Core Loop

AI-first engineering at scale

Tema

Yapay Zeka Odaklı Kod Olarak Altyapı (IaC) Güvenliği

Doğrulama Olmadan Hız Riski Artırır

Daniel Leblond Nisan 2026

Yapay zeka destekli altyapı çalışmaları işe yaradığında büyülü hissettiriyor. Bicep modüllerini, politika tanımlarını ve dağıtım orkestrasyonunu dakikalar içinde oluşturabilirsiniz. Tehlike, doğrulama olmadan hızdır.

Uygulama kodunda bir hata, bir uç noktaya zarar verebilir. Altyapıda tek bir kötü varsayım ortamdaki her iş yükünü etkileyebilir. Yapay zeka hızlı bir şekilde IaC oluşturabilir. Patlama yarıçapına sahip olamaz.

AI-IaC Güven Açığı: gizli açığa çıkma, IAM aşırı izni ve yanlış yapılandırma sapması karşısında algılanan güvenlik güveni ile kanıtla doğrulanan güven.

Önce Güvenlik IaC'nin Her Kapıda Kanıta İhtiyacı Var

Çoğu ekip, 'şablon derlenmiş' ifadesini 'dağıtım güvenlidir' ile eşdeğer olarak ele alır. Bunlar aynı iddia değil.

Bir kapı ancak kanıtı somut ve bağımsız olarak doğrulanabilir olduğunda anlamlıdır. Düzyazı açıklamaları uygun değildir.

Gate Gerekli Kanıtlar Eksikse Başarısızlık
Intent Açık dağıtım hedefi ve tehdit varsayımları Kapsam dışı üretim ve kazara aşırı erişim
Validation Lint, şablon teşhisi ve politika kontrolleri Gizli yanlış yapılandırmalar sessizce birleşiyor
Execution Deterministik dağıtım günlükleri ve çıktıları Kanıt olmadan 'başarıyla uygulandı'
Observation Uyarılar, telemetri ve dağıtım sonrası durum sinyalleri Güvenlik duruşu fark edilmeden değişiyor
Saldırı yüzeyi değerlendirmesi: altyapı tedariği, erişim kalıpları ve dağıtım kanallarının güvenlik açısından kritik karar noktalarını nasıl oluşturduğu.

Yapay Zeka Öncelikli IaC Dünyasında Tehdit Modelleme Değişiklikleri

Geleneksel tehdit modelleri çalışma zamanı saldırı yollarına odaklanır. Yapay zeka öncelikli IaC, yazma zamanı tehdit yollarını ekler: model, izin veren bir varsayılan icat eder, gözden geçiren kişi bunu kaçırır, dağıtım başarılı olur, uyarılar yanlış yapılandırıldığından izleme yeşil görünür.

Çözüm 'daha sıkı inceleme' değildir. Düzeltme, bilinen tehdit kategorileriyle bağlantılı yapılandırılmış kanıtlardır. Her güvenlik kapısı, bağımsız olarak doğrulanabilen belirli bir tehdit sınıfıyla eşleşir.

Tespit hattı: gizli işleme, kimlik kapsamı, ağ sınırları ve politika uyumluluğu genelinde sürekli kontrol doğrulaması.

İyi IaC Kanıtı Neye benziyor

Kanıtınız yalnızca düzyazı ise, hakemlerden gerçekleri incelemek yerine yoruma güvenmeleri isteniyor.

Güçlü altyapı kanıtları tekrarlanabilir: aynı duruma karşı çalıştırılan aynı komutlar her seferinde aynı çıktıyı üretir.

Kontrol Alanı Güçlü Kanıt Eseri
Identity En az ayrıcalık gerekçesine sahip rol atama farkı
Network Açık reddetme yollarıyla yakalanan NSG ve rota amacı
Veri koruma Onaylanmış kasalara göre doğrulanan şifreleme ve anahtar referansları
Monitoring Eylem grubu bağlantısı doğrulanmış uyarı kuralı çıktıları
Dağıtım güvenliği Dağıtım öncesi/sonrası çıktıları ve geri alma prova notu
Denetim Tekrarlanabilirlik Matrisi: her bir güvenlik kontrol ailesini (kimlik, ağ, veri koruma, izleme) hangi yapı türlerinin karşıladığı.

Yaygın AI-IaC Arıza Kalıpları

Pattern Tipik Belirti Önleme Mekanizması
Ayrıcalık enflasyonu Okuyucunun yeterli olduğu yerde katkıda bulunan Politika kontrolleri ve rol izin verilenler listesi
Uyarı yanılsaması Uyarı kaynakları mevcut, bildirimler hiçbir zaman tetiklenmiyor Eylem grubu entegrasyon testleri
Çevre kayması Bicep, derlenmiş ARM ve dağıtılan çıktılar farklılaşıyor CI'da doğruluk kaynağı kontrolleri
Güvenli olmayan varsayılanlar Kamu uç noktaları veya geniş güvenlik duvarı izinleri devreye giriyor Varsayılan olarak reddetme özelliğine sahip temel modüller
Kurtarma açığı Kritik altyapı güncellemesi için kanıtlanmış geri alma yok Zorunlu geri alma prova kanıtı
Dört IaC aşaması boyunca güven zarfı: doğrulanmış ve algılanan güven sapmasını gösteren niyet, doğrulama, yürütme ve gözlem.

Yarın Başlamak İçin Hafif Bir IaC Güvenlik İş Akışı

  • Her alt PR'de kısa bir tehdit amacı bölümü zorunlu kılın.
  • Politika teşhislerini ve dağıtım çıktılarını kanıt olarak ekleyin.
  • Çözülmemiş kritik veya yüksek bulgularla ilgili PR'lerde başarısız olun.
  • Her sürüm döngüsünde en az bir kez uyarı yolunu uçtan uca doğrulayın.
  • Tekrarlanan arıza modellerini takip edin ve şablonları buna göre güçlendirin.
Çift kör güvenlik incelemesi: Uygulama yolundan ayrı olarak amacın, kontrollerin ve sonuçların bağımsız olarak doğrulanması.
Politika uygulama hunisi: altyapı PR'lerinin doğrulama, risk değerlendirmesi ve güvenlik kapılarından nasıl geçtiği.
IaC güvenliği olgunluğu: anlık oluşturma aşamasından denetim onaylı altyapı sunumuna kadar.

Etiketler

Security Infrastructure IaC AI
Ana sayfaya don

Kaynaklar

  1. Microsoft Learn (2026) Biceps En İyi Uygulamaları
  2. Azure Mimari Merkezi (2026) Bulut İş Yükleri için Tehdit Modellemesi
  3. METR (2025) Yapay Zeka Araçları Deneyimli Geliştiricileri %19 Yavaşlattı
  4. Martin Fowler / Şef Morris (2025) Kod Üretiminde Yapay Zeka Özerkliğini Ne Kadar İlerletebiliriz?
  5. Addy Osmani (2026) Yapay Zeka Kodu Daha Hızlı Yazar. İşiniz Hala Çalıştığını Kanıtlamak.
  6. ThoughtWorks (2025) Yapay Zeka Destekli Test-İlk Geliştirme