Günümüzde kurum içi ve dışı ağ sınırlarının belirsizleşmesi, kullanıcıların farklı konum ve cihazlardan kritik sistemlere erişmesi ve bulut hizmetlerinin yaygınlaşması, geleneksel güvenlik yaklaşımlarını yetersiz hale getirmektedir. Bu nedenle Zero Trust mimarisi, modern altyapılarda güvenli erişim sağlamak için kritik bir gereklilik haline gelmiştir. Zero Trust yaklaşımında hiçbir erişim varsayılan olarak güvenilir kabul edilmez; her oturum kimlik, bağlam ve risk temelli kontrollerden geçirilir. Bu çerçevede, kalıcı ayrıcalıklı erişimlerin ortadan kaldırılması (Zero Standing Privilege – ZSP) ve yalnızca ihtiyaç duyulduğunda, belirli sürelerle erişim tanımlanması (Just-in-Time – JIT erişim) Zero Trust’ın temel bileşenleri olarak konumlandırılır.
CyberArk Secure Infrastructure Access (SIA), bu prensipleri pratikte hayata geçiren modern bir çözümdür. Önceki adıyla Dynamic Privileged Access (DPA) olarak bilinen SIA, hibrit ve bulut tabanlı altyapılara yönelik ayrıcalıklı erişimlerin güvenli, merkezi ve denetlenebilir şekilde yönetilmesini sağlar. Çözüm kapsamında herhangi bir ajan kurulumu gerekmemekte; tüm erişim süreçleri güvenli bağlantılar üzerinden gerçekleştirilmektedir. Böylece ZSP ve JIT yaklaşımlarıyla saldırı yüzeyi minimuma indirilmekte, güvenlik kontrolleri merkezileştirilmektedir.
SIA aracılığıyla, VPN bağlantısına gerek duyulmadan Windows, Linux, veritabanı ve Kubernetes gibi kritik sistemlere erişim imkânı sunulmaktadır. Tüm erişim süreçleri, çok faktörlü kimlik doğrulama (MFA) mekanizmaları ile güvence altına alınmakta; oturumlar izole edilerek kayıt altına alınmaktadır. Bu sayede hem operasyonel verimlilik artırılmakta hem de regülasyonlar ve denetim standartları kapsamında uyumluluk gereklilikleri karşılanmaktadır.
SIA mimarisinde müşteri ortamında yalnızca lighweight olarak çalışan bir Connector bileşeninin kurulumu gereklidir. Connector, kurum içindeki hedef sistemlere (Windows, Linux, veritabanı, Kubernetes vb.) erişimi yönlendirirken yalnızca outbound bağlantılar aracılığıyla CyberArk SIA bulut servisi ile iletişim kurar. Böylece inbound bağlantı ihtiyacı ortadan kaldırılır. Erişimler tarayıcı üzerinden veya yerel SSH, RDP ya da veritabanı istemcileri aracılığıyla başlatılabilir. Bu yaklaşım, kullanıcı cihazından hedef sisteme kadar olan akışın güvenli ve merkezi olarak yönetilmesini sağlar.
Erişim süreci, son kullanıcının SIA portalı veya istemci arayüzü üzerinden oturum açma talebiyle başlatılır. Kullanıcının kimliği varsayılan olarak CyberArk Identity aracılığıyla doğrulanır; bu doğrulama sırasında gelişmiş MFA politikaları, adaptif erişim kontrolleri ve risk tabanlı kimlik doğrulama mekanizmaları uygulanır. Böylece kullanıcı kimliği kurumun güvenlik politikalarıyla tam uyumlu biçimde garanti altına alınır. Bununla birlikte, SIA esnek bir mimariye sahiptir; ihtiyaç duyulması halinde Azure AD, Okta, Ping Identity gibi üçüncü taraf IdP çözümleriyle de entegre çalışabilir ve mevcut federasyon altyapısı korunabilir.
Onaylanan erişim isteği, Connector üzerinden güvenli bir TLS tüneli ile hedef sisteme yönlendirilir. Bu aşamada kullanıcı ile hedef sistem arasında doğrudan bir ağ bağlantısı kurulmaz; bağlantının izolasyonu sayesinde güvenlik katmanı korunur. Tüm oturumlar izlenir, kaydedilir ve tanımlı politikalar doğrultusunda süre, yetki ve bağlam açısından kontrol altında tutulur.
SIA CyberArk Privileged Cloud ya da Self-Hosted PAM ile entegre çalışabilir.
Privilege Cloud ile Entegrasyon Akışı;
Self-Hosted PAM ile Entegrasyon Akışı;
CyberArk SIA, erişimleri iki farklı yöntemle yönetir: Vaulted Credential ve Zero Standing Privilege (ZSP). Bu iki yöntem, kurumların güvenlik ihtiyaçlarına ve kullanım senaryolarına göre tercih edilebilir.
Vaulted Credential akışında, erişim için kullanılacak kimlik bilgileri CyberArk PAM Vault içerisinde güvenli bir şekilde saklanır. Kullanıcı, erişim talebinde bulunduğunda kimlik bilgilerini doğrudan görmez; SIA, Vault’tan aldığı bu bilgileri kullanarak oturumu başlatır. Böylece kritik parolaların son kullanıcıya açığa çıkması engellenir.
Zero Standing Privilege (ZSP) akışında ise kalıcı ayrıcalıklı hesapların kullanımına gerek kalmaz. Bunun yerine, erişim talepleri attribute-based access control (ABAC) politikalarıyla değerlendirilir ve kullanıcının erişim seviyeleri bir Access Profile üzerinden tanımlanır. Bu modelde iki önemli kavram öne çıkar:
ZSP modeli sayesinde, erişim yalnızca ihtiyaç duyulan anda ve belirlenen süre boyunca verilmekte, sonrasında otomatik olarak kaldırılmaktadır.
İki bağlantı türünden de örnek verecek olursak; önce Vaulted Credential akışını, ardından Zero Standing Privilege (ZSP) modelini adım adım inceleyelim
Vaulted Credential
On-prem Vault ile entegrasyonda Vaultumuzda built-in olarak bulunan CyberarkSecureAccessService kullanıcısını enable etmemiz gerekmekte.Kullanıcı enable edilip parolası ayarlandıktan sonra SIA portalının Settings sekmesinden bağlantı testi yaparak entegrasyonu sağlayabiliriz.
Authentication başlığı altından re-authenticate ve MFA Caching ayarları uygulanır.
Session ve Idle timeout süreleri set edilir.
RDP ve SSH oturumları için recording ayarları uygulanır.
Connection Guidance sekmesinden Vaulted Credential seçilerek hedef user ve adres bilgileri girilerek RDP File indirilebilir ya da oluşan string ile RDP Client uygulamasından doğrudan bağlantı sağlanabilir.
Vaulted Credential ile bağlantıda CyberArk ISPSS tenantına giriş yapan kullanıcının on-prem Vaultda,bağlanmak istediği accountun kasasında member olması gerekmektedir.
RDP dosyası indirildikten ve çalıştırıldıktan sonra kullanıcı, CyberArk Identity’nin kimlik doğrulama ekranına yönlendirilir. Bu aşamada görseldeki örnekte önce kullanıcı adı ve parola girilmesi, ardından tanımlı ikinci faktör yöntemlerinden biri (örneğin e-posta, SMS ya da mobil uygulama bildirimi) ile doğrulama yapılması gerekir.
Password ve mail adresine gelen authentication kodu girildikten sonra oturum başlatılır.
ZSP(Zero Standing Privilege)
ZSP üzerinden bağlantı kurulmadan önce, daha önce tanımladığımız Strong Account kavramı hatırlanmalıdır. Bu kalıcı hesap, SIA tarafından arka planda kullanılarak ephemeral kullanıcıların oluşturulması ve yönetilmesi için görev alır.
Strong account sekmesine gidilerek Strong Account tanımlaması yapılır. Strong account tanımlanırken Vaulted ve SIA olmak üzere iki seçenek mevcuttur. Vaulted ile mevcuttaki PAM ortamınızdan bir accountun bilgilerini girerek tanımlama yapılabilir ya da SIA seçeneği seçilerek ilgili accountun bilgileri cloudda tutulacak şekilde manuel tanımlama yapılabilir.
Vaulted tanımı ile accountun safe ve object name bilgileri girilerek domain ya da local account tanımlanır.
Cloudda tutulacak şekilde manuel girmek için accountun username ve password bilgileri girilir.
Strong account tanımlandıktan sonra Recurring Access policies sekmesinden ZSP için policy ayarlanmalıdır.
Policy ismi ve policynin geçerli olacağı time frame ayarlanır. Assets kısmından Cloud assetleri için ya da on-premises assetler için rule tanımlanır.
Access rule adımında ise policy’nin hangi OS’ler için geçerli olacağı ve oluşturulacak olan userın local mi domain mi ve local ise hangi gruplara assign edileceği seçilir.
Policy’nin hangi userlar için geçerli olacağı, time-frame ve session time-out süresi ayarlanır.
ZSP VM’lerde olduğu gibi databaseler için de geçerlidir. Database türüne göre policy ayarlanabilir.
Access policy ve strong account tanımlarını yaptıktan sonra Vaulted bağlantıda yaptığımız gibi Connection Guidance sekmesine gelerek ZSP bağlantı için RDP dosyasını indirebiliriz. ZSP’de policy ve içerisinde ruleları önceden belirlediğimizden,adres kısmına hedefi yazmamız yeterli olacaktır.
İnen RDP dosyasını açtığımızda Vaulted bağlantıda olduğu gibi MFA ile doğrulama yaptıktan sonra bağlantı gerçekleşir.
Command prompttan kontrol ettiğimizde random bir kullanıcı generate ederek bağlantı gerçekleştiriği görülür. Recurring Access policyde belirttiğimiz kurallara göre session süresi devam edecek ve ilgili süre dolduğunda ise kullanıcı ve profili sunucu üzerinden kaldırılacaktır.
Sonuç olarak incelediğimizde CyberArk SIA, kurumların Zero Trust prensiplerini hayata geçirirken JIT erişim, Zero Standing Privilege ve güçlü kimlik doğrulama mekanizmalarını bir arada sunarak güvenli, esnek ve ölçeklenebilir bir altyapı sağlar. Bu yaklaşım, yalnızca ayrıcalıklı erişimlerin korunmasını değil, aynı zamanda modern hibrit ortamlarda iş sürekliliği ve operasyonel verimliliğin de güvence altına alınmasını mümkün kılar.
-
Kuantum bilgisayarlar, klasik bilgisayarların ötesine geçen hesaplama yetenekleriyle, modern kriptografi altyapılarını tehdit eden yeni bir dönemi beraberinde getirmektedir.
Windows Event Forwarding, Windows tabanlı sistemlerde yerel olarak desteklenen günlük merkezileştirme özellikleri sağlar. Microsoft, sunucular üzerindeki logların tek bir yerde toplanması WEF mimarisi ile sağlamaktadır.
Veri Koruma Günü, her yıl 28 Ocak’ta, kişisel verilerin korunması ve veri gizliliği konusunda farkındalık yaratmak amacıyla belirlenmiş bir gündür.
Veri keşfi konusu 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile hayatımıza girdi. Bu kanunla beraber bu zamana kadar dağınık olan verilerimizin nerede tutulduğunun ve ne derece kritik olduğunun önemi giderek artmaktadır.
