Güvenlik
Bilgi güvenliği savunmamız çok katmanlıdır. Aşağıda uyguladığımız teknik ve operasyonel kontrollerin tam listesi yer almaktadır.
🔐 Şifreleme
Transit Şifreleme
TLS 1.2 / 1.3 — tüm trafik uçtan uca şifrelidir. Cloudflare Edge + Let's Encrypt sertifikaları, HSTS aktif, modern cipher suite'ler.
- • ECDHE-ECDSA-AES256-GCM-SHA384
- • ECDHE-RSA-AES256-GCM-SHA384
- • HSTS max-age 1 yıl
Off-site Backup Şifreleme
AES-256 client-side encryption (rclone crypt). Off-site yedek dosya adı + içeriği şifreli, Hetzner çalışanı dahi veriyi okuyamaz.
- • Filename + path encryption
- • AES-256 simetrik
- • Storage Box (Almanya, AB)
Dijital İmza
RSA-2048 imza algoritması, anahtar yönetim sistemi (KMS) içinde saklanır. Özel anahtar KMS dışına çıkmaz.
- • OpenBao Transit Engine
- • exportable=false
- • SHA-256 hash
Biyometrik Veri Şifreleme
AES-256-GCM ile ayrı şifreleme. Açık rıza alınmadan toplanmaz. ISO/IEC 19794-7:2014 formatında saklanır.
- • KMS Transit Biometric Engine
- • 1 yıl saklama (KVKK m.6)
- • Açık rıza geri çekilebilir
🔑 Erişim Kontrolü
- ✓ JWT RS256 — kullanıcı kimlik doğrulama (Auth0'dan kendi imzaya geçildi).
- ✓ OAuth 2.0 — Google, Facebook, Twitter/X (Apple yakında).
- ✓ OTP doğrulama — e-posta + SMS, 6 haneli kod, 5 dakika geçerli, 5 deneme limiti.
- ✓ Iki faktörlü kimlik doğrulama (MFA) — tüm 14 yönetim panelinde zorunlu.
- ✓ Rol tabanlı erişim kontrolü (RBAC) — Kubernetes ve uygulama seviyesinde.
- ✓ Periyodik erişim incelemesi — 3 ayda bir review (ISO 27001 A.5.18).
- ✓ Yönetim paneli VPN-only — internal admin servisleri yalnızca OpenVPN üzerinden erişilebilir.
- ✓ Sealed Secrets — Kubernetes secret'ları git'te şifreli (bitnami-labs/sealed-secrets).
🌐 Ağ Güvenliği
WAF + DDoS Koruması
Cloudflare Web Application Firewall, 5 özel kural + standart OWASP. DDoS auto-mitigation. Bot management.
Network Segmentation
Kubernetes NetworkPolicy ile namespace izolasyonu. 9 yeni namespace'de default-deny-ingress + allowlist (lateral movement koruması).
VPN Erişim
OpenVPN ile yönetim panellerine VPN-only erişim. Sysadmin erişimi tüm sistem internetten izole.
Pod Security Standards
Kubernetes PSS restricted (yeni namespace'lerde). Kyverno policy enforcement (disallow latest tag, network policy zorunlu).
🛡️ Tehdit Tespiti ve Önleme
Antivirus
ClamAV cluster-internal — yüklenen tüm dosyalar upload anında taranır. EICAR test edilmiş, prod'da aktif.
Zafiyet Taraması
Trivy Operator v0.32.1 sürekli ConfigAuditReport + VulnerabilityReport. Trivy CI ile her image build'de zafiyet kontrolü.
Bağımlılık Güncellemeleri
Renovate (Mend GitHub App) — otomatik güvenlik güncellemeleri ve CVE patch.
Audit Log
Uygulama + KMS + Kubernetes API + template değişiklik audit. 5 yıl saklama (ISO 27001 A.8.15).
Penetration Testing
Yıllık 3rd party pentest (ISO 27001 ve SOC 2 sürecinin parçası). İlk pentest 2026 Q3'te planlanmıştır.
PII Log Maskeleme
Loki Alloy pipeline'ında otomatik PII redaction (e-posta, telefon, TCKN). IP adresleri son oktet maskelenir.
📊 7/24 İzleme ve Alerting
Prometheus + Grafana
Metrik toplama + 21 dashboard, 228 kart
Loki Log Aggregation
Tüm pod log'ları, PII otomatik maskelenir
GlitchTip Error Tracking
Real-time hata bildirimi (Sentry alternatifi)
AlertManager
42 aktif alert kuralı, on-call rotation
Backup Health Monitor
Saatlik kontrol + Mailgun alert
💾 4-Katmanlı Yedekleme
Felaket kurtarma stratejimiz 4 bağımsız katmandan oluşur. Her katmanın kendi rotasyon politikası vardır; biri arızalansa bile diğerleri devrede kalır.
Velero — Kubernetes Manifest + PVC
Daily 03:00 + Weekly Pazar 04:00 UTC, MinIO target, 7-30 gün retention
PostgreSQL pg_dump — 7 Database
6 saatte bir, MinIO pg-backup bucket, 7 gün retention
Proxmox vzdump — VM Snapshot
Daily 02:00 UTC, zstd compression, 2-daily + 1-weekly
Hetzner Storage Box — Off-site Encrypted Mirror
Daily 03:30 + 04:30 UTC, AES-256 client-side, AB lokasyon, 14 gün retention
4-8h
RTO (host kaybı)
6h
RPO (DB)
PASS
DR drill (Nisan 2026)
👥 Operasyonel Güvenlik
- ✓Tüm personel için NDA ve gizlilik sözleşmesi imzalı
- ✓Yıllık güvenlik farkındalık eğitimi (ISO 27001 A.6.3)
- ✓Incident response runbook — 5 fazlı yanıt + VERBİS bildirim şablonu (72 saat içinde)
- ✓Change management — GitOps + ArgoCD ile deklaratif deploy
- ✓Migration drift kontrolü — Prisma schema değişiklikleri deploy öncesi doğrulanır
- ✓Dual deploy gate — test ortamı 24h soak sonra prod'a alınır (asla doğrudan main'e push)
- ✓Tedarikçi güvenlik değerlendirmesi — Hetzner ISO 27001, Cloudflare SOC 2, Mailgun GDPR DPA
- ✓K8s API audit log — kim/ne/ne zaman, /var/log/kubernetes/audit.log
Güvenlik Açığı Buldunuz mu?
Sorumlu bir şekilde bildirin. 24 saat içinde dönüş yaparız. Geçerli açık bildirimleri için ödüllendirme programımız hazırlanmaktadır.
Lütfen detayı PGP/şifreli iletişim ile gönderin. Public disclosure öncesi 90 gün düzeltme süresi rica ederiz.
Son güncelleme: 29 Nisan 2026 — Versiyon: 1.0