İçeriğe atla

Ayrıcalıklı erişim yönetimi

Ayrıcalıklı Erişim Yönetimi (PAM), kimlik yönetimi ve siber güvenliğin bir dalıdır. Organizasyon içerisindeki ayrıcalıklı hesapların kontrolü, izlenmesi ve korunmasına odaklanır. Ayrıcalıklı statüye sahip hesaplar, kullanıcılara genişletilmiş izinler sağlar ve bu da onları, hayati sistemlere ve hassas verilere erişim sağladıkları için saldırganların ana hedefi haline getirir.[1]

Uygulama ve Modeller

PAM, Yazılım Hizmeti çözümü veya yerinde kurulum olarak uygulanabilir ve organizasyonların ihtiyaçlarına en uygun modeli seçmelerine esneklik tanır. Hedef, farklı ortamlar ve platformlar arasında ayrıcalıklı erişimi korumak, düzenlemek, gözlemlemek, incelemek ve yönetmektir. PAM çözümleri, kullanıcıların sadece rollerine uygun minimum bilgisayar erişim kontrolünü almalarını sağlayarak yetkisiz giriş veya güvenlik olayları olasılığını azaltan Zero Trust ve en az ayrıcalık çerçevelerini benimser.

PAM, kritik kaynaklara yetkisiz erişimi önlemek için ayrıcalıklı hesapları güvence altına alır ve yönetir. SNMP ise ağ cihazlarının izlenmesi ve yönetilmesi için kullanılır. Bu iki bileşen, SNMP yapılandırmalarının ve erişim kontrollerinin korunmasını sağlayarak genel ağ güvenliğini artırabilir ve yetkisiz erişim ve ağ ayarlarında izinsiz değişikliklere karşı korunma sağlar.[2]

2023 Yılı Anketi

Temmuz 2023'te yapılan Keeper Security anketine göre, KOBİ'lerin yalnızca %43'ü Ayrıcalıklı Erişim Yönetimi (PAM) çözümlerini kullanıma almışken, ağ, e-posta, uç nokta güvenliği ve SIEM araçları gibi diğer öncü güvenlik teknolojileri %75'in üzerinde bir dağılıma sahiptir.

Ana Özellikler

PAM çözümleri, güvenlik açıklarını azaltmada, bilgi güvenliği standartlarına uyum sağlamada ve bir organizasyonun BT altyapısını korumada kritik bir rol oynar. Ayrıcalıklı hesapların yönetimi, korunması, doğrulanması, belgelenmesi ve incelenmesi için kapsamlı bir sistem oluştururlar:

  • Ayrıcalıklı Oturum Yönetimi: Yüksek riskli kullanıcı oturumlarını kontrol eder ve kaydeder, arama yapılabilir oturum kayıtları ile denetim ve uyumluluğa yardımcı olur.
  • Ayrıcalıklı Şifre Kasası: Rol tabanlı yönetim ve otomatik iş akışları ile kimlik bilgilerini güvence altına alır.
  • Ayrıcalıklı Tehdit Analitiği: Ayrıcalıklı oturum kayıtlarını kontrol eder, yüksek riskli kullanıcıları belirler ve şüpheli davranışları ve anormallikleri izler. Bu, iç ve dış tehditlerin erken tespiti için yardımcı olur ve ihlallerin önlenmesi için derhal harekete geçilmesini sağlar.
  • En Az Ayrıcalık Erişimi: PAM, yöneticilere sadece ihtiyaçları olan erişimi vererek organizasyonu korur ve güvenlik ihlallerini engeller. Bu yöntem, farklı sistemlerde idari izinlerin dikkatlice dağıtılmasını içeren en az ayrıcalık güvenlik stratejisini kullanır.
  • UNIX Kimlik Konsolidasyonu: Yerel UNIX sistemlerinin bireysel kimlik doğrulama ve yetkilendirmesini, Active Directory (AD) üzerinden daha güvenli, entegre bir kimlik yönetimi ile değiştirir. Bu yaklaşım, UNIX, Linux ve Mac sistemleri de dahil olmak üzere AD'nin kimlik doğrulama ve yetkilendirme kapsamını genişletir.

Müşteri kimlik erişim yönetimi ile birleştirildiğinde, Ayrıcalıklı Erişim Yönetimi, kapsamlı politikalar, otomatik ve role özgü onaylar ve sağlama sunar. Bu entegrasyon, çalışanların konumlarına veya erişim seviyelerine bakılmaksızın tutarlı bir yönetim çerçevesi sağlar.[3]

Birleşik Erişim Yönetimi

Birleşik Erişim Yönetimi, Ayrıcalıklı Erişim Yönetimi'nin (PAM) temel bir bileşenidir ve kullanıcı izinleri, ayrıcalıklı erişim kontrolü ve kimlik yönetimini kapsar. Kimlik çoğalmasını etkili bir şekilde ele alarak siber güvenlik çabalarını basitleştirir, yönetişimi ve operasyonel verimliliği artırır. Kullanıcı verilerini çeşitli platformlar arasında entegre ederek yönetimi merkezileştirir ve durum farkındalığını artırır, modern siber güvenlik ve kimlik yönetiminde önemli bir araç haline getirir.[4]

Uygun Kullanım Alanları

PAM çözümlerinin etkin bir şekilde uygulanabilmesi için şu en iyi uygulamalar önerilmektedir:

  1. Ayrıcalıklı ve Ayrıcalıksız Erişim Ayrımı: Kullanıcıların sahip olduğu erişim haklarını net bir şekilde belirleyerek ayrıcalıklı ve ayrıcalıksız erişimi ayırt etmek.
  2. Kullanıcı Sayısını Sınırlamak: Ayrıcalıklı haklara sahip kullanıcı sayısını minimumda tutmak.
  3. Erişimi Sadece İhtiyaca Göre Vermek: Kullanıcıların yalnızca işlerini yapmaları için gerekli olan erişim haklarını vermek.
  4. Sürekli İzleme ve Denetim: Ayrıcalıklı hesapların kullanımını düzenli olarak izlemek ve denetlemek.
  5. Eğitim ve Farkındalık: Kullanıcılara ayrıcalıklı erişim yönetimi konusunda düzenli eğitimler vermek ve farkındalık oluşturmak.
  6. Otomatikleştirilmiş İş Akışları: Erişim taleplerini ve onay süreçlerini otomatikleştirmek.
  7. Çok Faktörlü Kimlik Doğrulama (MFA): Ayrıcalıklı hesaplara erişim için MFA kullanımını zorunlu kılmak.

Bu uygulamalar, PAM çözümlerinin etkinliğini artırmak ve organizasyonların güvenlik duruşunu güçlendirmek için kritik öneme sahiptir.

Ayrıca Bakınız

Kaynakça

  1. ^ "Privileged Access Management (PAM) Nedir?". Makale. Beyaznet. 24 Şubat 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 2 Temmuz 2024. 
  2. ^ Hoş, Sibel (4 Aralık 2022). "Ayrıcalıklı Erişim Yönetimi (PAM) Nedir?". ÇözümPark. Erişim tarihi: 2 Temmuz 2024. 
  3. ^ "Privileged Access Management (PAM) nedir? | Microsoft Güvenlik". www.microsoft.com. 25 Eylül 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 2 Temmuz 2024. 
  4. ^ "What is Privileged Access Management (PAM)?". BeyondTrust (İngilizce). 18 Nisan 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 2 Temmuz 2024. 

İlgili Araştırma Makaleleri

Basit Ağ Yönetim Protokolü, bilgisayar ağları büyüdükçe bu ağlar üzerindeki birimleri denetlemek amacıyla tasarlanmıştır. Cihaz üzerindeki sıcaklıktan, cihaza bağlı kullanıcılara, internet bağlantı hızından sistem çalışma süresine kadar çeşitli bilgiler SNMP'de tanımlanmış ağaç yapısı içinde tutulurlar.

<span class="mw-page-title-main">Sanal özel ağ</span> Uzaktan erişim yoluyla farklı ağlara bağlanmayı sağlayan internet teknolojisi

Sanal özel ağ ya da VPN, uzaktan erişim yoluyla farklı ağlara bağlanmayı sağlayan internet teknolojisidir. VPN sanal bir ağ uzantısı oluşturduğu için, VPN kullanarak ağa bağlanan bir cihaz, fiziksel olarak bağlıymış gibi o ağ üzerinden veri alışverişinde bulunabilir. Kısacası Virtual Private Network (VPN), internet ya da başka bir açık ağ üzerinden özel bir ağa bağlanmayı sağlayan bir bağlantı çeşididir. VPN üzerinden bir ağa bağlanan kişi, o ağın fonksiyonel, güvenlik ve yönetim özelliklerini kullanmaya da devam eder. VPN'in en önemli iki uygulaması OpenVPN ve IPsec'dir.

<span class="mw-page-title-main">Bilgisayar güvenliği</span> bilgisayar sistemlerinin ve ağlarının, hırsızlık, hasar, kötüye kullanım gibi durumlara karşı koruma mekanizmaları

Bilgisayar güvenliği, elektronik ortamlarda verilerin veya bilgilerin saklanması ve taşınması esnasında bilgilerin bütünlüğü bozulmadan, izinsiz erişimlerden korunması için, güvenli bir bilgi işleme platformu oluşturma çabalarının tümüdür. Bunun sağlanması için duruma uygun güvenlik politikasının belirlenmesi ve uygulanması gereklidir.

<span class="mw-page-title-main">IEEE 802.1X</span>

IEEE 802.1x, bağlantı noktası tabanlı ağ erişim kontrolü için kullanılan bir standarttır ve 802.1 protokol grubunun bir parçasıdır. Bir kablolu (LAN) veya kablosuz (WLAN) ağa dahil olmak isteyen istemci cihazlara kimlik doğrulama mekanizması sağlar.

<span class="mw-page-title-main">Microsoft hesabı</span> çevrim içi hesap

Microsoft account, Microsoft tarafından Windows Live hizmetlerinde sağlanan bir özelliktir. Kullanıcılara bir hesap kullanarak web sitelerine, cihazlara ve uygulamalarına oturum açmalarını sağlar.

<span class="mw-page-title-main">Kullanıcı</span>

Kullanıcı, bir kişinin bilgisayar veya bilgisayar ağında kullandığı bir hesabıdır.

İki faktörlü kimlik doğrulama, kullanıcı kimliklerini saptamak için kullanılan çok faktörlü bir kimlik doğrulama yöntemidir. Bu teknolojinin patenti 1984 yılında alınmış olup, iki farklı bileşenden oluşmaktadır. İki faktörlü kimlik doğrulama, kullanıcının bildiği, sahip olduğu ve kullanıcıya bağlı olan bileşenlerin kombinasyonları ile işlemektedir.

<span class="mw-page-title-main">Google Hesabı</span> Google Hesap

Google Hesabı, Google tarafından çevrimiçi hizmetlere erişim amacıyla kimlik doğrulama ve yetkilendirme sağlayan bir kullanıcı hesabıdır. Tüm Google ürünlerine Google Arama, YouTube, Google Kitaplar, Google Finans, Google Haritalar ve diğerleri de dahil olmak üzere, bir hesap gerektirir. Google Hesabı, Gmail, Google+, Google Hangouts, Blogger ve diğerleri kullanımını için gereklidir. En önemlisi,günümüzde Androidle çalışan akıllı telefonlar ve tablet bilgisayarların hizmetlerini kullanmak için Google kimlik hesabı gereklidir.

<span class="mw-page-title-main">Apple ID</span>

Apple ID veya Apple Kimliği, böyle iWork, iCloud, iTunes Store ve Apple Store gibi ürünlerin çoğu için sunduğu herhangi bir e-posta sağlayıcısından bir müşterinin mevcut e-posta adresini kullanarak, çeşitli online sistemlere giriş yapmak için kullanılan bir all-in-one kullanıcı hesapıdır. Apple Inc. tarafından yaratılmıştır.

Kimlik Yönetimi, Kimlik ve Erişim Yönetimi olarak da bilinir, bilgisayar güvenliğinde, “doğru kişilerin, doğru zamanda, doğru amaçlarla, doğru kaynaklara erişimini sağlayan” güvenlik ve işletme disiplinidir. Giderek daha da çok unsurlu hale gelen teknoloji ortamında uygun kaynaklara erişim ihtiyacını ve yine gittikçe titiz hale gelen uyumluluk gerekliliklerini hedefler.

Veritabanı güvenliği, çok çeşitli bilgi güvenliği kontrollerinin kullanımı ile ilgilidir ve veri tabanlarınının(imkân dahilinde verileri, veritabanı uygulamalarını veya kayıt edilmiş işlevleri, veri tabanı sistemlerini, veritabanı sunucularını ve ilişkili ağ bağlantılarını içerir.) gizliliğini, bütünlüğünü ve erişilebilirliğini saldırılara karşı korur. Teknik, idari, yargı ve fiziksel gibi çeşitli türde ve kategoride kontroller veritabanı güvenliği kapsamı içerisine girer. bilgisayar güvenliği, bilgi güvenliği ve risk yönetimi alanları içerisinde, veritabanı güvenliği uzmanlık gerektiren bir konudur.

<span class="mw-page-title-main">Kimlik doğrulama</span>

Kimlik doğrulama, bir varlığın(kurum, kişi ya da sistem) doğruladığı bir veri parçasının doğruluğunun teyit edilmesidir. Kimlik tanıma(identification), bir kişinin veya bir şeyin kimliğini kanıtlayan veya gösteren bir eylemi tanımlamanın; kimlik doğrulama, bu kimliğin gerçekten doğrulanma sürecidir. Bu süreç, kişinin kimliğini, kimlik belgelerini doğrulanması, bir dijital sertifikayla internet sitesinin gerçekliğinin doğrulanması, bir yapının yaşının Radyokarbon tarihleme yöntemiyle belirlenmesi ya da bir ürünün ambalajına ve etiketine bakarak doğrulamasını içerir. Diğer bir ifadeyle, kimlik doğrulama, genellikle en az bir çeşit kimlik tanımının doğrulanmasını içerir.

Güvenli kabuk,, ağ hizmetlerinin güvenli olmayan bir ağ üzerinde güvenli şekilde çalıştırılması için kullanılan bir kriptografik ağ protokolüdür. En iyi bilinen örnek uygulaması bilgisayar sistemlerine uzaktan oturum açmak için olandır.

Çok faktörlü kimlik doğrulma (MFA) bir bilgisayar kullanıcısına, kullanıcının kimlik doğrulama mekanizmasına başarılı bir şekilde iki ya da daha fazla kanıt sağladığında erişim sağlandığı bir kimlik doğrulama yöntemidir: bilgi, sahiplik ve devralma.

Bilgisayar güvenliğinde genel erişim denetimi; tanımlama, yetkilendirme, kimlik doğrulama, erişim onayı ve kimlik denetimini içerir. Erişim kontrolünün daha dar bir tanımı, sadece erişim onayını kapsar. Erişim onayı yapısında sistem; nesnenin erişim yetkisine bağlı olarak, zaten kimliği doğrulanmış bir nesneden erişim isteği verme veya erişim isteğini reddetme kararı alır. Kimlik doğrulama ve erişim kontrolü genellikle tek bir işlemde birleştirilir; böylece erişim, başarılı kimlik doğrulamasına veya anonim erişim belirtecine(jetonuna) dayalı olarak onaylanır. Kimlik doğrulama yöntemleri ve belirteçleri arasında parolalar, biyometrik taramalar, fiziksel anahtarlar, elektronik anahtarlar ve aygıtlar, gizli yollar, sosyal engeller, insanlar ve otomatik sistemler tarafından izleme bulunur.

Yetkilendirme, genel bilgi güvenliği ve bilgisayar güvenliği ve özellikle erişim kontrolü ile ilgili kaynaklara erişim haklarını / ayrıcalıklarını belirleme işlevidir. Daha resmi olarak, "yetkilendirmek" bir erişim politikası tanımlamaktır. Örneğin, insan kaynakları personeli normalde çalışan kayıtlarına erişim yetkisine sahiptir ve bu politika genellikle bir bilgisayar sisteminde erişim kontrol kuralları olarak resmîleştirilir. İşletim sırasında, sistem, (doğrulanmış) tüketicilerden gelen erişim taleplerinin onaylanmasına (verileceğine) veya reddedileceğine (reddedileceğine) karar vermek için erişim kontrol kurallarını kullanır. Kaynaklar, tek tek dosyaları veya bir öğenin verilerini, bilgisayar programlarını, bilgisayar aygıtlarını ve bilgisayar uygulamaları tarafından sağlanan işlevleri içerir. Tüketici örnekleri bilgisayar kullanıcıları, bilgisayar yazılımı ve bilgisayardaki diğer donanımlardır.

Ağ güvenliği, bilgisayar ağının ve ağdan erişilebilen kaynakların yetkisiz erişimini, kötüye kullanımını, değiştirilmesini veya reddedilmesini önlemek, tespit etmek ve izlemek için benimsenen politika, süreç ve uygulamalardan oluşur .Ağ güvenliği, ağ yöneticisi tarafından kontrol edilen bir ağdaki verilere erişim yetkisini içerir. Kullanıcılar atanmış bir ID ve şifre veya yetkileri dahilindeki bilgilere ve programlara erişmelerine izin veren diğer kimlik doğrulama bilgilerini seçer .Ağ güvenliği, günlük işlerde kullanılan hem genel hem de özel çeşitli bilgisayar ağlarını kapsar: işletmeler, devlet kurumları ve bireyler arasında işlem ve ilişki yürütmek. Ağ güvenliği bir şirket gibi özel veya genel erişime açık olabilir. Ağ güvenliği, kuruluşlarda, işletmelerde ve diğer kurum türlerinde yer alır. Bir ağ kaynağını korumanın en yaygın ve basit yolu, ona benzersiz bir ad ve buna karşılık gelen bir parola atamaktır.

<span class="mw-page-title-main">Ngrep</span> Özgür bir ağ paket çözümleyicisi

ngrep, Jordan Ritter tarafından yazılmış bir ağ paket çözümleyicisidir. Bir komut satırı arayüzüne sahiptir, pcap kütüphanesine ve GNU regex kütüphanesine dayanır.

<span class="mw-page-title-main">Süper kullanıcı</span> sistem yönetimi için kullanılan özel kullanıcı hesabı

Bilgisayar biliminde süper kullanıcı, sistem yönetimi için kullanılan özel bir kullanıcı hesabıdır. İşletim sistemine (OS) bağlı olarak bu hesabın adı root, admin veya supervisor olabilir. Bazı durumlarda hesabın adı belirleyici faktör değildir. Unix benzeri sistemlerde, örneğin kullanıcı tanımlayıcısı (UID) sıfır olan kullanıcı, hesabın adına bakılmaksızın süper kullanıcıdır. Rol tabanlı güvenlik modeli uygulayan sistemlerde, süper kullanıcı rolüne sahip herhangi bir kullanıcı, süper kullanıcı hesabının tüm eylemlerini gerçekleştirebilir. En az ayrıcalık ilkesi, süper kullanıcı hesabının sınırsız, sistem çapında değişiklikler yapma kabiliyetine sahip olmasından dolayı çoğu kullanıcının ve uygulamanın işlerini gerçekleştirmek için sıradan bir hesap altında çalışmasını önerir.

Zero Trust güvenlik modeli, Zero Trust mimarisi (ZTA), Zero Trust ağ erişimi (ZTNA) ve çevresiz güvenlik olarak da bilinir. BT sistemlerinin strateji, tasarım ve uygulanmasına yönelik bir yaklaşımı tanımlar. Zero Trust güvenlik modelinin ana konsepti "asla güvenme, her zaman doğrula" ilkesine dayanır. Bu, kullanıcıların ve cihazların, kurumsal bir LAN gibi izin verilmiş bir ağa bağlı ve daha önce doğrulanmış olsalar bile varsayılan olarak güvenilmemesi gerektiği anlamına gelir.


Bu sayfa, bu Vikipedi makalesine dayanmaktadır.
Metin, CC BY-SA 4.0 lisansı altında mevcuttur; ek koşullar uygulanabilir.
Görseller, videolar ve sesler kendi lisansları altında mevcuttur.