Kurumsal düzeyde • CNI bağımsız • East-west + egress

Yatay hareketi durdur. Her Kubernetes için.

Gözlenen east-west ve egress trafiğini güvenli, uygulanabilir NetworkPolicy’ye dönüştürün — GitOps, ITSM düzeyinde onaylar ve tek tıkla rollback ile.

Demo Talep Et Ürün Genel Bakış

SİNYALLER

Radar & Monitor

Kafka flow + ACL izleme

Container Security Tools

Trafik radarı + güvenlik sinyalleri

POLICY ENGINE

CONTROL PLANE

Policy Lifecycle

Önerir → yönetir → onaylar → roll out → audit. Legacy network change control’a benzer.

Recommend→Govern→Operate

GitOpsApproval gatesRollback

KUBERNETES CLUSTER

NamespacesNetworkPolicy

PROD

allow: app → db

PLATFORM

deny: default

DEV

allow: dev-tools

allow: test-suite

East-west ve egress trafiği. Gerçek zamanlı.

Axera, cluster içindeki workload’ların birbiriyle nasıl konuştuğunu — ve dışarıya hangi servislere eriştiğini — canlı olarak haritalar; sonra bu akışları yönetilebilen, versiyonlu ve geri alınabilir NetworkPolicy’ye dönüştürür.

East-westEgressHer CNIGerçek zamanlı

East-west

Namespace’ler arası pod-to-pod trafiği; CNI flow log’larından alınan allow/deny kararlarıyla.

Egress

Dış servislere, FQDN ve IP aralıklarına giden çıkış trafiği — gözlemlenir, kaynağı ile eşleştirilir ve policy ile yönetilir.

Read-only sinyal alımı. Workload’lara dokunmadan, sidecar enjekte etmeden.

Canlı topoloji

Gerçek zamanlıHer CNI

İzinli akışBloklanan akışEgress (cluster dışı)

Üç deployment modu. Tek yönetim düzlemi.

Axera ortamınıza uyum sağlar, tersi değil. Her cluster için modu siz seçin — mevcut container security tool'larıyla agentless, kendi eBPF DaemonSet'imizle agent-based veya hibrit. Hepsinde aynı UI, aynı RBAC, aynı audit trail.

AgentlesseBPF agentHibritNetObserv tabanlı

Agentless

Zaten çalıştırdığınız container security tool'larına bağlanın — Prisma Cloud, Red Hat ACS / StackRox. Cluster'a Axera tarafından sıfır kurulum. Bileşen ekleme zor olan veya başka yerden yönetilen ortamlar için doğru tercih.

eBPF agent

Kernel seviyesinde yakalama için tek bir privileged DaemonSet (NetObserv tabanlı) deploy edin — DNS çözümlemesi, packet translation ve round-trip time dahil. Workload sidecar'ı yok, pod başına agent yok. Cluster'ı sizin kontrol ettiğiniz, daha zengin sinyal istediğiniz yerlerde doğru tercih.

Hibrit

Cluster başına farklı mod. Production'da eBPF agent ile zengin sinyal, test/dev'de agentless, karmaşık ortamlarda yan yana ikisi. Tek Axera düzlemi hepsini yönetir.

axera-flow-agent.yaml

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: axera-flow-agent
  namespace: axera-flow
spec:
  template:
    spec:
      hostNetwork: true
      containers:
        - name: ebpf-agent
          image: quay.io/netobserv/netobserv-ebpf-agent
          env:
            - { name: ENABLE_DNS_TRACKING, value: "true" }
            - { name: ENABLE_RTT,           value: "true" }
            - { name: DIRECTION,            value: "both" }
        - name: flowlogs-pipeline
          image: quay.io/axera/axera-flowlogs-pipeline:v1

Bir flow nasıl policy olur?

Yakalama

Her node'daki eBPF DaemonSet veya container security tool export'u — cluster için seçilen moda göre.

Zenginleştirme

FLP pipeline K8s metadata ekler: pod, owner, namespace; subnet etiketler (cluster vs egress).

Yönlendirme

East-west akışlar → cluster topic; cluster-out egress → external-flows topic. Yön başına ayrı Kafka topic.

Policy

Radar görselleştirir; motor least-privilege NetworkPolicy üretir; Axera change-control üzerinden cluster'ınıza ship eder.

Hangi modu seçerseniz seçin — agentless, agent veya hibrit — yönetim düzlemi aynıdır: aynı UI, RBAC, audit trail ve NetworkPolicy yaşam döngüsü. Ortamınız değiştikçe modu cluster bazında değiştirin.

Gerçek ürün ekranları

Çalışan bir Axera kurulumundan gerçek ekranlar — topology, policy yönetimi, izleme, analitik. Mockup yok.

Network policy overview — etkileşimli cluster topolojisi — Servis topolojisi
Cluster genelinde her namespace ve pod’un etkileşimli haritası; allow/drop kararları renk kodlu.

Policy yönetimi — managed network policy listesi — Policy yönetimi
NetworkPolicy operasyonel merkezi: managed/unmanaged durum, ingress/egress tipler, pod selector’lar ve aksiyonlar.

Policy izleme — canlı ACL stream — Canlı policy izleme
Gerçek zamanlı CNI verdict’leri (bu görüntüde 146+ akış), verdict bazlı renkleme, filtreler ve tek tık ‘drop to rule’.

Analitik — kapsama, anomaly’ler, dağılım — Analitik & anomaly tespiti
Cluster seviyesinde posture: toplam olaylar, allow/drop trendi, anomaly işaretleri ve dağılım özeti.

Nasıl çalışır

Uçtan uca policy lifecycle, üç fazda — salt-okunur sinyal alımı, kurumsal change control’a uyumlu governance ve denetlenmiş day-2 operasyonu.

Observe

East-west ve egress trafiğinin salt-okunur alımı; sürekli baseline ve drift tespiti.

1.1
Sinyalleri bağla
Mevcut ağ ve güvenlik stack’inizden trafiği, telemetriyi ve intent’i salt-okunur olarak toplayın.
1.2
Gözlemle & baseline
Servis iletişimini ve egress’i sürekli gözlemleyin, baseline çıkarın; enforce öncesi drift’i ortaya koyun.

Read-onlyAgent yokHer CNI

Govern

Least-privilege öneriler, versiyonlu policy yönetimi ve ITSM’e hizalı onay kapıları — asla otomatik enforce edilmez.

2.1
Policy öner
Tam diff, risk etiketleri ve gerekçesiyle least-privilege NetworkPolicy adayları.
2.2
Policy yönetimi
PR benzeri change control ile versiyonlama, ownership ve review — legacy ağ kuralı yönetimine benzer.
2.3
Onay & ITSM
Jira, ServiceNow, Linear veya Azure DevOps ile entegre — policy değişiklikleri kurumsal change management’tan akar.

DiffRBACITSMGitOps

Operate

Rollback’li deploy, runtime ile karşılaştırmalı izleme ve yöneticiye sunulan kapsama ile posture raporları.

3.1
Rollout & enforcement
Doğrudan cluster’a push edin ya da cron ile zamanlayın — her değişiklikte versiyonlu rollback.
3.2
İzleme & audit
İhlal, drift ve kullanılmayan kuralları sürekli izleyin; tam audit trail.
3.3
Analitik & rapor
Kapsama, risk posture ve uyum trendleri — yöneticiye hazır dashboard ve audit-ready rapor.

RollbackForensicsExport

Politika modları

Operasyonel olgunluğunuza uygun enforce stratejisini seçin.

●Conservative rollout

SoftTemkinli başlangıç

Önce temkinli başlayın — east-west ve egress trafiğini gözlemleyip etkiyi doğrulayın, sonra sıkılaştırın.

Önce gözlem + baseline
Düşük risk: kademeli daraltma
Rollback-ready değişiklikler

Operasyon yolu

Soft

Restricted

Custom

Soft ile güvenli başla. Restricted ile onay kapılarıyla sıkılaştır. Custom ile standardına uyumla.

Policy Management

Monitoring & Auditing

Analytics

ITSM

Policy Yönetimi

NetworkPolicy'leri legacy network change control standardında yönetin: diff, onay kapıları, audit ve rollback.

CHANGE CONTROL

PR-benzeri süreç, audit-ready çıktı

Policy-as-CodeDeğişiklikler PR üzerinden ilerler; diff, owner ve review net.
Dry-run & Etki AnaliziUygulamadan önce: ne bloklanır, ne açılır, kim etkilenir.
Approval Gates & ITSMJira, ServiceNow, Linear ve Azure DevOps ile uyumlu change request ve onay süreçleri.
Kademeli Rollout + RollbackGüvenli rollout ve gerektiğinde anında geri dönüş.

GitOpsRBACITSMAudit trail

Change Set Preview

PR #1842 • prod • payments

Ready for approval

Approvals

SecurityPlatformChange window

ITSM

JiraServiceNowTASK-21987 bağlı

Policy diff

+ allow: payments/api -> payments/db : 5432
+ allow: payments/worker -> kafka : 9092
~ deny: default (scoped)

Audit trail

Approved by Security2 dk önce

Scheduled to change windowBugün 02:00

İzleme & Analitik

Agentless veya eBPF agent modunda gelen east-west + egress kararlarını gerçek zamanlı izleyin; coverage ve risk posture'ı ölçün — tek panelde.

ACL Verdicts

eBPF DaemonSet veya container security tool'larından east-west ve egress allow/drop kararlarını gerçek zamanlı stream edin.

Drift & Violations

Policy ile runtime davranışı uyuşmazsa anında tespit edin.

Coverage & Risk

Hangi servisler korunuyor, hangileri açık — risk yüzeyini ölçün.

Anomali Tespiti

Trafik pattern'lerindeki sapmaları otomatik tespit edin, araştırın.

Karşılaştırma

Dönemler, cluster'lar veya namespace'ler arası policy posture karşılaştırması.

Raporlar & Export

PDF ve Excel export ile audit-ready yönetici raporları üretin.

Canlı izleme

Enforced policy ile gözlenen trafik arasındaki farklar.

Gerçek zamanlı

Denied flows12son 24 saat

Drift events3kritik servis

Exceptions5review gerekli

Posture özeti

Coverage, risk ve rollout metriklerini tek bakışta görün.

PDFExcel

Policy coverage74%+6% WoW

Exposed paths-18%30 gün

Rollout velocity+22policies/week

Mevcut ekosisteminize uyumlu

Halihazırda sahip olduğunuz sinyallere bağlanın: telemetri, güvenlik veri kaynakları ve operasyonel iş akışları.

Container Security Tools (agentless)

Agentless mod: zaten çalıştırdığınız Prisma Cloud, ACS / StackRox gibi araçlardan radar ve sinyal verisi alarak policy üretir. Cluster'a Axera tarafından sıfır kurulum.

Kafka Flow Ingestion

Ağ akış verilerini Kafka üzerinden cluster başına toplar, Radar servisi ile kalıcı hale getirir.

GitOps: GitHub, BitBucket, GitLab

Policy dosyalarını Git’e push edin, PR açın—versiyonlu rollout, ownership ve review net.

Jira, ServiceNow, Linear, Azure DevOps

Değişiklik kayıtları, onay kapıları ve kurumsal change management süreçleriyle uyum.

eBPF flow capture (agent modu)

Agent modu: NetObserv tabanlı tek bir DaemonSet kernel seviyesinde east-west ve egress flow'larını yakalar — DNS, RTT, packet translation dahil. CNI log yaymasından bağımsız.

Multi-cluster K8s & OpenShift

Birden fazla Kubernetes ve OpenShift cluster’ını tek panelden yönetin.

Uçtan uca operasyon

Mevcut sinyaller → policy yönetimi → onay → kademeli rollout → audit.

Enterprise change control

Evidence preview

ITSMAuditExports

CRQ-21987 ilişkilendirildibugün

Diff onaylandı (owner)2m

Stage rollout: 10% → 50%6m

Policy coverage güncellendi9m

Change success99.3%Rollback< 1m

Container SecurityGitHubBitBucketGitLabJiraServiceNowLinearAzure DevOpsKafkaOVN-KubernetesCiliumCalicoLDAP / ADSplunkSyslog

Kurumsal için tasarlandı

Axera’yı güvenlik ve platform ekiplerinizin zaten alışık olduğu şekilde işletin: kontroller, entegrasyonlar ve change management’ın beklediği kanıtlarla.

RBAC + LDAP / AD

Admin, NetworkOperator, Auditor ve AccessUser rolleri — LDAP ve Active Directory grup eşleme ile merkezi kimlik.

Çoklu cluster

Birden fazla Kubernetes ve OpenShift cluster’ını bağlayın; policy setlerini tümüne ya da kademeli olarak cluster cluster dağıtın.

Audit & kanıt

Her aksiyon kullanıcı, zaman damgası ve detayla loglanır. Değişiklik geçmişini, akış verisini ve audit özetlerini PDF veya Excel olarak export edin.

Change windows

Cron ile zamanlanmış deployment’lar, ITSM’e hizalı onay kapıları ve anında versiyonlu rollback — kurumsal change management’a göre tasarlandı.

Sunucu tarafı credential izolasyonu

Cluster, Git ve ITSM credential’ları sunucu tarafında saklanır ve Proxy servisi tarafından inject edilir — tarayıcıya hiç düşmez.

Logging & SIEM

Olayları ve audit kayıtlarını Splunk, Syslog veya mevcut observability stack’inize stream edin.

RBACLDAP / ADMulti-clusterAudit trailSplunkSyslogChange windowsRollback

Güvenlik çıktıları

Ölçülebilir risk azalımı ve operasyonel güvene odaklanır.

Azaltılmış saldırı yüzeyi

Gerçek trafiğe dayalı least-privilege east-west yolları ve dış servislere kontrollü egress — tahminlere değil.

Egress & exfiltration kontrolü

İzinsiz dışı çıkış yollarını tespit edin ve bloklayın; sadece onaylı dış servislere egress’e izin verin.

Tasarım gereği denetlenebilir

Değişiklik onayları, kanıt izleri ve uyum için dışa aktarılabilir kayıtlar.

Operasyonel olarak güvenli rollout

Rollback’li kademeli enforcement — sürpriz kesintiler yok.

Daha hızlı incident müdahalesi

Ne değişti, ne zaman değişti ve neyi etkiledi — adli analiz hazır.

Öngörülebilir değişiklik hızı

Kontrolleri baypas etmeden, teslimat hızında güvenlik değişiklikleri.

Evidence-ready posture

Uyum ve incident response için kanıt üretir: değişiklik, onay, etki ve sonuç.

AuditForensicsExports

Policy coverage74%hedef: 90%

Exposed paths-18%30 gün

Change success rate99.3%rollout

Audit excerpt

CRQ-21987 ilişkilendirildibugün

Security onayı alındı2m

Kademeli rollout tamamlandı8m

Not: Restricted modda bile enforce otomatik değildir — onay kapıları ve rollback zorunludur.

Axera'yı canlı görün

Kubernetes ağ segmentasyonunu operasyonu bozmadan güvenle nasıl devreye alabileceğinizi görün.

Demo Talep Et