VPS ile dedicated sunucu tartışması genellikle "performans ile fiyat" çerçevesinde ele alınır. Gizliliğin kritik önem taşıdığı iş yükleri için bu çerçeve yanlıştır. Asıl soru, silikon düzeyinde neyi paylaşmaya razı olduğunuz ve bunu kiminle paylaştığınızdır. Sanallaştırılmış bir sunucu, tanım gereği çok kiracılı bir kutudur: çekirdeğiniz, aynı anda yabancıların çekirdeklerini çalıştıran bir hypervisor'ın üzerinde çalışır. 2026 itibarıyla çoğu iş yükü için bu, iyi savunulmuş, makul bir sınırdır. Bazı iş yükleri için ise hiçbir işletim sistemi sertleştirmesinin düzeltemeyeceği yapısal bir zaaftır.
Bu kılavuz çizgiyi çizer. Gerçekte yanıtı değiştiren tehdit modelini, bilmeniz gereken hypervisor kaçış CVE geçmişini, pratik ekonomiyi ve hangi iş yüklerinin nereye ait olduğunu gösteren karar matrisini ele alacağız.
Yanıtı belirleyen tehdit modeli
Özellikleri karşılaştırmadan önce tek cümlelik bir tehdit modeli yazın. Doğru sunucu türü bundan neredeyse kendiliğinden ortaya çıkar.
Tek kiracılık: gerçekte ne kazandırır
Bir dedicated sunucuda — yalnızca size tahsis edilmiş fiziksel bir kutuda — barındırıcının sözleşmesinin izin verdiği ölçüde işletim sisteminin altındaki her katmanı kontrol edersiniz: BIOS ayarları, güvenli önyükleme yapılandırması, barındırıcının gerçekten okuyamadığı bir parola ile tam disk şifrelemesi, IPMI maruziyeti ve hangi çekirdek modüllerinin yükleneceği. Siz ile silikon arasında hiçbir hypervisor yoktur. L1/L2 önbelleğini paylaşan komşu yoktur. Yan kanal saldırısının AES turlarınızı gözlemleyebileceği paylaşımlı bir bellek veri yolu yoktur.
Bir VPS'de — fiziksel bir kutunun sanallaştırılmış bir diliminde — yalnızca misafir işletim sistemini kontrol edersiniz, hepsi bu. Barındırıcı; hypervisor'ı, disk şifreleme anahtarlarını (gerçekçi yapılandırmaların büyük çoğunluğunda) ve fiziksel makineyi kontrol eder.
Üç tehdit kategorisi
Gizlilik açısından tehditler üç gruba ayrılır:
- Ağ saldırganı. Kabloya müdahale eden veya mahkeme celbi çıkartan biri. Aktarım şifrelemesi (TLS, WireGuard, SSH) ve yargı yetkisi ile savunulur. Sunucu türü önemsizdir.
- Barındırıcı saldırganı. Barındırma sağlayıcısının kendisi veya onu zorlayabilen herhangi biri. Öncelikle yargı yetkisiyle (yargı yetkisi kılavuzumuzda ele alınmıştır), ikinci olarak barındırıcının sahip olmadığı bir parola ile tam disk şifrelemesiyle savunulur. Dedicated burada mütevazı biçimde üstündür.
- Ortak kiracı saldırganı. Aynı fiziksel kutuda farklı bir VPS kiralayan ya da farklı bir vektör aracılığıyla buna sızan ve kendi diliminden kaçmaya çalışan biri. Dedicated bu kategoriyi tamamen ortadan kaldırır; VPS kaldırmaz.
3. kategori tehdit modelinizde yer alıyorsa, tartışma sona erer — dedicated sunucuya ihtiyacınız vardır. Yer almıyorsa, doğru yargı yetkisinde iyi yapılandırılmış bir VPS, gizliliğe duyarlı iş yüklerinin büyük çoğunluğu için yeterlidir.
Hypervisor kaçışı: ne sıklıkla yaşanır?
En kısa dürüst yanıt: nadiren, ve yamalar genellikle birkaç gün içinde yayımlanır. Ancak "nadir" hiçbir zaman "asla" değildir; tarihsel kayıt bilinmeye değerdir.
Kamuoyuna yansıyan büyük kaçışlar
- Xen XSA-226 (2017) — sayfa tablosu işlemesindeki bir bellek bozulması hatası, misafirin ana makineye yetki yükseltmesine olanak tanıdı. Bir ay içinde yamalandı; büyük bulut sağlayıcıları acil yeniden başlatmalar gerçekleştirdi.
- VENOM (CVE-2015-3456) — QEMU sanal disket denetleyicisindeki bir arabellek taşması; KVM ve Xen'i etkiledi. Eski ama öğretici: saldırı yüzeyi, kimsenin aktif olarak kullanmadığı bir özellikti.
- L1TF / Foreshadow (2018) — hypervisor sınırları arasında bellek sızdırabilen bir Intel spekülatif yürütme yan kanalı. Mikrokod ve zamanlama değişiklikleriyle giderildi; hiper iş parçacığının devre dışı bırakılmasına bağlı performans kaybı önemliydi.
- KVM MDS varyantları (süregelen, en güncel 2024) — Mikromimarsel Veri Örnekleme saldırıları. Her yeni çip kuşağı yeni bir varyant üretir; hafifletme önlemleri ölçülebilir bir performans maliyeti taşır.
CVE numarası alan kamuya açık kaçışlar, görünen kısmı oluşturur. Özel açıklar da mevcuttur; ulus-devlet düzeyindeki kaçışlar çoğu yıl Pwn2Own'da sergilenmiştir. Hypervisor kaçışının bile olası tehditler listesinde yer aldığı bir iş yükü için hypervisor üzerinde bulunmak istemezsiniz.
IPMI / bant dışı kanal
Hem VPS hem de dedicated kutular genellikle barındırıcının operasyon ekibi için IPMI (Intelligent Platform Management Interface) sunar. VPS'de IPMI maruziyeti barındırıcının sorunudur ve sizinle ilgisi yoktur. Dedicated sunucuda ise genellikle IPMI'nin özel bir VLAN üzerinde, VPN arkasında ya da bakım pencereleri arasında tamamen devre dışı bırakılmasını talep edebilirsiniz. Dedicated kutularda varsayılan olarak "IPMI kapalı, talep üzerine açık" politikası uyguluyoruz — işletimsel ayrıntılar için dedicated sunucu sayfasına bakınız.
Tam disk şifrelemesi: pratik gerçekler
Her iki sunucu türü de beklemedeki şifrelemeyi destekler; ancak güven modeli farklıdır.
VPS şifrelemesi
VPS'inizde LUKS çalıştırabilirsiniz; bu, misafir dosya sistemi düzeyinde şifreleme sağlar. VPS'iniz kapatıldıktan sonra temel diskin çalınmasına karşı koruma sunar. Ancak hypervisor tarafından alınan canlı bir bellek anlık görüntüsüne karşı koruma sağlamaz — şifreleme anahtarlarınız, hypervisor'ın okuyabildiği RAM'dedir. Gerçekçi tehditlerin büyük çoğunluğu için bu yeterlidir; inandırıcı bir barındırıcı saldırganı söz konusu olduğunda ise bu bir gösteriden ibarettir.
Dedicated şifrelemesi
Bir dedicated sunucuda, uzaktan girilen bir parola ile tam disk şifrelemesi (dropbear-in-initramfs veya benzeri kullanılarak) size barındırıcının işbirliğiniz olmadan gerçekten kurtaramayacağı bir anahtar sağlar. Dezavantajı: güç döngüsü gerektiren her durumda parolayı girmeniz gerekir; bu, kişisel altyapı için sorun değildir ancak otomatik ölçekleme için zahmetlidir. Avantajı ise şudur: kutuya el koyan zorla itaate sevk edilmiş bir barındırıcı yalnızca şifreli metinle karşılaşır.
VPS ile dedicated, karşılaştırmalı değerlendirme
| Boyut | VPS | Dedicated |
|---|---|---|
| Tek kiracılık | Hayır (CPU, RAM, hypervisor paylaşımlı) | Evet (tam fiziksel yalıtım) |
| Ortak kiracı saldırı yüzeyi | Hypervisor + paylaşımlı önbellek | Yok |
| Barındırıcı saldırganına karşı FDE | Göstermelik (anahtar hypervisor'ın okuyabildiği RAM'de) | Gerçek (barındırıcı yalnızca şifreli metne ulaşır) |
| Hazır hale gelme süresi | Dakikalar | Birkaç saatten birkaç güne |
| Donanım yükseltme | Plan yeniden boyutlandırma | Yeni kutuya geçiş |
| Tipik 2026 başlangıç fiyatı (offshore) | $5–$15/ay | $60–$200/ay |
| IPMI maruziyeti | Gizli (barındırıcının sorunu) | Yapılandırılabilir (sizin sorununuz) |
| En uygun olduğu durumlar | VPN uç noktaları, derleme sunucuları, kişisel e-posta, Tor röleleri, geliştirme çalışmaları | Büyük ölçekli posta sunucuları, anahtar gözetimi, görüntü platformları için CSAM taraması, kategori-3 tehdidi olan her şey |
İş yüküne göre karar matrisi
Kişisel VPN, derleme sunucusu, geliştirme kutusu, Tor rölesi
VPS. Tehdit; ağ saldırganı ve yargı yetkisidir; ortak kiracı kaçışı, operasyonel maliyete kıyasla gerçekçi bir endişe değildir. VPS planlarına göz atın ve yargı yetkisi kılavuzunuzun sonucuyla örtüşen ülkeyi seçin.
Kişisel posta sunucusu, küçük XMPP sunucusu, Matrix homeserver
~50 kullanıcının altında VPS uygundur. Bu sayının üzerinde performans sorunları başlar; gizlilik ekseninden bağımsız olarak IMAP/SMTP kuyruk verimi için dedicated sunucu tercih edilmelidir.
Kullanıcı verisi barındıran kamuya açık platform (forum, görüntü panosu, sohbet)
Erken büyüme aşamasında VPS; kullanıcı sayısı veya içerikler dikkat çekmeye başladığında dedicated sunucuya geçin. Tek kiracılık, yalnızca tesadüfi değil hedef haline geldiğinizde değerli hale gelir.
Önemli miktarda varlık tutan kripto düğümü
Dedicated. Kategori-3 tehdidi gerçektir — bu varlık büyüklüğünde, bir yan kanal aracılığıyla tohum anahtarınızı okuyan bir ortak kiracı güvenlik ihlali bilim kurgu değildir. Tam disk şifrelemesi ve IPMI kapalı olan Dedicated sunucu planları asgari gereksinimdir.
İhbarcı platformu / sızıntı barındırma
İzlanda veya İsviçre'de dedicated sunucu; tam disk şifrelemesi ve dropbear-initramfs ile birlikte. Bu, her katmanın önem taşıdığı iş yüküdür. Hukuki katman için yargı yetkisi kılavuzuyla birlikte kullanın.
Toplu içerik dağıtımı (video, büyük dosya barındırma)
Dedicated; ancak gizlilik gerekçesiyle değil, performans gerekçesiyle. 1 Gbps sınırsız dedicated sunucu, aynı hızda burst yapan bir VPS'den daha uygun maliyetlidir.
Ekonomi: dürüst bir değerlendirme
VPS fiyatlandırması 2026'da belirgin biçimde düştü: offshore bir yargı yetkisinde 4 GB RAM / 2 vCPU / 80 GB NVMe, ülkeye bağlı olarak aylık yaklaşık 9 ile 15 dolar arasında seyrediyor. Aynı lokasyonlarda dedicated donanım, 60 dolardan (düşük seviyeli Atom veya eski Xeon) başlıyor ve güncel nesil EPYC ya da Xeon Scalable için 200 doların üzerine çıkıyor. 4 ila 10 kat fark gerçektir ve çoğu iş yükü için yalnızca gizlilik gerekçesiyle bu fark meşrulaştırılamaz — meşrulaştıran etken performanstır.
Dürüst bir bölünme: "gizlilik barındırması gerekiyor" diyen iş yüklerinin yaklaşık %80'i, doğru ülkedeki 10 dolarlık bir VPS ile en iyi şekilde karşılanır. Geri kalan %20 — yüksek değerli kripto gözetimi, gazetecilik platformları, saldırganların ilgisini çeken büyük ölçekli içerik — dedicated sunucu gerektirir. Fazla harcamayın ve eksik de harcamayın.
Seçtiğiniz sunucu için operasyonel kontrol listesi
- Sipariş vermeden önce barındırıcının IPMI politikasını yazılı olarak teyit edin.
- Tam disk şifreleme desteğini doğrulayın — VPS için LUKS'a izin verildiğini; dedicated için ilk kurulumda dropbear-initramfs'e izin verildiğini kontrol edin.
- VPS için AUP'ta açık hypervisor kaçış bildirim maddelerini kontrol edin — ciddi bir barındırıcı, onaylanmış bir kaçıştan sonra 24 saat içinde müşterileri bilgilendirmeyi taahhüt eder.
- Dedicated için kutunun yeni, az kullanılmış veya yenilenmiş olup olmadığını; teslimat öncesinde silme talep edip edemeyeceğinizi sorun.
- Gizlilik yığınının geri kalanını okuyun: VPN protokol seçimi, ödeme gizliliği ve offshore barındırma kullanım senaryosu.