← Tüm terimler
Gizli Bilgi Yönetimi

Gizli Bilgi (Secrets) Yönetimi Nedir?

Gizli bilgi yönetimi; uygulamaların ve makinelerin birbirine kimlik doğrulamak için kullandığı parola, API anahtarı, belirteç ve sertifikaları güvence altına alır.

Son güncelleme: 13 Temmuz 2026

Neler Gizli Bilgi Sayılır

Gizli bilgiler, insan olmayan aktörlerin kimlik doğrulamak için kullandığı kimlik bilgileridir: uygulama yapılandırmasına gömülü veritabanı parolaları, üçüncü taraf servisler için API anahtarları, OAuth belirteçleri, TLS sertifikaları ve özel anahtarlar, otomasyonun kullandığı SSH anahtarları ve mikro servisleri birbirine bağlayan bağlantı dizeleri. Modern bir ortamda bu makine kimlik bilgileri, insan parolalarından kat kat fazladır.

Gizli bilgi yönetimi; bu değerleri şifreli ve erişimi denetlenen bir depoda saklama, koda veya imajlara gömmek yerine çalışma anında iş yüklerine teslim etme, düzenli olarak döndürme ve her erişimi denetleme disiplinidir. İyi yapıldığında bir gizli bilgi; depolara, CI hatlarına ve yapılandırma dosyalarına dağılmak yerine yönetilen tek bir yerde bulunur.

Neden Önemli

Sızmış gizli bilgiler, bulut ihlallerinin en yaygın nedenleri arasındadır. Herkese açık depolara işlenen API anahtarları, derleme kayıtlarında unutulan belirteçler ve konteyner imajlarına gömülü parolalar, ifşadan dakikalar sonra otomatik tarayıcılar tarafından düzenli olarak toplanır. İnsan oturumundan farklı olarak, sızmış bir makine kimlik bilgisi çoğu zaman MFA ve anomali tespiti içermez; elinde tutan kim olursa olsun sessizce çalışır.

Dağınıklık sorunu büyütür: merkezî yönetim olmadan bir gizli bilginin kaç kopyasının var olduğunu, hangi sistemlerin ona bağımlı olduğunu veya güvenle döndürülüp döndürülemeyeceğini kimse bilemez. Ele geçirilen gizli bilgilerin bir sızıntı keşfedildikten sonra bile aylarca geçerli kalmasının nedeni bu belirsizliktir.

Uygulamada Gizli Bilgi Yönetimi

Ekipler genellikle kodu, yapılandırmayı ve dağıtım hatlarını gömülü gizli bilgiler için tarayarak başlar; ardından bulunanları merkezî bir depoya taşır ve sabit kodlanmış değerleri çalışma anında alımla değiştirir. Platformların desteklediği yerlerde kısa ömürlü, dinamik olarak üretilen kimlik bilgileri tercih edilir; bir saat içinde süresi dolan bir gizli bilginin iptal edilmesine neredeyse gerek kalmaz. Erişim politikaları her iş yükünü yalnızca ihtiyaç duyduğu gizli bilgilerle sınırlar ve her okuma kaydedilir.

Gizli bilgi yönetimi PAM ile örtüşür: iki disiplin de kimlik bilgilerini kasalar, döndürür ve denetler; gizli bilgi yönetimi uygulama hızında makineden makineye kimlik doğrulamaya odaklanır. Bu tabloda Monopam; sunucu, veritabanı ve servis hesabı parolaları gibi altyapı kimlik bilgilerinin kasalanmasını ve rotasyonunu üstlenir; özel uygulama gizli bilgi araçlarının yerini almak yerine onları tamamlar.

Sık sorulan sorular

Gizli bilgi yönetimi ile PAM arasındaki fark nedir?
PAM öncelikle insanların ayrıcalıklı hesaplara erişimini onaylar, oturum aracılama ve kayıtla yönetir. Gizli bilgi yönetimi ise makineden makineye kimlik bilgilerini yönetir; bunları döngüde insan olmadan çalışma anında uygulamalara teslim eder. İki disiplinin çekirdeğinde kasalama ve rotasyon ortaktır; birçok kuruluş ikisini aynı politikalara ve denetim izine bağlı olarak birlikte işletir.
Gizli bilgileri koda gömmek neden tehlikelidir?
Koddaki bir gizli bilgi, kodun gittiği her yere kopyalanır: sürüm geçmişi, çatallar, yedekler, derleme çıktıları ve geliştirici bilgisayarları. Özel depolar bile yanlış yapılandırma veya hesap ele geçirme yoluyla sızar; otomatik tarayıcılar ifşa olan anahtarları dakikalar içinde bulur. Bir kez işlendiğinde gizli bilgi ele geçirilmiş sayılmalı ve döndürülmelidir; çünkü satırı silmek geçmişi silmez.
Dinamik gizli bilgiler nedir?
Dinamik gizli bilgiler, tek bir tüketici için ve kısa ömürle talep üzerine üretilen kimlik bilgileridir; örneğin tek bir iş için oluşturulan ve bir saat sonra süresi dolan bir veritabanı oturumu. Her biri benzersiz ve kısa ömürlü olduğu için sızıntıların değeri düşüktür ve iptal büyük ölçüde otomatiktir. Tam zamanında erişimin makine kimlik bilgisi karşılığıdırlar.