan uca işlem hattının tamamını korur.

Güvenli Tedarik Zinciri derleme ortamını ve kayıt defterini içerir.

Kubernetes, pod güvenlik standartları ve Secrets gibi güvenlik bileşenlerini içerir. Azure; Active Directory, Kapsayıcılar için Microsoft Defender, Azure İlkesi, Azure Key Vault, ağ güvenlik grupları ve düzenlenmiş küme yükseltmeleri gibi bileşenleri içerir. AKS bu güvenlik bileşenlerini şu şekilde birleştirir:

• Eksiksiz bir kimlik doğrulaması ve yetkilendirme hikayesi sağlayın.
• Uygulamalarınızın güvenliğini sağlamak için AKS Yerleşik Azure İlkesi uygulayın.
• Microsoft Defender for Containers ile derlemeden uygulamanıza kadar uçtan uca içgörü.
• AKS kümenizin en son işletim sistemi güvenlik güncelleştirmelerini ve Kubernetes sürümlerini çalıştırmasını sağlayın.
• Güvenli pod trafiği ve hassas kimlik bilgilerine erişim sağlayın.

Bu makalede AKS'deki uygulamalarınızın güvenliğini sağlayan temel kavramlar açıklanır.

Önemli

30 Kasım 2025 itibarıyla Azure Kubernetes Service (AKS) artık Azure Linux 2.0 için güvenlik güncelleştirmelerini desteklememektedir veya sağlamamaktadır. Azure Linux 2.0 düğüm görüntüsü 202512.06.0 sürümünde dondurulur. 31 Mart 2026'dan itibaren düğüm görüntüleri kaldırılacak ve düğüm havuzlarınızı ölçeklendiremeyeceksiniz. Düğüm havuzlarınızı desteklenen bir Kubernetes sürümüne yükselterek veya osSku AzureLinux3'e geçerek desteklenen bir Azure Linux sürümüne geçin. Daha fazla bilgi için bkz. [Kullanımdan kaldırma] AKS üzerinde Azure Linux 2.0 düğüm havuzları.

Yapı Güvenliği

Tedarik Zinciri'nin giriş noktası olarak, görüntü derlemelerinin işlem hattına yükseltilmeden önce statik analizinin yapılması önemlidir. Buna güvenlik açığı ve uyumluluk değerlendirmesi dahildir. Geliştirmeyi bozan bir güvenlik açığı olduğundan derlemenin başarısız olmasıyla ilgili değildir. Geliştirme ekipleri tarafından geliştirilebilir güvenlik açıklarına göre segmentlere bölmek için Satıcı Durumu bilgisine bakmaktır. Ayrıca geliştiricilere belirlenen sorunları düzeltmek için zaman tanıyabilmek amacıyla Tanıma Sürelerini kullanın.

Kayıt Defteri Güvenliği

Kayıt defterindeki görüntünün güvenlik açığı durumunun değerlendirilmesi kaymayı algılar ve ayrıca derleme ortamınızdan gelmeyen görüntüleri yakalar. Noter V2'yi kullanarak dağıtımların güvenilir bir konumdan gelmesini sağlamak için resimlerinize imza ekleyin.

Küme güvenliği

AKS'de Kubernetes ana bileşenleri Microsoft tarafından sağlanan, yönetilen ve bakımı yapılan yönetilen hizmetin bir parçasıdır. Her AKS kümesinin, API Sunucusu, Zamanlayıcı gibi bileşenleri sağlamak için kendi tek kiracılı, ayrılmış Kubernetes ana makinesi vardır. Daha fazla bilgi için bkz Azure Kubernetes Service için güvenlik açığı yönetimi.

Varsayılan olarak, Kubernetes API sunucusu bir genel IP adresi ve tam etki alanı adı (FQDN) kullanır. Yetkili IP aralıklarını kullanarak API sunucusu uç noktasına erişimi sınırlayabilirsiniz. Api sunucusu erişimini sanal ağınıza sınırlamak için tam olarak özel bir küme de oluşturabilirsiniz.

Kubernetes rol tabanlı erişim denetimi (Kubernetes RBAC) ve Azure RBAC kullanarak API sunucusuna erişimi denetleyebilirsiniz. Daha fazla bilgi için bkz . AKS ile Microsoft Entra tümleştirmesi.

Düğüm güvenliği

AKS düğümleri, yönettiğiniz ve bakımını yaptığınız Azure sanal makineleridir (VM'ler).

• Linux düğümleri Ubuntu veya Azure Linux'un iyileştirilmiş sürümlerini çalıştırır.
• Windows Server düğümleri, containerd kapsayıcı çalışma zamanını kullanarak iyileştirilmiş bir Windows Server sürümünü çalıştırır.

AKS kümesi oluşturulduğunda veya ölçeklendirildiğinde düğümler en son işletim sistemi güvenlik güncelleştirmeleri ve yapılandırmalarıyla otomatik olarak dağıtılır.

Not

AKS kümeleri çalışır durumda:

• Kubernetes sürüm 1.19 ve üzeri - Linux düğüm havuzları, kapsayıcı çalışma zamanı olarak containerd kullanır. Windows Server 2019 ve Windows Server 2022 düğüm havuzları, kapsayıcı çalışma zamanı olarak containerd kullanır. Daha fazla bilgi için bkz . ile containerdWindows Server düğüm havuzu ekleme.
• Kubernetes 1.19 ve önceki sürümleri - Linux düğüm havuzları kapsayıcı çalışma zamanı olarak Docker'ı kullanır.

Linux ve Windows çalışan düğümleri için güvenlik yükseltme işlemi hakkında daha fazla bilgi için bkz . Güvenlik düzeltme eki uygulama düğümleri.

Azure 2. Nesil VM'leri çalıştıran AKS kümeleri , Güvenilen Başlatma desteği içerir. Bu özellik, güvenli önyükleme ve güvenilir platform modülünün (vTPM) sanallaştırılmış sürümü gibi bağımsız olarak etkinleştirebileceğiniz teknolojileri birleştirerek gelişmiş ve kalıcı saldırı tekniklerine karşı koruma sağlar. Yöneticiler, temel alınan VM'nin tüm önyükleme zincirinin bütünlüğünü sağlamak için doğrulanmış ve imzalı önyükleme yükleyicileri, işletim sistemi çekirdekleri ve sürücülerle AKS çalışan düğümlerini dağıtabilir.

Kapsayıcılar ve güvenlik için optimize edilmiş işletim sistemi seçenekleri

AKS, iki yeni iyileştirilmiş Linux işletim sistemi seçeneği için destek yayımladı. Azure Linux OS Guard (önizleme) Microsoft tarafından oluşturulmuş ve Azure için iyileştirilmiştir. OS Guard, güvenlik iyileştirmeleri ile kapsayıcılı iş yüklerini desteklemek için özel yapılandırmaya sahip Azure Linux üzerine kurulmuştur. AKS için Flatcar Container Linux (önizleme), çok bulutlu ve şirket içi ortamlarda çalışmak için en uygun olan CNCF tabanlı satıcıdan bağımsız ve kapsayıcıya göre optimize edilmiş değişmez bir işletim sistemidir. Bu işletim sistemi seçenekleri, aşağıdakiler gibi diğer Linux işletim sistemi seçeneklerine kıyasla daha fazla güvenlik sağlar:

• Hem Azure Linux OS Guard hem de AKS için Flatcar Container Linux, çalışma zamanında değiştirilemeyen sabit bir işletim sistemine sahiptir. Tüm işletim sistemi binarileri, kitaplıklar ve statik yapılandırma salt okunurdur, ve bit-bit bütünlüğü genellikle kriptografik olarak korunur. Bu özel amaçlı işletim sistemleri, bağımsız görüntüler olarak gelir ve işletim sistemini değiştirmenin herhangi bir tür paket yönetimi veya diğer geleneksel araçları olmadan gelir. Kullanıcı iş yükleri, işletim sisteminden korumalı kapsayıcılar gibi yalıtılmış ortamlarda çalışır.
• Hem Azure Linux OS Guard hem de AKS için Flatcar Container Linux, Zorunlu Erişim Denetimi için SELinux kullanır.
• Azure Linux OS Guard, güvenli önyükleme ve güvenilen platform modülünün (vTPM) sanallaştırılmış sürümünü birleştirerek gelişmiş ve kalıcı saldırılara karşı gelişmiş uyumluluk ve koruma sağlayarak FIPS ve Güvenilen Başlatma etkinleştirmesini zorunlu kılmaktadır.

Hangi kapsayıcı için iyileştirilmiş işletim sistemi seçeneklerinin kullanılacağına karar verirken AKS aşağıdakileri önerir:

• Satıcıdan bağımsız, değiştirilemez bir işletim sistemi arıyorsanız ve bulutlar arası destek sunan bir çözüm istiyorsanız AKS için Flatcar Container Linux (önizleme) kullanın.
• Microsoft tarafından önerilen, kurumsal kullanıma hazır sabit bir işletim sistemi arıyorsanız Azure Linux OS Guard 'ı (önizleme) kullanın.
• Bulutlar arası desteğe sahip tarafsız ve genel amaçlı bir satıcı işletim sistemi arıyorsanız Ubuntu kullanın.
• Microsoft tarafından önerilen, kurumsal kullanıma hazır, genel amaçlı bir işletim sistemi arıyorsanız Azure Linux'u kullanın.

Düğüm yetkilendirmesi

Düğüm yetkilendirmesi, Kubelet API isteklerini Doğu-Batı saldırılarına karşı koruma için özel olarak yetki veren özel amaçlı bir yetkilendirme modudur. Aks 1.24 + kümelerinde düğüm yetkilendirmesi varsayılan olarak etkindir.

Düğüm kurulumu

Düğümler, herhangi bir genel IP adresi atanmadan, özel bir sanal ağ alt ağına dağıtılır. Sorun giderme ve yönetim amacıyla SSH varsayılan olarak etkinleştirilir ve yalnızca iç IP adresi kullanılarak erişilebilir. Küme ve düğüm havuzu oluşturma sırasında veya mevcut bir küme veya düğüm havuzu için SSH'nin devre dışı bırakılması önizleme aşamasındadır. Daha fazla bilgi için bkz . SSH erişimini yönetme.

Düğüm depolama

Düğümler depolama sağlamak için Azure Tarafından Yönetilen Diskler kullanır. Çoğu VM düğümü boyutu için Azure Yönetilen Diskler, yüksek performanslı SSD'ler tarafından yedeklenen Premium disklerdir. Yönetilen disklerde depolanan veriler Azure platformundaki bekleme sırasında otomatik olarak şifrelenir. Yedekliliği geliştirmek için Azure Yönetilen Diskler, Azure veri merkezinde güvenli bir şekilde çoğaltılır.

Düşmanca çok kiracılı iş yükleri

Şu anda Kubernetes ortamları saldırgan çok kiracılı kullanım için güvenli değildir. Düğümler için Pod Güvenlik İlkeleri veya Kubernetes RBAC gibi ek güvenlik özellikleri, açıklardan yararlanmaları verimli bir şekilde engeller. Düşmanca çoklu kiracıya sahip iş yüklerini çalıştırırken tam güvenlik için yalnızca bir hipervizöre güvenin. Kubernetes için güvenlik etki alanı tek bir düğüm değil tüm kümeye dönüşür.

Bu tür saldırgan çok kiracılı iş yükleri için fiziksel olarak yalıtılmış kümeler kullanmanız gerekir. İş yüklerini yalıtmanın yolları hakkında daha fazla bilgi için bkz . AKS'de küme yalıtımı için en iyi yöntemler.

Hesaplama izolasyonu

Uyumluluk veya mevzuat gereksinimleri nedeniyle, bazı iş yükleri diğer müşteri iş yüklerinden yüksek düzeyde yalıtım gerektirebilir. Bu iş yükleri için Azure şunları sağlar:

• AKS kümesinde aracı düğüm olarak kullanılmak üzere çekirdek yalıtılmış kapsayıcılar. Bu kapsayıcılar belirli bir donanım türüne göre tamamen izole edilir ve Azure Ana Makine altyapısından, konak işletim sisteminden ve hipervizörden izole edilir. Tek bir müşteriye ayrılmıştır. AKS kümesi oluştururken veya düğüm havuzu eklerken düğüm boyutu olarak yalıtılmış VM boyutlarından birini seçin.
• Gizli Kapsayıcılar (önizleme), Kata Gizli Kapsayıcıları'nı da temel alır, kapsayıcı belleğini şifreler ve hesaplama sırasında bellekteki verilerin düz metin şeklinde okunmasına ve kurcalanmasına engel olur. Kapsayıcılarınızı, diğer kapsayıcı gruplarından/podlardan ve VM düğümünün işletim sistemi çekirdeğinden izole etmenize yardımcı olur. Gizli Kapsayıcılar (önizleme), donanım tabanlı bellek şifrelemesi (SEV-SNP) kullanır.
• Pod Korumalı Alanı (önizleme), kapsayıcı uygulaması ile kapsayıcı konağının paylaşılan çekirdek ve işlem kaynakları (CPU, bellek ve ağ) arasında bir yalıtım sınırı sağlar.

Ağ güvenliği

Şirket içi ağlarla bağlantı ve güvenlik için AKS kümenizi mevcut Azure sanal ağ alt ağlarına dağıtabilirsiniz. Bu sanal ağlar, Azure Siteden Siteye VPN veya Express Route kullanarak şirket içi ağınıza geri bağlanır. Hizmetlerin iç ağ bağlantısına erişimini sınırlamak için özel, iç IP adresleriyle Kubernetes giriş denetleyicilerini tanımlayın.

Azure ağ güvenlik grupları

Azure, sanal ağ trafik akışını filtrelemek için ağ güvenlik grubu kurallarını kullanır. Bu kurallar kaynaklara erişim izni verilen veya reddedilen kaynak ve hedef IP aralıklarını, bağlantı noktalarını ve protokolleri tanımlar. Kubernetes API sunucusuna TLS trafiğine izin vermek için varsayılan kurallar oluşturulur. Yük dengeleyiciler, bağlantı noktası eşlemeleri veya giriş yolları ile hizmetler oluşturursunuz. AKS, trafik akışı için ağ güvenlik grubunu otomatik olarak değiştirir.

AKS kümeniz için kendi alt ağınızı sağlarsanız (Azure CNI veya Kubenet kullanarak), AKS tarafından yönetilen NIC düzeyinde ağ güvenlik grubunu değiştirmeyin. Bunun yerine, trafik akışını değiştirmek için alt ağ düzeyinde daha fazla ağ güvenlik grubu oluşturun. Yük dengeleyici erişimi, denetim düzlemi ile iletişim veya çıkış gibi kümeyi yöneten gerekli trafikle karışmadığından emin olun.

Kubernetes ağ ilkesi

AKS, kümenizdeki podlar arasındaki ağ trafiğini sınırlamak için Kubernetes ağ ilkeleri için destek sunar. Ağ ilkeleriyle, ad alanları ve etiket seçicileri temelinde küme içindeki belirli ağ yollarına izin verebilir veya bunları reddedebilirsiniz.

Uygulama Güvenliği

AKS üzerinde çalışan podları korumak için Kapsayıcılar için Microsoft Defender'ı göz önünde bulundurarak podlarınızda çalışan uygulamalarınıza yönelik siber saldırıları algılayın ve kısıtlayın. Uygulamanızın güvenlik açığı durumundaki kaymayı algılamak için sürekli tarama çalıştırın ve güvenlik açığı olan görüntülere düzeltme eki uygulamak ve bunları değiştirmek için bir "mavi/yeşil/kanarya" işlemi uygulayın.

Kaynaklara kapsayıcı erişiminin güvenliğini sağlama

Kullanıcılara veya gruplara gereken en düşük ayrıcalıkları vermeniz gerektiği gibi, kapsayıcıları yalnızca gerekli eylem ve işlemlerle de sınırlamanız gerekir. Saldırı riskini en aza indirmek için, yükseltilmiş ayrıcalıklar veya kök erişim gerektiren uygulamaları ve kapsayıcıları yapılandırmaktan kaçının. AppArmor ve seccomp gibi yerleşik Linux güvenlik özellikleri , [kaynaklara kapsayıcı erişimini güvenli hale getirmek][secure-container-access] için en iyi yöntemler olarak önerilir.

Kubernetes Gizli Bilgiler

Kubernetes Gizli Anahtarı ile, erişim kimlik bilgileri veya anahtarlar gibi hassas verileri podlara eklersiniz.

1. Kubernetes API'yi kullanarak bir Gizli oluşturun.
2. Podunuzu veya dağıtımınızı belirleyin ve belirli bir Gizli isteyin.
   • Secrets yalnızca bir podun ihtiyaç duyduğu ve zamanlandığı düğümlere sağlanır.
   • Sır tmpfs içinde depolanır, diske yazılmaz.
3. Gizli gerektiren bir düğümdeki son podu sildiğinizde, Gizli düğümün tmpfs'inden silinir.
   • Gizli diziler belirli bir ad alanında depolanır ve yalnızca aynı ad alanı içindeki podlardan erişilebilir.

Gizli dizilerin kullanılması, pod veya hizmet YAML bildiriminde tanımlanan hassas bilgileri azaltır. Bunun yerine, YAML bildiriminizin bir parçası olarak Kubernetes API Sunucusu'nda depolanan Gizli Dizi'yi isteyebilirsiniz. Belirli podun Secret'e erişimini sağlayan bu yaklaşımdır.

Not

Ham gizli dizi bildirim dosyaları, base64 biçiminde gizli dizi verilerini içerir. Daha fazla bilgi için resmi belgelere bakın. Bu dosyaları hassas bilgiler olarak kabul edin ve hiçbir zaman kaynak kontrolüne göndermeyin.

Kubernetes gizli dizileri, dağıtılmış bir anahtar-değer deposu olan etcd'de depolanır. AKS, etcd'deki sırların müşteri tarafından yönetilen anahtarlar kullanılarak kalıcı olarak şifrelenmesine izin verir.

Sonraki adımlar

AKS kümelerinizin güvenliğini sağlamaya başlamak için bkz . AKS kümesini yükseltme.

İlişkili en iyi yöntemler için bkz. AKS'de küme güvenliği ve yükseltmeleri için en iyi yöntemler ve AKS'de pod güvenliği için en iyi yöntemler.

Temel Kubernetes ve AKS kavramları hakkında daha fazla bilgi için bkz:

• Kubernetes / AKS kümeleri ve iş yükleri
• Kubernetes / AKS kimliği
• Kubernetes / AKS sanal ağları
• Kubernetes / AKS depolama
• Kubernetes / AKS ölçeği