Günümüz dijital dünyasında, aşırı yetkilendirme ve kullanıcılara tanımlanan kalıcı yetkilerin sebep olduğu güvenlik açıkları ciddi bir problem haline gelebiliyor. Kuruluşlar, kritik verilere ve sistemlere erişimi daha güvenli ve kontrollü hale getirmek için yeni yöntemler arıyorlar. Google Cloud Platform (GCP) bu ihtiyaca yanıt olarak, talep üzerine erişim sağlama imkanı veren Privileged Access Manager (PAM) özelliğini sunuyor.
GCP’nin geçtiğimiz günlerde kullanıma sunduğu PAM özelliği ile kurumlar, kalıcı yetkilere olan bağımlılığı azaltarak, daha dinamik ve güvenli bir erişim yönetimi sağlayabilirler. Bu özellik, kullanıcıların sadece ihtiyaç duyduklarında ve belirli süreler için yetkilendirilmesini sağlayarak, güvenlik risklerini minimize ediyor ve sistem yönetimini daha güvenli hale getiriyor. Aynı zamanda yetki tanımlama işleminde bir onay adımı eklenmesine de olanak sağlıyor. Bu şekilde kurumlar, ihtiyaç gördükleri durumda, verilen tüm yetkilerin bir yöneticinin onayından geçmesi gibi bir şart da sağlayarak yanlışlıkla veya ihtiyaç fazlası olarak yapılan yetkilendirmelerin önüne geçebiliyor.
Kurumlar içinde yetkilendirmeleri yönetirken güvenliği artırmak adına dikkat edilmesi gereken en önemli nokta, Least Privilege(En Az Ayrıcalık) prensibi olarak bilinen yaklaşımdır. Bu prensip, kullanıcılara ve sistemlere sadece işlerini gerçekleştirmek için gerekli olan minimum yetkilerin verilmesini öneren bir güvenlik yaklaşımıdır. Bu şekilde potansiyel güvenlik açıklarını azaltarak, kötü niyetli erişimlerin ve hataların etkileri en aza indirgenebilir.
GCP’nin Privileged Access Manager özelliği, bu prensibin uygulanmasını da kolaylaştırarak, kullanıcıların yalnızca belirli görevler için geçici olarak yetkilendirilmesini sağlar. Böylece, sistem güvenliği önemli ölçüde artırılır. PAM, least privilege prensibiyle çalışarak, kullanıcıların sadece ihtiyaç duydukları erişimlere sahip olmalarını ve bu erişimlerin süre limitli olmasını garanti eder.
PAM Nasıl Çalışır?
GCP’de yetkilendirmeler Identity and Access Management (IAM) sayfası üzerinden yapılıyor. PAM özelliğini kullanmak için IAM sayfasında PAM sekmesine geçiş yapılması gerekiyor. Sonrasında, “entitlement” oluşturarak yetkiye ihtiyacı olacak kişileri, hangi yetkilerin verileceğini, bu yetkilerin ne kadar süre için tanımlı olacağını, yetki isteyen kullanıcıların bu yetkileri ne için kullanacağına dair bir gerekçe belirtmesinin zorunlu olup olmayacağını ve son olarak yetkilerin başka bir kullanıcı(örn: IAM yöneticisi) tarafından onay gerektirip gerektirmediği gibi seçenekler belirtilebiliyor.
Görselde görüldüğü üzere, önce entitlement için bir isim belirlemek gerekiyor. Ardından bu entitlement’ın hangi roller için oluşturulacağı ve yetkinin maksimum ne kadar süre kalacağı belirtiliyor. Sonrasında “requester” olarak bu yetkiye ihtiyaç duyacak olan kişi veya grup bilgisi giriliyor. Burada opsiyonel olarak, “Justification required from requesters” seçeneğini işaretleyerek kullanıcılardan(requesters) bu yetkiyi isteme gerekçeleri hakkında bilgi vermesi istenebilir.
3. Adım olan “Add approvers” kısmında onay işlemi eklemek istendiğinde bu onayı yapacak kişinin eklenmesi gerekiyor veya “Activate access without approvals” seçeneğini işaretleyerek onay gerektirmeden yetki tanımlanması sağlanabilir. Onay adımını kullanmak hem daha güvenli olacaktır hem de PAM menüsünün Approval History kısmında tüm işlemler görüntülenebildiği için verilen yetkilerin kolay bir şekilde monitör edilmesini de sağlayacaktır.
Entitlement oluşturulduktan sonra kullanıcılar ihtiyaç duydukları zaman PAM menüsünden istedikleri entitlement için “Request Grant” dediklerinde belirlenen yetkiler anında kullanıcıya tanımlanmış olur.
Privileged Access Manager ile artık yetki kötüye kullanımı ve suistimali ile ilişkili riskleri kolay bir şekilde yönetebilirsiniz.
