Identity and Access Management (IAM) – Bölüm 2

Okuma süresi - 7 dk.

IAM

Günümüzde kuruluşlar çok çeşitli uygulamalar ve ortamlar kullanmaktadır. Geleneksel şirket içi BT ortamlarına ek olarak, giderek artan sayıda kuruluş, cloud-based (bulut tabanlı) hizmetleri ve altyapıyı mevcut kurulumlarına entegre ederek hybrit bir modele geçiyor.

Sadece bu değil, aynı zamanda birçok farklı coğrafi konumdan ağlarımıza bağlanan artan sayıda farklı cihaz var. Yukarıda saydığımız farkı altyapı modelleri, problem olabilecek ek karmaşıklıklar yaratabilir ve etkili IAM protokollerini uygulamaya nasıl başlanacağını bilmeyi zorlaştırır.

Sağlam bir IAM stratejisi geliştirmenin ilk adımı, özel bir ekip oluşturmak ve kuruluşun tüm ilgili paydaşlarını dahil etmektir. Hangi paketleri sunduklarını ve ne kadar ücret aldıklarını öğrenmek için farklı satıcılarla iletişim kurmayı içeren mevcut farklı araçları araştırmak için biraz zaman harcamanız gerekecektir.

Bir sonraki adım, kuruluşunuzun güvendiği tüm farklı kullanıcıları, cihazları, uygulamaları, sunucuları ve platformları detaylandıran bir envanter oluşturmayı içerir. Kullanıcıların ağınızda nasıl tanımlanacağını belirlemeniz gerekir. İsimleri, sicil numaraları veya başka bir tanımlayıcı ile tanımlanacaklar mı? Birçok kuruluş bu kullanıcıları rollere gruplayabilir ve Role-Based Access Control (RBAC) olarak adlandırılan bir uygulama ile rollere dayalı erişim hakları atayabilir.

Roller, alt kategorilere ayrılabilir. Örneğin, veriler genellikle public, private veya restricted olarak sınıflandırılır. Bu durumda, bir kullanıcının son kullanıcı mı, yönetici mi yoksa uzman kullanıcı mı olduğunu belirlememiz gerekir.

Daha sonra, iş yeterliliği, deneyim, yer, departman vb. dahil olmak üzere ek roller oluşturabiliriz. Örneğin, belirli bir departmanda faaliyet gösteren belirli bir deneyime sahip belirli bir kullanıcı türünün belirli bir şekilde sınıflandırılan verilere erişmesine, taşınmasına, değiştirmesine veya silmesine izin verilip verilmediğini kolayca belirleyebiliriz. RBAC, Attribute-Based Access Control (ABAC) ile aynı seviyede ayrıntı düzeyi sağlamaz. Ancak RBAC genellikle uygulanması ve bakımı çok daha kolay olduğu için tercih edilen seçimdir.

Veri Bulma ve sınıflandırma

Çoğu kuruluş, gizli olan büyük miktarda yapılandırılmamış veri depolar. Bununla birlikte, birçok şirket (%62) en hassas verilerinin nerede olduğunu bilmiyor ve bu verilerin çoğu düzgün bir şekilde sınıflandırılmıyor.

Hassas verilerimizin nerede bulunduğunu bilmiyorsak, verileri nasıl koruyabiliriz? Cevap, yapamayız! Bu nedenle, etkili bir IAM stratejisi oluşturmak için , PII, PHI, PCI ve geçerli veri koruma düzenlemelerinin kapsadığı tüm veriler gibi çok çeşitli veri türlerini otomatik olarak keşfedecek ve sınıflandıracak bir çözüme ihtiyacımız var.

Ghost kullanıcı hesaplarını yönetme

Identity and Access Management’ın genellikle gözden kaçan bir alanı, etkin olmayan veya “ghost” olarak adlandırılan kullanıcı hesaplarının alanıdır. SC Media tarafından 2017 yılında yayınlanan bir makaleye göre, 4 kullanıcı hesabından 1’i etkin değil.

Bilgisayar korsanları, hassas verilere kolay erişim sağlayabildikleri için genellikle etkin olmayan kullanıcı veya service hesaplarını arar. Örneğin, bir bilgisayar korsanı yakın zamanda bir şirketten kimlerin ayrıldığını görmek için LinkedIn’de arama yapabilir ve bu bilgileri belirli bir hesabı hedeflemek için kullanabilir.

Eski bir kullanıcı hesabına erişim sağlamak, saldırganın herhangi bir alarm tetiklenmeden sorgulama yapabilmesine izin verebilir. Birçok UBA çözümü, etkin olmayan kullanıcı hesaplarını otomatik olarak algılayabilen ve yönetebilen yerleşik araçlar sağlar.

Identity and Access Management (IAM) ve uyumluluk

Geçmişte standart dışı IAM protokollerini uygulamak mümkün olsa da, o günler hızla sona eriyor. Son yıllarda, yüksek profilli veri ihlallerinin sayısında bir artış olduğu görülebilir ve tüm dünyadaki ülkeleri yöneten hükümetler nihayetinde veri korumanın önemini kabul etti. Böylece bir dizi yeni ve iyileştirilmiş veri koruma düzenlemesi getirildi.

General Data Protection Regulation (GDPR) Mayıs 2018 yılında tanıtıldı. Tartışmasız bugüne kadar gördüğümüz o en önemli veri gizliliği yasası oldu.

GDPR’nin ortaya çıkışı, benzer bir temayı izleyen bir dizi başka veri gizliliği yasasının getirilmesine yol açtı. Amerika Birleşik Devletleri’nde Kaliforniya Tüketici Gizlilik Yasası’nı – California Consumer Privacy Act (CCPA), Nevada Senato Bill 220 Çevrimiçi Gizlilik Yasası’nı – Nevada Senate Bill 220 Online Privacy Law – ve daha yeni NY Shield Act’nın yürürlüğe girdiği görüldü. İngiltere’de, GDPR’yi tamamlamak için tasarlanan Veri Koruma Yasası 2018’i – Data Protection Act 2018 – ve dünya çapında yürürlüğe giren diğer çeşitli yeni veri gizliliği yasalarıyla tanıştık.

Sağlam bir IAM stratejisi, bu tür düzenlemelere ve HIPAA, SOX, PCI-DSS ve ISO 27001 gibi diğer veri gizliliği ile ilgili düzenlemelere uymak için çok önemlidir. Örneğin, GDPR kapsamında, veri sahiplerinin aşağıdaki hakları vardır.

  • Bilgi edinme hakkı
  • Erişim hakkı
  • Düzeltme hakkı
  • Silme hakkı
  • İşlemeyi kısıtlama hakkı
  • Veri taşınabilirliği hakkı
  • İtiraz hakkı
  • Otomatik karar verme ve profil oluşturma ile ilgili haklar

Bu hakların korunması, bir kullanıcının verilerine nasıl erişildiğini derinlemesine anlamayı gerektirir. İyi tasarlanmış IAM protokolleri olmadan, kişisel verilere kimin ve ne zaman eriştiği daha zor olacağı için uyumluluk gereksinimlerini karşılama şansı da önemli ölçüde daha düşük olacaktır.

Ayrıca, en karmaşık Data Security Platformları, çeşitli veri koruma düzenlemelerine uymaya yardımcı olmak üzere özelleştirilmiş ve önceden tanımlanmış raporlar oluşturmak için Kullanıcı Davranışı Analizi’ni – User Behavior Analytics (UBA) – kullanabilir.

Identity and Access Management – Özet

  • İşe, IAM stratejinizin uygulanmasından ve yönetiminden sorumlu olacak özel bir ekip kurarak başlayın.
  • Kullanıcı erişimi üzerinde kontrolü artırmak için tek bir oturum açma çözümü uygulayın.
  • Güçlü bir şifre politikanızın bulunduğundan emin olun ve mümkünse daha fazla güvenlik için multi-factor authentication kullanın.
  • Kimin hangi kaynaklara erişimi olması gerektiğini belirlemek için bir dizi kural getirin. Bu kuralların “principal of least privilege” uyduğundan emin olun.
  • Yapılandırılmamış hassas verilerinizin tam olarak nerede olduğunu bildiğinizden emin olmak için bir veri bulma ve sınıflandırma çözümü kullanın.
  • İş türü, deneyim ve konum gibi önceden tanımlanmış rollere dayalı erişim denetimleri atayın.
  • Ayrıcalıklı hesaplarda ve erişim sahibi oldukları kaynaklarda anormal değişiklikleri tespit edebilmek için, bazen DCAP (Veri Merkezli Denetim ve Koruma) olarak anılan bir Kullanıcı Davranışı Analizi (UBA) çözümü uygulayın.
  • Etkin olmayan kullanıcı hesaplarını yönetmek için otomatik bir sistem kullanın.
  • Hala kullanıldığından emin olmak için erişim haklarını düzenli olarak gözden geçirin ve gerektiğinde değişiklikler yapın.