Privileged Access & Account Management (PAM - Ayrıcalıklı Hesap & Erişim Yönetimi) Nedir?

PAM, ayrıcalıklı hesap ve erişimlerin yönetimini merkezileştiren, sunucu erişimleri, sunucu üzerindeki lokal veya servis hesaplarının yönetimi ile parola kasası özelliği sayesinde de özel erişim anahtarları, kullanıcı adı ve parolalar, sertifikalar gibi "ayrıcalık" arzeden kaynakları yönetmeyi sağlayan yapıya verilen isimdir.

Buradaki ayrıcalık kavramının ne olduğunu birazdan daha da detaylandıracağız.

Kavramlar

PAM’in Privileged Access Management ve Privileged Account Management olarak iki ayrı açılımı vardır. Türkçe’ye Ayrıcalıklı Erişim Yönetimi ve Ayrıcalıklı Hesap Yönetimi olarak geçmiştir. Özellikle son yıllarda hayatımızda yeri artan "Remote Working" (Uzaktan çalışma) dönemi ile önemini gittikçe arttırmış, bu da beraberinde hem bilgi hem de ürün talebini ihtiyacını ortaya çıkarmıştır.

PAM kavramı elbette bir ihtiyaç ve problem sonucu ortaya çıkmıştır. Özellikle dijital odaklı şirketlerde pek çok işlem artık uzaktan erişimlerle gerçekleştirilmektedir. Sunuculara hatta şirketin sağlamış olduğu kişisel bilgisayarlara dahi uzaktan erişimler ile bağlanılıp çalışılmaktadır. Yazılım Geliştirme, DevOps, sunucu erişimleri ve servis uygulamalarında çalışan hesapların sayısı gittikçe artmıştır.

Privileged Account Management - Ayrıcalıklı Hesap Yönetimi Nedir?

Bu noktada birincil olarak ortaya çıkan problemlerden biri hesap yönetimi kısmı olarak karşımıza çıkar. Özellikle sunuculara yapılan erişimler için kişilerin hesaplarına verilen yetkiler, sunucu yönetimi için açılan ortak hesaplar, bu hesaplara verilen yetkilerin ne düzeyde olacağı, ne kadar süre geçerli olacağı gibi yetki yönetimi kısmının manuel olarak sürdürülmesi riskli ve yönetilemez bir hale gelir. DevOps süreçlerinde kullanılan ortamların (test, pre-prod, prod gibi) hangisinde hangi hesapların yetkili olacağı ortamlar ve hesaplar çoğaldıkça içinden çıkılmaz bir hal almaktadır. PAM ürününün yani Ayrıcalıklı Hesap Yönetimi kısmının çözdüğü problem ilk olarak bu hesapların otomatik olarak yönetilip izlenebilir olmasıdır. Bütün sunucularda yetkili olan hesaplar hangi düzeyde ve ne zamandan beri yetkili, aslında yetkili olmaması gereken hesaplar var mı, bunların hepsinin görülebilir ve yönetilebilir olması kritik konumda yer alan sunucular için hayatidir. Erişim yetkisi unutulmuş bir hesap kötü niyetli kişilerce kritik işlemler için kullanılabilir. Yapılan araştırmalarda hacklenme vakalarının çok büyük bir bölümünün sunucular üzerinde unutulan yetkili/yetkisiz hesaplar üzerinden gerçekleştirildiği gözlemlenmiştir. Ne yazık ki kontrolsüz olan bu hesapların oluşturduğu yıkımı tespit etmek çoğu zaman imkansız çoğuz zaman da ciddi efor gerektirebilir. Bu büyük riski en alt seviyeye çekmek için Privileged Account Management (PAM) yani Ayrıcalıklı Hesap Yönetimi büyük rol oynamaktadır.

Peki bu problemleri Privileged Account Management (PAM) yani Ayrıcalıklı Hesap Yönetimi nasıl çözer? Sunucu ile kullanıcı/hesap arasında konumlanan PAM, hesapları kendi içinde yönetir. Bir hesabın hangi sunucuda hangi yetkilerle var olacağı PAM portalı üzerinden tanımlanır. Sonrasında kullanıcı yine PAM uygulamasına kendi hesabı ile girerek sunucu bağlantılarını gerçekleştirir. Hem yetkisi olan tüm ortamları görebilir hem de tek tıkla bağlanma pratikliğine sahip olur. PAM portalı üzerinden hangi hesap ne kadar süre ile sunucularda yetki sahibi olacağı, IP aralığı kısıtı, hangi protokol ile bağlanabileceği, MFA kullanarak bağlanması gerekliliği gibi çok çeşitli kurallarla ayarlar belirlenebilir. Hesap ile ilgili bir güvenlik ihlali olduğunda sistem alarmlar üretebilir. Raporlar üzerinden gereksiz yetkiler takip edilip gerektiği noktada çok kolay şekilde kaldırılabilir. Aynı zamanda işten çıkan bir kullanıcının hesabı da otomatik olarak PAM tarafından da inaktif edilerek olası güvenlik açıklarının önüne geçilmiş olunur.

PAM sadece erişim hesaplarını yönetmekle kalmaz. Aynı zamanda servisler ve uygulamalar üzerinde kullanılan hesapların yönetimini de yapar. Bu sayede parola rotasyonuna sahip hesapların takibi kolaylaşır ve bu yönetim otomatik bir şekilde sağlanmış olur. Bu noktada ürünlerin bir parola kasasına sahip olması çok önemlidir. Zaman zaman statik yönetilen hesap, parola ve erişim anahtarı gibi bir çok bilgi bu parola kasalarında saklanır ve yetki bazlı kullanıcılar ile paylaşılır. Daha detaylı bilgiyi parola kasası (Vault) kısmında ele alacağız.

Privileged Access Management - Ayrıcalıklı Erişim Yönetimi Nedir?

Privileged Access Management (PAM) yani Ayrıcalıklı Erişim Yönetimi kısmının çözdüğü problemler ise sunuculara erişimin detaylı olarak izlenebilir ve kısıtlanabilir şekilde sağlanması noktasındadır. Burada anlatımı kolaylaştırmak için sunucudan giriş yaptık fakat RDP, SSH, Telnet, PowerShell gibi erişim yöntem ve protokollerini destekleyen herhangi bir sisteme de bağlantı için PAM ürünleri kullanılabilir. Örneğin bir Router, Switch veya Firewall yazılımı gibi sistemlere de PAM kullanarak bağlanabilirsiniz.

Bağlantıların PAM üzerinden oluyor olması detaylı logların tutulup kötü niyetli teşebbüslerin saptanabilmesi ve engellenebilmesinde büyük önem arzeder. Kullanıcının bastığı tuşlar, yazdığı betikler (komut dizimleri) ve açılan oturumlar kaydedilir. Gerektiği zaman belirli bir zaman sınırı belirlenebilir. Aynı zamanda bu kaynaklara erişimde yönetici onayı veya belirli bir kullanıcı grubunun onayı gibi akışlar oluşturularak erişimin güvenliği arttırılabilir. Bütün işletim sistemlerine tek bir ürün üzerinden uzak masaüstü bağlantısı sağlanarak uygulama ve işlem karmaşası ortadan kalkmış olur. Kullanıcı yetkisi olan bütün sunucuları tek bir sistemde görüp yetkisi dahilinde yönetebilir. Bütün detaylı işlemler kısıtlanabilir örneğin kopyalama, upload, download işlemleri gibi. İsteğe bağlı olarak böyle bir işleme teşebbüste alarmlar oluşturularak yöneticiler bilgilendirilebilir. Belli başlı işlemler onay mekanizmasına bağlanabilir ve yalnızca belirlenen hesapların onay vermesi ile kritik işlemler gerçekleşebilir hale getirilebilir. Privileged Access Management (PAM) yani Ayrıcalıklı Erişim Yönetimi’nin sağladığı bu özellikler sunucular üzerinde tam kontrol imkanı tanırken kullanım kolaylığı da sağlar.

PAM sadece sunucu erişimini güvenlik altına almaz. Aynı zamanda belirli bir uygulamaya erişim hakkı verilerek kullanıcının yalnızca o uygulamayı çalıştırması sağlanabilir. Dosya ve klasör gibi yapıların yetkileri özelleştirilebilir.

Parola Kasası - Vault Nedir?

Her bir sunucu kullanıcı erişimi için, her bir servis veya uygulama bir veriye erişmek için kendisine tahsis edilen (veya ortak) hesapları kullanır. Bu hesaba atanan yetkiler üzerinden veriye veya sisteme erişir, aksiyonlarını gerçekleştirir. Zaman zaman statik olarak oluşturulan bu veriler erişim için kullanıcılar ile paylaşılır.

Bu paylaşımlar çoğunlukla mail, anlık mesajlaşma uygulamaları vb iletişim kanalları üzerinden kişilerle paylaşılır. Bu paylaşım zaman zaman zararsız gibi görünse de çok ciddi problemlere sebebiyet verebilir. Bunlardan birini parolanın istenmeyen kişilerin eline geçmesi olarak söyleyebiliriz. Burada örneği parolalar üzerinden verdik ama erişim anahtar bilgileri, gizli anahtarlar, özel erişim anahtarları ve sertifikalar (Public - Private Keys, Certificates) gibi bir çok bilgiyi aynı kategori içerisine alabiliriz.

Parola kasaları bu noktada bu paylaşımı merkezileştirme ve kontrol altında tutma görevini üstlenir. Bunlara en büyük örnek parolanın biraz önce saydığımız iletişim kanalları üzerinden paylaşılması yerine, parola kasası üzerinde kullanıcının yetkilendirilmesi olarak karşımıza çıkar. Bu kullanıcılar bu sistemlere erişecekleri zaman parola kasası üzerinden ilgili parolayı görüntüler ve sistemlere erişim sağlar.

Aslında bu kısımda oturmayan bir kaç şey var. Hâlâ parolanın bir başkası ile paylaşıma ihtimalini ortadan kaldıramadık? Bu ihtimali bir çok durum için kaldırmak muhtemelen zor olacaktır. Fakat Parola Kasaları bu durum için çözümsüz değildir. Bu durumda da karşımıza Parola Rotasyonu özelliği çıkar. Parola rotasyonu politika bazlı parolanın değişmesini sağlayan bir özelliktir. Örneğin kullanıcı parolayı gördükten 10 dk sonra parola değişsin denilebilir.

Parola kasaları ile ilgili konuları ilerleyen zamanlarda daha detaylı şekilde irdeleyeceğiz.

Unutulmaması gerekir ki parola kasaları PAM ürünlerinin olmazsa olmaz özellikleri arasında yer alır.

MonoSign'ın PAM Modülü

MonoSign’ın PAM modülü, IAM (Kimlik ve Erişim Yönetimi) uzmanlığının da getirdiği tecrübe ile bu özelliklerin en stabil şekilde kullanılabilmesine olanak tanır. Sunuculara ayrı bir uygulama kurmaya gerek duymadan web tarayıcısı üzerinden çalışan MonoPam, her yerden ulaşılabilir olmasıyla ve performansıyla büyük kullanım kolaylığı sunar.

• Sunucu Erişimi
• Erişim Kaydı (Session Recording)
• Erişim İzleme (Session Monitoring)
• Uygulama Erişimi
• Parola Kasası
• Parola Rotasyonu
• MFA (Multi-Factor Authentication)
• Sunucu Erişiminde PUSH Notification, Email ve SMS Yönetici Onayı
• Browser Access (Tarayıcı Erişimi)

Özellikleri ile ciddi kolaylık ve avantaj sağlar.