Süper Kullanıcılar İçin Root Erişimindeki Risklerin Azaltılması
IT alanında süper kullanıcılar, yaptıkları işin doğası gereği etkin ve verimli olabilmek adına root erişimine ihtiyaç duyabilir. Özellikle binlerce sunucunun yönetilmekte olduğu büyük ölçekli kuruluşlarda süper kullanıcılardan oluşan bir ekip kurmak mantıklı bir adım olabilir. İyi yönetilen bir sistem yöneticisi ekibi ile yapılan çalışmalar düzene konabilir, ekip tüm sunucularda aynı root hesabı kullanırken olası hataların önüne geçilebilir.
Süper kullanıcılardan oluşan bir ekibiniz olduğunda (örneğin sistem yöneticisi ekibi), ayrıca binlerce sunucunun çok sayıda root hesabını oluşturmak ve bu durumu sürdürmek bir hayli zor olduğundan ve hatalara da meyilli bir vaziyete yol açtığından bu yöneticiler sonuç olarak tüm sunucularda aynı root hesapları kullanma yoluna gider.
Şifrelerin paylaşılmasının, paylaşılmamasından daha etkili olduğu fikri kulağa mantıksız gelse de IT ekiplerinin bu şekilde oluşturulması, her sektörden çeşitli büyüklükteki şirketler arasında çok yaygındır. Elbette bu durum kendi içinde riskler barındırıyor, esasında bu uygulamaya meydan okumak için birçok örtük ve bariz neden vardır.
Güvenlik politikalarına uymaktan kaçınma veya güvenlik anlayışının olmamasından ziyade elverişlilik ve verimlilik, bu uygulamanın temelini oluşturur. Doğru zamanda doğru çözümün getirilmesiyle kuruluşlar, riski ciddi oranda azaltarak avantajlardan yararlanabilir.
Root erişimi yaklaşımları, tüm ekip üyelerinde tam bir güven gerektirir ve bu yaklaşımlar yıllar boyunca sorunsuz şekilde işleyebilir. Peki, güvenilir bir ekip arkadaşı hoşnutsuz bir çalışan veya yüklenici olduğunda durum ne olur?
Şifresini paylaşan her birey için şifrenin açığa çıkma riski artar. Buna, yüksek lateral movement (yanal kayma ya da başka bir hesaba saldırma amacıyla bir hesaba izinsiz girme, hackleme) riski de dahildir.
Yine bir başka yaygın uygulama da birçok sunucuya erişim sağlamak için paylaşımlı tek bir şifrenin oluşturulmasıdır, bu da elverişlilik adı altına yapılan bir uygulamadır. Böyle bir senaryonun varlığında şifrenin açığa çıkması, birden fazla sunucunun riske atılması anlamına gelir.
Özellikle hayati öneme sahip sistemler kullanan veya özel müşteri verilerini ya da hassas bilgileri bünyesinde barındıran kuruluşlar için en ciddi risk, hesap verebilirliğe gölge düşmesidir. Aynı hesaplar birçok kullanıcı tarafından kullanıldığında kimin ne yaptığını ayırt etmenin ve bir şeyin yanlışlıkla mı art niyetle mi yapıldığını kestirebilmenin net bir yolunu bulmak imkansız hale gelir. Bu durum, faydalı ve uygun denetim uygulamalarını da neredeyse imkansız kılar.
Bunu çözmenin bir yolu gelişmiş şifre yönetimidir. Herhangi bir yazılım çözümü olmadığı sürece paylaşımlı şifrelerin kullanılması, bazı ekip üyelerinin erişimlerini kaybetme ihtimali veya değişiklikler öncesi bu üyelere haber verilmesi gereksinimi göz önünde bulundurulduğunda şifrelerin değiştirilebilmesini/döndürülebilmesini zora sokar. Otomasyonun olmadığı yerde şirket genelinde bir şifre politikası uygulamak ve yönetmek çok meşakkatli bir iş haline gelir.
Peki bu riskler nasıl azaltılabilir? Şifre ve oturum yönetimi.
Şifre yönetiminin iki zorluğu vardır: İlki, herhangi bir sunucuda hangi kullanıcının hangi süper kullanıcı hesabını kullandığını takip edebilmemiz gerekir. İkincisi ise bu sunucular üzerindeki süper kullanıcı hesaplarının şifreleri belli aralıklarla değiştirilmelidir. Daha iyi bir seçenek olarak, kullanıcıların süper kullanıcı hesap şifresini bilmeden/görmeden bu sunuculara bağlanmasına izin verilebilir.
Oturum yönetimi konusunda ise iki önemli husus vardır: ilki, kimlerin, nerede, ne zaman bağlanabileceğinin belirlenmesi ve kullanıcılar bağlandığında oturumun yakalanması. İkincisi ise kolayca denetlenebilen bireysel kullanıcı oturumlarına ait kayıtların/logların oluşturulması. Üst düzey oturum yönetimi ile yazılım çözümleri, kullanıcının adına, şifreleri ifşa etmeksizin sunucular üzerindeki gerekli hesap bilgilerini otomatik olarak yönetir.
Bu iki hususa yönelik konular, Ayrıcalıklı Erişim Yönetimi (PAM) stratejisinin kapsamına girer.
Ayrıcalıklı Erişim Yönetimi (PAM) dahilinde bu meseleye yönelik iki yapısal yaklaşım vardır: vekil sunucu (proxy) yaklaşımı (ortadaki adam – man-in-the-middle) ve ajan yaklaşımı. Bu yaklaşımlar kontrol noktasının bulunduğu yeri baz alır. Vekil sunucu (proxy) yaklaşımında çözüm, bir ağdaki kullanıcılar ile sunucular arasına yerleştirilir ve trafik akışının tamamı vekil sunucu üzerinden sağlanır. "Ajan yaklaşımı"nda ise çözüm, bireysel sunucular üzerinde kurulur.
Her iki yaklaşımın da kendi içinde getirileri var; vekil sunucu (proxy) yaklaşımı, geniş ağlara daha hızlı şekilde uygulanır, sürdürülebilir, çalıştırılması kolay bir yapısı vardır ve sunuculara kaynak yükü getirmez. Ajan yaklaşımı ise sunucular üzerinde daha derinlemesine, ayrıntılı bir kontrol ile birlikte daha güvenilir bir kontrol noktası sağlar.
Single Connect, Ayrıcalıklı Erişim Yönetimi (PAM) piyasasındaki en zengin özelliklere sahip, bütüncül şifre ve oturum yönetimi çözümlerine sahip ürünlerinden biridir. Single Connect ürün ailesinin en ayırt edici özelliklerinden biri de hem vekil sunucu (proxy), hem de ajan yaklaşımı için elverişli olmasıdır. İster birini, isterseniz de her ikisini kullanarak maksimum koruma sağlayabilirsiniz.
Merkezi Parola Yöneticisi ve Yetkili Oturum Yöneticisi'ne ilişkin daha fazla bilgi almak için bizimle iletişime geçebilirsiniz.
