Geleneksel ağ segmentasyonu mikroservisler için çalışmaz. IP adresleri ve portlar, servisler konteynerler arasında dinamik olarak başlatılıp durdurulduğunda API iletişimini koruyamaz.
Mikroservis mimarileri çalıştıran büyük işletmeler, servislerin nerede çalışırsa çalışsın onları takip eden kimlik tabanlı segmentasyon gibi farklı bir yaklaşım gerektirir.
CISO'lar, şunları yapabilen açık kaynak mikro segmentasyon araçları arar:
- Yetkisiz trafiği engellemek için API'ler arasında ağ güvenlik politikalarını zorunlu kılmak
- Kullanıcı ve cihaz izinlerini tanımlamak için rol tabanlı erişim kontrollerini (RBAC) etkinleştirmek
En iyi 10 açık kaynak mikro segmentasyon aracını GitHub yıldızları ve aktif geliştirme bazında sıraladık.
En İyi 10 Açık Kaynak Mikro Segmentasyon Aracı
Tablo 1: Pazar varlığı
Satıcı | # GitHub yıldızı | # GitHub katılımcısı | Desteklenen diller | Ana entegrasyonlar | Kaynak kodu |
|---|---|---|---|---|---|
Istio | 35,098 | 1,025 | Go, Kabuk, Makefile, CSS, HTML, Python | cert-manager, Grafana, Jaeger, Kiali, Prometheus, SPIRE, Apache SkyWalking, Zipkin, Üçüncü taraf yük dengeleyiciler | |
HashiDays | 27,874 | 910 | Go, MDX, SCSS., JavaScript, Handlebars, Kabuk | CloudKinetics, Insight, 3Cloud, Atos, Microsoft Azure, Oracle Cloud Infrastructure, AWS, ACCUKNOX | |
Cilium | 18,731 | 745 | Go, C, Kabuk, Makefile, Dockerfile, Smarty | AWS, Google Kubernetes Engine (GKE), Dataplane V2, Anthos, Azure CNI | |
Linkerd | 10,453 | 354 | Go, Rust, JavaScript, Kabuk, Smarty, Makefile | ExternalDNS, Consul, Istio, Knative | |
Flannel | 8,530 | 235 | Go, Kabuk, C, Makefile, Dockerfile | Belirtilmedi | |
Tigera | 5,536 | 345 | Go, C, Python, Kabuk, Makefile , PowerShell | OpenStack, Flannel | |
Meshery | 4,927 | 605 | JavaScript, Go, Mustache, CSS, Makefile, Open Policy Agent | AWS, Kong . OpenEBSMesh. SPIFFE. Prometheus | |
Kumahq | 3,535 | 101 | Go, Makefile, Kabuk, Mustache, JavaScript, HTML | Yerel API yönetim çözümleri | |
Open Service Mesh | 2,583 | 374 | Go, Kabuk, Makefile, C++, Starlark | Dapr, Prometheus, Flagger, Pyroscope | |
Traefik Mesh | 2,004 | 31 | Go, Makefile, Dockerfile | Amazon EKS, K3S, Azure Kubernetes Service, Google Kubernetes Engine |
Seçim kriterleri:
- GitHub yıldızı: 2.500+
- GitHub katılımcısı: 30+
- Son güncellemeler: Son hafta içinde en az bir sürüm
- GitHub yıldızlarına göre sıralandı (azalan)
1. Istio
Mikroservislere bağlanarak API iletişimini kontrol eden açık platform.
RBAC Yetenekleri
Istio, bir mesh içinde mikro segmentasyonu şunları ayarlayarak etkinleştirir:
Roller: Bir kullanıcının gerçekleştirebileceği aktiviteleri belirleyen kullanıcı izinlerini tanımlayın. Rolleri işlere ve kimliklere göre kategorize edin.
Örnek: Yönetici, çağrılan servisin (Kitapçık ön yüzü) ve son kullanıcının (Mert) birleşik rol kimliği olarak "Kitapçık ön yüz servisinden çağrı yapan kullanıcı Mert" rolünü tanımlar.
Erişim kısıtlamaları: RBAC politikaları oluşturun.
Örnek: Veritabanı yöneticisi, DB yöneticilerinin veritabanının arka uç hizmetlerine tam erişimi olduğunu, ancak web istemcisinin yalnızca ön uç hizmetini görüntüleyebileceğini belirten kısıtlamalar oluşturur.
Şekil 1: RBAC mimarisi ile Istio mikro segmentasyonu
Kaynak: Istio1
"products-viewer" rolü, okuma erişimine ("GET" ve "HEAD") sahiptir. Bu rolü atanan kullanıcı, "default" ad alanındaki mikroservise istek gönderebilir ve yanıt alabilir.
Şekil 2: Istio ile mikroservis sorgu örneği
Kaynak: Istio2
2. Consul
API iletişimini yönetmek için mikro segmentasyon özelliklerine sahip HashiCorp'un mikroservis ağ çözümüdür. Mikroservis keşfi ve mesh sağlar.
Yöneticiler şunları yapabilir:
- Komut satırı veya API kullanarak veri isteklerini manuel olarak tanımlamak
- Kubernetes'de "mikroservis keşfi ve mesh" sürecini otomatikleştirmek
Bu, servisler arası iletişimin yetkilendirildiğini sağlar.
Video 1: HashiCorp Consul ile karşılıklı proxy kimlik doğrulaması ile mikro segmentasyona giriş
Kaynak: HashiCorp3
3. Cillium
Hizmet keşfi, mikro segmentasyon ve ağ güvenlik politikası yönetimi için çoklu küme Kubernetes dağıtımlarını etkinleştirir.
Temel fark: Güvenlik kurallarını IP adresi yerine servis/konteyner kimliğine göre uygular. Yöneticiler, Kubernetes kümesi içindeki trafiği kontrol etmek için çeşitli katmanlarda politikalar kullanır.
Örnek: Tatil Uçuşu Mikro Segmentasyonu
Senaryo: Farklı sınıflara sahip tatil uçuşundaki yolcular.
Ad Alanları:
- Ekonomi sınıfı yolcular için "Ekonomi"
- İş sınıfı yolcular için "İş"
- Birinci sınıf yolcular için "Birinci"
Kural: Yolcular yalnızca kendi sınıflarının (ad alanının) hizmetlerine erişebilir.
Şekil 3: Yöneticilerin Cillium ile üç farklı ad alanı oluşturması
Şekil 4: Yöneticilerin o ad alanında (örneğin ekonomi) her kullanıcının eriştiği hizmetleri Cillium ile oluşturması
İletişim kalıpları (manuel olarak yapılandırılmış):
- Aynı ad alanındaki (ekonomi) iş yüklerinden gelen giriş
- Aynı ad alanındaki (ekonomi) iş yüklerine giden çıkış
Ekonomi sınıfı müşteri aynı ad alanındaki bir hizmeti istediğinde, Cilium erişime izin verir.
Şekil 5: Cillium ile mikro segmentasyon politikasının eylemde olması
Kaynak: Isovalent4
4. Linkerd
Mikro segmentasyon yeteneklerine sahip servis mesh yazılım katmanı. proxy aracılığıyla servisler veya mikroservisler arasında servisler arası iletişimi kolaylaştırır.
Video 2: Linkerd nedir
Kaynak: Linkerd5
5. Flannel
Kubernetes için inşa edilmiş açık kaynak sanal ağ projesi. Yöneticilerin konteynerler arasında trafiğin nasıl yönlendirildiğine dayalı politikaları zorunlu kılmalarını sağlar.
Sınırlama: Ağları segmente etmeye odaklanmıştır. Konteynerlerin ana makineye nasıl ağlandığını düzenlemek için politika zorunluluğu özelliği sağlamaz. Konteynerleri yapılandırmak için eklenti konteyner ağ arayüzü (CNI) sağlar.
6. Calico
Kubernetes ve Kubernetes olmayan/legacy iş yüklerinin sıfır güven mimarisine dayalı izole ağları korumasına izin veren Tigera'nın açık kaynak ağ projesi.
Şunlar dahil birden fazla güvenlik alanını izole edin, koruyun ve güvence altına alın:
- Kubernetes iş yükleri
- Ad alanları
- Kiracılar
- Ana makineler
Bileşenler
Calico CNI: Yöneticilerin mikrosunucuları yapılandırmasına izin veren L3/L4 ağ kontrol düzlemi. Ana makineden ana makineye iletişim akışları arasında izole ortamlar oluşturur. İletişim protokolleri arasında korumak için politika tabanlı daha küçük segmentler oluşturun:
- Konteynerler
- Kubernetes kümeleri
- Sanal makineler
- Yerel ana makine iş yükleri
Calico ağ politikası paketi: Mikroservisleri yapılandırırken politika ayarlamayı etkinleştirir. Yöneticiler şunları yapabilir:
- Belirli IP adreslerine, izole konteynerler veya sanal ortamlar arasında izinler atamak için "ad alanı" kullanmak
- IP adreslerini kısıtlayan bölünmüş ağlar için ağ ayarları oluşturmak
Video 3: Calico ile iş yükü mikro segmentasyonunu etkinleştirme
Kaynak: Tigera6
7. Meshery
Açık kaynak, bulut yerel mikroservis yöneticisi.
Mikroservisleri yönetirken yöneticiler şunları oluşturur:
Mantıksal gruplama: İlgili bağlantıları ve kimlik bilgilerini mantıksal olarak gruplandırmak için ortamları segmentlere ayırın. Tüm bağlantılarla ayrı ayrı uğraşmaya kıyasla kaynakları yönetmek daha kolaydır.
Kaynak paylaşımı: İş Alanları tahsis etmek için ortamları bağlayın. Takım üyeleri kaynakları paylaşır.
Video 4: Meshery tasarımı
Kaynak: Meshery7
8. Kuma
Mikroservis iletişimi ve yönlendirme sağlayan servis mesh için açık kaynak kontrol düzlemi.
Organizasyonlar kimlik ve şifrelemeye dayalı servis mesh'leri oluşturur. Yöneticiler Kubernetes'de gelen isteklere izin verebilir/red edebilir.
Şekil 6: Kuma kullanıcı arayüzü
Kaynak: Kuma8
9. Open Service Mesh (OSM)
Kullanıcıların mikroservisleri yönetmesini sağlayan bulut yerel servis mesh.
API'ler kullanılarak yapılandırılan Kubernetes üzerinde Envoy tabanlı kontrol katmanı çalıştırır. Kullanıcılar şunları yapabilir:
- API'ler arasındaki ağ trafiği iletişimi için reddetmeye/izin vermeye istek göndermek
- Kümeler arasında servisler arası iletişimi güvence altına almak
- Hizmetler için ince granüler erişim kontrol politikaları tanımlamak
Video 5: Open Service Mesh (OSM) ile hizmetler için ince granüler erişim kontrol politikalarını tanımlama
Kaynak: Microsoft Azure9
10. Traefik Mesh
Mikro segmentasyon özelliklerine sahip açık kaynak servis mesh. Konteyner yerel, Kubernetes kümenizde çalışır.
Video 6: Traefik Enterprise mikroservis gösterimi
Kaynak: 10
Açık Kaynak Mikro Segmentasyon Aracı Nasıl Seçilir
1. Aracın İtibarını Değerlendirin
GitHub yıldızı ve katılımcı sayısı popülerliği gösterir. Daha yüksek popülerliğe sahip araçlar şunları alır:
- Daha güncel sektör haberleri, trendler, gelişmeler
- Daha fazla topluluk desteği
2. Aracın Özelliklerini Analiz Edin
Çoğu açık kaynak mikro segmentasyon çözümü mikroservis yönetimi, politika zorunluluğu, giriş seçeneklerini içerir.
İşletmeniz birkaç uygulama için mikro segmentasyon kullanıyorsa, kapsamlı bir çözüm arayın.
Örnek: Kimlik tabanlı erişim kısıtlamaları arayan şirket, rol tabanlı erişim kontrolü (RBAC) yeteneklerine sahip bir sistem seçmelidir.
3. Açık Kaynak ile Kapalı Kaynak Alternatiflerini Karşılaştırın
Açık kaynak sınırlamaları:
- Sınırlı entegrasyonlar
- Daha az gelişmiş işlevsellik
Kapalı kaynak avantajları:
- Daha fazla özel çözüm
- Daha kapsamlı özellikler (bulut güvenlik duruşu yönetimi (CSPM))
- Ağ değişikliği otomasyonu
- Yapılandırma izleme
- Ağ topolojisi haritalama
- Bulut keşfi ve maruz kalma yönetimi (CDEM)
Şirketiniz için daha verimli olabilir.
Daha fazla okuma
- Siber Güvenlik için Ajans Yapay Zeka: Kullanım Örnekleri ve Örnekler
- Ağ Segmentasyonu: 6 Fayda ve 8 En İyi Uygulama
- 4.000+ İncelemeye Dayalı En İyi 10 SDP Yazılımı
Bu araştırmayı kaynak gösterin
Yayınlayacağınız yere uygun formatı seçin. Bağlantılı sürümü CMS'inize yapıştırmak, geri bağlantıyı korur.
@misc{dilmegani2026,
author = {Dilmegani, Cem},
title = {{En İyi 10 Açık Kaynak Mikro Segmentasyon Aracı}},
year = {2026},
month = jan,
howpublished = {\url{https://aimultiple.com/open-source-micro-segmentation-tools}},
note = {AIMultiple. Erişim tarihi: 28 Ocak 2026}
}





Yorum yapan ilk kişi olun
E-posta adresiniz yayınlanmayacak. Tüm alanlar gereklidir. Yorumlar orijinal dilinde bırakılır.