Versiyon: 1.0 • Tarih: 01 Mayıs 2026 Bu belge, müşterilerimize "neden bize güvenebilirsiniz" sorusunun cevabıdır.
"Sunucumun root SSH'ını size veriyorum — sizin sisteminize bir saldırı olursa benim 145 sitem etkilenir. Size neden güvenmeliyim?"
Bu meşru ve önemli bir soru. Cevabımız 3 katmandan oluşuyor.
MÜŞTERİ SUNUCUSU TEKNOWEB CLOUD
───────────── ─────────────
sentinel-agent ──── HTTPS (egress) ────► api.sentinel.net
(Go binary) (komut yollar)
(sonuç alır)
✓ Müşteri SSH key'i bizde DEĞİL
✓ Bağlantı SADECE müşteriden bize doğru
✓ Agent open-source, müşteri inceleyebilir
✓ Müşteri istediği an `systemctl stop` ile durdurur
Müşteriye anlatım:
"Sunucunuza küçük bir agent kuruyoruz. Bu agent sizin sunucunuzdan dışarı bağlantı kuruyor; biz sizin sunucunuza bağlanmıyoruz. SSH şifrenizi bize hiç vermiyorsunuz."
authorized_keys formatı:
command="/usr/local/bin/sentinel-runner",no-pty,no-port-forwarding,
no-X11-forwarding,no-agent-forwarding,
from="62.238.2.11"
ssh-ed25519 AAAAC3...sentinel@teknoweb.net
Bu key:
- ✅ Sadece
/usr/local/bin/sentinel-runnerscript'ini çalıştırır - ✅ Sadece TeknoWeb'in static IP'sinden gelen bağlantıları kabul eder
- ✅ Shell, X11, port forward yapamaz
- ✅ Compromise olursa zarar minimum (sadece denetim komutları)
Büyük kurumsal müşteri kendi sunucusunda Sentinel'in tüm stack'ini çalıştırabilir:
- TeknoWeb sadece license validation yapar
- Veri MÜŞTERIDEN ÇIKMIYOR
- Enterprise tier (₺3.999+/ay/sunucu)
| Kontrol | Detay |
|---|---|
| Pause | "Bu ay denetim yapma" tek tık (panel) |
| Revoke | Erişimi anında kes — systemctl stop veya authorized_keys sil |
| Read-only mode | Sadece denetim, fix yok (--no-fix) |
| Audit log download | Kendi DB'sinin kopyasını her ay e-posta ile alır |
| Approval mode | Her fix öncesi onay sor (--confirm) |
| Time-limited access | Key X gün sonra otomatik silinir (planlı) |
| Connection notification | Her SSH girişine müşteri SMS alır (planlı) |
- Açık Kaynak Agent Kodu — github.com/teknoweb/sentinel-agent
- Detaylı Mimari Belgesi — bu döküman
- Veri Akış Şeması — KVKK Veri Sahibi Hakları için
- Bağımsız Penetration Test Raporu — yıllık, 3rd party
- Security.txt —
https://sentinel.teknoweb.net/.well-known/security.txt - Bug Bounty Programı — açık zafiyet bildirimi
- Status Page —
status.teknoweb-sentinel.net
| Belge | Süre | Maliyet |
|---|---|---|
| KVKK Uyum Beyanı | 2 hafta | ₺5–10K (avukat) |
| VERBİS Kayıt | 1 hafta | ₺2K |
| Veri İşleme Sözleşmesi (DPA) | 1 hafta | ₺3–5K |
| Cyber Liability Sigortası ₺1M | 2 hafta | ₺15–25K/yıl |
| Privacy Policy + Terms | 1 hafta | ₺3–5K |
Kurumsal kapısını açar — banka, devlet, holding.
- Devlet düzeyi saldırgan — APT, hedeflenen
- Insider threat — eski çalışan, yetkisini kötüye kullanan
- Opportunistic — ransomware grubu, geniş tarayıcı
- 🔴 Müşteri sunucu credential'ları (en yüksek değer)
- 🔴 Müşteri audit log'ları (sunucu yapılandırma sırrı)
- 🟠 TeknoWeb API token'ları
- 🟠 Müşteri kişisel verileri
- Sentinel API endpoint'leri (Cloudflare WAF arkasında)
- Agent → API iletişimi (mTLS)
- Worker pool (private network, dışa erişimi yok)
- Admin paneli (RBAC + 2FA + IP whitelist)
- Hetzner cloud API (read-only token)
- Cloudflare WAF (DDoS, SQLi, XSS)
- Hetzner firewall (default-deny, sadece 80/443)
- Worker'lar private network, dışa erişimi yok
- WireGuard VPN (admin erişimi için)
- Laravel Sanctum + 2FA TOTP
- RBAC (Owner / Admin / Viewer)
- CSRF token + rate limiting (login: 5/dk, fix: 1/sn)
- Input validation (
validate_*helper'ları) - Output escape (Blade auto, React auto)
- KMS-encrypted credentials
- Audit DB encrypted backup
- PostgreSQL TLS bağlantı zorunlu
- Pg_dump → R2 (KMS encrypted)
- 0o600 dosya izni (notifications.yaml, audit.db)
- Bağımsız penetration test (yıllık)
- Bug bounty programı
- Cyber liability sigortası ₺1M
- KVKK uyum + DPA + Privacy
| İtiraz | Cevap |
|---|---|
| "SSH şifremi/key'imi vermem" | "Agent modunu öneriyoruz: agent sizin sunucunuzdan dışarı çıkar, biz içeri girmeyiz. Üstelik agent kodu açık kaynak." |
| "Yine de erişiminiz var, kötüye kullanırsanız?" | "Restricted key ile sadece denetim komutları. Ayrıca ₺1M cyber liability sigortamız var. Hatamız sigortayla karşılanır." |
| "Sizin tarafta sızıntı olursa?" | "Veriniz bizde değil — agent'in bulunduğu müşteride. Sızıntımız sizi etkilemez. Mimari kasıtlı seçilmiş." |
| "Loglarınızı görebilir miyim?" | "Evet — SQLite audit DB kopyasını her ay e-posta ile gönderiyoruz. Veya panelinizden indirebilirsiniz." |
| "İstediğim an iptal edebilir miyim?" | "Evet — systemctl stop sentinel-agent veya authorized_keys'ten satır sil. Bağlantı anında kopar." |
| "KVKK uyumlu musunuz?" | "VERBİS kayıtlıyız, DPA imzalıyoruz, Hetzner Helsinki'de (AB içi) tutuyoruz." |
| "Sertifikanız var mı?" | "ISO 27001 süreci 2026 sonu hedefimiz. Şu an KVKK + bağımsız pentest raporumuz mevcut." |
- Zafiyet bildirimi: security@teknoweb.net (PGP key: ...)
- Bug bounty: sentinel.teknoweb.net/security
- KVKK Veri Sahibi Talepleri: kvkk@teknoweb.net
Yanıt taahhüdü:
- Kritik (RCE, data leak): 4 saat
- Yüksek: 24 saat
- Normal: 72 saat
| Hedef | Süre | Durum |
|---|---|---|
| KVKK Uyum Beyanı | Ay 1 | ⏳ Bekliyor |
| VERBİS Kayıt | Ay 1 | ⏳ Bekliyor |
| Cyber Liability Sigorta | Ay 1 | ⏳ Bekliyor |
| Bağımsız Pentest | Ay 2 | ⏳ Bekliyor |
| ISO 27001 Stage 1 | Ay 6 | ⏳ Bekliyor |
| ISO 27001 Stage 2 | Ay 9 | ⏳ Bekliyor |
| SOC 2 Type 1 | Ay 12+ | ⏳ Bekliyor |
Bu belge yıllık güncellenir. Son güncelleme: 01 Mayıs 2026.