OzzTech - En Az Ayrıcalıklı Erişim Ne Anlama Geliyor?

En Az Ayrıcalıklı Erişim Ne Anlama Geliyor?

En Az Ayrıcalıklı Erişim

Birçok güvenlik uzmanı veya IT personeli, kullanıcı erişimindeki karmaşıklığı yönetmekte zorlanır. Çünkü erişim haklarının takibi, rolleri, hesapları, izin ve yetkileri, kimlik bilgilerini takip etmeye çalışmak hiç bitmeyen bir süreci hatta bazen de hiç sonucun alınamadığı nankör bir süreçten geçmektedir. İşletmenizin erişim sınırlarını doğru yöntemlerle belirleyerek güvenliğini arttırabileceğinizi biliyor muydunuz? Bu yazımızda sizlere en az ayrıcalıklı erişimin aslında ne kadar ayrıcalık sağlayabileceğini anlatacağız.

Güvenliği ihlal edilen kimlik bilgileri, güvenlik protokollerini geliştirmenin ve en az ayrıcalık (PoLP) ilkesi de dahil güçlü kimlik ve erişim yönetimi (IAM) policylerini zorunlu tutmak, kuruluşun genel risk yönetimi stratejilerini oluşturmada önemli bir kaynaktır. En az ayrıcalığın kuruluşlardaki; erişim yönetimi, kimlik yönetimi ve ayrıcalıklı erişim yönetimi ile arasında nasıl bir ilişki olduğunu açıklayalım.

En Az Ayrıcalık İlkesinin Tanımı ve Erişimle İlişkisi

The princeple of least privilege yani en az ayrıcalık ilkesi kullanıcıların sadece işlevlerini yerine getirebilmek için minimum erişim düzeyine sahip olmalarını zorunlu tutan bir güvenlik denetimi yöntemidir. Ağınızdaki ve uygulamalarınızdaki ayrıcalıkları kısıtlama işlemi verilere, sistemlere ve varlıklara erişimi sınırlayan güçlü, önceden tanımlanmış kimlik yönetimi ilkelerini uygulama yöntemi temel alınır.

En az ayrıcalık ilkesine daha çok en az ayrıcalıklı erişim denilmektedir. Böyle denilmesinin esas sebebi ise bir kullanıcıya veya bireye işini yapması için gereken minimum ayrıcalık verilmesidir. Kapsamlı ve detaylı bir policy çerçevesi oluşturularak, cihazlara, uygulamalara, programlara, bot kimliklerine ve sistemlere en az ayrıcalıklı erişim sınırları ve izinleri genişletildi . En az ayrıcalıklı erişim, genellikle, kullanıcıların gereken en az erişim miktarına sahip olduğu ve gerekli olduğu gösterilene kadar erişim imkanı verilmeyerek sıfır güven güvenlik modeli kullanılır. Bu modeller sayesinde erişimi yönetmek daha kolay hale gelir. Bu erişim gereksiniminin gösterilmesi, erişim bir kez verildikten ve kullanıldıktan sonra sıfır güven durumuna geri dönmesi gerektiği için düzenli olarak yapılır.

Kısacası en az ayrıcalıklı erişimi kullanmanız kimlik bilgilerinin ortaya çıkmasını ve tehlikeye girme olsasılığını sınırlar. Ve böylece aslında çok az izleme ve kontrol ile bile krallığınızın altın anahtarını her zaman elinizde tutmanızı sağlayabilirsiniz.

En Az Ayrıcalıklı Erişim Uygulanmazsa Ne Olabilir?

En az ayrıcalık ilkesi, doğru kimlik ve erişim yönetimi çerçevelerinin oluşturulmasında en temel noktadır. Bu ilke, kuruluşların kimlikle ilgili erişim risklerini azaltmasını, verimliliğin artmasını, güvenliği ve uyumluluğu geliştirmesini sağlamaktadır.

2021 de yapılan Kimlik ve Erişim Yönetimi Raporuna göre , kuruluşların yüzde 77'si kullanıcıların gerekenden çok daha fazla erişim hakkına sahip olduklarını ortaya çıkarmıştır. Kuruluşların kullanıcılara verdikleri bu geniş ayrıcalıklı erişim hakkı ile ağları üzerindeki hassas verilere, uygulamalara veya sistemlere yetkisiz erişim kasıtlı bir şekilde kötü aktör tarafından yapılmasa bile, bu yüzden kendi organizasyonlarının riske girmesine yol açar ve savunmasız bırakır.

En Az Ayrıcalıklı Erişimi Zorlamanın İki Kritik Yolu

Son günlerde kuruluşlar en az ayrıcalık ilkesini, kimlik yönetimi çözümleri ve ayrıcalıklı erişim yönetimi araçlarından bir kombinasyon oluşturarak uygulamayı tercih ediyorlar. Bu çözümler sayesinde işletmenizde en düşük ayrıcalıklı erişimin uygulanmasında kritik bir önemi olan IAM (Kimlik ve Erişim Yönetimi) güvenlik çerçevesini destekler. 

1. Ayrıcalıklı Hesapları Koruma

Ayrıcalıklı erişimin etkin bir şekilde yönetilmesi, verilerini ve sistemlerini yetkisiz kullanıcılardan korumak isteyen kuruluşların önceliği haline geldi. Bunun nedeni, sınırların olmadığı ve erişimin oldukça fazla olduğu bir sistemde uygunsuz erişimin kurumun hassas verilerini açığa çıkarabilmesi ve sistem güvenilirliğini olumsuz etkileyebilmesini önlemek istemektedirler. Ancak ayrıcalık verilmiş hesaplar üzerinde bile tam denetim hakkına sahip olan BT ve güvenlik ekipleri, aslında sistemlere yapılabilecek saldırıları bu şekilde takip edebilir ve saldırı başlamadan önce saldırının oluşmasını önleyebilirler.

Ayrıcalıklı erişim yönetimi (PAM), kuruluşların bilgi teknik sistemleri, uygulamaları ve altyapılarındaki ayrıcalıklı erişimi nasıl tanımlayacaklarını, izleyeceklerini ve yöneteceklerini basitleştiren temel güvenlik denetimidir. PAM çözümleri, yönetici profillerinin yönetimini merkezi hale gelmesini sağlar ve yerel ayrıcalıklı komutların yetkisi olmayan kullanıcılar tarafından uygulanması kısıtlanmış olur. Ayrıcalıklı hesap delegasyonu için ayrıntılı denetim sunabilirsiniz veya parola paylaşımını ortadan kaldırarak ve kullanıcılara yalnızca gerektiği kadar erişim hakkı vererek en az ayrıcalık erişiminin daha nitelikli uygulanmasını sağlayabilir ve böylece hangi komutların role göre yürütülebileceğini zorunlu hale getirebilirsiniz.

Detaylı bir ayrıcalıklı erişim yönetimi güvenliğinden yararlanarak, bir sistemin belli parçalarına kimlerin girebileceğini kimlerin girmeyeceğini, girdiklerinde neler yapabileceklerini belirlemektedir. Böylece kurum içinde var olan kötü niyetli çalışanlarınıza veya olağandışı risk faktörlerine karşı da koruma sağlayabilirsiniz. PAM yöntemi ile yönetici ve hesap etkinliklerini ayrıntılı olarak izleyebildiğiniz gibi, ayrıcalıklı komutlara doğrudan erişimi engeller. Bu sayede kimin ne yaptığını ve neler yapabileceğini takip edebilirsiniz.

2. Rol Tabanlı Erişime Öncelik Verme

Rol tabanlı erişim denetimi  (RBAC), yerleşik rollere dayalı olarak erişimi atayan ve kısıtlayan kullanıcı erişimini güvenli bir şekilde yönetmek için bir kimlik yönetimi yaklaşımıdır. Bu yaklaşım, kuruluşların daha önceden var olan erişim policylerinden yararlanılması, her kullanıcının ihtiyaç duyduğu erişim ayrıcalıklarını belirlemesini, izin veya kaldırma erişimini belirleyip sınırlandırmasını sağlamaktadır. Genelde rol tabanı erişim denetimi, belirlenmiş ve açıklaması yapılmış rollerin gerekli iş gereksinimlerini tamamlamak için gereken en düşük erişim düzeyini içerdiği durumlarda ise tekrardan en az ayrıcalık ilkesiyle birlikte kullanılır.

Kuruluşlar, rolleri kullanarak sağlam ve önceden onaylanmış erişim ilkelerine ulaşabilmektedir. Bu sayede de kimin hangi hangi erişim ayrıcalıklarına ihtiyaç duyduğunu ve hangi erişimin verilip verilmeyeceğini kendileri belirleme imkanı elde ederler. Roller, çalışanın unvanına veya pozisyona doğrudan bağlı olmaktan çok gereksinim duyulan erişime göre tanımlanır. 

Kuruluşunuzda rol tabanlı erişim yaklaşımını benimsediğinizde, işletmeniz gelişip büyüdükçe veya değiştikçe, hatta sadece işletmeniz değil tüm bu süreç boyunca yaşanabilecek kullanıcılarda meydana gelebilecek bireysel değişiklikler, işgücüne mevsimsel hizmetler eklenmesi veya birisiyle ortak olmanız ve satın almalar gibi kurumunuzda gerçekleşebilecek kurumsal değişiklikler yoluyla kimlik yönetimini oldukça basitleşmesine yardımcı olur. Bunlara ek olarak rollerin tanımlanması, işletme dostu erişim incelemelerini ve sertifikaları daha hızlı ve doğru bir şekilde alabilmenizi sağlar.


İlginizi Çekebilecek Makaleler
FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

Trellix Adıyla 2 Dev şirket McAfee ve FireEye
Siber Güvenlik

Trellix Adıyla 2 Dev şirket McAfee ve FireEye

Ocak 20, 2022 10:56

Yeni birleştirilen güvenlik ekipleri McAfee ve FireEye yeni bir isim açıkladı: “Trellix”. Başka bir...

Zoho Kritik Kusur İçin Yama Yayınladı
Siber Güvenlik

Zoho Kritik Kusur İçin Yama Yayınladı

Ocak 20, 2022 10:56

Kurumsal yazılım üreticisi Zoho, Pazartesi günü Desktop Central ve Desktop Central MSP’de, tehdit aktörlerinin...

FortiWeb Kurulumu
Network

FortiWeb Kurulumu

Ocak 19, 2022 12:38

Bu yazı ile başlayarak sizlere FortiWeb kurulumu yaparken nelere dikkat etmeniz gerektiğini ve nasıl...

FortiWeb Nedir?
Siber Güvenlik

FortiWeb Nedir?

Ocak 19, 2022 9:42

FortiWeb, Fortinet’in web uygulamaları için oluşturduğu bir web firewall’udur (WAF). Fortiweb iş açısından son...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.