Kimlik ve erişim yönetimi olan bir kale inşa etmek

   Mayıs 16, 2025  Posted in Bankinfosecurity


Kimlik ve Erişim Yönetimi, Güvenlik Operasyonları

IAM kullanarak BT altyapınızı güvence altına almak için doğru kontroller nasıl uygulanabilir?

Barun Kumar de •
15 Mayıs 2025

Kimlik ve erişim yönetimi olan bir kale inşa etmek
Resim: Shutterstock

Kimlik ve Erişim Yönetimi, dijital kimlikleri yönetmek ve BT ortamındaki kaynaklara erişimi kontrol etmek için tasarlanmış politikalar, süreçler ve teknolojilerin bir çerçevesidir. Ben olmasını sağlar Doğru Kimlikler erişebilmek Doğru Kaynaklar -den Doğru Zaman ile Doğru politikalar için Doğru nedenler.

Ayrıca bakınız: Ondemand | Modern işletmeler kapsamlı kimlik güvenliği programları gerektirir: Kimlik güvenliğinde liderden en iyi uygulamalar

Doğru Kimlikler

“Doğru Kimlikler”, bir kaynağa erişme hakkına sahip olan varlıkları – kullanıcıları, uygulamaları veya hizmetleri – tanımlamayı, doğrulamayı ve yetkilendirmeyi ifade eder.

IAM sistemleri kimliği doğrulamak için çeşitli kimlik doğrulama yöntemleri kullanır:

  • Şifreler: İnsan kullanıcıları için yaygın olarak, genellikle ek güvenlik için çok faktörlü kimlik doğrulama ile birleştirilir;
  • Erişim Anahtarları: AWS Access Anahtar Kimliği ve Secret Access Anahtarı gibi programlı erişim için uygulamalar veya komut dosyaları tarafından kullanılır;
  • Geçici jetonlar: AWS Security Token Service veya Azure yönetilen kimlikler gibi hizmetler aracılığıyla verilen kısa ömürlü kimlik bilgileri;
  • Federasyonlu Kimlik Doğrulama: Tek oturum açma için Güvenlik İddiası İşaretleme Dili, OAuth veya OpenID Connect kullanılarak Azure AD veya OKTA gibi harici kimlik sağlayıcılarıyla entegrasyon;
  • Sertifikalar: X.509 sertifikaları gibi makine-makineden makine kimlik doğrulaması için.

Doğru Kaynaklar

“Doğru Kaynaklar”, bir kimliğin rolüne, sorumluluklarına veya operasyonel gereksinimlerine göre erişime açıkça yetkilendirildiği özel, iyi tanımlanmış kaynakları ifade eder.

IAM Sistemleri, kaynakları ayrıntılı düzeyde hedeflemeye izin verir:

  • Veritabanı tabloları: Bir veritabanındaki belirli tablolara veya hatta satırlara veya sütunlara erişimi kısıtlamak;
  • Depolama kovaları veya nesneler: Belirli klasörlere veya nesnelere erişimi sınırlamak;
  • Hesaplama örnekleri: Belirli sanal makinelere erişime izin vermek;
  • API’ler: Belirli API’lere erişim sağlar.

Doğru kaynak ilkesi, yanlışlıkla veya yetkisiz erişimi önlemek için kaynakları geliştirme, evreleme veya üretim gibi – aşamalara dayalı olarak bölümlere ayırmayı da içerir.

Örneğin, 2024’te meydana gelen bir veri ihlalinde, verileri düzgün bir şekilde segmentlere ayırmaması ve hassas kullanıcı bilgilerini içeren bir Amazon S3 deposuna erişimi kısıtlamaması, saldırganların kullanıcıların kimlik bilgilerine erişmesine izin verdi.

Doğru Zaman

“Doğru Zaman”, kimliklerin kaynaklara yalnızca gerektiğinde erişmesini sağlar.

IAM sistemleri, geçici kimlik bilgileri, zamana dayalı erişim ve koşullu erişim mekanizmaları yoluyla doğru zaman ilkesini uygular.

  • Geçici kimlik bilgileri: IAM sistemleri, belirli bir dönemden sonra sona eren kısa ömürlü kimlik bilgileri sağlar.
  • Zamana dayalı koşullar: IAM, belirli zaman pencerelerine veya belirli süreye erişimi kısıtlayan koşulları içerebilir.
  • Tam zamanında erişim: Bu erişim, gerektiğinde izinler dinamik olarak verir ve daha sonra, genellikle otomatik iş akışları yoluyla iptal eder.
  • Olay odaklı erişim: Bu erişim, sistem olayı, dağıtım veya denetim gereksinimi gibi belirli olaylara veya tetikleyicilere bağlanabilir.

Doğru politikalar

“Doğru politikalar”, AWS, Azure veya Google Cloud gibi bulut ortamlarında en az ayrıcalık ilkesini uygulamak, uyumluluk sağlamak ve güvenlik risklerini en aza indirmek için kritik öneme sahiptir.

Doğru politikalar, güvenlik ve uygun erişim kontrolünü sağlamak için çeşitli temel özelliklerle tasarlanmıştır:

  • Granüler izinler: Bir kimliğin belirli kaynaklar üzerinde gerçekleştirebileceği kesin eylemleri – SELECT, INSERT veya SELETE gibi kesin eylemleri belirtir – örneğin bir veritabanı tablosu.
  • En az ayrıcalık ilkesi: En az ayrıcalık, yalnızca bir kimliğin rolünü yerine getirmesi için gereken minimum izinleri verir, bu da istismar veya uzlaşma riskini azaltır.
  • Koşullu Erişim: Bu, izinlerin yalnızca uygun koşullar altında uygulanmasını sağlayarak bağlama özgü erişimi uygulamak için koşulları içerir. Yalnızca güvenilir IP aralıklarından veya sanal özel bulutlardan erişime izin vermeyi içeren IP kısıtlamaları ve hassas işlemler için MFA gerektiren çok faktörlü kimlik doğrulamayı içerir.

2024’te meydana gelen başka bir veri ihlalinde, saldırganlar, daha önceki bir ihlal sırasında kuruluşun GITLAB deposundan sızan çekilmemiş API anahtarları aracılığıyla hassas kullanıcı bilgilerine erişim elde ettiler. Bu olay, insan olmayan kimlikleri tanımlama ve yönetememenin ve düzenli kimlik bilgisi rotasyonu için politikaları zorlamanın altını çizmektedir.

Doğru nedenler

“Doğru Sebepler”, erişimin yalnızca meşru, yetkili ve iş haklı amaçlı amaçlar için verilmesini ifade eder.

  • Rol Tabanlı Erişim Kontrolü: IAM, erişimin bir kimliğin rolüne dayanarak, iş işlevlerini veya sorumluluklarını yansıtan verilmesini sağlamak için rol tabanlı erişim kontrolü kullanır.
  • Onay İş Akışları: IAM sistemleri, erişimin yalnızca meşru nedenlerle verilip verilmediğini doğrulamak için onay süreçleriyle entegre olur.

Gelişmiş IAM yöntemleri

Yapay zeka, makine öğrenimi ve davranışsal analizlerle desteklenen gelişmiş IAM teknikleri, kuruluşların sistemlerine ve verilerine erişimi nasıl güvence altına alıyor.

Gelişmiş IAM yöntemlerinin bazı örnekleri şunlardır:

  • Öznitelik Tabanlı Erişim Kontrolü: IAM’da, öznitelik tabanlı erişim kontrolü, kaynaklara erişimin yalnızca kullanıcı ile ilişkili özelliklere göre, departman adı veya iş unvanı gibi sağlanmasını sağlar; dosya türü veya duyarlılık seviyesi gibi kaynak; ve erişim zamanı veya konum gibi ortam. Örneğin, kardiyoloji hastalarının kritik tıbbi bilgileri, departmanı “kardiyoloji” olan ve iş unvanı “doktor” olan bir hastanedeki kullanıcılarla sınırlandırılabilir.
  • Davranış Tabanlı Erişim Kontrolü: Bu, kullanıcıları şifreler veya jetonlar gibi statik kimlik bilgileri yerine davranışsal kalıplarına göre izlemek, analiz etmek ve kimlik doğrulamak için AI ve makine öğrenimi kullanan bir yaklaşımdır. Her kullanıcı için benzersiz bir davranış profili oluşturmak için kullanıcıların sistemlerle nasıl etkileşime girdiklerine – yazma hızları, fare hareketleri, giriş konumları, cihaz kullanımı ve erişim modelleri gibi – odaklanır. Davranıştaki herhangi bir değişiklik, yeniden kimlik doğrulaması veya ek kimlik doğrulama ile sonuçlanır. Örneğin, bir çalışan tarafından şirket kaynaklarına erişim genellikle normal çalışma saatlerinde şirket dizüstü bilgisayardan gerçekleşmelidir. IAM sistemi, şirket dışı bir dizüstü bilgisayardan gece yarısında oturum açma girişimini algılarsa, etkinliği yüksek riskli olarak işaretleyebilir ve ek kimlik doğrulaması talep edebilir.



Source link