Active Directory Security

En Az Ayrıcalık İlkesi (Principle of Least Privilege)

Least Privilege Principle - Principle of Least Privilege (POLP)

En Az Ayrıcalık İlkesi Uygulamanın Faydaları

En az ayrıcalık ilkesi (Principle of Least Privilege – POLP), her kullanıcıya, servis ve uygulamaya yalnızca işlerini gerçekleştirmek için gereken izinleri vermeyi gerektirir. Ağ ve sistem güvenliğinde en önemli kavramlardan biridir. Bir kullanıcının teknik olarak ne kadar yetenekli veya güvenilir olursa olsun, yalnızca eldeki işi yapmak için ihtiyaç duydukları ağ kaynaklarına erişimi olmalıdır.

Her kullanıcının erişim düzeyini en aza indirmenin ana yararı, güvenlik risklerinizi ve saldırı yüzeyinizi önemli ölçüde azaltabilmenizdir. Kritik sistemlerinize kimlerin erişebileceğini kesinlikle sınırlayarak, ister kullanıcıların ister kimlik bilgilerini alan saldırganların isteyerek veya kötü amaçlı değişiklik ve veri sızıntıları riskini azaltırsınız. Özellikle, çoğu kullanıcı hesabının bunları yüklemek için gereken yönetici ayrıcalıklarına sahip olmayacağından, rootkit, virüs ve kötü amaçlı yazılımın yüklenme olasılığını en aza indirirsiniz.

En az ayrıcalık ilkesi (Principle of Least Privilege – POLP) uygulanmasının bir diğer yararı da mevzuata uygunluk sağlamaktır. Birçok standart, kuruluşların kullanıcılara yalnızca iş işlevlerini (özellikle ayrıcalıklı kullanıcılar) tamamlamak için gereken ayrıcalıkları vermelerini gerektirir. İşletmeniz bu düzenlemelere tabi olmasa bile, en az imtiyazın uygulanması akıllıca bir yaklaşımdır.

Ayrıca, en küçük ayrıcalık ilkesi (least privilege principle) değişiklik ve yapılandırma yönetimini basitleştirir. Yönetici ayrıcalıklarına sahip bir kişi her bilgisayarda oturum açtığında, sistem yapılandırmasının kasıtlı veya yanlışlıkla uygun olmayan şekilde değiştirilme olasılığı vardır. En az ayrıcalık, tam olarak kimin neyi değiştirebileceğini kontrol ederek bir sistemin amaçlanan yapılandırmasını korumanıza yardımcı olur. En az ayrıcalık uygulayan yönetim kısıtlamalarına güzel örnekler olarak Active Directory Enhanced Security Admin Environmet – ESAE (“Red Forest”) modeli ve Windows Server Just In Time – JIT ve Just Enough Administration -JEA (Tam Zamanında ve Yeterince Yeterli Yönetim) verilebilir. Bu konularda detaylı bilgiler Active Directory administrative tier model ve Red Forest Design sayfalarından alınabilir.

Active Directory Enhanced Security Admin Environmet - ESAE ("Red Forest")
Active Directory Enhanced Security Admin Environmet – ESAE (“Red Forest”)

En az ayrıcalık ilkesi (Principle of least privilege – POLP) limitleri

En az ayrıcalık ilkesinin (least privilege principle) kapsamlı bir savunma stratejisinin sadece bir katmanı olduğunu unutmamak gerekir. İstenmeyen bağlantıları önleyen güvenlik duvarları, kötü amaçlı kod arayan izinsiz giriş algılama cihazları, sezgisel davranış arayan virüsten koruma veya kişisel güvenlik ürünleri ve istenmeyen uygulamaların yüklenmesini ve yürütülmesini sınırlayan yazılım kısıtlama ilkeleri gibi diğer kritik teknolojiler de kullanılmalıdır. Örneğin, bir kullanıcının belirli hassas verilere erişmek gibi bir ihtiyacı olduğunu varsayalım. Söz konusu kullanıcının makinesine keylogging yazılımı yüklü ise, bu veriler kullanıcının bilgisi olmadan üçüncü bir tarafa iletilebilir. Kullanıcı erişim haklarına ihtiyaç duyduğundan tek başına en az ayrıcalık ilkesi bu saldırı yolunu engellemeyecektir, ancak kapsamlı bir kapsamlı savunma güvenlik stratejisi hemen hemen tüm veri ihlallerini önleyecektir.

En Az Ayrıcalık İlkesi İçin Hesapların Yönetimi

En küçük ayrıcalık ilkesini uygulamak için farklı amaçlar için farklı hesap türleri ayarlamanız, hesap parolaları için politikalar uygulamanız ve hesapları gerektiğinde silmeniz gerekir.

En az ayrıcalık ilkesi için hesap türleri:

  1. Kullanıcı hesapları: Kullanıcılarınızın standart faaliyet ve işlerini yerine getirebilmeleri için gerekli olan sıradan hesaplardır.
  2. Ayrıcalıklı hesaplar: Yükseltilmiş ayrıcalıklara sahip hesaplardır. İki ana türü vardır. Birincisi, muhasebe yöneticileri gibi belirli kullanıcıların kritik verilere ve hizmetlere erişmesini sağlayan hesaplardır. Diğeri, ağda özel yönetici hakları veren yönetici hesaplarıdır. Klasik örnekler Linux’ta root hesabı ve Windows işletim sistemlerindeki Administrator ve diğer yönetici kullanıcı hesaplarını içerir. Microsoft ortamında, en önemli yönetici hesabı Etki Alanı Yöneticisi yani Domain Administrator hesabıdır. Yerel bir yönetici hesabı tek bir makinenin tam denetimini sağlarken, bir Domain Administrator hesabının ağınız üzerinde tam denetimi vardır. Buda saldırganların genellikle Domain Administrator ayrıcalıkları kazanmak istediği anlamına gelir. Yetkileri nedeniyle ayrıcalıklı hesaplar sadece kesinlikle gerekli olduğunda kullanılmalı ve faaliyetleri dikkatle izlenmelidir. Özellikle Domain Administrator hesapları çok yakından kontrol edilmelidir. Genel olarak, yöneticilerin hem kullanıcı hesabı hem de ayrıcalıklı bir hesabı olmalıdır ve yönetici ayrıcalıklarını gerektiren belirli bir görevi yerine getirmeleri gerekmedikçe en az ayrıcalıklı kullanıcı hesaplarını kullanmalıdırlar.
  3. Paylaşılan hesaplar (Shared, generic accounts): Paylaşılan hesabın kullanılması genellikle önerilmez. Tercih edilen yöntem, her bireyin kendi hesabını kullanmasıdır. Ancak, bazı sınırlı durumlarda, bir grup kullanıcı arasında paylaşılan hesaplar oluşturmak kabul edilebilir. Örneğin, bir kuruluşun ağına erişmesi gereken, kısa bir süre için ziyaret eden müşteriler, yükleniciler veya iş ortakları gibi yabancılar bulunabilir. Minimum ayrıcalıklara sahip konuk hesapları oluşturmak, bu kullanıcıların temel görevleri tamamlamalarını sağlamanın uygun bir yolu olabilir.
  4. Servis hesapları: Ağ kaynaklarına ayrıcalıklı erişim gerektirebilecek tek kişi insanlar değildir. Bilgisayarınız açıldığında başlayan veritabanı hizmetleri gibi, insan müdahalesi olmadan ağınıza erişmeniz gereken yazılımlarınız olabilir. Bu servisler çoğu zaman kendi hesaplarını gerektirir. Yaygın ancak tehlikeli bir uygulama, bu servisleri bir Domain Admin hesabına atamaktır. Saldırganlar Domain Admin olarak çalışan bir uygulamanın güvenliğini aşarsa, derhal sisteme yönetici erişimi elde ederler. En iyi uygulama güvenliği uygulamaları, kuruluşların her uygulamanın doğru çalışması için hangi erişimin gerekli olduğunu belirlemesini ve uygulamaların gerekli görevlerini yerine getirmesi için yeterli ayrıcalıklarla hizmet hesapları oluşturmasını gerektirir; uygulamaların ağınıza erişiminin sınırlandırılması, kötüye kullanımdan korunmak için uzun bir yol kat edecektir. Active Directory, çok güçlü bir parola içeren ve parolası sürekli otomatik olarak değiştirilen, servis hesapları oluşturabilir.

Parola politikaları

Hesap türünden bağımsız olarak, en iyi kimlik bilgileri uygulamaları parolalar üzerinde belirli denetimlerin uygulanmasını önerir:

  1. Parola uzunluğu: Şifre ne kadar uzun olursa o kadar iyidir.
  2. Parola karmaşıklığı: Parolanın bir parçası olarak büyük ve küçük harfler, sayılar ve simgelerden oluşan bir karışımın zorunlu kılınması, bazı saldırıların önlenmesinde parola uzunluğu kadar önemli olabilir.
  3. Parola Geçerlilik Süresi: Parolaların geçerlilik süresi dolmalı ve belirli sayıda günden sonra değiştirilmesi gerekmektedir.
  4. Parola geçmişi: Sistem tekrar kullanılmasını önlemek için her kullanıcı için belirli sayıda önceki şifreyi hatırlamalıdır.

Hesapları silme

Birisi herhangi bir nedenle şirketten ayrıldığında, söz konusu kullanıcının hesapları derhal devre dışı bırakılmalı ve bir süre sonra silinmelidir. Hesabı hemen silerseniz, önemli verilere erişemeyebilirsiniz ve hatta hesapla ilişkili bazı kayıtları kaybedebilirsiniz.

Ayrıcalık Yönetimi

Privileged Access Management
Privileged Access Management

Grupları Kullanma

Yüzlerce veya binlerce çalışan için ayrıcalıkları tek tek yönetmeye ve en az ayrıcalık ilkesine (least privilege principle) bağlı kalmaya çalışmak zor bir iştir. Daha iyi bir erişim kontrol stratejisi, kullanıcıları iş rollerine göre gruplara yerleştirmek ve daha sonra bu gruplar için ayrıcalıkları yönetmek olabilir. Örneğin, şirketinizin yeni bir İK uygulamasına yatırım yaptığını varsayalım. Her İK personeline uygulamaya ayrı ayrı erişim vermek zorunda kalmak yerine (zaman alıcı ve hataya açık bir görev), İK grubuna uygun izinleri vermeniz yeterlidir. Benzer şekilde, bir kullanıcı bir bölümden diğerine geçerse, düzinelerce veya yüzlerce belirli erişim hakkını el ile kaldırmak ve benzer sayıda hakkı yeni bölüm için eklemek yerine, kullanıcıyı belirli gruplardan kaldırabilir ve başkalarına ekleyebilirsiniz.

Kullanıcı Çalışma Saatleri Atama

Nispeten tutarlı bir vardiya programı ile çalışanlar için, en az ayrıcalıklı olan başka bir katman, hesapların kullanımını bireyin normal çalışma saatleriyle sınırlamaktır. Örneğin, çalışan genellikle sabah 08:00’den akşam 17:00’ye kadar çalışıyorsa, hesabı gece 01:00’de kullanılabilir olmamalıdır. Çalışma saatlerinde doğal olarak birtakım esneklikler olabilir. Bu nedenle bu varsayımsal olarak hesabı sabah 07:00’den 19:00’a kadar açık tutabilirsiniz.

Konum Tabanlı Kısıtlamaları Kullanma

Çoğu durumda, bir hesabın hangi konumlardan kullanılabileceğini de sınırlayabilirsiniz. Örneğin, bir hesap Utrecht ofisinde çalışan birinin olabilir, ancak bu çalışan asla Ankara ofisiyle ilgili bir iş yapmıyordur. Bu durumda Utrecht lokasyonu ile sınırlanabilir.

Makine Tabanlı Kısıtlamaları Kullanma

Makine tabanlı kısıtlamalar özel bir konum tabanlı kontrol türüdür. Örneğin, 4. kattaki Muhasebe departmanında çalışan bir kullanıcının 10. kat yazılım geliştirme alanındaki makineleri kullanmasını önleyebilirsiniz. Ancak tüm hesaplar bu şekilde sınırlanamaz. Örneğin, bazı teknik destek personelinin ağdaki hemen hemen her bilgisayardan çalışabilmesi gerekebilir.

Güvenli Yapılandırma

Her sistem, yalnızca yapmayı amaçladığı şeyi yapacak ve daha fazlasını yapamayacak şekilde yapılandırılmalıdır. Tüm varsayılan şifreleri değiştirmek ve kullanmadığınız varsayılan hesapları ve servisleri devre dışı bırakmak gerekir. Sonuçta herhangi bir sistem için varsayılan kullanıcı adını ve şifreyi bulmak için basit bir Google araması yeterlidir. Bunları değiştirmek kolay bir iş olmasına rağmen, gerçek dünyada yapılan denetimlerde sistemlerin varsayılan kullanıcı adları ve parolalarla bırakıldığı şaşırtıcıdır. Omurga, router, firewall veya hassas veriler içeren storage sistemlerinin ciddi parolalar ve çok faktörlü kimlik doğrulaması uygulanmış mekanizmalarla korunması idealdir.

Hesapların Denetimi

Doğru hesapları oluşturmak, onlara uygun ayrıcalıkları atamak ve uygulanabilir kısıtlamaları uygulamak iyi bir ilk adımdır. Ancak, bu hesapları periyodik olarak denetlemeniz de gerekir.

Kullanım denetimleri, ayrıcalık denetimleri ve değişiklik denetimleri olmak üzere hesaplarla ilgili 3 çeşit denetim vardır:

  1. Kullanım denetimleri: Hangi hesaplara eriştikleri, oluşturdukları ve sildikleri de dâhil olmak üzere her hesabın ne yaptığını izlemek önemlidir. Bu verilerin düzenli olarak gözden geçirilmesi, hesabın şirket güvenlik politikalarına uygun olarak kullanılıp kullanılmadığını ve yalnızca yasal amaçlarla kullanılıp kullanılmadığını değerlendirmeye yardımcı olur.
  2. Ayrıcalık denetimleri: Zaman içinde kullanıcılar artık ihtiyaç duymadıkları ayrıcalıklara sahip olabilirler. Bu durum kullanıcının iş rolü değiştiğinde ve eski ayrıcalıklara yeni ayrıcalıklar eklendiğinde ortaya çıkabilir. Başka bir zaman diliminde kullanıcılara iş rollerinin gerektirdiğinden daha fazla ayrıcalık tanınmış olabilir. Düzenli ayrıcalık denetimleri, gerekenden daha fazla ayrıcalığa sahip hesapları belirlemenize yardımcı olur. Ayrıcalık denetimleri, hesapların sahip oldukları ayrıcalıklara hala ihtiyaç duyup duymadığını belirlemek için veri sahipleri ve kullanıcıların çalışma süreci ile yakından ilgilidir.
  3. Değişiklik denetimleri: Bir hesabın şifresinde, izinlerinde veya ayarlarında yapılan herhangi bir yanlış değişiklik, veri ihlaline neden olabilir. Bu nedenle, tüm değişikliklerin tam kontrolünüz altında olduğundan ve tüm kritik değişiklikler konusunda uyarıldığınızdan emin olmanız gerekir.

En Az Ayrıcalık İlkesi (Principle of Least Privilege)

Güvenlik için en az ayrıcalık ilkelerinin uygulanması, en büyük kuruluşlarda bile zordur. Güvenlik sınırlarının sürekli test edilmesini ve ayrıcalıklı erişimin izlenmesini gerektirir. Dış saldırılara ve içeriden gelen tehditlere karşı savunmanıza, yasal gereksinimlere uymanıza, değişiklik ve yapılandırma yönetimini basitleştirmenize yardımcı olacaktır.


En az ayrıcalık ilkesi (principle of least privilege) makalesi için görüşleriniz?

Lütfen aşağıdaki formu kullanarak bize sorularınızı iletmek için imtina etmeyiniz.  Konuyla ilgili “En İyi 13 İpucu İle Aktif Dizin Yönetimine Giriş” ve “Active Directory Yönetimi İçin En İyi 10 İpucu” isimli makalelerimiz de ilginizi çekebilir.

Daha Fazla Göster

Ahmet Elibol

Üniversite eğitimini Kimya ve İşletme bölümlerinde tamamlayan Ahmet Elibol, yüksek lisans eğitimini de İşletme (Master of Business Administration - MBA) üzerinde tamamlamıştır. 1999 yılından bu yana bilişim sektöründe bulunmaktadır ve şu anda Rönesans Holding şirketinde CIO (Chief Information Officer) pozisyonunda görev yapmaktadır.  Ahmet Elibol, profesyonel kariyerine aldığı pascal ve delphi ile yazılım mühendisliği eğitimiyle başlamıştır. 2004 yılından sonra ilgi ve uzmanlık alanlarını Microsoft Sunucu Sistemleri, Sistem Programlama ve Bilgi Güvenliği konularında güncellemiştir. Yazar 4 yıl kadar bir akademide Sistem Mühendisliği eğitimleri vermiştir. Yazar hobi amaçlı programlama, yapay zeka, makine öğrenmesi, yapay sinir ağları, görüntü işleme ve nesnelerin interneti konularında çalışmaktadır. İngilizce, Rusça dillerini bilen Ahmet Elibol MCT, MCITP, MCTS, MCSE, MCSA vb. uzmanlık sertifikalarına sahiptir ve Bilgisayar Mühendisliği yüksek lisansına devam etmektedir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu