Kimlik yayılmasından kaynaklanan güvenlik riski. Şirketler bulut, büyük veri, DevOps, kapsayıcılar veya mikro hizmetler gibi yeni teknolojileri giderek daha fazla kullandıkça, bu artan karmaşıklık aynı zamanda kimlik ve erişim yönetimi için yeni zorluklar ortaya çıkarıyor.
Gelişmekte olan bu teknolojilerle iş yükleri ve veri hacimleri büyüyor ve giderek daha fazla bulutta bulunuyor. Sonuç olarak insan ve makine kimliklerinin sayısı katlanarak artıyor. Bu nedenle, bu yeni saldırı yüzeylerini kontrol altına almak için, parçalanmış kimlikleri hibrit bir kurumsal altyapı genelinde merkezileştirmek ve ayrıcalıklı erişim için tutarlı bir güvenlik modeli uygulamak zorunlu hale geliyor.
Kimlik Yayılması: Kimlik Yayılmasının Tehlikeleri
Kimlik yayılımı ile bir kullanıcının kimliği, birbiriyle senkronize olmayan birden çok silolu sistem veya dizin tarafından yönetilir, bu da her kullanıcı için birden çok kimlik ve olası savunmasız saldırı vektörleri ile sonuçlanır. Genellikle bu durum, bir uygulama veya sistem şirketin merkezi rehber hizmetiyle entegre olmadığında veya entegre edilemediğinde ortaya çıkar. Bu, söz konusu uygulamaya veya sisteme erişimi desteklemek için başka bir kullanıcı kimlikleri kümesinin korunmasını gerektirir. Bu, artan idari çabaya ve ilgili maliyetlere yol açar ve tek tip güvenlik ve uyumluluk yönergelerinin uygulanmasını önemli ölçüde zorlaştırabilir. Kimlik yayılımı, kullanıcıların parolalarını hizmetler arasında yeniden kullanma riskini de beraberinde getirerek kuruluşları kimlik bilgilerinin gözetlenmesine karşı savunmasız bırakır.
Artı göstergede ayrıcalıklı kullanıcı hesapları
Geniş kapsamlı izinlere sahip ayrıcalıklı kullanıcı hesapları, özellikle saldırganların hedefindedir. Bunun nedeni, bu hesapların değerli verilere ve şirket kaynaklarına anahtar sağlayarak siber suçluların güvenilir bir kullanıcı kisvesi altında çalışmasına ve her seferinde aylarca fark edilmeden kalmasına olanak sağlamasıdır. Bununla birlikte, bir kuruluştaki bu ayrıcalıklı hesapların sayısını sınırlamak da saldırı yüzeyini daraltabilir ve kötü niyetli kişiler veya dış tehdit aktörleri tarafından kötüye kullanım riskini azaltabilir.
Günümüzün altyapı ve güvenlik ekiplerinin ihtiyaçlarını karşılamak, kimliklerin birleştirilmesine odaklanan ve Sıfır Güven ilkelerine dayanan kapsamlı bir ayrıcalıklı erişim yönetimi yaklaşımı gerektirir. Kuruluşların sağlam bir kimlik konsolidasyonu ve ayrıcalık yükseltme güvenlik stratejisi uygulamak için kullanabileceği en iyi beş uygulama aşağıda verilmiştir.
Kimlik Birleştirme ve Ayrıcalık Yükseltme için En İyi Beş Uygulama
1. Tüm kimliklerin tek bir doğruluk kaynağı olarak bir kimlik dizininde merkezileştirilmesi
Seçilen Privilege Access Management (PAM) çözümü, şirkette kullanılan kimlik dizini açısından mümkün olan en büyük esnekliği sunmalıdır. Bu, bir kuruluşun hangi kimlik dizinini (örn. Active Directory, Okta, Ping, vb.) kullandığının önemli olmadığı anlamına gelir. Örneğin, teknoloji AD köprüleme kullanarak UNIX ve Linux sistemlerini Active Directory'ye bağlayabilmeli, ancak aynı zamanda bulut dönüşümünün bir parçası olarak IaaS ortamları için konsolidasyon yetenekleri sunabilmelidir. Çok dizinli aracılık yeteneğine sahip modern PAM çözümleri, kullanıcıların herhangi bir kullanıcı dizinine karşı kimlik doğrulamasını, kimlik yönetimini merkezileştirmeyi ve kimlik yayılmasını en aza indirmeyi mümkün kılar.
2. Tüm ayrıcalıkları tercih edilen dizindeki kimliklere bağlayın
Tüm yetkileri, izinleri ve ayrıcalıkları bir kuruluşun tercih edilen dizinindeki kimliklere bağlamak, yalnızca yönetim yükünü azaltmakla kalmaz, aynı zamanda tutarlı güvenlik ve uyumluluk ilkelerinin uygulanmasını da basitleştirir. Çünkü ortak hesap kullanımının aksine, bireysel sorumluluk ilgili kimliğe bağlıdır.
3. Tercih edilen dizinden kaynaklara birleşik erişim
Kaynaklara (sunucular, veritabanları veya bulut iş yükleri gibi) birleştirilmiş erişimle, çalışanlar basitçe kendileri olarak oturum açabilir ve her zaman uygun izinleri alabilir. Bu, verimli iş akışları sağlar ve çalışanların üretkenliğini artırır.
4. Yeterli, sınırlı süreli erişim için ayrıntılı kontroller
Ayrıcalıklı hesaplar, yüksek düzeyde erişim ayrıcalıkları nedeniyle bir saldırganın eline geçmesi durumunda kuruluşlar için ciddi bir tehdit oluşturmaktadır. Bu nedenle, ayrıntılı erişim denetimlerini uygulamak için ayrıcalık yükseltmeyle birlikte en az ayrıcalıklı bir yaklaşım izlenmelidir. Ayrıcalık yükseltmesi, kullanıcıya iş işleviyle tutarlı bir görevi yapması için geçici olarak ek roller ve ayrıcalıklar vermek anlamına gelir ve işin yapılması için tam olarak gereken süre kadar yeterli ayrıcalığa sahiptir. Örneğin, bir web yöneticisinin web sunucularını ve ilgili yönetim araçlarını çalıştıran sistemlere erişmesine izin vermek yasal olabilir. Ancak, kredi kartı işlemlerini gerçekleştiren makinelerde oturum açmak meşru değildir ve engellenmiş olarak kalır.
5. Görev tamamlandıktan sonra kalıcı izin yok
Şirketler, kimliklerin kalıcı yetkilere sahip olmamasını (sıfır ayakta ayrıcalıklar) sağlamalıdır, ancak ilgili görevleri sınırlı bir süre içinde yerine getirmek için ayrıcalıkların her zaman tam zamanında artırılmasını sağlamalıdır. Örneğin, bir çalışan belirli bir sunucuya yalnızca mesai saatleri içinde veya belirli bir süre için erişebilir. Oturum sona erdikten sonra, erişim hakları iptal edilir (gerçi modern bir PAM çözümü de gerekirse kolayca yeniden erişim verebilir). Bu aynı zamanda bir kullanıcı hesabının ele geçirilmesi durumunda potansiyel saldırganlar için fırsat penceresini kapatır.
Şirket altyapılarının artan karmaşıklığı nedeniyle, günümüzde hassas kaynaklara ve verilere kimlerin, ne ölçüde ve ne süreyle eriştiği konusunda kapsamlı kontroller gerekmektedir. Kimlik birleştirme ve ayrıcalık yükseltme, kimliklerin merkezileştirilmesini ve ayrıntılı yönetişimi ve izinlerin kontrolünü sağlar. Bu, kimliğin yayılmasını ve ilgili güvenlik risklerini azaltır, idari iş yükünü azaltır ve çalışan üretkenliğini artırır. Bu yaklaşımla kuruluşlar, yalnızca yetkili kişilerin, makinelerin veya hizmetlerin doğru kaynaklara doğru zamanda ve doğru nedenlerle erişmesini sağlayabilir.
Daha fazlası Centrify.com'da
Thycotic Santrifüj Hakkında ThycoticCentrify, geniş ölçekte dijital dönüşüm sağlayan lider bir bulut kimliği güvenlik çözümleri sağlayıcısıdır. ThycoticCentrify'ın sektör lideri Privileged Access Management (PAM) çözümleri, bulut, şirket içi ve hibrit ortamlarda kurumsal verileri, cihazları ve kodu korurken riski, karmaşıklığı ve maliyeti azaltır. ThycoticCentrify, Fortune 14.000'ün yarısından fazlası dahil olmak üzere dünya çapında 100'den fazla lider şirket tarafından güvenilmektedir. Müşteriler arasında dünyanın en büyük finans kurumları, istihbarat teşkilatları ve kritik altyapı şirketleri yer alır. ThycoticCentrify ile insan veya makine, bulutta veya şirket içinde, ayrıcalıklı erişim güvenlidir.