n8n Güvenliği ve Kurumsal Yönetişim (Enterprise)
n8n güvenlik n8n self-host dağıtımında güvenlik sorumluluğu tamamen kurumunuza aittir. Enterprise sürüm; SSO, RBAC ve denetim logları gibi kritik kurumsal kontrolleri sunarken, temel sunucu sertleştirme ve ağ güvenliği her zaman IT ekibinin görevi olarak kalır.
n8n Güvenliğine Genel Bakış: Paylaşılan Sorumluluk Modeli
n8n güvenlik sorumluluğu, self-host tercihinde tamamen kurumunuza geçer; platform katmanını siz yönetirken n8n yalnızca uygulama kodunu sunar. Bu paylaşılan model, altyapı kararlarının doğrudan güvenlik açığına dönüşebileceğini gösterir.
n8n, iki temel dağıtım modeliyle sunulmaktadır: n8n Cloud (yönetilen SaaS) ve self-hosted. Cloud tercihinde altyapı güvenliğinin büyük bölümü n8n tarafından üstlenilir; ancak self-hosted dağıtımlarda işletim sistemi, ağ katmanı, veritabanı ve uygulama yapılandırmasının güvenliği tamamen kurumunuzun sorumluluğuna girer. Cloud ve self-host fiyatlandırma karşılaştırması için ayrıca inceleyebileceğiniz bir kaynağımız bulunmaktadır.
Paylaşılan sorumluluk modeli çerçevesinde n8n; uygulama katmanında credential şifreleme, kullanıcı kimlik doğrulama altyapısı ve API güvenlik mekanizmalarını sağlar. Buna karşın kurumunuz; sunucu sertleştirme, ağ segmentasyonu, yedekleme politikaları ve erişim kontrolü denetimini yürütmek zorundadır. Bu ikili yapı, güvenlik açıklarının çoğunun yapılandırma hatalarından kaynaklandığı gerçeğiyle birleştiğinde, kurumsal dağıtımlar için kapsamlı bir güvenlik planının zorunluluğunu ortaya koymaktadır.
n8n'in kurumsal iş akışı otomasyonundaki rolünü anlamak, güvenlik gereksinimlerini doğru konumlandırmak için kritik ön koşuldur. Otomasyon platformları; ERP, CRM, İK sistemleri ve finans uygulamalarına entegre olduğunda, tek bir güvenlik zafiyeti birden fazla kritik sistemi tehlikeye atabilir. Bu nedenle n8n güvenliği, yalnızca bir araç yapılandırması değil, kurumsal risk yönetiminin ayrılmaz bir parçası olarak ele alınmalıdır.
Kimlik ve Erişim Yönetimi: 2FA, SSO/SAML, LDAP ve RBAC
n8n Enterprise sürümü; SSO/SAML, LDAP/Active Directory entegrasyonu ve rol tabanlı erişim kontrolü (RBAC) sunarak kurumsal kimlik yönetimi gereksinimlerini karşılar. Tüm kullanıcılar için 2FA etkinleştirmek ise Community sürümde de mümkün olan temel güvenlik önlemidir.
n8n'in kimlik doğrulama katmanı, sürüme göre farklı kapasiteler sunar. Community ve Starter sürümlerinde e-posta/şifre tabanlı giriş ve TOTP uyumlu iki faktörlü kimlik doğrulama (2FA) desteklenir. 2FA kurulumu kullanıcı profil ayarlarından etkinleştirilebilir; kurumsal ortamlarda tüm hesaplar için 2FA zorunlu hale getirilmesi kritik bir önlemdir.
| Özellik | Community | Starter/Pro | Enterprise |
|---|---|---|---|
| E-posta/şifre girişi | Evet | Evet | Evet |
| 2FA (TOTP) | Evet | Evet | Evet |
| SSO / SAML 2.0 | Hayır | Hayır | Evet |
| LDAP / Active Directory | Hayır | Hayır | Evet |
| RBAC (Rol tabanlı erişim) | Hayır | Kısıtlı | Evet |
| Harici secrets yönetimi | Hayır | Hayır | Evet |
| Denetim logları (Audit log) | Hayır | Hayır | Evet |
| Log streaming | Hayır | Hayır | Evet |
| Ortam yönetimi (Environments) | Hayır | Hayır | Evet |
SSO/SAML entegrasyonu, kurumun merkezi kimlik sağlayıcısı (IdP) üzerinden n8n oturumlarını yönetmeye olanak tanır. Okta, Azure AD, Google Workspace ve Keycloak gibi yaygın IdP çözümleriyle yapılandırılabilen SAML 2.0 desteği; kullanıcıların ayrı n8n şifresi taşımasına gerek kalmaksızın kurumsal SSO kimliğiyle giriş yapmasını sağlar. Bu yaklaşım hem güvenliği artırır hem de şifre yönetim yükünü azaltır.
RBAC uygulamasında n8n Enterprise, Sahip (Owner), Yönetici (Admin) ve Üye (Member) rollerini desteklemektedir. Bunun yanı sıra iş akışı bazında kimin görüntüleyebileceği, düzenleyebileceği ve çalıştırabileceği ayrıca tanımlanabilir. Bu granüler erişim denetimi, gizli iş süreçlerini kapsayan otomasyon akışlarının yetkilendirilmemiş erişimden korunması açısından kritik önem taşır.
Sunucu Güvenliği: Firewall, SSH, fail2ban ve HTTPS
n8n self-host dağıtımında sunucu güvenliği; UFW güvenlik duvarı yapılandırması, SSH anahtar tabanlı giriş, fail2ban ile brute-force koruması ve bir reverse proxy üzerinden HTTPS zorunluluğunu kapsar. Bu dört temel önlem, sunucu saldırı yüzeyini önemli ölçüde daraltır.
n8n Docker kurulumu ve self-host yapılandırması tamamlandıktan sonraki ilk adım sunucu sertleştirmedir. UFW (Uncomplicated Firewall) ile yalnızca gerekli portları açık bırakın: 80 (HTTP, yalnızca HTTPS yönlendirme için), 443 (HTTPS) ve SSH için varsayılan olmayan bir port (örneğin 2222). n8n'in iç portu (varsayılan 5678) dışarıya açılmamalı; yalnızca reverse proxy üzerinden erişime izin verilmelidir.
- UFW ile gelen trafiği kısıtlayın: `ufw default deny incoming`, ardından yalnızca 443/tcp ve özel SSH portunu açın.
- SSH yapılandırmasında `PasswordAuthentication no` ve `PermitRootLogin no` ayarlarını etkinleştirin; giriş için yalnızca SSH anahtarı kullanın.
- fail2ban kurun ve SSH ile n8n login endpoint'i için kural tanımlayın; başarısız giriş denemelerini izleyin ve otomatik IP engelleme uygulayın.
- Nginx veya Caddy gibi reverse proxy arkasında HTTPS zorunlu yapın; Let's Encrypt ile TLS sertifikasını otomatik yenileyin.
- n8n servisini root yetkisiz, adanmış bir sistem kullanıcısı ile çalıştırın; Docker socket erişimini sınırlayın.
- Düzenli paket güncellemeleri için `unattended-upgrades` veya eşdeğer bir mekanizma etkinleştirin.
- Veritabanı (PostgreSQL önerilir) yalnızca localhost'tan erişilebilir olacak şekilde bağlayın; uzaktan bağlantıyı devre dışı bırakın.
HTTPS yapılandırması yalnızca veri güvenliği açısından değil, modern tarayıcı uyumluluğu ve arama motoru sinyalleri bakımından da zorunludur. Caddy gibi araçlar Let's Encrypt sertifika yönetimini otomatikleştirerek operasyonel yükü azaltır. Nginx tercih ediliyorsa, güçlü TLS şifre paketleri (TLSv1.2 ve TLSv1.3) ve HSTS başlıkları yapılandırılmalıdır. n8n ortam değişkenlerinde `N8N_PROTOCOL=https` ve `N8N_HOST` doğru şekilde ayarlandığında uygulama kendi callback URL'lerini otomatik olarak HTTPS üzerinden oluşturur.
Credentials ve Secrets Yönetimi
n8n, credential verilerini AES-256 şifreleme ile veritabanında saklar; şifreleme anahtarı `N8N_ENCRYPTION_KEY` ortam değişkeniyle tanımlanır. Enterprise sürüm, HashiCorp Vault gibi harici secrets yönetim sistemleriyle entegrasyonu destekleyerek kurumsal secrets yaşam döngüsü yönetimini mümkün kılar.
`N8N_ENCRYPTION_KEY` değişkeni, n8n'in sakladığı tüm API anahtarları, OAuth token'ları ve bağlantı şifrelerinin şifrelenmesinde kullanılır. Bu değerin en az 32 karakterlik, rastgele üretilmiş güçlü bir değer olması zorunludur. Anahtar kaybolduğunda mevcut credential'ların kurtarılması mümkün değildir; bu nedenle değer, şifreli bir secrets deposunda (örneğin AWS Secrets Manager, Azure Key Vault veya HashiCorp Vault) saklanmalı ve n8n containerına yalnızca çalışma zamanında enjekte edilmelidir.
n8n webhook ve API entegrasyonlarında güvenli credential kullanımı için aşağıdaki önlemler uygulanmalıdır:
- Credential'ları asla iş akışı parametrelerine veya sabit kod olarak (hardcode) yazmayın; her zaman n8n'in credential deposunu kullanın.
- Ortam değişkenlerini `N8N_ENCRYPTION_KEY` için Docker secret veya Kubernetes Secret olarak tanımlayın, asla düz metin .env dosyasına koymayın.
- Enterprise kullanıcıları için HashiCorp Vault, AWS Secrets Manager veya Azure Key Vault entegrasyonunu etkinleştirin; bu sayede sırlar n8n veritabanına hiç yazılmaz.
- Servis hesapları için minimum yetki (least privilege) ilkesini uygulayın; her iş akışı yalnızca gerektirdiği API izinlerine sahip olsun.
- API token ve OAuth credential'larının periyodik rotasyonunu planlayın; rotasyon sonrası n8n'de ilgili credential'ı güncelleyin.
- Credential erişim loglarını izleyin; anormal erişim desenleri için uyarı kuralları tanımlayın.
Harici secrets yönetim entegrasyonu, Enterprise sürümün en değerli özelliklerinden biridir. Bu yapıda n8n; Vault gibi sistemlerden çalışma zamanında secret değerlerini çeker, veritabanında yalnızca referans bilgisini saklar. Böylece bir veritabanı ihlali durumunda bile gerçek kimlik bilgileri açığa çıkmaz. Kurumsal güvenlik ekipleri için bu yaklaşım, merkezi secret governance ve denetim izinin tek bir yerden yönetilmesi anlamına gelir.
Veri Gizliliği ve Uyumluluk: KVKK ve GDPR
n8n self-host dağıtımı, işlenen kişisel verilerin kurum altyapısında kalmasını sağlayarak KVKK ve GDPR veri yerleşim gereksinimlerini doğrudan destekler. Cloud SaaS dağıtımı ise veri işleme sözleşmesi (DPA) ve dışarıya aktarım mekanizmalarının dikkatli değerlendirilmesini gerektirir.
Türkiye'de faaliyet gösteren kurumlar için KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında kişisel veri işleme faaliyetleri, teknik ve idari güvenlik tedbirleriyle desteklenmelidir. n8n ile kişisel veri içeren iş akışları tasarlarken; hangi node'ların kişisel veri işlediği, bu verilerin nerede depolandığı ve ne kadar süre saklandığı sorularının yanıtlanması zorunludur. Self-host dağıtımda veri, kurumun kontrolündeki sunucularda kalır; bu durum veri yerelliği açısından belirgin bir avantaj sunar.
GDPR kapsamındaki kurumlar için n8n self-host, Avrupa Birliği veri sınırları içinde konuşlandırılarak üçüncü ülkelere veri aktarımı sorununu ortadan kaldırabilir. Cloud SaaS tercihinde ise n8n'in Veri İşleme Sözleşmesi (Data Processing Agreement) incelenmeli, standart sözleşme maddeleri (SCCs) veya başka aktarım mekanizmaları değerlendirilmelidir.
| Gereksinim | Self-host (On-prem/Yerli Bulut) | n8n Cloud SaaS |
|---|---|---|
| Veri yerleşimi kontrolü | Tam kontrol | n8n sunucu konumuna bağlı |
| KVKK veri yerelliği | Doğrudan sağlanır | DPA + aktarım mekanizması gerekir |
| GDPR Article 28 DPA | Kendi altyapı DPA'sı | n8n ile DPA imzalanmalı |
| Denetim izi (audit trail) | Enterprise: tam; Community: kısıtlı | Enterprise planında mevcut |
| Veri silme/anonimleştirme | Doğrudan DB erişimi ile | Destek talebi gerekebilir |
| Kişisel veri günlük saklama | Kurumun politikasına göre | n8n politikasına bağlı |
n8n iş akışlarında kişisel veri işleniyorsa, akış tasarımında veri minimizasyonu ilkesi uygulanmalıdır: yalnızca işlem için zorunlu alanlar işlenmeli, gereksiz kişisel veri node'dan node'a taşınmamalıdır. İş akışı çalışma loglarının (execution logs) kişisel veri içerip içermediği kontrol edilmeli; içeriyorsa log saklama süreleri ve erişim yetkileri düzenlenmelidir. Execution log tutma süresi `EXECUTIONS_DATA_MAX_AGE` ortam değişkeniyle yapılandırılabilir.
Denetim, Loglama ve Kurumsal Yönetişim
n8n Enterprise sürümü, tüm kullanıcı eylemlerini ve iş akışı değişikliklerini kayıt altına alan denetim logları ile harici SIEM sistemlerine log aktarımı sağlayan log streaming özelliği sunar. Sürüm kontrolü ve ortam yönetimi ise değişiklik yönetimi süreçlerini destekler.
Kurumsal yönetişim perspektifinden n8n Enterprise'ın denetim log özelliği; kim, ne zaman, hangi iş akışını değiştirdi veya çalıştırdı bilgisini zaman damgalı olarak kaydeder. Bu kayıtlar; iç denetim süreçleri, güvenlik olayı soruşturmaları ve düzenleyici uyumluluk gereksinimleri açısından kritik kanıt niteliği taşır. Audit log'lar n8n arayüzünden erişilebileceği gibi API üzerinden de sorgulanabilir.
Log streaming özelliği, n8n denetim loglarını Splunk, Elastic Stack, Datadog veya AWS CloudWatch gibi merkezi SIEM platformlarına gerçek zamanlı olarak aktarır. Bu entegrasyon; güvenlik operasyon merkezi (SOC) ekiplerinin n8n olaylarını diğer altyapı olaylarıyla korelasyon kurarak analiz etmesine olanak tanır. Anormal iş akışı çalışma desenleri veya yetkilendirilmemiş credential erişimi gibi durumlar için otomatik uyarı kuralları tanımlanabilir.
- Ortam yönetimi (Environments): Geliştirme, test ve üretim ortamlarını ayrı n8n instance'larıyla veya Enterprise ortam özelliğiyle yönetin; iş akışlarını üretim ortamına taşımadan önce test edin.
- Versiyon kontrolü: n8n iş akışlarını JSON formatında dışa aktararak Git repository'de saklayın; değişiklik geçmişi bu şekilde izlenebilir.
- Değişiklik yönetimi: Kritik iş akışlarında dört göz prensibi uygulayın; bir kişi değişiklik yapar, bir diğeri onaylar.
- Düzenli güvenlik taraması: n8n bağlantı noktaları, kullanıcı hesapları ve aktif credential listesini periyodik olarak gözden geçirin.
- Yedekleme ve kurtarma: n8n veritabanını (PostgreSQL) ve encryption key'i düzenli yedekleyin; yedekten geri yükleme prosedürünü test edin.
n8n iş akışı güncellemelerini takip eden otomatik pipeline'lar kurulması, yönetişim olgunluğunu artırır. n8n'in CLI aracı ve REST API'si, iş akışlarının deployment süreçlerine entegre edilmesini sağlar. Bu şekilde değişiklikler; kod gibi inceleme, test ve onay süreçlerinden geçerek üretime alınır, ad-hoc arayüz değişikliklerinin önüne geçilir.
Kurumsal Dağıtım Güvenlik Kontrol Listesi
n8n kurumsal dağıtımda güvenliği sağlamak için altyapı sertleştirme, kimlik yönetimi, secrets güvenliği ve uyumluluk adımlarının sistematik biçimde uygulanması gerekir. Aşağıdaki kontrol listesi, üretime almadan önce tamamlanması gereken güvenlik maddelerini özetlemektedir.
n8n lisans ve dağıtım modeline karar verdikten sonra aşağıdaki kontrol listesini kurumsal gereksinimlerinize göre özelleştirerek uygulayın. Enterprise lisansına ihtiyaç duyulan özellikler açıkça belirtilmiştir.
| Kategori | Kontrol Maddesi | Sürüm |
|---|---|---|
| Altyapı | UFW güvenlik duvarı — yalnızca 443 ve özel SSH portu açık | Tümü |
| Altyapı | SSH anahtar tabanlı giriş, şifre girişi devre dışı | Tümü |
| Altyapı | fail2ban kurulu ve SSH + n8n login için kural tanımlı | Tümü |
| Altyapı | HTTPS — reverse proxy (Nginx/Caddy) + TLS 1.2/1.3 | Tümü |
| Altyapı | n8n servis kullanıcısı root değil, minimum yetkili | Tümü |
| Altyapı | Veritabanı (PostgreSQL) yalnızca localhost erişimi | Tümü |
| Kimlik Doğrulama | 2FA tüm hesaplarda zorunlu | Tümü |
| Kimlik Doğrulama | SSO/SAML kurumsal IdP ile entegre | Enterprise |
| Kimlik Doğrulama | LDAP/AD kullanıcı senkronizasyonu | Enterprise |
| Erişim Kontrolü | RBAC rolleri tanımlanmış ve uygulanmış | Enterprise |
| Erişim Kontrolü | İş akışı bazında erişim yetkilendirmesi yapılandırılmış | Enterprise |
| Secrets | N8N_ENCRYPTION_KEY güçlü ve secrets deposit'te saklı | Tümü |
| Secrets | Harici secrets yönetim sistemi entegre (Vault vb.) | Enterprise |
| Secrets | Credential rotasyon planı oluşturulmuş | Tümü |
| Uyumluluk | Kişisel veri içeren akışlar belgelenmiş (KVKK/GDPR) | Tümü |
| Uyumluluk | Execution log saklama süresi yapılandırılmış | Tümü |
| Yönetişim | Denetim logları etkin ve SIEM'e aktarılıyor | Enterprise |
| Yönetişim | İş akışları Git ile sürüm kontrolünde | Tümü |
| Yönetişim | Yedekleme ve kurtarma prosedürü test edilmiş | Tümü |
Bu kontrol listesinin tamamlanması tek seferlik bir eylem değil, sürekli güvenlik yönetiminin başlangıç noktasıdır. Kurumsal n8n dağıtımlarında periyodik güvenlik gözden geçirmeleri, penetrasyon testleri ve bağımlılık güncellemeleri (n8n sürüm takibi dahil) düzenli operasyonel rutin haline getirilmelidir. Sora Yazılım'ın güvenlik ve DevOps ekibi, kurumsal n8n dağıtımlarında bu süreçlerin tamamında teknik danışmanlık ve uygulama desteği sunmaktadır.
Sık Sorulan Sorular
n8n güvenli bir platform mudur?
n8n, güçlü şifreleme, 2FA ve kurumsal sürümde SSO/RBAC gibi güvenlik özellikleri sunar. Ancak self-host dağıtımında nihai güvenlik, kurumun altyapı yapılandırmasına bağlıdır; platform tek başına güvenliği garanti etmez.
n8n self-host mu yoksa cloud mu daha güvenlidir?
Self-host, veri yerelliği ve tam altyapı denetimi açısından avantajlıdır; ancak sunucu güvenliğinin tamamı kuruma aittir. Cloud, yönetilen altyapı güvenliği sunar fakat veri konumu üzerindeki denetim sınırlıdır. Seçim, kurumun güvenlik kapasitesine ve uyumluluk gereksinimlerine göre yapılmalıdır.
n8n'de SSO ve SAML desteği var mı?
Evet, n8n Enterprise sürümü SSO/SAML 2.0 desteği içerir. Okta, Azure AD, Google Workspace ve Keycloak dahil SAML 2.0 uyumlu kimlik sağlayıcılarla entegrasyon yapılabilir.
n8n'de secrets ve API anahtarları nasıl güvenli saklanır?
n8n, credential'ları AES-256 ile şifreler; şifreleme anahtarı `N8N_ENCRYPTION_KEY` ortam değişkeniyle tanımlanır. Enterprise sürümde HashiCorp Vault veya AWS Secrets Manager gibi harici secrets yönetim sistemleriyle entegrasyon mümkündür.
n8n KVKK uyumlu kullanılabilir mi?
n8n self-host dağıtımı, kişisel verilerin Türkiye'deki kurumsal altyapıda kalmasını sağlayarak KVKK veri yerelliği gereksinimini doğrudan destekler. Kurumun iş akışı tasarımını ve log yönetimini KVKK gereklilikleriyle uyumlu yapılandırması gerekir.
n8n'de denetim logu (audit log) özelliği var mı?
Evet, n8n Enterprise sürümü kapsamlı denetim logları ve harici SIEM sistemlerine log streaming sunar. Community sürümde yalnızca temel çalışma logları mevcuttur.
n8n'de 2FA (iki faktörlü kimlik doğrulama) nasıl etkinleştirilir?
Kullanıcılar n8n arayüzünde Profil > Güvenlik bölümünden TOTP uyumlu bir kimlik doğrulama uygulaması (Google Authenticator, Authy vb.) ile 2FA'yı etkinleştirebilir. Tüm kullanıcılara zorunlu kılmak için organizasyon politikası belirlenmesi önerilir.
Sonuç
n8n güvenliği, kurumsal dağıtımlarda çok katmanlı bir yaklaşım gerektirir: altyapı sertleştirme, güçlü kimlik doğrulama, merkezi secrets yönetimi ve sürekli denetim. Community sürüm temel güvenlik özelliklerini sunarken, Enterprise lisansı kurumsal uyumluluk ve yönetişim için kritik olan SSO, RBAC, harici secrets entegrasyonu ve denetim loglarını açar. Bu özelliklerin tamamının doğru yapılandırılması, n8n'i kurumsal risk profiliyle uyumlu bir otomasyon platformuna dönüştürür.
Kurumsal n8n güvenlik mimarisini doğru kurmak, hem teknik derinlik hem de iş süreci bilgisi gerektirir. Sora güvenlik ve DevOps ekibimiz, altyapı sertleştirmeden Enterprise SSO entegrasyonuna, KVKK uyumluluk değerlendirmesinden SIEM entegrasyonuna kadar uçtan uca teknik danışmanlık sunmaktadır. Kurumunuzun n8n güvenlik olgunluğunu değerlendirmek için ücretsiz bir keşif görüşmesi talep edebilirsiniz.