Bu Help Net Security röportajında, Opal Security CEO’su Umaimah Khan, En Az Ayrıcalık İlkesi’ni (PoLP) uygulama konusundaki görüşlerini paylaşıyor. Etkili entegrasyon için en iyi uygulamaları, operasyonel verimlilik ve denetim hazırlığı için faydaları ve erişim kısıtlamalarından kaynaklanan sürtünmeyi nasıl yöneteceğinizi tartışıyor.
Ayrıca, çoklu bulut ortamlarında PoLP’nin zorluklarını ve gelecekteki uygulamaları geliştirmede yapay zekanın potansiyel rolünü tartışıyor.
En Az Ayrıcalık İlkesi’ni (PoLP) uygulayan bir kuruluş için hangi en iyi uygulamaları önerirsiniz?
Her organizasyon benzersizdir ve etkili PoLP entegrasyonu için özelleştirme gerektiren değişkenler olacaktır. Yine de, başarının temelini oluşturmaya yardımcı olacak temel yapı taşları vardır.
1. Misyonunuzu ve ölçütlerinizi tanımlayın. En az ayrıcalığın tanımıyla başlayın. Şuna benzer bir şey öneriyoruz: “İşletmeyi korumak için sistemlerin ve bireylerin yalnızca ihtiyaç duydukları kaynaklara, ihtiyaç duydukları zaman ve yalnızca gerekli sürtüşmelerle erişebilmelerini sağlayarak kuruluşu koruyun.”Ölçülebilen, kusurlu veya eksik olsalar bile bazı KPI’ları seçin; örneğin, “Taç mücevherlerine kalıcı okuma erişimini 20 kişiden az olacak şekilde sınırlayın ve koruyun.”
2. Tek başınıza gitmeyin. Güvenlik, BT, uyumluluk, mühendislik ve diğerlerinden paydaşları dahil edin. Temel olarak, amaç teknik bir sonuç ve en az ayrıcalıklı bir kültür elde etmektir.
3. Mevcut durumunuzu, belirlediğiniz KPI’lara göre değerlendirerek temel durumunuzu oluşturun.
4. Okyanusu kaynatmayın. Taç mücevherlerinizi belirleyin ve ardından izin kısıtlamalarını aşamalı olarak başlatın. ‘Doğuştan hak’ erişiminin miktarını azaltmaya odaklanın – kullanıcı rollerine göre verilen erişim – ve tam zamanında (JIT) erişim miktarını artırın.
5. KPI’larınıza göre ölçüm yapın ve başlangıçta topladığınız paydaşlar ve ortak ekiplerle ve liderlikle sürekli bir ritimde paylaşın. En az ayrıcalığa ulaşmak ve onu sürdürmek tek seferlik bir proje değildir; devam eden bir programdır. Başlangıçta yaptığınız kültür oluşturmanın beslenmesi gerekecektir.
Tüm bu adımlarda ortak bir tema vardır: mükemmelliğin ilerlemenin düşmanı olmasına izin vermeyin. Mükemmel programı tanımlamak için sonsuza kadar zaman harcamaktansa, başlamak ve kademeli iyileştirmeler yapmak daha iyidir.
Deneyiminize göre, operasyonel verimlilik ve denetime hazır olma açısından en az ayrıcalık politikasının uygulanmasının temel faydaları nelerdir?
Başarılı bir PoLP uygulaması, şirket genelinde önemli faydalar sağlayacaktır. Güvenlik ekipleri, ihlal riskini ve başarılı saldırıların patlama yarıçapını azaltır. Uyumluluk ekipleri, erişim devam eden bir süreç olarak yönetildiği için denetimleri basitleştirebilir ve kısaltabilir. Bu, denetim sırasında daha az kesinti anlamına gelir. Mühendislik ve operasyonlar, aşırı tedarikli mühendislerin üretimde ihtiyaç duymadıkları bir şeyi istemeden yapmaları nedeniyle kesintiler veya veri kaybı gibi felaket niteliğindeki kesintilerin riskini azaltır. Ve haber niteliğindeki bir ihlalle ilgili şirket çapındaki acıdan kaçınmak, herkesin fark edebileceği bir faydadır.
PoLP kapsamında erişimlerinin kısıtlanması durumunda çalışanların yaşayabileceği sürtüşmeyi nasıl çözersiniz?
Öncelikle, program bu sürtüşmeyi önlemek veya önemli ölçüde azaltmak için tasarlanmalıdır. Doğru şekilde yapılırsa, kaldırılan tek erişim, ilk başta gerekmeyen erişimdir. En az ayrıcalık, mutlaka daha az ayrıcalık anlamına gelmez — tanımın olumlu tarafı, insanların ihtiyaç duydukları şeye ihtiyaç duyduklarında erişebilmelerini sağlamaktır. Programın ayrıca, gerektiğinde güvenli bir şekilde erişim sağlamanın hızlı ve kolay olmasını sağlaması gerekir.
Ayrıca, insanlara hangi erişime sahip olduklarını ve gerçekte ne kullandıklarını göstererek bağlam sağlamak da harika bir fikirdir. Hiç kullanmadıkları izinlere sahip olduklarını fark ettiklerinde ekiplerinin daha az erişim talep ettiğini söyleyen birkaç müşteriyle çalıştık. Bu, elbette, yalnızca en az ayrıcalığı benimseyen bir kültür oluşturduğunuzda gerçekleşir.
Bulut ortamlarında, özellikle çoklu bulut kurulumlarında PoLP ile ilgili özel zorlukları tartışabilir misiniz?
Zorluklar ölçek, karmaşıklık ve geçmişe dayanır. Hesap sayısı yüzlere ve daha fazlasına çıktıkça, kullanıcı sayısı binlere ulaşır. İzinleri ayrıntılı olarak yönetmek imkansız hale gelir — tek bir bulut ortamında bile. Belirli bir bulut kaynağına (örneğin, belirli bir kova) ve belirli izinlere (örneğin, okuma/yazma) inmek o kadar çok olasılık içerir ki, her şeyi takip etmek, erişim sağlamaktan bahsetmiyorum bile, kullanışsız hale gelir.
Birçok yapılandırılmış kimlik, insanların, API’lerin ve diğer sistemlerin bağlandığı insan olmayan kimlikler gibi hizmet hesaplarıdır. Çoklu bulut ortamlarında, özellikle erişim her bulut sağlayıcısının yerel arayüzünde yönetiliyorsa, karmaşıklık artar. Şirketler, yavaşlamadıklarından emin olmak için aşırı sağlama yapma ve şakayla “ihtimale karşı” erişim modeli olarak adlandırdığım bir modelde erişim sağlama eğilimindedir. Gartner, ortalama olarak, altyapı hizmeti olarak (IaaS) hesaplarının %95’inden fazlasının kendilerine verilen hakların %3’ünden daha azını kullandığını bildiriyor; bu kesinlikle PoLP DEĞİLDİR.
PoLP uygulamasının geleceğinde yapay zeka ve makine öğreniminin nasıl bir rol oynayacağını düşünüyorsunuz?
Hem GenAI hem de ‘AI classic’ (AI/ML)’nin oynayacağı bir rol olduğunu düşünüyorum. AI, düzensiz erişim modellerini gözlemleyerek ve vurgulayarak riski tespit etmek için kullanılabilir. Bu düzensizlik, bir kullanıcının rolü, erişim türü, onay türü vb. gibi çeşitli faktörlere dayalı olabilir. Herhangi bir güvenlik iş akışında olduğu gibi, olası riski tespit etmek ve önceliklendirmek en az ayrıcalıkla kritik öneme sahiptir ve AI/ML bunun için mükemmel bir araçtır.
Ayrıca GenAI’nin önlemenin yanı sıra iyileştirmede de rol oynayacağına inanıyorum. Bağlamsal verileri toplamak, analiz etmek ve özetlemek ve önerilen eylemleri önermek, AI’nın büyük ve karmaşık kuruluşları destekleyen kaynak sıkıntısı çeken güvenlik ekiplerinin sıklıkla karşılaştığı ölçek zorluklarını ele almaya yardımcı olabileceği bir alandır.