İster e-postada oturum açmak, ister bir sanal makineyi hazırlamak veya bir CRM platformuna erişmek olsun, Kimlik ve Erişim Yönetimi (IAM) işin dijital omurgasıdır.
Ancak kuruluşlar büyüdükçe, bu kimlikleri korumaya yönelik kontroller çoğu zaman günümüz ortamlarının ölçeğine, hızına ve karmaşıklığına ayak uydurmakta başarısız oluyor.
Bu ortamda ortak bir anlaşmazlık noktası, hassas uygulamalara geçici erişim veya Tam Zamanında (JIT) erişim sağlanmasıdır. BT ekipleri genellikle arada kalıyor: iş birimleri üretkenliği korumak için anında erişim beklerken, güvenlik ekipleri ve denetçiler sıfır boşluk ve net yollar talep ediyor.
Bu makalede, bu özel zorluğu çözmek için tasarlanmış önceden oluşturulmuş bir Tines iş akışı incelenmektedir: Geçici Uygulama Erişimi Verme. İş akışı, ekiplerin düzenleme yoluyla hız ile güvenliği dengelemesine yardımcı olur.
Sorun: Erişimi ölçeklendirmek riskin ölçeklendirilmesine eşittir
Tines BT Operasyonları Teknisyeni Stephen McKenna, IAM orkestrasyonu hakkındaki yakın tarihli bir blog yazısında “Erişimi ölçeklendirmek riskin ölçeklendirilmesine eşittir” diyor. Her “birleştirme, taşıma veya ayrılma” olayı bir değişim zinciri doğurur.
Pek çok kuruluşta bu değişiklikler, patchwork sistemlerde manuel olarak gerçekleştirilir. Bazı uygulamalar Tek Oturum Açmaya (SSO) hızlı bir şekilde bağlanırken diğerleri manuel provizyon gerektirir.
Bir kullanıcının JIT erişimine ihtiyacı olduğunda, belki bir geliştiricinin hata ayıklama için üretim erişimine ihtiyacı olduğunda veya bir yüklenicinin belirli bir proje için giriş yapması gerektiğinde, manuel süreç genellikle şu şekilde görünür:
- Yavaş Tepki Süreleri: Kullanıcı bir analist görene kadar kuyrukta bekleyen bir bilet gönderir.
- Kalıcı Ayrıcalık Sızıntısı: Erişim izni verildikten sonra analistler genellikle bunu iptal etmeyi unuturlar. “Geçici” erişim kalıcı hale gelir ve saldırganların yararlanabileceği ayrıcalık birikimine yol açar.
- Denetim Kabusları: Erişimi kimin onayladığına, ne zaman verildiğine ve ne zaman iptal edildiğine dair kanıtlar e-postalar, Slack mesajları ve bilet yorumlarına dağılmış durumda.
Düzenleme olmadığında hesaplar oyalanır ve ayrıcalıklar birikir.
Modern BT Ops ekiplerinin kapasiteyi yönetmek, güvenilirliği artırmak ve altyapıyı tükenmişlik olmadan ölçeklendirmek için orkestrasyonu nasıl kullandığını öğrenin.
Bu pratik kılavuz, halihazırda sahip olduğunuz araçları kullanarak manuel iş akışlarını öngörülebilir, otomatikleştirilmiş işlemlerle nasıl değiştirebileceğinizi gösterir.
Kılavuzu edinin
Çözüm: otomatik, zamana bağlı provizyon
Geçici Uygulama Erişimi Verme iş akışı, bir JIT erişim isteğinin tüm yaşam döngüsünü otomatikleştirir.
İş akışı, Jira Software, Okta ve Slack gibi araçları düzenleyerek erişimin hızlı bir şekilde verilmesini, doğru şekilde onaylanmasını ve en önemlisi süre dolduğunda otomatik olarak iptal edilmesini sağlar.
İş akışının nasıl çalıştığına dair bir genel bakış aşağıda verilmiştir:
1. Self Servis Talebi Kullanıcı, bir e-posta veya DM göndermek yerine, basit, sürükleyip bırakan bir web formu olan Tines Sayfasını ziyaret eder. İhtiyaç duydukları uygulamayı (örneğin, “AWS Üretim Konsolu”), gerekli erişim süresini (örneğin, “2 saat”) ve iş gerekçesini seçerler.
2. Otomatik Onay Yönlendirmesi Gönderimin ardından Tines, kullanıcının yöneticisini veya uygulama sahibini otomatik olarak tanımlar. Onaylayana Slack (veya Microsoft Teams) aracılığıyla zengin bir bildirim gönderir. Bu mesaj istek ayrıntılarını ve etkileşimli “Onayla” veya “Reddet” düğmelerini içerir.
3. Anında Tedarik Onaylanırsa iş akışı Okta’ya bir API çağrısını tetikler. Kullanıcıyı o uygulamayla ilişkili belirli Okta grubuna ekler. Bu anında gerçekleşir; BT yöneticisinin manuel tıklamasına gerek yoktur. Eş zamanlı olarak Jira Yazılımında uyumluluk amacıyla onayı günlüğe kaydetmek için bir bildirim oluşturulur veya güncellenir.
4. “Zaman Aşımı” Bu çok önemli bir güvenlik adımıdır. İş akışı, kullanıcı tarafından belirlenen süre boyunca (örneğin 2 saat) “bekleme” durumuna girer.
5. Otomatik İptal Zamanlayıcının süresi dolduğunda Tines uyanır ve temizliği gerçekleştirir. Kullanıcıyı gruptan çıkarmak için Okta API’sini tekrar çağırır ve erişimi etkili bir şekilde iptal eder. Son olarak Jira biletini “Kapalı” olarak günceller ve kullanıcıya oturumunun sona erdiğini Slack aracılığıyla bildirir.
Faydaları
Bu akıllı iş akışının uygulanması, üç temel sütunda anında değer sağlar:
- Zorunlu En Az Ayrıcalık: Erişimin iptalini otomatikleştirerek “hesapların kalıcı olması” riskini ortadan kaldırırsınız. Erişim yalnızca ihtiyaç duyulan süre boyunca verilir ve bu da saldırı yüzeyini azaltır.
- Denetime Hazır Uyumluluk: İstek, onay, provizyon ve iptal gibi her adım Jira’da otomatik olarak günlüğe kaydedilir. Denetçiler erişim kontrollerine ilişkin kanıt istediğinde, ekran görüntülerinin peşine düşmeden tek bir doğruluk kaynağına sahip olursunuz.
- Geliştirilmiş Kullanıcı Deneyimi: Kullanıcılar günlerce değil dakikalar içinde erişime sahip olur. Okta’da bir düğmeye basmak için yöneticinin öğle yemeğinden dönmesini beklemek zorunda değiller.
- Yeterlik: BT analistleri, kullanıcıları gruplara ekleme ve gruptan çıkarma gibi tekrarlayan “tıklama” işlerinden kurtularak, daha yüksek değerli güvenlik görevlerine odaklanmalarına olanak tanır.
İş akışını yapılandırma
Sıfırdan başlamanıza gerek yok. Bu iş akışı Tines Kütüphanesinde önceden oluşturulmuş bir hikaye olarak mevcuttur.
1. Adım: Hikayeyi İçe Aktarın: Tines Kütüphanesini ziyaret edin ve Geçici uygulama erişimi ver seçeneğini arayın. Şablonu kiracınıza getirmek için “İçe Aktar”ı tıklayın.
Adım 2: Araçlarınızı Bağlayın: İş akışı, harici araçlarınızla konuşmak için Kimlik Bilgilerine dayanır. Bağlanmanız gerekecek:
- Tamam: Grup üyeliklerini yönetmek için.
- Jira Yazılımı: İstekleri ve onayları izlemek için.
- Gevşek: Bildirimler ve etkileşimli onay mesajları için.
Adım 3: Tines Sayfasını Yapılandırın: İş akışında “Sayfa” öğesini açın. Form alanlarını kuruluşunuzun özel uygulamalarına uyacak şekilde özelleştirebilirsiniz. Örneğin, “Salesforce Admin”, “AWS Write Access” ve “GitHub Admin”i listeleyen bir açılır menü oluşturabilirsiniz.
Adım 4: Politikalarınızı Belirleyin: Mantığı güvenlik politikalarınıza uyacak şekilde ayarlayın. Maksimum süreyi 4 saatle sınırlamak veya son derece hassas uygulamalar için ikinci düzeyde onay gerektirmek isteyebilirsiniz. Tines esnek olduğundan, bu ek mantık bloklarını doğrudan tuval üzerine sürükleyip bırakabilirsiniz.
5. Adım: Test Edin ve Yayınlayın: Slack bildirimlerinin tetiklendiğinden ve Okta grubu değişikliklerinin beklendiği gibi gerçekleştiğinden emin olmak için bir test isteği çalıştırın. Doğrulandıktan sonra Sayfayı yayınlayın ve bağlantıyı ekibinizle paylaşın.
Bu iş akışını kendiniz denemek için ücretsiz bir Tines hesabına kaydolabilirsiniz.
Tines tarafından desteklenmiş ve yazılmıştır.