Container Security: Image'dan Runtime'a Güvenlik Stratejileri

Container security, container lifecycle'ın her aşamasında (build, deploy, runtime) security controls uygulama sürecidir ve DevSecOps pipeline'ının kritik bileşenidir. Image security: minimal base image kullanımı (Alpine, distroless) attack surface azaltır, multi-stage build ile build dependencies production image'dan ayrılır, image scanning (Trivy, Snyk, Grype) ile vulnerability detection yapılır ve image signing (Cosign, Notary) ile image integrity doğrulanır. Registry security, private registry kullanımı (Harbor, ECR, GCR), access control (RBAC), vulnerability scanning policy ve image promotion workflow'ları ile secure image management sağlar. Runtime security, container behavior monitoring (Falco, Sysdig), seccomp ve AppArmor/SELinux profile'ları ile system call restriction, read-only root filesystem ve non-root user execution ile privilege escalation prevention sağlar. Kubernetes security: Pod Security Standards (privileged, baseline, restricted), NetworkPolicy ile pod-to-pod traffic control, RBAC ile least privilege access ve Secrets encryption ile sensitive data protection sağlanır. CI/CD security integration: pre-commit secret scanning, build-time SAST/DAST, image scanning gate ve deployment-time policy enforcement ile shift-left security uygulanır.