EresusSecurity
Araştırmalara Dön
DevSecOps

ArgoCD Mimarisinde GitOps Güvenliği: K8s Kümelerinizi Nasıl Korumalısınız?

Tarık ÇelikDevOps Mühendisi
1 Nisan 2026
Güncellendi: 27 Nisan 2026
6 dk okuma

ArgoCD Mimarisinde GitOps Güvenliği: K8s Kümelerinizi Nasıl Korumalısınız?

Bir Kubernetes kümelesinin (Cluster) içindeki her şey karmaşık ve yönetilmesi zor bir yapıya büründüğünde, modern DevOps ekiplerinin başvurduğu ilk kurtarıcı GitOps mimarisi ve bu mimarinin lider otomasyon aracı ArgoCD olmaktadır. Geleneksel "Push" (İtme) tabanlı dağıtımın aksine ArgoCD, Kubernetes kümenizin içine kurulan ve "Pull" (Çekme) tabanlı çalışan bir kontrolcüdür.

Peki, tüm üretim (Production) altyapınız dışarıdaki tek bir Git deposunu (Repository) körü körüne kopyalamaya programlandığında, siber saldırganların neleri hedef alacağını hiç düşündünüz mü?

Bu kapsamlı ve derinlemesine rehberde, ArgoCD'nin işleyiş mimarisini yapı-bozuma uğratacak, GitOps yapılarında karşılaştığımız en kritik güvenlik risklerini (Supply Chain Attack) ve bu riskleri önlemeye yarayan mimari savunma katmanlarını Eresus Security bakış açısıyla (Black Box Pentest tecrübeleriyle) ele alacağız.

1. ArgoCD Mimarisinin "Karanlık" Yüzü ve Çalışma Mantığı

ArgoCD, GitOps'un bir numaralı kuralına dayanır: "Gerçeğin Tek Kaynağı (Single Source of Truth) Git Deposudur."

ArgoCD bünyesindeki Application Controller isimli servis, sürekli olarak GitHub/GitLab üzerinde belirttiğiniz manifest (YAML) dosyalarını okur. Mevcut Kubernetes kümenizin durumu (Live State) ile Git deposundaki durum (Desired State) arasında bir fark (Drift) varsa, ArgoCD kümenizi hemen Git'teki duruma senkronize eder.

Bu neden güvenlik riskidir? Çünkü sistemin zekası, okuduğu dosyaya tamamen "güvenir". Normalde bir hackerın Kubernetes'i hacklemesi için kube-apiserver'a dışarıdan ulaşması ve JWT token çalması veya kritik bir RBAC bypass etmesi gerekir. Ancak GitOps kullanıyorsanız, hackerların hedefi artık Kubernetes sunucusu değildir; sadece "Git Deponuz"dur.

Geliştiricilerden birinin zafiyetli ve korumasız kişisel Access Token'ı sızdırılırsa, saldırgan Git deponuzdaki bir YAML dosyasını sessizce değiştirebilir (replicas: 1 -> replicas: 0 veya zararlı bir container imajı eklemek). ArgoCD, komutun hacker'dan geldiğini bilmez, durumu anında production kümesine senkronize eder (Uygular). Siz daha ne olduğunu anlamadan K8s sunucunuz kendi elleriyle kendi içine truva atı çekmiş olur.

2. Derinlemesine Zafiyet İstismarı: ArgoCD Saldırı Vektörleri

Bir Red Team operasyonunda ArgoCD hedeflendiğinde aşağıdaki spesifik yapılandırma hataları ilk olarak taranır:

A. RBAC Düzenlemeleri (Role-Based Access Control) Hataları

ArgoCD'nin kendi arayüzü ve API'si, kümülatif bir RBAC sistemine sahiptir. Eğer ArgoCD'nin UI'ında herkes her Project (Proje) objesini silebilir ve deploy edebilirse, alt seviyeli bir Jenkins botunun şifresinin ele geçirilmesi (Compromise), tüm Cluster'ın "Delete" komutu ile silinmesine yol açabilir.

  • Çözüm: ArgoCD içerisinde policy.csv dosyalarınıza OIDC (OpenID Connect) ile Azure AD veya Keycloak bağlamalı, takımları sadece kendi K8s Namespace'lerine kısıtlamalısınız.

B. Insecure Repository Credential Storage

ArgoCD, özel (Private) git depolarını çekebilmek için yetkiye ihtiyaç duyar. Bu yetkiler K8s içerisinde Secret objesi olarak kadeydiledirilir. Eğer ArgoCD kurulumunuzdaki argocd-secret düzmetin (Plaintext) base64 olarak depolanıyorsa ve Pod'lara giren herhangi bir kullanıcının okuma yetkisi varsa, şirketin ana depo anahtarları dakikalar içinde kopyalanır.

  • Çözüm: ArgoCD kurulumunuzu mutlaka bir Secret Management entegrasyonu (Örn: HashiCorp Vault veya AWS Secrets Manager) ile "External Secrets" olarak bağlayın. K8s Etcd'sinde statik key bırakmayın.

C. Server-Side Request Forgery (SSRF) Riskleri

ArgoCD bir dış depoya (Helm Chart / Git Repo) sürekli HTTP istekleri atmak zorundadır. Yapılandırma hatalarında saldırganlar, ArgoCD arayüzünün (veya API) içinden AWS Cloud Metadata (169.254.169.254) veya şirket iç ağındaki diğer servislere sahte istekler yönlendirebilir.

3. Güvenli Bir ArgoCD Mimarisi İçin Savunma Pratikleri (Hardening)

Bir DevSecOps mühendisi olarak K8s yapınızı GitOps ile yönetiyorsanız aşağıdaki kontrol listesini eksiksiz uygulamalısınız:

  1. Commit İmzalama (GPG/SSH Signing): ArgoCD, sadece doğrulanmış (Verified) ve geliştiricilerin yerel bilgisayarlarında kriptografik olarak imzalanmış Commit'leri K8s kümesinde eşiklemelidir. İmzası olmayan bir commit gelirse, senkronizasyon doğrudan Reddedilmelidir.
  2. App of Apps Mimarisinde Sıkılaştırma: ArgoCD, ana bir uygulama manifestini okuyup alt uygulamaları tetikleyecekse, Root Application'ın barındırıldığı Git Reposuna sadece "Merge Request (PR)" süreçlerindeki en az 2 Senior onayı kuralını getirin. Branch Protection Rules hayati önem taşır.
  3. Kapsama Alanını Daraltın (Project Scoping): Jenkins'ten ArgoCD'ye CI/CD entegrasyonu yapıyorsanız, tek bir global CI tokeni yerine, her Namespace için özel argocd account generate-token komutu ile kısıtlı roller atayın.

Sonuç: ArgoCD ve GitOps geleceğin standartlarıdır. Ancak otomasyonun sınırları güvenlik felsefesiyle daraltılmadığı sürece K8s Cluster'ı kendi felaketini otomatik olarak çekmeye programlanmış bir robota dönüşebilir. Kümenizin dış bağlantılara (Inbound/Outbound) olan mimari direncini test etmek için Sızma Testi ve K8s Mimari Analizi operasyonlarınızı geciktirmeyin.

Saha Kontrol Notları

DevSecOps güvenliği, pipeline’a araç eklemekten daha fazlasıdır. Asıl hedef, riskli değişikliğin production’a taşınmadan görünür ve durdurulabilir hale gelmesidir.

İnceleme sırasında şu kanıtlar toplanmalıdır:

  • CI/CD token’ları hangi kaynaklara erişiyor?
  • Secret bulunduğunda otomatik revoke veya rotate akışı var mı?
  • Branch protection ve environment approval açık mı?
  • Build artefact’ları imzalanıyor mu?
  • Container image kaynakları doğrulanıyor mu?
  • Dependency güncellemeleri güven politikasıyla yönetiliyor mu?
  • Pipeline loglarında hassas veri tutuluyor mu?
  • Deploy kimliği kişisel hesaplardan ayrılmış mı?
  • Incident halinde hangi secret’ın kullanıldığı görülebiliyor mu?
  • Retest için pipeline kanıtı üretilebiliyor mu?

Uygulama Kontrol Listesi

  • Uzun ömürlü token’lar azaltılmalı.
  • Secret scanning rotasyon akışıyla bağlanmalı.
  • İmzasız artefact production’a alınmamalı.
  • Kritik branch’lerde review ve status check zorunlu olmalı.
  • Pipeline yetkileri ortam bazında ayrılmalı.
  • Olay müdahalesi kod temizliğiyle sınırlı bırakılmamalı.

Karar Noktası

Secret veya CI/CD token production erişimi sağlayabiliyorsa olay acildir. Eresus Security pipeline, token ve artefact zincirini birlikte inceleyerek gerçek etki alanını çıkarır.

Operasyonel İnceleme Checklisti

  • Secret bulunduğunda revoke ve rotate akışı var mı?
  • CI/CD token kapsamı minimum yetkide mi?
  • Branch protection zorunlu mu?
  • Environment approval kritik deploylarda açık mı?
  • Artefact imzası doğrulanıyor mu?
  • Pipeline logları secret sızdırıyor mu?
  • Dependency güveni build aşamasında kontrol ediliyor mu?
  • Container registry erişimi sınırlı mı?
  • Git history temizliği olay müdahaleden ayrıldı mı?
  • Token kullanım kanıtı loglardan çıkarılabiliyor mu?
  • Kapsam net yazıldı mı?
  • Etkilenen varlık sahibi belli mi?
  • Test ortamı production etkisinden ayrıldı mı?
  • Kullanıcı rolleri doğru temsil ediliyor mu?
  • Hassas veri sınıfı tanımlandı mı?
  • Yetki sınırı teknik olarak doğrulandı mı?
  • Log kaynağı ve saklama süresi belli mi?
  • Bulgu tekrar üretilebilir kanıtla destekleniyor mu?
  • İş etkisi teknik etkiden ayrı açıklandı mı?
  • Düzeltme sahibi belirlendi mi?
  • Retest kriteri yazıldı mı?
  • Benzer risklerin nerelerde tekrar edebileceği kontrol edildi mi?
  • Monitoring veya alert tarafında görünürlük var mı?
  • Olay müdahale adımı gerekiyorsa planlandı mı?
  • Yönetim özeti teknik jargona boğulmadan hazırlanabilir mi?

Sonraki Teknik Adım

Bu checklist tamamlandıktan sonra bulgular önem sırasına göre backlog’a taşınmalı, kritik riskler için retest planı çıkarılmalı ve ilgili servis/hub sayfasına iç bağlantı verilmelidir. Eresus Security bu aşamada kapsam netleştirme, kanıt üretme ve remediation önceliklendirme konusunda teknik ekiplerle birlikte çalışır.

Ek Kontrol Soruları

  • Bu risk hangi varlıkları etkiliyor?
  • Hangi kullanıcı rolleri bu akışa erişebiliyor?
  • Aynı sorun başka endpoint veya entegrasyonda tekrar ediyor mu?
  • Bulgunun müşteri verisine etkisi var mı?
  • Loglardan olayın izi sürülebiliyor mu?
  • Düzeltme sonrası retest nasıl yapılacak?
  • Geçici önlem ile kalıcı çözüm ayrıldı mı?
  • İş etkisi teknik ekibin dışında da anlaşılır mı?
  • Benzer hata için önleyici kontrol eklenebilir mi?
  • Ekip bu kontrolü release sürecine bağlayabilir mi?
  • Gerekirse bağımsız doğrulama için hangi kanıtlar hazırlanmalı?
  • Sonraki sprintte hangi iç bağlantı ve servis sayfası desteklemeli?

Güvenlik Doğrulaması

Bu riski kendi sisteminizde test ettirdiniz mi?

Eresus Security; sızma testi, AI ajan güvenliği ve kırmızı takım operasyonlarıyla gerçek istismar kanıtı üretir.

Pilot test talep et

İlgili Araştırmalar

DevSecOps

Secret Scanning İçin SAST Yeterli mi?

SAST, secret scanning, git history, valid credential doğrulama ve incident response arasındaki farkları DevSecOps bakışıyla açıklıyoruz.

DevSecOps

Git History'deki Secret Sızıntısı Nasıl Temizlenir?

Git geçmişine düşen API key, cloud token veya private key sızıntısında revoke, rotate, log inceleme ve kalıcı önleme adımlarını anlatıyoruz.

DevSecOps

Kubernetes Image Signing ve Admission Policy

Kubernetes ortamlarında imzasız container image kullanımını engellemek için image signing, provenance ve admission policy yaklaşımını anlatıyoruz.