Yönetişim ve Risk Yönetimi, Kimlik ve Erişim Yönetimi, Güvenlik Operasyonları
IAM Altyapısını, Uygulamalarını ve Hizmetlerini Entegre Ederek Güvenliği Artırma
CyberEdBoard •
16 Şubat 2024
Dijital dünyaya giderek daha fazla bağlandıkça kimliklerimizi ve bunlarla ilişkili bilgileri korumak son derece önemlidir. Saldırganların ilk odaklandığı veri, hedeflenen varlıklarda yer edinmek için kullandıkları kişisel bilgilerdir. Daha sağlam bir kontrol çerçevesi olan kimlik yapısını benimsememiz gerekiyor.
Ayrıca bakınız: SASE ve NDR Birbirlerini Nasıl Tamamlıyor?
Kimlik Dokusu Nedir?
Gartner’a göre kimlik dokusu, kimlik ve erişim yönetimi altyapısını, uygulamalarını ve hizmetlerini entegre etmeyi amaçlayan mimari bir yaklaşımdır. Bu entegrasyon çalışanların, iş ortaklarının ve müşterilerin hem dijital hem de fiziksel kaynaklara tutarlı ve kesintisiz erişime sahip olmasına olanak tanır. Kimlik dokusu, bir kuruluşun güvenlik altyapısının temelidir; farklı platformlar ve ortamlarda birleşik bir kullanıcı deneyimi oluşturmak için çeşitli IAM bileşenlerini ve sistemlerini sorunsuz bir şekilde birleştirir.
Kimlik yapısı, geleneksel IAM metodolojileri tarafından tanımlanan özelliklerin çoğunu içerir ancak ağırlıklı olarak aşağıdakilere odaklanmıştır:
- Merkezi yönetim: IAM süreçlerini merkezileştirmek, verimliliğin artmasına, karmaşıklığın azalmasına ve kullanıcı kimlikleri, erişim hakları ve yetkiler üzerinde gelişmiş kontrole yol açar.
- Kusursuz kullanıcı deneyimi: Birden fazla kullanıcı adı ve parola ihtiyacını ortadan kaldırmak ve kullanıcıların uygulamalara, platformlara ve cihazlara yalnızca tek bir kimlik bilgileriyle erişmesine olanak sağlamak için tek oturum açma özelliklerini etkinleştirin.
- Uyarlanabilir güvenlik: Buna aynı zamanda kullanıcı ve varlık davranışı analitiği de denir. Kimlik yapısı, kullanıcı erişim istekleriyle ilişkili riski değerlendirmek için bağlamsal bilgilerden ve uyarlanabilir zekadan yararlanır. Sistem, kullanıcı davranışı, cihaz bilgisi ve konum gibi faktörleri analiz ederek güvenlik önlemlerini dinamik olarak ayarlayabilir ve buna göre erişim izni verebilir veya reddedebilir.
- Entegrasyon ve birlikte çalışabilirlik: Çeşitli IAM sistemlerini, uygulamalarını ve hizmetlerini bir kuruluş içinde entegre etmek, birlikte çalışabilirliği teşvik eder. Birlikte çalışabilirlik, uyumluluğu sağlar ve farklı sistemler arasında sorunsuz veri akışı sağlar. Uyumluluk verimliliği artırır ve entegrasyon zorluklarını azaltır.
- Geleceğe hazırlık: Kuruluşlar dijital ayak izlerini genişletmeye ve bulut teknolojilerini benimsemeye devam ettikçe, IAM’in geleceğe hazır olması, yeni çözümleri daha hızlı benimsemelerine ve entegre etmelerine olanak tanıyacak.
Kimlik dokusu hızla organizasyonların olmazsa olmazı haline gelecektir. Gartner, 2024 yılı sonuna kadar kimlik yapısının şirketlerin %70’inde güvenli erişim yönetiminin temelini oluşturacağını öngörüyor. Gartner ayrıca 2023’ün sonuna kadar kuruluşların %40’ının çoklu bulut ekosistemlerine güvenli erişim sağlamak için kimlik dokusunu kullanacağını öngördü.
Kimlik kumaşı, risklerinizi sihirli bir şekilde ortadan kaldıracak sihirli bir çözüm değildir. Her mimaride olduğu gibi, eğer yanlış anlayıp uzmanların tavsiyelerine kulak vermezseniz, işe yaramayan ya da ileride sorun yaratacak bir tasarımla karşı karşıya kalabilirsiniz. Bir tanımlama yapısını kullanıma sunmadan önce IAM yaşam döngüsünün tüm yönlerini anlamanız, tüm risk alanlarını değerlendirmeniz ve iyileştirme kontrollerinin yürürlükte olduğundan emin olmanız gerekir.
Risk değerlendirmeniz, kimlik yapısının bir kuruluş için oluşturduğu tüm riskleri ve bu risklerin nasıl kabul edilebilir seviyelere indirileceğini dikkate almalıdır. Kumaşın kullanımından doğrudan etkilenen riskler şunlardır:
- Tek seferlik: SSO harikadır, ancak hiper ara bağlantı dünyasında, hem kuruluş hem de ilgili kişiler için altyapı ve sistemlerde aşırı ihlallere yol açabilir. Bunun nedeni büyük ölçüde şifre yorgunluğundan ve kurumsal ve kişisel kaynaklarda tek şifre kullanılmasından kaynaklanmaktadır; dolayısıyla birindeki ihlal, tümünün ihlali anlamına gelebilir. Bunu önlemek için karışıma çok faktörlü kimlik doğrulamayı ekleyin. Hassas sistemlerde parolaları yeniden sorgulayın veya SSO’yu devre dışı bırakın.
- Yetki yönetimi: Bir kimlik dokusu kullanıldığında, hem yerel hem de bulut tabanlı kaynaklarda toksik bileşimler içeren varlıklarla karşılaşmak son derece kolaydır. Bu kombinasyonların varlığı için mülkün tamamındaki yetkileri kontrol edin.
- Kimlik yönetimi: IAM yaşam döngüsü site genelinde eşit şekilde uygulanmalı ve neredeyse gerçek zamanlı olarak yürütülebilmelidir. SOC’nin, özellikle bu değişiklikler onay akışının dışında yapılıyorsa, yaşam döngüsü boyunca kimliklerde yapılan değişiklikler ve bunlarla ilgili yetkiler hakkında bir görüşe sahip olması gerekir. Bu istisnalar UEBA ile eşleştirilmeli ve bir istisna aktif bir olaya dönüşmeden önce düzeltici eylemde bulunabilmesi için SOC’nin güncellenmiş bir taktik kitabına sahip olması gerekir.
CyberEdBoard, ISMG’nin güvenlik, risk, gizlilik ve BT alanlarındaki en üst düzey yöneticilerden ve düşünce liderlerinden oluşan, yalnızca üyelere özel önde gelen topluluğudur. CyberEdBoard, yöneticilere dünya çapında 65 farklı ülkede bulunan binlerce CISO ve üst düzey güvenlik liderinin paylaştığı karmaşık zorlukların üstesinden gelmek için güçlü, eş güdümlü bir işbirliği ekosistemi, özel toplantılar ve bir kaynak kütüphanesi sağlar.
Topluluğa Katılın – CyberEdBoard.io.
Üyelik başvurusunda bulunun
Ian Keller’ın bilgi güvenliği alanında otuz yılı aşkın deneyimi var. Şu anda, kurumsal telekomünikasyon zekası ile iş iletişimi arasındaki boşluğu kapatmak için kapsamlı bilgi ve uzmanlığından yararlanıyor, bilinçli karar alma için veriye dayalı çözümler sağlıyor ve ISO ve en iyi uygulamalar doğrultusunda ürün kalitesini artırıyor. Keller, kariyeri telekomünikasyon, ağ güvenliği, finansal hizmetler, danışmanlık ve sağlık hizmetleri gibi sektörleri kapsayan bir bilgi güvenliği sorumlusudur. Müşteri güvenliği, kimlik ve erişim yönetimi, bilgi güvenliği ve güvenlik farkındalığı konularındaki uzmanlığı onu uluslararası etkinliklerde aranan bir konuşmacı haline getirmiştir.