Ağlar, sistemler ve siber güvenlik büyük bir hızla ortaya çıkmış olsa da, erişim denetiminin temel teorileri ve buna yakın zamanda eklenen kimlik (IAM) 60’lar ve 70’lerden pek uzaklaşmadı. Zorunlu, isteğe bağlı ve rol tabanlı erişim denetimi gibi şeyler, hâlâ Active Directory ve OpenID gibi modern teknolojilerin merkezinde yer almaktadır. Bazı yönlerden, bu hizmetlerin kullanımı hala eski bir düşünce tarzını, bir sisteme veya hizmete erişime izin veren veya vermeyen bir listeyi izler. Bu modellerin çok iyi çalıştığı gösterilmiş olsa da, geleceğin teknolojileri için daha radikal düşünmemiz gerekebilir. Bu, özellikle Web 2.0’dan Web 3.0’a ve ötesine evrimi düşündüğümüzde doğrudur.
Zorunlu, isteğe bağlı ve rol tabanlı erişim denetimi şu şekilde özetlenebilir: Bir kullanıcının kimliği bir hizmette doğrulandıktan sonra, yapmaları gereken şeyleri yapmalarına izin verildiğini nasıl anlarsınız? Özellikle işler hızla ters gidebileceğinden ve bulut mühendisliği becerileri hala yaygın olmadığından, erişim yönetiminin bulutta etkili bir şekilde çalışması için tamamen sağlam olması gereken şeylere kimin erişeceğine kimin karar vereceğine dair temeller.
Göz alıcı görünmese de, artık en sevdiğim siber güvenlik trendlerinden biri temellere geri dönmek. Parlak gümüş kurşun teknolojisine kanmayı bırakın. IAM ve özellikle bulut için, birkaç basit alan söz konusudur – bir kimliğin yaşam döngüsünü nasıl sürdürebilirsiniz, yerleşik veya üçüncü taraf kimlik hizmetleri kullanıyor musunuz ve endüstri standartlarını uyguluyor musunuz? Temelleri doğru anladığınızda, kendinizi başarıya hazırlamış olursunuz ve ardından daha gelişmiş ve karmaşık işlevleri en üst düzeye çıkarabilirsiniz.
insanlarını tanımak
Ayrıcalık sürünmesi uzun süredir devam eden bir sorun olmuştur ve özellikle kullanıcılara bir düğmeyi tıklatarak çok ayrıcalıklı hesaplar vermenin kolay olduğu bulutta yalnızca artmaktadır. Sürünme, bir kullanıcıya gerçek ihtiyaçlarının ötesinde verilen erişim ayrıcalıklarının kademeli olarak birikmesidir – 10 yılı aşkın bir süredir bir kuruluşta çalışan, birçok şapka takmış ve iş çevresinde dolaşan insanları hayal edin. İşletmeler, insanların yalnızca ihtiyaç duydukları erişime sahip olduğundan emin olmalıdır ve bunu kontrolsüz bırakmak, ayrıcalığın kötüye kullanılması veya kazara veri ihlali riskini artırabilir.
Bununla başa çıkmak için, kullanıcı erişim haklarını sürekli olarak izleyen ve gözden geçiren sağlam bir erişim kontrol çerçevesi uygulamak önemlidir. İşlem oldukça manuel olabilse de, gereklidir. Ancak, erişim haklarının şablonlanması ve bunu iş rollerine göre kontrol etmek her zaman en zor kısım değildir.
Birisi sizden erişim hakları gibi bir şey aldığında, kendinizi oldukça üzgün ve hatta savunmacı hissetmek kolaydır. Çalışanlar kendilerine güvenilmediğini hissedebileceği için ilişkilere zarar verme potansiyeline sahiptir. Dikkatli olmazsak, güvenlik ekibi, uzun süredir aynı şekilde çalışan ve yanlış bir şey yapmadıklarını düşünen çalışanlar için kale direklerini hareket ettiriyor gibi hissedebilir – ki yapmadılar.
Erişim yönetimi hakkında yeni bir düşünme biçimine geçmek (hatta eski yöntemleri yeniden gözden geçirmek), dikkatli bir şekilde düşünmeyi, planlamayı ve iletmeyi gerektirir. Güvenlik yalnızca bir adada işlemez; bunu başarmak için iletişim ekibiniz gibi işletmenizdeki diğer kişilerle işbirliği yaptığınızdan ve onlara güvendiğinizden emin olun. Herkese karşı açık ve şeffaf olmak ve işe girmeye çalışan tehdit aktörlerine değil, çalışanlarınıza güvendiğinizi açıklamak çok önemlidir. İnsanlarınızı yanınızda getirmezseniz, bu projeler etkili olmaz ve başarısız olur.
Yerleşik hizmetlerden yararlanma
AWS, Microsoft Azure ve Google gibi bulut sağlayıcılarının hepsinin kimlik hizmetleri sağlamak için kendi yerleşik yöntemleri vardır. Bunlar, erişim kontrollerini yönetmek için merkezi bir yol sağlar, ancak inanılmaz derecede kapsamlı ve ayrıntılıdır. Büyük bulut sağlayıcılarının yerleşik kimlik hizmetleri kendi hizmetleriyle iyi bir şekilde bütünleşirken, bunları üçüncü taraf uygulamaları ve hizmetleriyle entegre etmek karmaşık olabilir. Ve bunları işletmenin özel ihtiyaçlarını karşılayacak şekilde özelleştirmek, özellikle de özel kimlik doğrulama protokolleri veya ilkeleri uygulamanız gerekiyorsa zorlayıcı olabilir. Ancak uyum, birleştirilmiş kimlikler için merkezi yönetim ve gelişmiş güvenlik özellikleri gibi pek çok olumlu yön vardır.
Birlikte çalışabilirlik ve özelleştirme burada bir zorluk olduğundan, buluttaki kimliklerinizi takip etmek istiyorsanız bu kimlik hizmetlerini yapılandırmak ve sürdürmek için kurum içinde doğru becerilere sahip olmanız gerekecektir. Ancak yerleşik IAM hizmetlerinin ölçeklenebilirliğine ve maliyet tasarruflarına güvenebilmek göz ardı edilmemelidir.
Birleştirici standartlar
Bulut sağlayıcılarla yerleşik kimlik hizmetlerinin avantajlarından biri olan herkesin izlediği net standartlara sahip olmak önemlidir. Ama bunun dışında sektörden gelişmeleri takip etmenizi tavsiye ederim. FIDO Alliance, parolalardan veya OTP’lerden daha güvenli olan kimlik doğrulama için genel anahtar şifrelemesine dayalı kimlik doğrulama standartları geliştiriyor. Özellikle FIDO2, kullanıcıların farklı ortamlardaki ortak cihazları kullanarak çevrimiçi hizmetlerde kolayca kimlik doğrulaması yapmasına olanak tanır. Security Assertion Markup Language (SAML) çok daha eskidir ancak göz atılması gereken yaygın bir dildir – kimlik sağlayıcıların kimlik bilgilerini hizmet sağlayıcılara iletmesine izin veren açık bir standart.
Gelecek ne gösterir?
Sıfır güven hakkında uzun süredir konuşuluyor ve Jericho Forum’dan perimetreleştirme olarak bilinen bir girişim olarak hayata geçti, ancak bu yaklaşımın benimsenmesi, bulutta erişim yönetiminde devrim yaratma ve IAM modelini tamamen değiştirme potansiyeline sahip. Aksi kanıtlanana kadar her şeyin ve herkesin potansiyel bir tehdit olduğunu varsayar ve çalışanın o sırada ihtiyaç duyduğu kaynaklara ve verilere vaka bazında erişim sağlar. Çok faktörlü kimlik doğrulama, şifreleme ve erişim kontrolleri gibi teknolojilerin bir kombinasyonunu kullanarak, yalnızca yetkili kullanıcıların ve cihazların hassas kaynaklara erişimi olmasını sağlayabilir.
Bulut bilgi işlemin faydaları yadsınamaz, ancak bunlar ancak kimlik erişim yönetimine öncelik verir ve bunu doğru yaparsak tam olarak gerçekleştirilebilir. Bulutta doğru uygulama, veri güvenliğinin korunmasına, siber tehdit riskinin en aza indirilmesine ve düzenleyici gerekliliklere uyulmasına yardımcı olabilir. Güvenlik ekipleri, temel bilgilerden başlayarak, parmaklarınızın ucundaki kimlik hizmetlerinden en iyi şekilde yararlanarak ve en son standartları takip ederek kendilerini başarıya hazırlayabilir.