Dağıtık Ayrıcalıklı Erişim Yönetimi'nin Avantajları ve Zorlukları: Uçtan Buluta Kuruluşları Güvende Tutmak

Merkezi ve dağıtık Bilgi Teknolojileri (BT) tartışması uzun yıllardır devam ediyor ve her iki seçenek ile ilgili son derece güçlü savlar öne sürülüyor. Bulut teknolojisinin yükselmesi her şeyi değiştirdi ve günümüzde "Gölge BT", kuruluşlarının varlıklarını korurken çalışanların ve yüklenicilerin "resmi" uygulamalar yerine bulup kullanmaya devam ettiği üretkenlik araçlarının sayısını sınırlamamakla sorumlu CIO'ları ve CISO'ları zorlamaya devam ediyor.

Örneğin Microsoft Teams gibi kapsamlı, birleştirilmiş iş birliği uygulamaları mevcut olmasına ve sanal toplantıları desteklemesine karşın kişiler veya çalışma grupları bunun yerine çoğu ücretsiz veya çok düşük maliyetli (ör. Slack) sayısız seçenekten birini tercih edebilir ve seçtikleri uygulamanın üzerine WhatsApp veya Facebook Messenger gibi mesajlaşma ve ses uygulamalarını kullanabilir.

Diğer şirketler iş birimlerinin kendi uygulamalarını seçmesine izin verebilir. Bu durumda BT'nin "tüketiciye uyarlanması" ve gün geçtikçe artan sayıda "geçici elemanlar" dahil olmak üzere yeni nesil çalışanların yön verdiği iş birimleri lisans satın almak için kurumun kredi kartlarını kullanabilir ve bu durum izlenmezse ve yönetilmezse BT ile ilgili güvenlik riskleri artar. Geçen yıl, hassas bilgilerin paylaşıldığı Zoom konferanslarına izinsiz giren yabancı kişiler de dahil olmak üzere son derece büyük ölçekli hack'lenme olayları görüldü.

Farklı iş birimlerinin seçtiği birden çok bulut uygulamayı desteklerken kuruluşun altyapısını, verilerini ve diğer varlıklarını korumanın bir yolu var mı?

Verizon'un "DBIR" raporu’na göre ihlallerin yüzde 63'ünün nedeni zayıf veya sık kullanılan şifreler; yüzde 53'ü ise değerli verilere (kişisel sağlık bilgileri, kredi kartı numaraları, sosyal güvenlik numaraları ve siber suçluların paraya dönüştürebileceği diğer içerikler) şirketin stratejik planları ve sırları, fikri mülkiyet ve rakiplerin ya da üçüncü tarafların elde etmek istediği diğer hassas bilgilere erişimi olan yetkili hesapların yanlış kullanımı oluşturuyordu.

CIO veya CISO görevini üstlenenlerin görevi, kurum içinde hangi verilerin gizli veri olduğuna, nerede tutulması gerektiğine ve kimlerin erişebileceğine karar vermektir. Dağıtık bir BT ortamında bu, yazılım otomasyonu olmadan neredeyse mümkün değildir. Bunun yanı sıra yetkili hesapların kontrolü tüm sektörlerde yer alan uyumluluk düzenlemeleri açısından önemli bir faktör olduğu düşünülürse, sürdürülebilir ve etkin önlemler alınmalıdır.

Yeni kullanıcılar oluşturmak gibi basit işlemleri yerine getiren yerel yönetici hesapları veya birden çok sisteme erişimi olan yetkili kullanıcı hesapları olsun, her resmi kurum hesabı erişim sağlayan kişiler, erişim sağlanan unsurlar, erişim talebi sıklığı ve erişim talebinin istendiği konumlar açısından izlenmelidir. Bu bir çoklu bulut, çoklu uygulama, "hibrit ötesi" ortamda nasıl mümkün olabilir?

İyi yönetilen ve dağıtık erişim yönetimi ortamında şirketin tamamına hakim olan daha geniş çaplı bir ekip yeni çalışanlar eklemek veya üçüncü taraflar ya da ziyaretçiler için kimlik bilgileri oluşturmak üzere bir erişim kontrol yönetimi sistemine giriş yapabilir. Örneğin bir şubenin ofisinden sorumlu bir ofis müdürü, yeni bir ürün geliştirmek veya yeni bir programı desteklemek üzere gelecek bir danışman için Microsoft Teams'de yeni bir kullanıcı hesabı açabilir.

Teoride, merkezi yönetim modelinde olduğu gibi sadece bir veya iki kişi yerine departman müdürleri erişim izni sağladığı için daha sıkı bir erişim kontrolünden söz edilebilir. Bu senaryoda şube müdürü kimlerin giriş yapacağına ve verilere erişeceğine ve erişim seviyelerine hızla karar verebilir; bu şekilde ofis müdürü zaman içerisinde hesap açma ve hesap kapatma yetkisine sahip olur.

Teorik olarak şube müdürü En Az Ayrıcalık (Least Privilege) ilkesini daha rahat şekilde uygulayabilir; en üst düzey güvenlik sağlamak için sadece gerekli erişimleri sağlayabilir. Bir kişinin oturum açma bilgileri başka kişilerce ele geçirilecek olursa yetkisiz giriş yapan kişiler sadece görüntülenebilen verilerle ve kullanabilecekleri programlarla sınırlı olacaktır. Dağıtık erişim kontrolü; iş akışının modernleştirilmesi, üretkenliğin derhal desteklenmesi ve self servis dünyada ekip üyelerinin beklentilerinin birbirine uygun hale getirilmesi dahil olmak üzere gerçek faydalar sağlayabilir.

Buna karşın tüm bu faydalar yeni riskler doğurur. Erişim yönetimine kurumsal seviyede görünürlük sağlanmaması BT ekibinin sisteme giriş yapanları, değişiklik yapanları ve verilere erişenleri sınırlama ve izleme amacını yerine getirmesini zorlaştırıyor. Merkezi olmayan bir modelde farklı kişiler şirket politikasını farklı şekilde yorumlayacak, tutarlılık sağlanmayacak ve riskler artacaktır. 2020 yılında gördüğümüz üzere çok sayıda çalışanın uzaktan çalışmasını gerektiren koşullarda sınırsız erişim tehlikesi çok ciddi ihlal risklerini getiriyor.

Merkezi olmayan bir erişim kontrol modeli sadece yönetişim uygulandığında işe yarıyor. Bu ise Ayrıcalıklı Erişim Yönetimi (PAM) yazılımı çözümü sayesinde, özellikle de söz konusu çözüm iş yeri tabanlı yerine buluta uygun olarak oluşturulmuşsa, doğru şekilde hayata geçirilebilir.

Single Connect'in sağladığı çözüm arka planda tutarlı ve gizli bir şekilde çalışırken yüksek riskli aktiviteleri tanımladığı ve alarm verdiği için sistemin takip edilmesi ve dağıtık bir sistemin temeli olan otonominin desteklenmesi arasında uygun bir denge kuruyor. Sistemin saldırıya uğraması durumunda acil durum başlatmak dahil olmak üzere sistemi erişim ilkeleriyle uyuşmayan aktivitelere karşı izleyebilir ve bir müdahale gerçekleştirebilir.

Çoğu büyük kuruluşta ve yüksek seviyede dağıtık BT öğeleriyle yetkilendirilen iş güçlerine sahip diğer kuruluşlarda çalıştırılan Yetkili Oturum Yöneticisi ürünümüz gerçek zamanlı izleme, günlük kaydı oluşturma, tüm yetkili kullanıcıların oturumlarını kaydetme özelliği sunmasının yanı sıra komut ve içerik farkındalıklı filtreleme dahil olmak üzere rol tabanlı görev dağıtımı ve en az ayrıcalık (least privilege) yönetimi ile kötü amaçlı aktiviteleri durduruyor.

Sağladığı farklı avantajlar arasında şunlar yer alıyor:

• Telnet, SSH, RDP, VNC, HTTP için ortadaki adam (man-in-the-middle) desteği.
• Günlük kaydetme, oturum kaydı ve oturum yeniden oynatma.
• Aktif-Aktif yedekleme.
• Güvenlik ilkelerinin şeffaf şekilde uygulanması.
• Gelişmiş ilke, içerik farkındalıklı ilke, yönetim onayı.
• RDP için nesne karakter tanımlama, RDP oturum kaydı.
• Bakım modu için ağ öğelerindeki tüm aktif bağlantıların otomatik olarak sonlandırılması.
• Aktif oturumlarda ayrıcalıklı kullanıcılar tarafından oturum "alma" ve "oturumdan ayrılma" işlevleri.
• Aranabilir komut/tuş basma kayıtları ve video kayıtlarının tam olarak oynatılması ile birleştirilmiş görünürlük.
• Komut veya uygulama tabanlı kısıtlamalar, yönetim onayı, coğrafi konum doğrulama, çok faktörlü kimlik doğrulama/yetkilendirme, saat ve tarih tabanlı erişim dahil olmak üzere en az ayrıcalık (least privilege) işlevleriyle saldırıları durdurma.
• Kural tabanlı güvenlik politikalarını merkezi ve sessiz şekilde uygulama.
• GDPR, ISO 27001, SOX, HIPAA, PCI dahil olmak üzere mevzuat uyumluluk zorunluluklarını karşılama.
• Tekli Oturum Açma ve İki Faktörlü Kimlik Doğrulama (2FA) desteği ile kullanıcıların sistem şifrelerini görmemesini sağlama.
• Active Directory grup ilkelerini BT ve ağ altyapısına genişletme ve destek uyumluluğu.
• Ajan, eklenti veya uygulama yok. Uğraşmak yok.
• Üçüncü Taraf erişimini izole etme, konfigürasyon değişikliklerini kontrol etme, tüm aktiviteleri kaydetme ve canlı oturumları izleme, oturumlara katılma.
• Herhangi bir sisteme, uygulamaya, cihaza veya web sitesine kimlik bilgilerini açıklamadan güvenli bağlantı sağlama.

Kuruluşunuzun her iki öğenin olumlu yanlarından faydalanırken bağlantı kuran unsurları korumasını sağlama hakkında daha fazla bilgi edinmek için lütfen bizimle iletişime geçin.