Erişim yönetimi çözümleri, işletmeler tarafından uygulamalara ve BT sistemlerine erişimi doğrulamak, yetkilendirmek ve denetlemek için kullanılır. Sıklıkla bir kimlik ve erişim yönetimi (IAM) çözümünün bir bileşeni olarak sağlanırlar ve şirket içi ve bulut tabanlı uygulamalara, hizmetlere ve BT altyapısına erişimi yakından yöneterek güvenliği artırmaya ve riski azaltmaya yardımcı olurlar. Ayrıca, uygun kullanıcıların uygun kaynaklara uygun zamanlarda ve uygun nedenlerle erişmesini sağlamaya da yardımcı olurlar. Bu blog yazısı, ayrıcalıklı erişim yönetiminin fiyatlandırması da dahil olmak üzere erişim yönetimini ayrıntılı olarak açıklayacaktır.
Erişim Yönetimi Nedir?
Erişim yönetimi, izin verilen veya belirtilen kullanıcıların bir sisteme, uygulamaya veya herhangi bir BT örneğine erişimini belirleme, izleme, düzenleme ve yönetme sürecidir.
Bir BT ortamında erişim haklarını güvende tutmak için kullanılan tüm kuralları, yöntemleri, metodolojileri ve teknolojileri içeren kapsamlı bir kavramdır.
Erişim yönetimi, esasen geçerli kullanıcıların erişimine izin verirken geçersiz kullanıcıları yasaklayan bir bilgi güvenliği, BT ve veri yönetişim prosedürüdür. AM, genellikle kimlik erişim yönetimi (IAM) ile birlikte kullanılır. AM, bu rollere ve ilkelere uyulmasını garanti ederken, kimlik yönetimi çeşitli kullanıcıları, rolleri, grupları ve ilkeleri geliştirir, sağlar ve düzenler. AM tabanlı bir uygulama/sistem, çeşitli kullanıcı rollerini ve profillerini kaydeder ve ardından verilere/profile/rollere dayalı olarak kullanıcı erişim isteklerini işler.
Kimlik ve Erişim Yönetimi
Kimlik ve erişim yönetimi (IAM), kullanıcı kimliklerini ve ağ erişim haklarını yönetmeye odaklanan bir siber güvenlik disiplinidir. IAM politikaları, süreçleri ve teknolojileri şirkete göre değişiklik gösterse de herhangi bir IAM girişiminin amacı, doğru kullanıcıların ve cihazların doğru zamanda, doğru nedenlerle doğru kaynaklara erişmesini sağlamaktır.
IAM, karmaşık çoklu bulut kurulumlarında erişim kontrolünü basitleştirmeye yardımcı olabilir. Kurumsal ağlar artık şirket içi, uzak ve bulut tabanlı (SaaS) yazılım ve veri kaynaklarına bağlıdır. İnsan kullanıcılar (çalışanlar, müşteriler, yükleniciler) ve insan olmayan kullanıcılar (botlar, IoT cihazları, otomatik iş yükleri, API'ler) çeşitli nedenlerle bu kaynaklara erişim gerektirir.
IAM sistemleri, işletmelerin her kullanıcıya tek bir dijital kimlik vermesini ve her kullanıcı için erişim ayrıcalıklarını belirlemesini sağlar. Sonuç olarak, yalnızca yetkili kullanıcılar şirket kaynaklarına erişebilir ve bu kaynakları yalnızca kuruluşun izin verdiği şekillerde kullanabilirler.
IAM Nasıl Çalışır?
Özünde IAM, yetkili kullanıcıların izinlerini aşmadan yapmaları gereken her şeyi yapmalarına izin verirken bilgisayar korsanlarını dışarıda tutmaya çalışır.
Her şirketin ağı, bir kimlik ve erişim yönetimi sistemi geliştirmek için kullanılan politikalar, süreçler ve araçlar gibi benzersizdir. IAM uygulamalarının tümü olmasa da büyük çoğunluğunun dört temel işlevi kapsadığını söyledikten sonra:
1 numara. Kimlik yaşam döngüsü yönetimi
Bir ağ üzerindeki her insan veya insan olmayan varlık için bir dijital kimlik geliştirme ve sürdürme süreci, kimlik yaşam döngüsü yönetimi olarak bilinir.
Dijital bir kimlik, ağa her bir varlığın kim veya ne olduğu ve ağda ne yapmalarına izin verildiği hakkında bilgi verir. Tanımlama genellikle temel kullanıcı hesabı bilgilerini (isim, kimlik numarası, oturum açma kimlik bilgileri vb.) ve ayrıca varlığın kurumsal işlevi, görevleri ve erişim hakları hakkındaki bilgileri içerir.
Yeni varlıkların eklenmesi, hesaplarının ve izinlerinin zaman içinde yükseltilmesi ve artık erişime ihtiyaç duymayan kullanıcıların ayrılması veya yetkilerinin kaldırılması işlemlerinin tümü, kimlik yaşam döngüsü yönetiminin bir parçasıdır.
2 numara. Giriş kontrolu
Daha önce belirtildiği gibi, her bir dijital kimliğin, şirketin erişim kısıtlamalarına bağlı olarak ağ kaynaklarına değişen düzeylerde erişimi vardır. Bir tüketici, kişisel hesabına ve verilerine yalnızca bir bulut platformunda erişebilir. Çalışanlar, müşteri veritabanlarına ve İK portalları gibi dahili araçlara erişebilir. Bir sistem yöneticisi, müşteri ve çalışan hesapları, dahili ve harici hizmetler ve anahtarlar ve yönlendiriciler gibi ağ ekipmanları dahil olmak üzere ağdaki her şeye erişebilir ve bunları değiştirebilir.
Erişim düzenlemeleri oluşturmak ve uygulamak için birçok IAM sistemi rol tabanlı erişim denetimi (RBAC) kullanır. Her kullanıcının RBAC'deki ayrıcalıkları, iş işlevlerine veya iş unvanlarına göre belirlenir. Bir şirketin ağ güvenlik duvarı erişim izinlerini yapılandırdığını varsayalım. Bir satış temsilcisinin, mesleği bunu gerektirmediği için erişime sahip olması pek olası değildir. Alt düzey bir güvenlik analisti, güvenlik duvarı yapılandırmalarını görüntüleyebilir ancak değiştiremez. CISO tüm idari yetkiye sahip olacaktır. Şirketin SIEM'ini güvenlik duvarına bağlayan bir API, güvenlik duvarının etkinlik günlüklerini okuyabilir ancak başka bir şey göremez.
#3. Kimlik doğrulama ve yetkilendirme
IAM sistemleri, yalnızca kimlik oluşturmaktan ve izin vermekten daha fazlasını yapar; ayrıca kimlik doğrulama ve yetkilendirme yoluyla bu izinlerin uygulanmasına yardımcı olurlar.
Kimlik doğrulama, kullanıcıların söyledikleri kişi olduklarını gösterdikleri süreçtir. Bir kullanıcı bir kaynağa erişim istediğinde, IAM sistemi kimlik bilgilerini dizinde depolananlarla karşılaştırır. Eşleşirlerse erişim verilir.
Bir kullanıcı adı/parola kombinasyonu, temel bir kimlik doğrulama düzeyi sağlarken, günümüzde çoğu kimlik ve erişim yönetimi çerçevesi, siber tehditlere karşı ek güvenlik sağlamak için ek kimlik doğrulama katmanları kullanır.
Çok faktörlü kimlik doğrulama.
Kullanıcılar, çok faktörlü kimlik doğrulama (MFA) kullanırken kimliklerini kanıtlamak için iki veya daha fazla kimlik doğrulama faktörü göndermelidir. Kullanıcının telefonuna verilen bir güvenlik kodu, fiziksel bir güvenlik anahtarı veya parmak izi taramaları gibi biyometri, ortak faktörlerdir.
SSO (tek oturum açma)
SSO, kullanıcıların tek bir oturum açma kimlik bilgisi seti ile çok sayıda uygulama ve hizmete erişmesine olanak tanır. SSO portalı, kullanıcının kimliğini doğrular ve diğer kaynaklar için güvenlik anahtarı görevi gören bir sertifika veya belirteç oluşturur. Birçok SSO sistemi, hizmet sağlayıcıların anahtarları özgürce paylaşmasına izin vermek için Güvenlik Onayı İşaretleme Dili (SAML) gibi açık protokoller kullanır.
Uyarlanabilir tanımlama
Risk değiştiğinde, "riske dayalı kimlik doğrulama" olarak da bilinen uyarlamalı kimlik doğrulama, kimlik doğrulama gereksinimlerini gerçek zamanlı olarak değiştirir. Bir kullanıcının yalnızca normal cihazından check-in yaparken bir kullanıcı adı ve şifre girmesi gerekebilir. Aynı kullanıcı güvenilmeyen bir cihazdan oturum açarsa veya hassas bilgileri görmeye çalışırsa, ekstra kimlik doğrulama faktörleri gerekebilir.
IAM sistemi, kimliği doğrulandıktan sonra kullanıcının erişim ayrıcalıkları için dizini kontrol eder. IAM sistemi daha sonra kullanıcıya yalnızca izinlerinin izin verdiği görevlere erişme ve bunları tamamlama yetkisi verir.
#4. Kimlik yönetimi
İnsanların kaynak erişimleriyle ne yaptıklarını izleme süreci, kimlik yönetimi olarak bilinir. IAM sistemleri, ayrıcalıklarını kötüye kullanmadıklarından emin olmak ve ağa girmiş bilgisayar korsanlarını yakalamak için kullanıcıları izler.
Kimlik yönetimi, yasal uyumluluk için de gereklidir. Şirketler, erişim kontrollerinin Genel Veri Koruma Yönetmeliği (GDPR) veya Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI-DSS) gibi veri güvenliği standartlarına uygun olmasını sağlamak için etkinlik verilerini kullanabilir.
Ayrıcalıklı Erişim Yönetimi (PAM)
Ayrıcalıklı Erişim Yönetimi (PAM), benzersiz erişime veya normal kullanıcılarınkinden çok daha fazla yeteneklere sahip kimlikleri koruyan bir bilgi güvenliği (infosec) yöntemidir. PAM güvenliği, diğer tüm bilgi güvenliği çözümleri gibi, insanlar, süreçler ve teknolojinin birleşimine dayanır.
Ayrıcalıklı hesapların teknik ortam açısından oluşturduğu risk nedeniyle ekstra önlemler almaktayız. Örneğin, bir yöneticinin veya hizmet hesabının kimlik bilgileri ele geçirilirse, kuruluşun sistemleri ve gizli verileri tehlikeye girebilir.
Tehdit aktörleri, ayrıcalıklı erişim hesaplarını ele geçirdiğinde, veri ihlalleri meydana gelir. Bu hesaplar, teknolojik bir ortamda her kapıyı açan anahtarları içerdiğinden, ek güvenlik katmanları eklemeliyiz. Ayrıcalıklı Erişim Yönetimi sistemi bu ekstra güvenliği sağlar.
Ayrıcalıklı Erişim Nedir?
Teknolojik bağlamda, ayrıcalıklı erişim, normal kullanıcılardan daha fazla yeteneğe sahip hesapları ifade eder. Örneğin, bir Linux ortamında, kök kullanıcı kullanıcı ekleyebilir, düzenleyebilir veya silebilir; yazılımı kurun ve kaldırın; ve işletim sistemlerinin sıradan bir kullanıcının erişemeyeceği kısıtlı bölümlerine erişin. Windows ortamları benzer bir güvenlik modeline sahiptir, ancak kök kullanıcıya yönetici adı verilir.
Ayrıcalıklı Erişim Yönetimi Süreci Nasıldır?
Privileged Access Management, daha önce söylendiği gibi, insanların, süreçlerin ve teknolojinin bir bileşimidir. Bu nedenle, hangi hesapların ayrıcalıklı erişime sahip olduğunu belirlemek, bir PAM çözümü kurmanın ilk adımıdır. Ardından şirketin bu hesaplara hangi politikaların uygulanacağına karar vermesi gerekiyor.
Örneğin, bir kullanıcı kayıtlı kimlik bilgilerine her eriştiğinde hizmet hesaplarının parolalarını yenilemesi gerektiğini şart koşabilirler. Tüm sistem yöneticileri için Multi-Factor Authentication'ı (MFA) zorlamak başka bir örnektir. Kurumun uygulamayı tercih edebileceği bir başka düzenleme de tüm ayrıcalıklı oturumların eksiksiz bir kaydını tutmaktır. Her süreç ideal olarak belirli bir riskle uyumlu hale getirilmelidir. Örneğin, hizmet hesapları için parola değişikliği gerektirmesi, içeriden saldırı olasılığını azaltır. Benzer şekilde, tüm ayrıcalıklı oturumların günlüğünü tutmak, güvenlik yöneticilerinin herhangi bir anormalliği belirlemesine olanak tanır ve MFA'yı zorunlu kılmak, parolayla ilgili saldırıları önlemek için denenmiş ve doğrulanmış bir çözümdür.
Ayrıcalıklı hesapları bulmaya yönelik keşif adımını tamamladıktan ve PAM ilkelerini sonlandırdıktan sonra işletme, Ayrıcalıklı Erişim Yönetimini izlemek ve uygulamak için bir teknoloji platformu kurabilir. Bu PAM çözümü, kuruluşun kurallarını otomatikleştirir ve güvenlik yöneticilerinin ayrıcalıklı hesapları yönetmesi ve izlemesi için bir platform sağlar.
PAM'ın önemi nedir?
Ayrıcalıklı hesaplar kurum için büyük bir risk oluşturur, bu nedenle ayrıcalıklı erişim yönetimi her kuruluşta kritik öneme sahiptir. Örneğin, bir tehdit aktörü normal bir kullanıcı hesabının güvenliğini ihlal ederse, yalnızca o belirli kullanıcının bilgilerine erişebilir. Ayrıcalıklı bir kullanıcıyı tehlikeye atmayı başarırlarsa, önemli ölçüde daha fazla erişime sahip olacaklar ve hatta hesaba bağlı olarak sistemlere zarar verebilirler.
Dolandırıcılar, konumları ve profilleri nedeniyle tek bir kişiye değil tüm şirketlere saldırmak için ayrıcalıklı hesapları hedefler. Forrester, güvenlik ihlallerinin %80'inde ayrıcalıklı hesapların yer aldığını tahmin ettiğinden, bu temel kurumsal kimliklerin korunması ve izlenmesi kritik öneme sahiptir. Örneğin bir PAM çözümü, çok sayıda kişinin belirli bir hizmet için aynı yönetici parolasına erişmesi ve bu parolayı bilmesi gibi güvenlik kusurlarını giderebilir. Ayrıca, yöneticilerin öngörülemeyen bir kesintiye neden olma korkusuyla uzun süredir devam eden statik parolaları değiştirmeyi reddetme tehlikesini de azaltır.
PAM, güvenli erişimin önemli bileşenlerini yönetir ve yönetici kullanıcı hesaplarının oluşturulmasını, yükseltilmiş erişim yeteneklerini ve bulut uygulaması yapılandırmasını kolaylaştırır. PAM, BT güvenliği açısından bir kuruluşun ağlar, sunucular ve kimlikler genelindeki saldırı yüzeyini azaltır. Ayrıca, dahili ve harici siber güvenlik tehditlerinin neden olduğu veri ihlali olasılığını da azaltır.
Ayrıcalıklı Erişim Yönetimi Fiyatlandırması
Ayrıcalıklı erişim yönetimi (PAM) sistemi, lisans ücretlerinden daha pahalıdır. Yalnızca peşin maliyetlere odaklanmak cazip gelse de, ayrıcalıklı erişim yönetimi fiyatlandırmasının değerlendirilmesi, çözümün gerçek bir Yatırım Getirisi (ROI) sağlayıp sağlamayacağını veya çözdüğünden daha fazla soruna neden olup olmayacağını belirlemek için diğer faktörlerin dikkate alınmasını gerektirir.
Bu nedenle, işletmeler, ayrıcalıklı erişim yönetimi maliyetlerini dikkate almanın yanı sıra, bir PAM sistemi seçerken ne tür bir yatırım getirisi elde edeceklerini de belirlemelidir. Bir yatırım getirisi hesaplayıcısı, DevOps/Mühendislik ekipleri, Güvenlik ekipleri ve firma için uygun getiri türlerini belirlemede onlara yardımcı olabilir.
Bir PAM Çözümünün Maliyeti Nedir?
Ayrıcalıklı Erişim Yönetimi (PAM) çözümleri kullanıcı başına aylık 70 ABD dolarıdır. Bu, tüm veritabanları, sunucular, kümeler, web uygulamaları ve bulutlar için denetim ve entegrasyonları içerir. Ayrıca ölçüm, veri sınırlaması veya profesyonel hizmet maliyeti yoktur.
Erişim Yönetiminin Rolü Nedir?
Erişim yönetimi, bir kişinin hak sahibi olduğu bir araca tam düzeyde ve türde erişim elde etmesini garanti eder.
Erişim Yönetimi için Hangi Becerilere İhtiyacınız Var?
- Uygulama güvenliğini iyi anlama ve bilme.
- Rol tabanlı erişim kontrol sistemleri konusunda biraz anlayış ve/veya uzmanlık.
- Mükemmel sözlü ve yazılı iletişim, kişilerarası, organizasyonel ve zaman yönetimi becerileri.
- Karmaşık teknik sorunları, sorunları ve alternatif çözümleri başkalarına aktarma ve açıklama konusunda güçlü kapasite.
- Bir yüksek öğrenim veya devlet kurumunda ERP sistemleriyle çalışma konusunda iyi bilgi veya deneyim.
- Karmaşık teknik sorunlar ve görevlerle ilgili analitik ve sorun giderme becerileri gereklidir.
- Bir ERP sistemi ile ilgili bir yazılım geliştirme ortamında kimlik yöneticisi olarak bilgi veya deneyim tercih edilir.
- Eyalet ve federal kimlik yönetimi düzenlemeleri hakkında güçlü bilgi veya deneyim.
- Erişim sağlamak için rol tabanlı erişim kontrol önlemlerinin ne zaman kullanılabileceğini bilmek.
- Satıcının teknik destek merkezine ne zaman dava açılacağını ve/veya mevcut bir sorunu ne zaman ileteceğinizi belirleme yeteneği.
- Belirli risk azaltma düzeylerini artırmaya veya uygulamaya karar verme yeteneği.
İlgili Makaleler
- EMPATİ: Empati eksikliği belirtileri ve nasıl geliştirileceği
- KİMLİK YÖNETİM SİSTEMİ
- KİMLİK VE ERİŞİM YÖNETİMİ ARAÇLARI: Tanımlar, En İyi ve Ücretsiz Kimlik ve Erişim Araçları
- Ayrıcalıklı Erişim Yönetimi: Nasıl Çalışır?
Referanslar
