>Çoğu zaman, iki BT güvenlik uygulaması olan Privileged Access Management (PAM)> ve Identity and Access Management (IAM) >birbiri ile karıştırılır. Bu erişim yönetimi güvenlik çözümlerinin her ikisi de, büyük işletme ve KOBİ’lerde, kullanıcıların büyük ölçekte yetkilendirme, kimlik doğrulama ve kesintisiz izlenmesini yönetmek için yaygın olarak kullanılır. Bununla birlikte, her iki çözüm de kurumsal BT ortamında farklı bir amaca hizmet eder.
Identity and Access Management (IAM) Nedir?
Kimlik ve erişim yönetimi >yani Identity and access management (IAM)>, dijital kimlikleri yönetmek ve bir işletmenin dijital varlıkları için güvenli kimlik doğrulaması sağlamak için oluşturulan bir politika ve prosedürler çerçevesidir. BT departmanları, şirket içi ve bulut tabanlı sistemlerde kullanıcıların erişim ayrıcalıklarını ve uygulamalarını güvenli bir şekilde kontrol etmek için IAM yazılımını kullanır.
>BT ekipleri, genellikle çoklu oturum açma (SSO)>, çok faktörlü kimlik doğrulama (MFA)> ve ayrıcalıklı erişim yönetimi (PAM)> gibi özelliklerle birlikte gelen kimlik ve erişim yönetimi yazılımını kullanarak IAM çerçevesini uygular. Bu yazılım, kimlik yönetimini merkezileştirir, dijital varlıklara erişimi kontrol eder, kullanıcı davranışındaki anormallikleri tespit eder, BT ve güvenlik ekiplerini potansiyel riskler hakkında bilgilendirir.
>İşletmeler, çalışanlar, iş ortakları ve uzak kullanıcılar için kullanıcı kimliklerini güvence altına almak için şirket içinde veya bulut tabanlı IAM> ile birlikte IAM sistemlerini dağıtabilir. Bu sistemler, işletmelerin birden fazla kullanıcı kimliğini, merkezi bir sistem altında tutulan tek bir dijital kimliğe yoğunlaştırmasına yardımcı olur.
Kimlik yönetimi (identity management) ve erişim yönetimi (access management) arasındaki fark
>Kimlik yönetimi ve erişim yönetimi birbiriyle ilişkili olsa da aynı şey değildir. Kimlik yönetimi, kimlik doğrulama ile ilgiliyken, erişim yönetimi yetkilendirme ile ilgilidir.
>Basitçe söylemek gerekirse, kimlik yönetimi bir kullanıcıyı kimliğini doğrulamaya zorlar ve ardından kullanıcı kimliğine ve rolüne bağlı olarak erişim yönetimi, bilgiye erişim izinlerinin olup olmadığına karar verir.
IAM Neden Önemlidir?
>İşletmeler, dijital varlıklara her gün erişen binlerce kimliğe ve uygulamaya sahiptir. Bu varlıklar, müşteri ve çalışan verilerinin yanı sıra iş operasyonları için kritik olan hassas bilgileri içerir.
>Kötü niyetli bilgisayar korsanları, BT ve güvenlik ekiplerinin işletmelerinin varlıklarını nasıl koruduğunu bilir. Sonuç olarak, bir işletmenin güvenlik çevresini ihlal etmek için çalışanları giderek daha fazla hedef alır. Kullanıcı kimlik bilgilerini ele geçirdikten sonra o kullanıcıya verilen tüm ayrıcalıklardan yararlanabilir.
>Bu yüzden işletmeler, dijital varlıklarının itibarlarını zedeleyen ve ağır para cezalarına yol açan siber saldırılara karşı koruma sağlamalıdır. Tam da bu noktada IAM programları>, kullanıcı kimlikleri ve kimlik doğrulama etrafında sağlam bir güvenlik çevresi oluşturmalarına yardımcı olur.
>İşletmeler büyüdükçe, kimlikleri ve uygulamaları yönetmek için bir kimlik ve erişim yönetimi programı daha önemli hale gelir. İşletmelerin, güvenliği korumak ve kimlikleri manuel olarak yönetmekten kaynaklanan insan hatalarını azaltmak için otomatik bir IAM yazılım çözümünü> benimsemesi gerekir.
IAM vs CIAM
>İşletmeler, çalışanlarını ve uygulama kimliklerini yönetmek için IAM yazılımını kullanır. Öte yandan, müşteri kimliği ve erişim yönetimi (CIAM) yazılımı>, kamuya açık uygulamaları ve web sitelerini kullanan birçok müşteriyi yönetmektedir.
>CIAM, müşteri deneyimine odaklanır ve hesap güvenliği sağlar. Kullanıcıların BT’den çok az yardım alarak hesaplarını kaydedip yönetebilecekleri esneklik ve self servis sunar.
>Bunun aksine IAM, kimlik doğrulama ve yetkilendirmeyi güvence altına almak için katı güvenlik önlemleri uygular. Dahili operasyonel verimliliği artırır ve kullanıcıların kurumsal politikalara uyarken bilgilere erişmesine olanak tanır.
IAM Nasıl Çalışır?
>Geleneksel olarak, kullanıcı erişiminin düzenlenmesi, parolalar, yazılım veya donanım belirteçleri ve dijital sertifikalar kullanılarak kimliklerin doğrulanmasını içeriyordu. Fakat artık biyometrik kimlik doğrulama> ve fast identity online (FIDO)> desteğini içeren modern yaklaşımlar başladı.
>Modern karmaşıklıklar ve daha yüksek güvenlik tehditleri, kullanıcıların erişim elde etmek için kimliklerini iki veya daha fazla kez kanıtlamalarını gerektiren daha güvenli IAM çözümlerinin yolunu açtı.
Temel bir IAM sistemi iki adımı takip eder:
Kimlik doğrulama:> Kullanıcılar kimlik bilgilerini girer ve IAM sistemleri, kullanıcı adını ve parolayı veri tabanında depolanan kimlik bilgileriyle doğrular. Kullanıcıların erişim elde etmek için kimliklerini bir kereden fazla kanıtlamaları ve birden çok kimlik doğrulama kontrolünden geçmeleri gerekebilir.
Yetki: >Kullanıcı kimliğine ve işletmedeki rolüne bağlı olarak IAM sistemleri onlara işlerini yürütmeleri için gereken uygun ayrıcalıkları atar. Örneğin, IAM, bir düzenleyicinin değişiklik yapmasına izin verir, ancak kullanıcı hesapları ekleme veya silme gibi yönetici ayrıcalıklarını engeller.
IAM Sistemlerinin Temel Özellikleri Nelerdir?
>Kimlik ve erişim yönetimi sistemleri, BT departmanlarının kullanıcı erişim ayrıcalıklarını geniş ölçekte kontrol etmesine olanak tanıyan çeşitli yeteneklere sahiptir.
1. Kimlik Yönetimi
>IAM sistemleri, bir veya daha fazla dizini entegre ederek birden çok kullanıcı kimliğini yönetmek için merkezi bir yaklaşım sunar. Yöneticilerin kullanıcılar oluşturmasına, değiştirmesine veya silmesine ve tek seferlik erişim gereksinimleri veya özel erişim türleri gibi belirli durumlar için yeni kimlikler oluşturmasına olanak tanır.
2. Kullanıcı Yetkilendirme ve Yetkiyi Kaldırma
>Kullanıcı yetkilendirme, kullanıcı hesapları oluşturan ve onlara bir işletmenin kaynaklarına erişmeleri için uygun haklar ve izinler veren bir dijital kimlik ve erişim yönetimi sürecidir. IAM sistemleri, yöneticilerin kullanıcılara uygun erişim ayrıcalıkları vermelerine yardımcı olarak, onların işleri için kritik olan araçları ve bilgileri kullanmalarına olanak tanır.
IAM araçları>, BT ekiplerinin kullanıcı rollerine ve yöneticileri tarafından belirlenen diğer faktörlere göre erişim sağlamasına olanak tanır. Bu araçlar, zaman kazanmak için genellikle rol tabanlı erişim denetimlerini (RBAC) zorunlu kılar. RBAC ile kullanıcılara iş unvanı, şirket departmanı, ofis konumu ve iş işlevi gibi statik faktörlere dayalı olarak rol türleri atanır ve ardından rol türüne göre şirket varlıklarına erişim izni verilir.
>Öte yandan, IAM yazılımı öznitelik tabanlı erişim kontrolünü (ABAC) ve ilke tabanlı erişim kontrolünü (PBAC) de destekler. ABAC, hassas bilgilere erişiliyorsa izin düzeyi, belirli dosya türleri gibi kaynak türü, zaman ve konuma dayalı erişim gibi diğer faktörler gibi kullanıcı özelliklerine dayalı olarak kullanıcıların şirket kaynaklarına erişmesine veya bu kaynaklarda işlem yapmasına izin verir.
>PBAC, şirket politikalarına dayalı olarak geçici, coğrafi veya zamana dayalı erişim için esneklik sağladığı için statik RBAC’den daha esnek erişim kontrolünü kolaylaştırır.
>IAM yazılımı ayrıca, BT ekiplerinin, güvenlik risklerinden kaçınmak için artık işletmenin bir parçası olmadıklarında kullanıcıların yetkilendirmesini kaldırmasına olanak tanır.
3. Kimlik Doğrulama
IAM çözümleri>, birden çok kimlik doğrulama mekanizması kullanarak kullanıcı kimliklerini doğrular. Birçok işletme, sağlam hesap güvenliği sağlamak için kullanıcıları kimliklerini iki kez kanıtlamaya teşvik eden iki faktörlü kimlik doğrulama (2FA) kullanır. 2FA ile ilgili ilk zorluk, kullanıcı kimlik bilgilerini girmektir. Diğer zorluklar ise, anında iletme bildirimine dokunmak veya e-posta, metin mesajı, telefon görüşmesi veya diğer kanallar aracılığıyla paylaşılan bir kerelik şifreyi (OTP) girmek olabilir.
>Daha sağlam bir güvenlik çevresine sahip işletmeler, kullanıcıların kimliklerini birden çok kez kanıtlamaları gereken çok faktörlü kimlik doğrulama> yazılımını benimseyebilir. Bu, biyometrik taramalar gibi güçlü kimlik doğrulama yöntemlerini içerir.
>MFA yazılımı, kullanıcıların aşağıdaki beş faktörün bir kısmı veya tamamıyla kimlik doğrulamasını gerektirir:
Tek faktörlü kimlik doğrulama:> Kullanıcılar bildikleri bir şeyle kimlik doğrulaması yapar. Örneğin, şifreleri.
İki faktörlü kimlik doğrulama:> Kullanıcılar, sahip oldukları bir şeyle kimliklerini doğrular. Örneğin, zamana dayalı tek seferlik parola (TOTP).
Üç faktörlü kimlik doğrulama:> Örneğin, parmak izi tarama ve yüz tanıma.
Dört faktörlü kimlik doğrulama:> Kullanıcılar nerede ve ne zaman olduklarını doğrular. Örneğin, konum ve zamana dayalı kimlik doğrulama.
Beş faktörlü kimlik doğrulama:> Kullanıcılar yaptıkları bir şeyle kimliklerini doğrular. Örneğin, jestler ve dokunma kalıpları.
4. Tek Seferlik Giriş
>IAM sistemleri, kullanıcılara birden çok uygulamaya erişmek için bir dizi oturum açma kimlik bilgisi sağlayan tek bir oturum açma özelliği sunar. Merkezi bir kullanıcı kimlik doğrulama hizmeti sağlayarak, farklı hizmetler için karmaşık kullanıcı adlarını ve parolaları hatırlama zorluğunu ortadan kaldırır.
5. Yetki
>IAM teknolojisi, en az ayrıcalık ilkesine bağlı kalır ve kullanıcıların günlük operasyonları için kritik olan araçlara ve bilgi varlıklarına erişmelerine olanak tanır. Yazılım, bir kullanıcının rolüne, departmanına ve gereksinimlerine göre erişim ayrıcalıkları verir. Yöneticilerin, büyük kullanıcı kümelerine benzer erişim ayrıcalıkları vermek için grup kullanıcıları ve rolleri oluşturmasını sağlar.
6. Raporlama
Kimlik ve erişim yönetim sistemleri>, oturum açma zamanını, kimlik doğrulama türünü ve erişilen sistemleri izler ve görünürlüğü sağlamak için raporlar oluşturur. BT yöneticilerinin anormallikleri tespit etmesine, güvenlik risklerinden kaçınmasına ve yasal gerekliliklerle uyumluluğu sağlamasına yardımcı olur.
Bulutistan hizmetlerinin detaylarına ulaşmak için tıklayınız.
IAM Avantajları
>Kimlik ve erişim yönetim sistemleri, kullanıcı kimliklerini ve erişim izinlerini yakalamayı, kaydetmeyi ve yönetmeyi otomatikleştirir. BT, güvenliği artırır ve bilgisayar korsanlarından ve içeriden gelen tehditlerden kaynaklanan riskleri azaltır. İşletmelere çeşitli avantajlar sağlar.
>IAM sistemleri:
- >Doğru kimlik doğrulama ve yetkilendirmeyi sağlamak için tüm kullanıcıları standart bir politika altında yönetmenizi sağlar.
- >Daha güçlü bir kullanıcı erişim kontrolü sağlayarak veri ihlali riskini azaltır.
- >Hesap güvenliğini sağlamak için gereken zamanı, çabayı ve sermayeyi azaltarak BT departmanlarının verimliliğini artırır ve manuel kimlik ve erişim yönetimini en aza indirir.
- >İşletmelerin sektör düzenlemelerine uygunluğunu kanıtlamasına izin verir.
- >Şirketlerin, en az ayrıcalık ilkesini uygulamak için kullanıcı kimlik doğrulama ve yetkilendirme politikalarını uygulamalarına yardımcı olur.
- >Tedarikçiler gibi harici kullanıcıların siber güvenlik riskine girmeden bir şirketin ağına erişmesini sağlar.
>Özetle, kimlik ve erişim yönetimi, işletmelerin daha iyi işbirliği, üretkenlik ve verimlilik sağlamasına yardımcı olur ve sıfır güven politikası uygulama maliyetini azaltır. Bu sistemler, kullanıcıların içeri girdikten sonra sürekli erişime sahip olduklarını kabul etmez. İşletmelerin kimlikleri ve erişim noktalarını sürekli olarak izlemesine ve güvence altına almasına olanak tanır.
IAM Zorlukları
>IAM’yi yapılandırmak zor bir iştir ve uygulama ekipleri bunu yaparken dikkatli olmalıdır. Yapılandırma gözetimleri, eksik tedariğe, etkisiz otomasyona ve yetersiz incelemelere yol açabilir. BT ekipleri, bir IAM sistemini yapılandırırken en az ayrıcalık ilkesini göz önünde bulundurmalıdır.
>Biyometri, kullanıcı kimliklerini doğrulamak için güçlü bir yöntem olsa da, güvenlik riskleri oluşturur. İşletmeler biyometrik verilere dikkat etmeli ve gereksiz unsurları ortadan kaldırmalıdır.
- Politika ve grup yönetimi.> Standart bir kurumsal erişim politikasının yokluğunda, erişim ayrıcalıklarını yönetmek yöneticiler için zor olabilir. Liderlik, yöneticilerden kullanıcılara politikayla çelişebilecek çok daha yüksek düzeyde erişim sağlamalarını isteyebilir.
- Hibrit BT ortamları.> İşletmeler, hem şirket içi hem de bulut tabanlı uygulamalar ve kaynakların bir karışımına sahip olabilir. Yöneticiler, IAM çözümlerinin bu tür sistemlere bağlayıcıları olduğundan emin olmalıdır.
- Yetersiz MFA yöntemleri.> Şirketler, yetkisiz erişimi önlemek için MFA bileşenlerinin güçlü olduğundan emin olmalıdır. Birçok IAM sağlayıcısı, e-posta OTP gibi daha az güvenli MFA yöntemlerinden risk tabanlı ve bağlamsal kimlik doğrulama gibi daha güçlü kimlik doğrulama tekniklerine geçer.
Kimlik ve Erişim Yönetimi En İyi Uygulamaları
>Modern işletmeler, önemli erişim noktaları ve bağlantı kümeleri oluşturarak çeşitli uygulamalar ve ayrıntılı kullanıcı kategorizasyonu ile çalışır. Kimlik ve erişim yönetimi çözümleri>, birkaç kullanıcıyı yöneten güvenlik sorunlarını çözmelerine yardımcı olur.
>İşletmeler, IAM programlarını etkin bir şekilde uygulamak için aşağıdaki en iyi uygulamaları benimseyebilir:
1. Net hedefler belirleyin
>BT departmanları genellikle bir veya daha fazla sorunlu noktayı ele almak için bir IAM aracı arar. Bu sorunlu noktalar arasında, BT tarafından gerçekleştirilen erişim isteklerinin ve parola sıfırlama işlemlerinin azaltılması, uyumluluk denetimi başarısızlığı veya birden çok bulut tabanlı uygulamaya dahil edildikten sonra azalan görünürlük sayılabilir.
>Bir IAM aracına dahil olduktan sonra paydaşlar neyi başarmak istedikleri konusunda net hedefler belirlemelidir. Bu, uygulama ekibinin belirlenen hedeflere ulaşmak ve işletmenin karşılaştığı sıkıntılı noktaları ele almak için IAM’yi yapılandırabilmesi için beklentileri belirler.
2. Zombi hesaplarını inceleyin ve kaldırın
>BT departmanları sürekli olarak kullanıcı hesaplarını izlemeli ve zombi hesaplar konusunda son derece dikkatli olmalıdır. Zombi hesaplarının gerçek kullanıcıları büyük olasılıkla farklı bir ekibe taşınmış veya şirketten ayrılmıştır, ancak hesapları, belirlenmiş erişim ayrıcalıklarıyla hala etkindir.
>Zombi hesaplar, kötü niyetli bilgisayar korsanlarının bir işletmenin ağını ihlal etmesi için harika giriş noktalarıdır. BT departmanları bu hesapları izlemeli ve artık ihtiyaç duyulmadığında bu hesapların temel hazırlığını kaldırmalıdır. IAM çözümleri, yöneticilerin bu tür hesaplara dikkat etmesine ve veri güvenliğini sağlamasına yardımcı olur.
3. Sıfır güven politikası benimseyin
>Sıfır güven politikası, kullanıcıların güvenilmemesi gerektiği ve kimliklerini doğruladıktan sonra bile güvenlik önlemlerine sürekli olarak katlanmaları gerektiği felsefesidir. Şirket içi ve SaaS uygulamalarını kullanırken sürekli kimlik doğrulama sağlanmalıdır.
4. Bulut tabanlı uygulamaları düşünün
>Şirket içi veri sistemleri, onları siber saldırılara karşı korumak için önemli kaynaklara ve sermayeye ihtiyaç duyar. Bu yüzden daha iyi güvenlik ve düşük bakım maliyetleri için eski sistemlerden bulut tabanlı hizmet sağlayıcılara geçmeyi düşünebilirsiniz.
>Bulut tabanlı uygulamalar, yama yönetimi çözümleri, segmentasyon, şifreleme ve güvenli erişim yönetimi çözümleri sunarak işletmelerin güvenlik duruşlarını güçlendirmelerine yardımcı olur.
Privileged Access Management (PAM) Nedir?
>Ayrıcalıklı Erişim Yönetimi (PAM), bir BT ortamında kullanıcılar, hesaplar, süreçler ve sistemler için ayrıcalıklı erişimi, oturumları ve izinleri kontrol etmek için siber güvenlik ve teknoloji stratejileri için kapsamlı bir çözümden oluşur.
IAM ve PAM Arasındaki Fark Nedir?
>Bazı benzerlikler olsa da, Privileged Access Management>, ayrıcalıklı hesaplarla veya yönetici erişim hesaplarıyla ilgili ayrıntılara odaklanır. Kimlik yönetimi, kural olarak, bir iş sistemi veya ağ içindeki tüm kullanıcılara erişimin yönetilmesini içerir.
Ayrıcalıklı Erişim Yönetimi>, işletmelerin ve kullanıcıların sadece işlerini yapmak için gereken gerekli erişim düzeylerine sahip olmalarını sağlar.
>IAM ve PAM’ın da bazı önemli farklılıkları vardır. Aşağıdaki bu farklılıklara ait bir tablo bulabilirsiniz:
| Özellikler | IAM | PAM |
| >Kullanıcılar ve BT Varlıkları | >Dağıtımdan sonra IAM, işletmelerin hem kullanıcıları hem de BT varlıklarını aynı anda kontrol etmesine ve yönetmesine yardımcı olur. | >PAM ise BT yöneticilerinin BT varlıklarına ayrıntılı düzeyde güvenli erişim sağlamasına yardımcı olur ve yetkisiz kullanıcıların bilgi varlıklarını kötüye kullanmasını önler. |
| >Güvenilirlik & Esneklik | >IAM’nin talebi, daha çok işletmenin mevcut herhangi bir platformuyla konuşlandırma esnekliğinden kaynaklanmaktadır; IAM’nin esnekliği, güvenlik risklerine karşı kolayca kötüye kullanılabilir. | >PAM, IAM’den nispeten daha az uyarlanabilirdir. Esneklik ve güvenlik arasındaki boşluğu doldurur ve iş açısından kritik varlıklar için sıkı erişim kontrol politikaları uygular. |
| >Sağlama ve Temel Hazırlığı Kaldırma | >IAM, uygulamalara erişmek için tüm son kullanıcıların sağlanmasına ve temel hazırlığının kaldırılmasına yardımcı olur. | >Öte yandan PAM, sadece ayrıcalıklı kullanıcıların kritik sistem ve uygulamalara yalnızca kullanıcıların gerçekliğini doğruladıktan sonra erişmesine izin verir. |
>IAM, işletmelerin BT ekosisteminde hangi son kullanıcının hangi kaynaklara/uygulamalara erişebileceğini haritalandırmasına yardımcı olur. Bu senaryoda PAM, BT kaynaklarına kimlerin erişim iznine veya yönetici erişimine sahip olduğunu tanımlar. İşletmeler, BT güvenlik taleplerini ele alırken, merkezi erişim yönetimi politikasıyla erişim kontrolü yönetiminin başarıyla geri yüklenmesini sağlar. Hem IAM hem de PAM birlikte çalışırken, herhangi bir işletmenin genel erişim kontrol politikasını güvenli bir şekilde yönetmesi uygundur.
