Azure Kubernetes Service (AKS)'daki uygulamalar ve kümeler için güvenlik kavramları

Kapsayıcı güvenliği, derlemeden Azure Kubernetes Service (AKS) çalıştıran uygulama iş yüklerine kadar tüm uçtan uca işlem hattını korur.

Güvenli Tedarik Zinciri derleme ortamını ve kayıt defterini içerir.

Kubernetes, pod güvenlik standartları ve Secrets gibi güvenlik bileşenlerini içerir. Azure Microsoft Entra ID, Kapsayıcılar için Microsoft Defender, Azure İlkesi, Azure Key Vault, ağ güvenlik grupları ve düzenlenmiş küme yükseltmeleri gibi bileşenleri içerir. AKS bu güvenlik bileşenlerini şu şekilde birleştirir:

• Eksiksiz bir kimlik doğrulaması ve yetkilendirme hikayesi sağlayın.
• Uygulamalarınızın güvenliğini sağlamak için AKS yerleşik Azure İlkesi uygulayın.
• Microsoft Defender for Containers ile derleme sürecinden uygulamanıza kadar uçtan uca içgörü elde edin.
• AKS kümenizin en son işletim sistemi güvenlik güncelleştirmelerini ve Kubernetes sürümlerini çalıştırmasını sağlayın.
• Güvenli pod trafiği ve hassas kimlik bilgilerine erişim sağlayın.

AKS iki küme modunu destekler: AKS Otomatik ve AKS Standard. Bu makaledeki güvenlik kavramları, aksi belirtilmedikçe her iki mod için de geçerlidir. AKS Otomatik, varsayılan olarak önceden yapılandırılmış birkaç denetime sahip sağlamlaştırılmış bir güvenlik temeli içerirken AKS Standard daha fazla yapılandırma esnekliği sağlar.

Bu makalede AKS'deki uygulamalarınızın güvenliğini sağlayan temel kavramlar açıklanır.

Önemli

November 30, 2025 tarihinden itibaren Azure Kubernetes Service (AKS) artık Azure Linux 2.0 için güvenlik güncelleştirmelerini desteklemez veya sağlamaz. Azure Linux 2.0 düğüm görüntüsü 202512.06.0 sürümünde dondurulur. 31 Mart 2026'dan itibaren düğüm görüntüleri kaldırılacak ve düğüm havuzlarınızı ölçeklendiremeyeceksiniz. düğüm havuzlarınızı desteklenen bir Kubernetes sürümüne yükselterek veya osSku AzureLinux3 ile desteklenen bir Azure Linux sürümüne geçin. Daha fazla bilgi için Emeklilik GitHub sorunu ve Azure Güncelleştirmeleri kullanımdan kaldırma duyurusu'na bakınız. Duyurular ve güncelleştirmeler hakkında bilgi sahibi olmak için AKS sürüm notlarını izleyin.

Yapı güvenliği

Derleme güvenliği, güvenli tedarik zinciriniz için başlangıç noktasıdır. Görüntüler dağıtım ortamlarına yükseltilmeden önce CI'de statik analiz, güvenlik açığı ve uyumluluk değerlendirmesi çalıştırın.

Her iki AKS modunda da herhangi bir güvenlik açığı üzerindeki tüm derlemeleri engellemek yerine risk tabanlı önceliklendirme kullanın. Satıcı durumu ve önem derecesine göre düzeltmeleri önceliklendirin; istismar edilemeyen veya süreyle sınırlı istisnalar için ek süreler uygulayın.

AKS Otomatik, kümeleri önceden yapılandırılmış güvenlik denetimleriyle sağlamlaştırılmış bir temelden başlatarak aşağı akış yapılandırma kayması azaltmaya yardımcı olur. Bu, güvenilir görüntüler daha tutarlı bir şekilde güvenli bir çalışma zamanı temeline yükseltildiğinden görüntü kalitesinin ve ilke uyumluluğunun derleme zamanı doğrulamasını daha da önemli hale getirir.

AKS Standard, küme düzeyinde daha fazla esneklik sağladığından, derleme işlem hatları dağıtımdan önce imajın kaynağı, güvenlik açığı eşikleri ve ilke denetimleri açısından kuruluşunuzun temel gereksinimlerini açıkça uygulamalıdır.

Kayıt defteri güvenliği

Kayıt defteri güvenliği, dağıtım için yalnızca güvenilir ve uyumlu görüntülerin kullanılabilir olduğunu doğrular ve derlemeden sonra kaymayı algılamaya yardımcı olur. Kayıt defterindeki görüntü güvenlik açığı durumunu yalnızca derleme zamanında değil sürekli olarak değerlendirin. Kayıt defteri taraması, yeni açıklanan güvenlik açıklarını ve onaylanan derleme yollarını atlayan görüntüleri yakalar. İş yüklerinin güvenilir kaynaklardan doğrulanabilir bir şekilde dağıtıldığından emin olmak için Noter V2 gibi görüntü imzalama ve doğrulamayı kullanın.

Çeşitli çalışma zamanı güvenlik özelliklerinin önceden yapılandırıldığı AKS Otomatik için kayıt defteri denetimleri, çalışma zamanı tedarik zincirini temiz tutmak için kritik bir yukarı akış kapısı olarak kalır. AKS Standard için, aynı kayıt defteri denetimlerini uygulayın ve güvenilir görüntü kullanımını tutarlı bir şekilde zorlamak için bunları küme giriş ve ilke yapılandırmanızla hizalayın.

Küme güvenliği

AKS'de Kubernetes birincil bileşenleri, Microsoft tarafından sağlanan, yönetilen ve bakımı yapılan yönetilen hizmetin bir parçasıdır. Her AKS kümesinin, API Sunucusu, Zamanlayıcı vb. bileşenleri sağlamak için kendi tek kiracılı, ayrılmış bir Kubernetes birincili vardır. Daha fazla bilgi için bkz. Azure Kubernetes Service için Güvenlik Açığı Yönetimi.

Varsayılan olarak, Kubernetes API sunucusu bir genel IP adresi ve tam etki alanı adı (FQDN) kullanır. Yetkili IP aralıklarını kullanarak API sunucusu uç noktasına erişimi sınırlayabilirsiniz. Api sunucusu erişimini sanal ağınıza sınırlamak için tam olarak özel bir küme de oluşturabilirsiniz.

AKS Otomatik için API sunucusu sanal ağ tümleştirmesi, varsayılan güvenlik duruşunun bir parçası olarak önceden yapılandırılmıştır. AKS Standard'da aynı özellik kullanılabilir ve ağ tasarımınıza ve güvenlik gereksinimlerinize göre etkinleştirilebilir.

Kubernetes rol tabanlı erişim denetimi (Kubernetes RBAC) ve Azure RBAC kullanarak API sunucusuna erişimi denetleyebilirsiniz. AKS Otomatik'te Kubernetes yetkilendirmesi için Azure RBAC önceden yapılandırılmıştır. AKS Standard'da ortamınıza en uygun yetkilendirme modelini seçebilir ve yapılandırabilirsiniz. Daha fazla bilgi için Microsoft Entra'nın AKS ile entegrasyonuna bakın.

AKS Otomatik güvenlik varsayılanları

AKS Otomatik, güvenlik denetimlerinin varsayılan olarak önceden yapılandırılmış olduğu sağlamlaştırılmış bir taban çizgisi içerir, örneğin:

• Kubernetes yetkilendirmesi için RBAC Azure
• API sunucusu sanal ağ tümleştirmesi
• İş yükü kimliği ve OIDC sağlayıcısı
• Zorunlu kılma modunda dağıtım korumaları ve temel Pod Güvenlik Standartları
• Kullanılmayan güvenlik açığı olan görüntüleri kaldırmak için görüntü temizleyici
• Müşteri iş yükleri ile AKS tarafından yönetilen altyapı arasındaki sınırları koruyan yönetilen sistem düğümü havuzu güvenlik kısıtlamaları

AKS Standard bu özellikleri daha fazla uygulama esnekliğiyle destekler, ancak bunlar açık etkinleştirme ve işlem yönetimi gerektirebilir.

Düğüm güvenliği

AKS düğümleri Azure sanal makineleridir (VM'ler). AKS Standard'da düğüm havuzu yapılandırmasını ve yaşam döngüsü seçeneklerini yönetirsiniz. AKS Otomatik'te AKS, yönetilen sistem altyapısı için güvenlik kısıtlamalarıyla birlikte ölçeklendirme ve yükseltmeler de dahil olmak üzere sistem düğümü havuzlarını ve çekirdek sistem bileşenlerini sizin yerinize yönetir.

Linux düğümleri Ubuntu veya Azure Linux'un iyileştirilmiş sürümlerini çalıştırır. Windows Server düğümleri, containerd kapsayıcı çalışma zamanını kullanarak iyileştirilmiş bir Windows Server sürümü çalıştırır.

AKS kümesi oluşturulduğunda veya ölçeklendirildiğinde düğümler en son işletim sistemi güvenlik güncelleştirmeleri ve yapılandırmalarıyla otomatik olarak dağıtılır.

Not

AKS kümeleri çalışır durumda:

• Kubernetes sürüm 1.19 ve üzeri: Linux düğüm havuzları, kapsayıcı çalışma zamanı olarak containerd kullanır. Windows Server 2019 ve Windows Server 2022 düğüm havuzları, kapsayıcı çalışma zamanı olarak containerd kullanır. Daha fazla bilgi için bkz. containerd ile Windows Server düğüm havuzu ekleme.
• Kubernetes sürüm 1.19 ve öncesi: Linux düğüm havuzları kapsayıcı çalışma zamanı olarak Docker kullanır.

Linux ve Windows iş yükü düğümleri için güvenlik yükseltme işlemi hakkında daha fazla bilgi için bkz: Güvenlik yamalama düğümleri.

2. Nesil VM Azure çalıştıran AKS kümeleri, Trusted Launch için destek içerir. Bu özellik, güvenli önyükleme ve güvenilir platform modülünün (vTPM) sanallaştırılmış sürümü gibi bağımsız olarak etkinleştirebileceğiniz teknolojileri birleştirerek gelişmiş ve kalıcı saldırı tekniklerine karşı koruma sağlar. Yöneticiler, temel alınan VM'nin tüm önyükleme zincirinin bütünlüğünü sağlamak için doğrulanmış ve imzalı önyükleme yükleyicileri, işletim sistemi çekirdekleri ve sürücülerle AKS çalışan düğümlerini dağıtabilir.

Kapsayıcılar ve güvenlik için optimize edilmiş işletim sistemi seçenekleri

Azure Container Linux (ACL), AKS için değiştirilemez, kapsayıcılar için optimize edilmiş bir işletim sistemidir. ACL, Flatcar Container Linux projesinden türetilmiştir ve Flatcar'ın kendini kanıtlamış, kapsayıcı odaklı, değiştirilemez tasarımını temel alıp buna Azure Linux paketleri, hizmetleri ve platform entegrasyonunu ekleyerek bunun üzerine inşa edilir. Bu, ACL'nin Azure üretim, güvenlik ve uyumluluk gereksinimlerini karşılarken yukarı akış Flatcar yenilikleriyle yakından uyumlu kalmasını sağlar. Flatcar Container Linux hakkında daha fazla bilgi edinmek için Flatcar belgelerine bakın.

ACL, AKS v1.34'den itibaren AKS'de bir işletim sistemi seçeneği olarak genel olarak kullanılabilir (GA). ACL düğüm havuzlarını yeni bir AKS kümesine dağıtabilir, mevcut kümelerinize ACL düğüm havuzları ekleyebilir ve mevcut Linux düğüm havuzlarını ACL'ye geçirebilirsiniz.

ACL hakkında daha fazla bilgi için bkz. AKS için Azure Container Linux (ACL) genel bakışı.

Düğüm yetkilendirmesi

Düğüm yetkilendirmesi, Kubelet API isteklerini Doğu-Batı saldırılarına karşı koruma için özel olarak yetki veren özel amaçlı bir yetkilendirme modudur. Aks 1.24 + kümelerinde düğüm yetkilendirmesi varsayılan olarak etkindir.

Düğüm kurulumu

Düğümler, herhangi bir genel IP adresi atanmadan, özel bir sanal ağ alt ağına dağıtılır. Sorun giderme ve yönetim amacıyla SSH varsayılan olarak etkinleştirilir ve yalnızca iç IP adresi kullanılarak erişilebilir. Küme ve düğüm havuzu oluşturma sırasında veya mevcut bir küme veya düğüm havuzu için SSH'nin devre dışı bırakılması önizleme aşamasındadır. Daha fazla bilgi için bkz . SSH erişimini yönetme.

Düğüm depolama

Depolama sağlamak için düğümler Azure Yönetilen Diskleri kullanır. Çoğu VM düğümü boyutu için, Azure Yönetilen Diskleri, yüksek performanslı SSD'ler tarafından desteklenen Premium disklerdir. Yönetilen disklerde depolanan veriler, Azure platformundaki bekleme sırasında otomatik olarak şifrelenir. Yedekliliği geliştirmek için Azure Yönetilen Diskleri Azure veri merkezinde güvenli bir şekilde çoğaltılır.

Düşmanca çok kiracılı iş yükleri

Şu anda Kubernetes ortamları saldırgan çok kiracılı kullanım için güvenli değildir. Düğümler için Pod Güvenlik İlkeleri veya Kubernetes RBAC gibi ek güvenlik özellikleri, açıklardan yararlanmaları verimli bir şekilde engeller. Düşmanca çoklu kiracıya sahip iş yüklerini çalıştırırken tam güvenlik için yalnızca bir hipervizöre güvenin. Kubernetes için güvenlik etki alanı tek bir düğüm değil tüm kümeye dönüşür.

Bu tür saldırgan çok kiracılı iş yükleri için fiziksel olarak yalıtılmış kümeler kullanmanız gerekir. İş yüklerini yalıtmanın yolları hakkında daha fazla bilgi için bkz . AKS'de küme yalıtımı için en iyi yöntemler.

Hesaplama izolasyonu

Uyumluluk veya mevzuat gereksinimleri nedeniyle, bazı iş yükleri diğer müşteri iş yüklerinden yüksek düzeyde yalıtım gerektirebilir. Bu iş yükleri için Azure şunları sağlar:

• AKS kümesinde aracı düğüm olarak kullanılmak üzere çekirdek yalıtılmış kapsayıcılar. Bu kapsayıcılar, belirli bir donanım türüne özel olarak tamamen izole edilir ve Azure Ana Bilgisayar yapısından, ana bilgisayar işletim sisteminden ve hipervizörden yalıtılır. Tek bir müşteriye ayrılmıştır. AKS kümesi oluştururken veya düğüm havuzu eklerken düğüm boyutu olarak yalıtılmış VM boyutlarından birini seçin.
• Gizli Kapsayıcılar (önizleme), Kata Gizli Kapsayıcıları'nı da temel alır, kapsayıcı belleğini şifreler ve hesaplama sırasında bellekteki verilerin düz metin şeklinde okunmasına ve kurcalanmasına engel olur. Kapsayıcılarınızı, diğer kapsayıcı gruplarından/podlardan ve VM düğümünün işletim sistemi çekirdeğinden izole etmenize yardımcı olur. Gizli Kapsayıcılar (önizleme), donanım tabanlı bellek şifrelemesi (SEV-SNP) kullanır.
• Pod Korumalı Alanı (önizleme), kapsayıcı uygulaması ile kapsayıcı konağının paylaşılan çekirdek ve işlem kaynakları (CPU, bellek ve ağ) arasında bir yalıtım sınırı sağlar.

Ağ güvenliği

Şirket içi ağlarla bağlantı ve güvenlik için AKS kümenizi mevcut Azure sanal ağ alt ağlarına dağıtabilirsiniz. Bu sanal ağlar, Azure Siteden Siteye VPN veya Express Route kullanarak şirket içi ağınıza geri bağlanır. Hizmetlerin iç ağ bağlantısına erişimini sınırlamak için özel, iç IP adresleriyle Kubernetes giriş denetleyicilerini tanımlayın.

AKS Otomatik'te, yönetilen sanal ağ özellikleri ile çekirdek giriş ve çıkış varsayılanları, güvenli bir temel sağlamak için önceden yapılandırılmıştır. AKS Standard'da ağ modelleri ve çıkış/giriş denetimleri daha esnektir ve güvenlik mimarinize göre seçilmelidir.

Azure ağ güvenlik grupları

sanal ağ trafiği akışını filtrelemek için Azure ağ güvenlik grubu kurallarını kullanır. Bu kurallar kaynaklara erişim izni verilen veya reddedilen kaynak ve hedef IP aralıklarını, bağlantı noktalarını ve protokolleri tanımlar. Kubernetes API sunucusuna TLS trafiğine izin vermek için varsayılan kurallar oluşturulur. Yük dengeleyiciler, bağlantı noktası eşlemeleri veya giriş yolları ile hizmetler oluşturursunuz. AKS, trafik akışı için ağ güvenlik grubunu otomatik olarak değiştirir.

AKS kümeniz için kendi alt ağınızı sağlarsanız (Azure CNI veya Kubenet kullanarak), AKS tarafından yönetilen NIC düzeyi ağ güvenlik grubunu değiştirmeyin. Bunun yerine, trafik akışını değiştirmek için alt ağ düzeyinde daha fazla ağ güvenlik grubu oluşturun. Yük dengeleyici erişimi, denetim düzlemi ile iletişim veya çıkış gibi kümeyi yöneten gerekli trafikle karışmadığından emin olun.

Kubernetes ağ ilkesi

AKS, kümenizdeki podlar arasındaki ağ trafiğini sınırlamak için Kubernetes ağ ilkeleri için destek sunar. Ağ ilkeleriyle, ad alanları ve etiket seçicileri temelinde küme içindeki belirli ağ yollarına izin verebilir veya bunları reddedebilirsiniz.

Uygulama güvenliği

AKS üzerinde çalışan podları korumak için, podlarınızda çalışan uygulamalarınıza yönelik siber saldırıları algılamak ve kısıtlamak için Kapsayıcılar için Microsoft Defender göz önünde bulundurun. Uygulamanızın güvenlik açığı durumundaki kaymayı algılamak için sürekli tarama çalıştırın ve güvenlik açığı olan görüntülere düzeltme eki uygulamak ve bunları değiştirmek için bir "mavi/yeşil/kanarya" işlemi uygulayın.

AKS Otomatik'te iş yükü kimliği ve OIDC veren, Azure hizmetlerine güvenli iş yükü erişimini basitleştirmek için önceden yapılandırılmıştır. AKS Standard'da bu özellikler kullanılabilir ve temel güvenlik duruşunuzun bir parçası olarak etkinleştirilebilir.

Kaynaklara kapsayıcı erişiminin güvenliğini sağlama

Kullanıcılara veya gruplara gereken en düşük ayrıcalıkları vermeniz gerektiği gibi, kapsayıcıları yalnızca gerekli eylem ve işlemlerle de sınırlamanız gerekir. Saldırı riskini en aza indirmek için, yükseltilmiş ayrıcalıklar veya kök erişim gerektiren uygulamaları ve kapsayıcıları yapılandırmaktan kaçının. AppArmor ve seccomp gibi yerleşik Linux güvenlik özellikleri, kaynaklara kapsayıcı erişiminin güvenliğini sağlamak için en iyi yöntemler olarak önerilir.

Kubernetes Gizli Bilgiler

Kubernetes Gizli Anahtarı ile, erişim kimlik bilgileri veya anahtarlar gibi hassas verileri podlara eklersiniz.

1. Kubernetes API'yi kullanarak bir Gizli oluşturun.
2. Podunuzu veya dağıtımınızı belirleyin ve belirli bir Gizli isteyin.
   • Secrets yalnızca bir podun ihtiyaç duyduğu ve zamanlandığı düğümlere sağlanır.
   • Sır tmpfs içinde depolanır, diske yazılmaz.
3. Gizli gerektiren bir düğümdeki son podu sildiğinizde, Gizli düğümün tmpfs'inden silinir.
   • Gizli diziler belirli bir ad alanında depolanır ve yalnızca aynı ad alanı içindeki podlardan erişilebilir.

Gizli dizilerin kullanılması, pod veya hizmet YAML bildiriminde tanımlanan hassas bilgileri azaltır. Bunun yerine, YAML bildiriminizin bir parçası olarak Kubernetes API Sunucusu'nda depolanan Gizli Dizi'yi isteyebilirsiniz. Belirli podun Secret'e erişimini sağlayan bu yaklaşımdır.

Not

Ham gizli dizi bildirim dosyaları, base64 biçiminde gizli dizi verilerini içerir. Daha fazla bilgi için resmi belgelere bakın. Bu dosyaları hassas bilgiler olarak kabul edin ve hiçbir zaman kaynak kontrolüne göndermeyin.

Kubernetes gizli dizileri, dağıtılmış bir anahtar-değer deposu olan etcd'de depolanır. AKS, etcd'deki sırların müşteri tarafından yönetilen anahtarlar kullanılarak kalıcı olarak şifrelenmesine izin verir.

İlgili içerik

AKS kümelerinizin güvenliğini sağlamaya başlamak için bkz . AKS kümesini yükseltme.

Moda özel varsayılanları ve operasyonel sorumlulukları değerlendiriyorsanız bkz. Azure Kubernetes Service (AKS) Automatic nedir?

İlişkili en iyi yöntemler için bkz. AKS'de küme güvenliği ve yükseltmeleri için en iyi yöntemler ve AKS'de pod güvenliği için en iyi yöntemler.

Temel Kubernetes ve AKS kavramları hakkında daha fazla bilgi için bkz:

• Kubernetes / AKS kümeleri ve iş yükleri
• Kubernetes / AKS kimliği
• Kubernetes / AKS sanal ağları
• Kubernetes / AKS depolama
• Kubernetes / AKS ölçeği