---
title: K8s Security Policies
category: product
entity_type: skill
price: ₺369
canonical: https://forgehouse.ai/tr/skiller/k8s-security-policies/
lang: tr
hreflang_alt: https://forgehouse.ai/skills/k8s-security-policies/
last_updated: 2026-06-20
---

# K8s Security Policies

> Implement Kubernetes security policies including NetworkPolicy, PodSecurityPolicy, and RBAC…

NetworkPolicy, Pod Güvenlik Standartları, RBAC ve kabul kontrolüyle Kubernetes kümelerini güvenceye almak için katmanlı savunma rehberi. Ağ segmentasyonunu, en az ayrıcalıklı erişimi ve kod olarak politikayı birleştirir; böylece tek bir kırılan katman asla tüm kümeyi tehlikeye atmaz.

## Ne için kullanılır
- Varsayılan reddet NetworkPolicy'lerle ağ segmentasyonu uygulamak
- Ad alanı düzeyinde Pod Güvenlik Standartlarını zorunlu kılmak
- En az ayrıcalıklı RBAC rolleri ve servis hesapları kurmak
- OPA Gatekeeper veya Kyverno ile kabul kontrolü eklemek
- Istio ile mTLS ve yetkilendirme politikaları yapılandırmak
- CIS Benchmark ve NIST uyumluluk gereksinimlerini karşılamak

## Faydalar
- Ele geçirilmiş bir pod'un tüm kümeye ulaşamaması için yatay hareketi sınırlayın
- Trafik ve erişimi açıkça izin verilene kadar reddederek güvenli varsayılana geçin
- Güvensiz manifestleri üretime ulaşmadan önce CI'da yakalayın
- Eşlenmiş CIS ve NIST kontrolleriyle uyumluluk denetimlerinden geçin

## Ne içerir
- Ayrıcalıklı, temel ve kısıtlı ad alanları için Pod Güvenlik Standartları etiketleri
- Varsayılan reddet, izinli akışlar ve DNS çıkışı için NetworkPolicy şablonları
- En az ayrıcalık için RBAC Role, ClusterRole ve RoleBinding desenleri
- Düşürülmüş yetkiler ve salt okunur dosya sistemiyle kısıtlı pod güvenlik bağlamı
- OPA Gatekeeper kısıt şablonu ve Istio mTLS ile yetkilendirme politikası
- NetworkPolicy ve RBAC izin kontrolleri için sorun giderme komutları

## Kimler için
Ağ izolasyonu, en az ayrıcalıklı erişim ve zorunlu pod güvenliğine ihtiyaç duyan, üretim Kubernetes kümelerini sağlamlaştıran güvenlik ve platform mühendisleri.

## Nasıl çalışır
Skill'in bir cluster'a katman katman giydirdiği birebir derinlemesine savunma sırası. Kara kutu yok, yaptığı iş bu:
1. Tabanı namespace seviyesinde Pod Security Standards ile kurar: production namespace'lerinde pod-security.kubernetes.io label'larıyla restricted enforce edilir; warn ve audit modları engellemeden önce öğretmek için kullanılır.
2. Ağı default-deny ile başlatır: namespace başına tüm ingress ve egress'i kapatan NetworkPolicy, sonra sadece gerekene açık izin (frontend'den backend'e tek port, kube-system'e DNS). Frontend'den veritabanına doğrudan trafik yapısal olarak imkansızlaşır.
3. RBAC'i en az yetkiye indirir: ClusterRole yerine namespace kapsamlı Role, default yerine workload başına özel ServiceAccount, wildcard verb yasak; etkin yetkiler varsayılmaz, kubectl auth can-i ile kanıtlanır.
4. Her pod'un çalışma zamanını sertleştirir: runAsNonRoot, tüm capability'ler düşürülür, readOnlyRootFilesystem, privilege escalation kapalı. Ele geçirilen container'ın tırmanacak yeri kalmaz.
5. Politikayı kod olarak zorlar: OPA Gatekeeper veya Kyverno ile zorunlu label gibi ConstraintTemplate'ler merge'den önce CI'da koşar (conftest, kyverno apply) ve cluster'da fail-closed çalışır; webhook kesintisi kaynağı geçirmek yerine oluşturmayı engeller.
6. Güven boşluğunu mesh mTLS ile kapatır: PeerAuthentication STRICT artı service account principal'larına bağlı AuthorizationPolicy. Cluster'ın içinde olmak bir kimlik değildir.

## Sık sorulanlar
### EKS ve GKE gibi yönetilen kümelerdeyiz, bu politikalar orada da geçerli mi?
Geçerli. NetworkPolicy, Pod Security Standards etiketleri, RBAC ve admission control Kubernetes'in kendi mekanizmalarıdır; yönetilen kümelerde de aynen çalışır. Tek kontrol noktası CNI eklentinizin NetworkPolicy desteğidir, yönetilen sağlayıcıların varsayılanları bunu genelde sağlar.

### Derinlemesine savunma burada somut olarak nasıl katmanlanıyor?
Dört katman üst üste gelir: varsayılan reddeden ağ politikaları yatay hareketi keser, namespace seviyesinde Pod Security Standards riskli pod'ları engeller, en az yetki ilkeli RBAC erişimi daraltır, Gatekeeper veya Kyverno ise güvensiz manifesti daha CI aşamasında yakalar. Bir katman delinse bile diğerleri ayakta kalır.

### Bu paketi uygulayınca kümem CIS uyumlu olur mu?
Tek başına hayır. Politikalar CIS ve NIST kontrollerine eşlenmiştir ve denetimin önemli kısmını karşılar; ancak tam uyum node sıkılaştırma, audit log yapılandırması ve organizasyonel süreçler de ister. Paket politika katmanını çözer, geri kalanı yol haritanızda kalır.

## Fiyat
₺369, tek seferlik, abonelik yok. KDV dahil.

İlgili rehber: [Pazarlama ajansını yapay zekâ ile yönetmek](https://forgehouse.ai/tr/rehberler/pazarlama-ajansi-yapay-zeka-otomasyon/)