Siber Güvenlik Çalışmalarında Ayrıcalıklı Erişim Yönetimi Yolculuğu

Siber Güvenlik Çalışmalarında Ayrıcalıklı Erişim Yönetimi Yolculuğu

Haz 26, 2022 / Kron

Standart kullanıcılar üzerinden yürüteceğiniz temel operasyonlardan ve standart kontrollerden çok daha fazlasını sunan Ayrıcalıklı Erişim Yönetimi, hedef sistemleri ve hizmet olarak altyapı (IaaS) sistemlerini doğru şekilde korumanızı sağlıyor. Yüksek seviyede siber güvenlik kabiliyetine sahip olan Privileged Access Management (PAM) çözümleri, BT altyapınızdaki tüm varlıkların ayrıcalıklı hesaplarının görünürlüğünü ve hareketlerini 7/24 denetleyebilir.

Ayrıcalıklı erişim bir varlık (insan veya makine), BT ağı ve dijital sisteme müdahale etmek istediğinizde devreye giren bir yetki tanımlamasıdır. Yönetici hesabı ya da yetkili erişim ayrıcalığına sahip bir kullanıcının kimlik bilgisini kullanması ile şirket BT ağında veya bulutta çalışmaya başlayan PAM kontrolleri, tüm sistemleri kapsayacak şekilde yetkili kullanım sağlıyor.

Dijital dönüşümün iş dünyasının temel dinamiklerini değiştirdiği günümüzde veri ve erişim güvenliği açısından büyük önem taşıyan PAM uygulamalarının kabiliyetleri BT ağınızı genel anlamda güvenli hale getirmek ile sınırlı değil. PAM çözümleri buna ek olarak veri ihlalini önceden tespit edebilir, gerçek zamanlı olarak tespit ettiği veri ihlaline müdahale edebilir ve ihlal sonrası detaylı durum raporları oluşturulmasına yardım ederek hayata geçirmeniz gereken geliştirmeleri ortaya koyabilir.

Ayrıcalıklı Erişim Yönetimi’nde Mevcut Durum Analizi

The Gap Analysis (Mevcut Durum Analizi), şirketinizde uygulamayı tercih ettiğiniz PAM modelinin, ihtiyaçlarınız doğrultusunda ortaya çıkan standart ile karşılaştırılarak olgunluk düzeyinin belirlenmesi için atmanız gereken ilk adım olarak tanımlanabilir. Siber güvenlik konusundaki hedefinize ulaşmanız açısından önem teşkil eden diğer adımlara zemin hazırlayan söz konusu analiz, BT ağınızın veri ve erişim güvenliği kapasitesini doğru tespit etmek açısından oldukça önemlidir. Mevcut Durum Analizi dört adımdan oluşur:

  • Mevcut durum: Şirketiniz bünyesinde uygulanan PAM modelinin analizi
  • Hedeflenen durum: Tanımlanan PAM ihtiyacının analizi
  • Boşluk: Uygulanmakta olan mevcut model ile hedeflenen model arasındaki fark
  • İyileştirme: Kuruluş gereklilikleri ve yükümlülükleri doğrultusunda bulgu boşluklarını düzeltmek amacıyla iyileştirme planı ve yol haritası oluşturma

Mevcut Durum Analizi, The Gap Analysis, denetimsiz erişimi ortadan kaldırmak için bir hayli önemlidir. Doğru kullanıcının, doğru zamanda, doğru yerde, doğru kaynağa, doğru nedenle erişim sahibi olduğundan ve bu ayrıcalıklı hesap yönetimini 7/24 etkin şekilde izleyip, kaydedip, denetleyebildiğinizden emin olmalısınız. Tüm bunları doğru şekilde yapabilmek için ise öncelikle mevcut durum analizini doğru yapmalı ve ilk planınızı sağlam temeller üzerine inşa etmelisiniz.

POC Süreci ve Ayrıcalıklı Erişim Yönetimi’nin Temel Özellikleri

Ayrıcalıklı Erişim Yönetimi uygulamalarının temel özelliklerini daha iyi irdelemek için POC sürecini detaylandırmak yararlı olabilir. Zira POC süreci, bir PAM çözümünün temel niteliklerini anlamlandırmada kritik öneme sahip.

  • Keşfetme ve yerleşme: Ayrıcalıklı hesapların sürekli keşfi
    • Single Connect, Aktif Dizin Entegrasyonu özelliği sayesinde kullanıcılara ait ayrıcalıklı hesap bilgilerini AD/LDAP dizinlerine göre senkronize ediyor. Böylece tüm dizin güncelliğini koruyor.
  • Kimlik bilgilerinin açığa çıkmasını önleme: Single Connect, sistem kimlik bilgilerini açığa çıkarmadan bir BT ağına tam kontrollü erişim sağlayabilir. Hedef cihazlara yönelik RDP/SSH/Ağ Cihazı bağlantılarına Single Connect aracılığıyla kimlik bilgileri güvenli şekilde aktarılabilir.
  • Eski parolaları ortadan kaldırma: Single Connect, tüm ayrıcalıklı hesap kimlik bilgileri ve bu hesaplarla bağlantılı tüm parolaları düzenli aralıklarla otomatik olarak değiştirir. Single Connect aşağıdaki hesap türlerinde düzenli parola değişimi yapabilir:
    • Windows Sunucu Hesapları
    • Aktif Dizin Hesapları
    • Linux Hesapları
    • Ağ Cihazı Hesapları
  • En az ayrıcalık ilkelerini uygulama: Kullanıcı hesaplarını, ilgili görevleri yerine getirmek için en az ayrıcalığa sahip olacak şekilde yapılandırmalısınız.
    • Ayrıcalıklı kullanıcılar için en az ayrıcalık ilkesi ışığında veri ve erişim güvenliği politikaları tanımlayın.
    • Kullanıcıların ulaşabilecekleri hedef erişim noktalarını sınırlandırmak amacıyla politikalar geliştirin.
    • Kullanıcıların hedef erişim noktalarında yapabileceklerini sınırlayın.
  • Güvenilirliği ve hesap verebilirliği sağlama: Kullanıcıların ayrıcalıklı hesapları yalnızca meşru iş amaçları için kullandığını doğrulamalısınız. Single Connect aşağıdaki iki özelliğinin yardımıyla least privilege ilkesini en iyi şekilde uygulamanızı sağlıyor.
    • Ayrıcalıklı erişim için MFA Kimlik Doğrulaması
    • Ayrıcalıklı erişim için çok seviyeli yönetim onayı
  • Denetim ve analiz: BT ağındaki ayrıcalıklı kullanıcıların etkinliklerinin görünürlüğünü takip edin. Single Connect farklı günlük kaydetme özellikleri ile bu konuda daima yanınızda yer alır.
    • Oturum Günlükleri
    • Kimlik Doğrulama Günlükleri
    • Single Connect Kullanıcı Arayüzü Etkinlik Günlükleri
  • Acil durumda camı kırın senaryosu: Verileri ve parolaları kurtarmak için prosedürler oluşturun.

Şirketinizin BT altyapısının temel seviye PAM olgunluğuna erişebilmesi için Merkezi Parola Yönetimi, Yetkili Oturum Yöneticisi ve Çok Faktörlü Kimlik Doğrulama özelliklerinin eksiksiz şekilde çalışması gerekiyor. Merkezi Parola Yönetimi, sistemdeki parolaların tek merkezden yönetilmesini sağlıyor ve benzersiz parolalar oluşturarak güvenliğinizi üst seviyeye çıkarıyor. Ayrıca bu özellik sayesinde parolalarınız şifreli kasalarda muhafaza ediliyor. Yetkili Oturum Yöneticisi sistemdeki tüm oturumları 7/24 denetlemenizi mümkün kılarken Çok Faktörlü Kimlik Doğrulama ise sisteme erişim izni talep eden kullanıcılardan eş zamanlı olarak konum ve zaman bilgisi istiyor. Bu modül tarafından oluşturulan parolaların kısa süreli ve birbirinden tamamen bağımsız olması veri ihlali riskini azaltıyor.

PAM Proje Süreci, Planlama ve Sorumlulukların Atanması

PAM proje sürecinde ve sorumlulukların atanmasında user/team based ve host based olmak üzere iki temel yaklaşım ön plana çıkıyor. Öncelikle her iki yaklaşımda da aşağıdaki değer izleme adımlarının takip edildiğini belirtmekte yarar var:

  1. Başlatma ve Planlama
  2. PAM Platformu ve Entegrasyon
  3. Yapılandırma ve Geliştirme
  4. Test
  5. Dağıtım, Yayın, Devir Teslim

User/team based formatında yükleniciler, web uygulamaları ve destek ekiplerinden oluşan bir dizi kullanıcıya sahip oluyorsunuz. Bu kullanıcıların meşru iş amaçları için hangi ana makinelere ve sunuculara erişmeleri gerektiğini, kimlere söz konusu erişim yetkisinin verilebileceğini tayin ediyorsunuz.

Host based formatında ise bir web sunucusu ya da üretim öncesi ortam yönetmeniz gerekiyor. Hangi kullanıcıların bu web sunucusuna hangi ayrıcalıklarla erişebileceğini denetliyorsunuz.

İlgili planlama sürecinin ardından sorumlulukların atanması başlıyor. Bu noktada kurum içindeki gereksinime ve sorumlu kişilere bağlı olarak bir RACI matrisi oluşturuluyor. RACI matrisinde görev, sorumluluk ve yetkilerin kimde, ne zaman, ne şekilde ve nasıl olacağını gösteriliyor.

Ayrıcalıklı Erişim Yönetimi’nin Onboarding Sürecindeki Zorlukların Çözümü

PAM uygulamaları sürecin çözüm aşamaları açısından bazı zorlukları bünyesinde barındırıyor. Bu zorluklar sistemi kullanırken yüksek dikkat ve sürdürülebilir denetim gerektiriyor. Kron olarak geliştirdiğimiz PAM çözümümüz Single Connect, onboarding sürecindeki zorlukları ortadan kaldırmakta son derece başarılı. Peki bu zorluklar neler?

  • Kimlik Bilgisi Keşfi ve İlk Katılım
  • Kimlik Bilgilerinin Açığa Çıkmasını Önleme
  • En Az Ayrıcalık İlkesi
  • Güven ve Hesap Verebilirliğin Sağlanması
  • Denetim ve Mevzuata Uygunluk
  • Eski Şifreleri Engelleme
  • Gömülü (Embedded) Kimlik Bilgilerini Ortadan Kaldırma

Yukarıdaki zorlukları ortadan kaldırarak BT altyapınızda gelişmiş veri ve erişim güvenliği tahsis eden Single Connect, zero trust ve temel uyumluluk gereksinimlerinin ötesine geçen bir savunma stratejisine sahip olmanıza imkân tanıyor. Minimalist kontrol noktalarının temel seviyede koruma sağladığı yadsınamaz bir gerçek fakat savunma sistemini bu noktalar üzerine inşa etmek çoğu zaman olumsuz sonuçlarla karşılaşmanıza neden olabilir.

Tam da bu nedenle PAM kontrol kapsamını genişletmek, bir başka deyişle yüksek PAM standartlarını karşılayarak son derece geniş bir kapsama alanına sahip Single Connect ürünümüzü tercih etmek şirketinizi siber riskler karşısında daha güvenli hale getirebilir.

Siz de zero trust ve en az ayrıcalık ilkesi odaklı yaklaşımı ile Gartner, KuppingerCole ve Omdia tarafından hazırlanan PAM raporlarında yer alan Single Connect çözümümüzden yararlanmak için bizimle iletişime geçebilir, global alanda pek çok şirketin tercihi olan PAM ürünümüz hakkında merak ettiğiniz her şeyi ekip arkadaşlarımıza sorabilirsiniz.

Diğer Bloglar