DevOps & Altyapı Skill
Bash Defensive Patterns
Sessizce başarısız olmak yerine güvenli şekilde duran, üretim seviyesinde betikler yazmak için savunmacı bir Bash programlama el kitabı.
₺369
K8s Security Policies
NetworkPolicy, Pod Güvenlik Standartları, RBAC ve kabul kontrolüyle Kubernetes kümelerini güvenceye almak için katmanlı savunma rehberi.
Ağ segmentasyonunu, en az ayrıcalıklı erişimi ve kod olarak politikayı birleştirir; böylece tek bir kırılan katman asla tüm kümeyi tehlikeye atmaz.
₺369 tek seferlik
Bir kit içine ekle → Fiyatlara KDV (%20) dahildir. · Gerçek ajans işinden çıkarıldı · tek seferlik, kilit yok
- Tür Skill
- Kategori DevOps & Altyapı
- Teslimat E-posta · anında
- Lisans Tek seferlik
Çalışmanın içinden · kara kutu yok
Satın almadan önce işin kendisini gör.
Skill'in bir cluster'a katman katman giydirdiği birebir derinlemesine savunma sırası. Kara kutu yok, yaptığı iş bu:
- Tabanı namespace seviyesinde Pod Security Standards ile kurar: production namespace'lerinde pod-security.kubernetes.io label'larıyla restricted enforce edilir; warn ve audit modları engellemeden önce öğretmek için kullanılır.
- Ağı default-deny ile başlatır: namespace başına tüm ingress ve egress'i kapatan NetworkPolicy, sonra sadece gerekene açık izin (frontend'den backend'e tek port, kube-system'e DNS). Frontend'den veritabanına doğrudan trafik yapısal olarak imkansızlaşır.
- RBAC'i en az yetkiye indirir: ClusterRole yerine namespace kapsamlı Role, default yerine workload başına özel ServiceAccount, wildcard verb yasak; etkin yetkiler varsayılmaz, kubectl auth can-i ile kanıtlanır.
- Her pod'un çalışma zamanını sertleştirir: runAsNonRoot, tüm capability'ler düşürülür, readOnlyRootFilesystem, privilege escalation kapalı. Ele geçirilen container'ın tırmanacak yeri kalmaz.
- Politikayı kod olarak zorlar: OPA Gatekeeper veya Kyverno ile zorunlu label gibi ConstraintTemplate'ler merge'den önce CI'da koşar (conftest, kyverno apply) ve cluster'da fail-closed çalışır; webhook kesintisi kaynağı geçirmek yerine oluşturmayı engeller.
- Güven boşluğunu mesh mTLS ile kapatır: PeerAuthentication STRICT artı service account principal'larına bağlı AuthorizationPolicy. Cluster'ın içinde olmak bir kimlik değildir.
Tek güç kaynağı. 6 hat dışarı.
k8s-security-policies · çekirdek
çekirdek aktif · 6 hat
- ✓ varsayılan reddet networ…
Varsayılan reddet NetworkPolicy'lerle ağ segmentasyonu uygulamak
- ✓ ad alanı düzeyinde pod g…
Ad alanı düzeyinde Pod Güvenlik Standartlarını zorunlu kılmak
- ✓ en az ayrıcalıklı rbac r…
En az ayrıcalıklı RBAC rolleri ve servis hesapları kurmak
- ✓ opa gatekeeper veya kyve…
OPA Gatekeeper veya Kyverno ile kabul kontrolü eklemek
- ✓ istio ile mtls ve yetkil…
Istio ile mTLS ve yetkilendirme politikaları yapılandırmak
- ✓ cis benchmark ve nist uy…
CIS Benchmark ve NIST uyumluluk gereksinimlerini karşılamak
Aldıkların sende kalır.
Zamanı ileri sar. Ne kaldığını izle.
Sonsuza dek
Sahip olmak tam olarak bu.
Kiralık yığın
yapay zekâ yazım aracı: abonelik
süresi doldu · erişim gittianaliz paketi: abonelik
süresi doldu · erişim gittitasarım platformu: abonelik
süresi doldu · erişim gitti(geriye bir şey kalmadı)
Senin ocağın
-
Ele geçirilmiş bir pod'un tüm kümeye ulaşamaması için yatay hareketi sınırlayın
lisans: kalıcı -
Trafik ve erişimi açıkça izin verilene kadar reddederek güvenli varsayılana geçin
lisans: kalıcı -
Güvensiz manifestleri üretime ulaşmadan önce CI'da yakalayın
lisans: kalıcı -
Eşlenmiş CIS ve NIST kontrolleriyle uyumluluk denetimlerinden geçin
lisans: kalıcı
abonelikler biter · tapular bitmez
Kutudaki her şey.
Bir parçayı eline al. Çalışırken izle.
Ayrıcalıklı, temel ve kısıtlı ad alanları için Pod Güvenlik Standartları etiketleri
6 parça · tek çalışan sistem · e-postayla anında teslim
Bu herkes için dövülmedi.
- Araç kiralamayı sahip olmaya tercih ediyorsan, sana göre değil.
- Yığınını senin yerine başkası yönetsin istiyorsan, sana göre değil.
- Tahmin etmekten memnunsan, sana göre değil.
Ağ izolasyonu, en az ayrıcalıklı erişim ve zorunlu pod güvenliğine ihtiyaç duyan, üretim Kubernetes kümelerini sağlamlaştıran güvenlik ve platform mühendisleri.
o zaman bu senin için dövüldü.Hangi AI ile çalışır
Tasarımı gereği evrensel: her yapay zekada çalışır. Açık Agent Skills + MCP biçiminde gelir (Claude’da yerleşik); ChatGPT, Gemini, Cursor ve Copilot aynı dosyaları kendine uyarlar.
- Claude Yerleşik biçim
- ChatGPT Açık standartla uyarlanır
- Gemini Açık standartla uyarlanır
- Cursor Açık standartla uyarlanır
- Copilot Açık standartla uyarlanır
Aklındakini yakala.
hava temizlendi. seninle ocak arasında hiçbir şey kalmadı.
bir kıvılcım yakala: ocak cevaplar
-
EKS ve GKE gibi yönetilen kümelerdeyiz, bu politikalar orada da geçerli mi?
Geçerli. NetworkPolicy, Pod Security Standards etiketleri, RBAC ve admission control Kubernetes'in kendi mekanizmalarıdır; yönetilen kümelerde de aynen çalışır. Tek kontrol noktası CNI eklentinizin NetworkPolicy desteğidir, yönetilen sağlayıcıların varsayılanları bunu genelde sağlar.
-
Derinlemesine savunma burada somut olarak nasıl katmanlanıyor?
Dört katman üst üste gelir: varsayılan reddeden ağ politikaları yatay hareketi keser, namespace seviyesinde Pod Security Standards riskli pod'ları engeller, en az yetki ilkeli RBAC erişimi daraltır, Gatekeeper veya Kyverno ise güvensiz manifesti daha CI aşamasında yakalar. Bir katman delinse bile diğerleri ayakta kalır.
-
Bu paketi uygulayınca kümem CIS uyumlu olur mu?
Tek başına hayır. Politikalar CIS ve NIST kontrollerine eşlenmiştir ve denetimin önemli kısmını karşılar; ancak tam uyum node sıkılaştırma, audit log yapılandırması ve organizasyonel süreçler de ister. Paket politika katmanını çözer, geri kalanı yol haritanızda kalır.
-
Nasıl teslim edilir?
Satın alımdan hemen sonra e-posta ile iletilir, kuruluma hazır, anında indirilir; bekleme yok.
-
Tek seferlik mi, abonelik mi?
Tek seferlik alımdır; abonelik veya gizli ücret yoktur. Fiyata KDV (%20) dahildir.
-
İade alabilir miyim?
Dijital ürün olduğu için indirildikten sonra iade yapılmaz. Bu yüzden ne içerdiğini ve kime uygun olduğunu burada açıkça paylaşıyoruz.