Veritabanı Erişim Yöneticisi ve Dinamik Veri Maskeleme Nedir? Nasıl Çalışır?

İş dünyasının dijital dönüşümden yoğun şekilde etkilenmesiyle iş akışlarına ilişkin pratikler de büyük oranda dijital ortama taşındı. Şirketlerin iş modellerine dair birçok farklı bileşeni ve bu bileşenleri meydana getiren veri yığınlarını dijital ortamda muhafaza etme ve işleme gerekliliği, önemli avantajlar sağlamanın yanı sıra birtakım zorlukları da beraberinde getiriyor. Söz konusu zorlukların başında ise siber güvenlik protokolleri ve erişim yönetimi geliyor.

Şirketlerin kritik dijital varlıklarının yer aldığı veritabanlarına erişimin denetlenmesi de üst düzey ağ güvenliği tesis edebilmek açısından son derece mühim. Şirket içi kullanıcıların ve üçüncü parti erişimine sahip kuruluşların ya da kişilerin veritabanı erişimi yetkisine sahip olması ciddi bir denetim mekanizması oluşturma zorunluluğunu da beraberinde getiriyor. Zira iyi organize edilmemiş bir veritabanı erişim yönetimi sistemi, veri ihlali vakalarının yaşanmasına ve bu ihlaller sonucunda şirketin hem hukuki yaptırımlarla karşı karşıya kalmasına hem itibar kaybı yaşamasına sebep olabilir.

Bu tarz olumsuz durumlardan kaçınmak ve gelişmiş bir veritabanı erişim yöneticisi sistemine sahip olmak için atılması gereken ilk adım şirketin BT altyapısına veritabanı erişim yöneticisi ve dinamik veri maskeleme yönteminden yararlanan bir siber güvenlik protokolü entegre etmektir.

Veritabanı Erişim Yöneticisi ve Dinamik Veri Maskeleme Nedir?

Veritabanı güvenliği için son derece önemli bir bileşen olan veritabanı erişim yöneticisi ve dinamik veri maskeleme, veri ihlallerinin şirketleri ve paydaşlarını olumsuz etkilemesinin önüne geçen bir siber güvenlik çözümüdür. GDPR ve KVKK gibi kişisel ve özel nitelikli kişisel verilerin korunmasıyla ilgili yasal mevzuatlardan kaçmak yerine, bu mevzuatların yükümlülüklerini uygulamanıza yardım eden sistem, BT ağınızı siber tehditler karşısında daha güçlü hale getiriyor.

Öncelikle veritabanı erişim yöneticisini detaylandırmakta yarar var. Veri güvenliği tahsis etmenin anahtar unsurlarından biri olarak dikkat çeken veritabanı erişim yöneticisi, veritabanı yöneticileri için oturum günlüğü vazifesi görüyor. Yöneticilerin veritabanı üzerinde yaptıkları tüm sorguları, kullanıcı girişlerini ve erişim izinlerini günlüğe kaydeden sistem, veritabanına ayrıcalıklı erişimi güvence altına alıyor. Tüm ayrıcalıklı oturumlara ait veri akışını günlüğe kaydeden bu modül, veritabanı bağlantılarını ve etkinliklerini sıkı şekilde denetlemenize yardım ediyor. Etkili bir siber güvenlik protokolünün temel unsurları arasında yer alan veritabanı erişimi, kullanıcıların sadece kendilerine atanan bilgileri görmelerini ve sistemin geneline müdahale edememelerini sağlıyor.

Erişim güvenliği protokollerinin bir diğer ana unsuru ise veri maskeleme. Söz konusu teknoloji, kullanıcılara gerçek ve hassas veriler yerine hayali veya gizli veriler vererek kritik verilerin kötüye kullanılmasını engellemeyi amaçlıyor. Dynamic Data Masking (DDM), ayrıcalıklı erişim yetkisine sahip olmayan kullanıcılara hassas verileri maskeleyerek veri ihlali vakalarını engellemenize yardım ediyor. Şirketlerin BT altyapısına güvenli erişim için ciddi bir öneme sahip olan dinamik veri maskeleme, hassas verileri gizlerken değişmeden kalmalarını da sağlıyor. Veritabanı sorgu kümelerindeki kritik verileri gizlemek için de yapılandırılabilen DDM düzeltme/sıfırlama, karıştırma, bulanıklaştırma, belirteçleştirme, değiştirme ve diğer özel veri gizleme yöntemlerinden yararlanıyor.

Veritabanı Erişim Yöneticisi ve Dinamik Veri Maskeleme Nasıl Çalışır?

Veritabanı erişim yöneticisi ve dinamik veri maskeleme, iç içe geçmiş bir çalışma prensibine sahiptir. Veri gizliliği tesis etmenizi kolaylaştıran işleyişte veritabanı erişim yöneticisi, çok sayıda veritabanını eş zamanlı olarak kontrol etmek için man-in-the-middle proxy yöntemini kullanıyor (örneğin Cassandra, Hive, IBM DB2, Microsoft SQL Server, MySQL, Oracle and Teradata). Modül, varolan SQL’ler üzerinden yapılan yetkilendirilmemiş erişim taleplerini ve izinlerini engelliyor. Böylece veritabanı erişim yöneticisi ve dinamik veri maskelemenin birleşimi veritabanında kapsamlı bir koruma ortaya koyuyor. İki modülün ortak iş akışını ise üç temel prensip aracılığıyla beş adım üzerinden açıklamak mümkün.

• BT ağında yapılması gereken herhangi bir eyleme izin vermek için proxy tarafından izlenen ve denetlenen veritabanı etkinlikleri iş akışının ilk prensibini oluşturuyor.
• İkinci prensip ise Database Access Manager’ın (DAM) kayıtları ayırıp erişim yetkilendirmesi doğrultusunda veritabanı sorgulama sonuçlarını listelemesini ve tüm veri erişim işlemlerini günlüğe kaydetmesini içeriyor.
• Dynamic Data Masking (DDM) ise filtrelenmiş veri kümesi içinde gerekli gördüğü bilgi parçacıklarını gizliyor. Üçüncü prensibin merkezinde yer alan DDM motoru ağdaki hangi kullanıcının hangi veriye ne zaman, nasıl, neden ve nerede erişim sağlaması gerektiğini denetliyor. DDM motoru sayesinde veritabanı sorguları tek bir veriye inecek kadar detaylandırılıyor.

Yukarıdaki üç temel prensip, bir örnek üzerinden beş adımda açıklanabilir:

• Önce kullanıcı ağda sorgu çalıştırıyor.
• Daha sonra ilgili sorgu veri günlüğüne kaydediliyor ve yeniden yazılıyor. Bu aşamada DDM etkinleştirilirse sorgu DDM modülüne geçiyor ve gelişmiş maskeleme yöntemlerine başvuruluyor. Sorgu maskelendikten sonra DAM’e geri dönüyor.
• Üçüncü adımda manipüle edilmiş sorgu hedef veritabanına gönderiliyor.
• Hedef veritabanı da sorguyu veri erişimi yöneticisine gönderiyor.
• Son olarak DAM filtrelenmiş sonuçları kullanıcıya gösteriyor.

Veritabanı Erişim Yöneticisi ve Dinamik Veri Maskeleme’nin Faydaları Nelerdir?

Veritabanı erişim yöneticisi ve dinamik veri maskeleme, şirketlerin gelişmiş güvenlik politikaları oluşturmalarına yardım ediyor. Uzaktan erişim de dahil olmak üzere, kuruluşların BT ağı içindeki tüm erişim yetkileri ve kullanıcı hareketleri konusunda tam yetki sahibi olmasını sağlayan iki modülün siber güvenlik açısından yarattığı faydalar şu şekilde özetlenebilir:

• Veritabanı erişim yönetimi için tek erişim noktası oluşturuluyor.
• Ağdaki tüm sorgular günlüğe kaydediliyor. Kullanıcılar kendi bilgileriyle kimlik doğrulaması yapıyor. DB kullanıcısı kimlik doğrulaması yapmasa bile gerçek kullanıcının yaptığı sorgu günlüğe kaydediliyor.
• Veritabanı sunucularında yer alan kredi kartı ve kimlik bilgileri gibi hassas veriler keşfediliyor.
• Hassas veriler, hassas niteliğini kaybedecek ancak tutarlı görünecek ve kullanılabilir olacak şekilde manipüle ediliyor.
• DB maskeleme kuralları ve güvenli erişim politikaları kullanıcılara, uygulama hesaplarına ve gruplara kolayca atanabiliyor.
• İşleme sürecinde olan ve ağ içinde kullanılan veriler için siber güvenlik riski en aza indiriliyor.
• Hesaplara zaman sınırı getirilebiliyor.
• Veritabanı performansı olumsuz etkilenmiyor.
• Kullanıcıların özel bir veritabanı istemcisi kullanması gerekmiyor. Mevcut istemciler üzerinden yetkilendirme yapılabiliyor.
• Etkin olmayan hesaplar devre dışı bırakılıyor, süresi dolmamış ancak zayıf parolalar ortadan kaldırılıyor.

Ayrıcalıklı Erişim Yönetimi sistemlerinin önemli bir parçası olan DAM ve DDM, iş modellerinin büyük oranda dijitalleştiği bugünün dünyasında uçtan uca veri güvenliği sağlamanın en iyi yollarından biri olarak dikkat çekiyor. Privileged Access Management (PAM) çözümlerinin sunduğu sayısız avantajlar arasında yer alan iki modül, en az ayrıcalık ve sıfır güven ilkelerinden hareket edilerek oluşturuluyor. Her iki ilkenin de şirketinizin siber güvenlik politikasını çok iyi bir seviyeye çıkarmak için biçilmiş kaftan niteliğinde olduğunun altını çizmek gerek.

Veritabanı erişim yöneticisi ve dinamik veri maskeleme modüllerinin yer aldığı bir PAM çözümünden yararlanmak istiyorsanız Kron olarak geliştirdiğimiz Single Connect ürünümüz beklentilerinizi tam anlamıyla karşılayacaktır. Gartner, KuppingerCole ve Omdia’nın, Privileged Access Management alanında hazırladığı raporlardaki başarısıyla öne çıkan Single Connect, DAM ve DDM’i bünyesinde barındırdığı gelişmiş ürün ailesiyle yetkili hesapların ve kritik verilerin korunmasına önemli rol üstleniyor.

Siz de modüler yapısı sayesinde şirketinize operasyonel esneklik kazandıran Single Connect ile ilgili detaylı bilgi almak için bizimle iletişime geçebilir, merak ettiklerinizi ekip arkadaşlarımıza sorabilirsiniz.