The Principle of Least Privilege (PoLP) Nedir?

Siber saldırganlar, saldırı yöntemlerini yeniledikçe güvenlik ekipleri sistemlerdeki açıkları katı kurallar uygulayarak kapatma ihtiyacı duyuyorlar. Siber saldırganlar, saldırı yöntemlerini yeniledikçe güvenlik ekipleri sistemlerdeki açıkları katı kurallar uygulayarak kapatma ihtiyacı duyuyorlar.Bu teknolojiler arasında erişim ve veri güvenliği sağlayan birbirinden farklı çözümler yer alırken, güvenlik politikalarının kontrollü biçimde yönetilmesini sağlayan gelişmeler yer alıyor. Kısaca PoLP olarak adlandırılan The Principle of Least Privilege da özellikle veriye erişim konusunda üst düzey koruma sağlamayı başarıyor. Least Privilege prensibinin anlamından uygulanmasına tüm detaylar için içeriğin devamına göz atmanız yeterli.

Least Privilege (PoLP) Nedir?

“En Az Ayrıcalık İlkesi” şeklinde dilimize uyarlanabilecek The Principle of Least Privilege (PoLP), temelde veriye ulaşımı doğru şekilde kısıtlayıp, hem çok daha verimli bir kullanıcı deneyimi hem de kusursuz bir güvenlik süreci oluşturmayı hedefliyor. Yalnızca sisteme ulaşmak isteyen servis sağlayıcı ya da çalışan gibi gerçek kullanıcıları değil, aynı zamanda veritabanı hizmetleri gibi sanal kullanıcıları da kapsayan Least Privilege, böylece veri erişimi konusunda maksimum ve çok yönlü bir yaklaşım sergiliyor.

En Az Ayrıcalık İlkesi’nde temel amaç veriyi korumak olduğundan öncelikle verilere kimlerin ne düzeyde ulaşabileceğinin belirlenmesi gerekiyor. Genellikle standart kullanıcı, ayrıcalıklı kullanıcı ve paylaşılan hesaplar gibi farklı profillerin oluşturulabildiği bu güvenlik yönteminde, ilgili profillerin tümüne farklı yetki düzeyleri tanımlanabiliyor. Bu da sisteme ister içeriden bir personel ister dışarıdan kötü amaçlı bir kişi ulaşmak istesin; tümünde özel izinler gerekeceği için virüs, rootkit ya da diğer kötü amaçlı yazılımların sisteme sızdırılmasını büyük ölçüde önlüyor.

Least Privilege Faydaları Nelerdir?

Least Privilege, sistem güvenliğine odaklanan bir prensip olduğundan en çok bu alanda fayda sağlıyor. Bunun yanı sıra verimli ve sistemli çalışma gibi farklı konularda da iyileşmelere yol açan En Az Ayrıcalık İlkesi, pek çok faydayı beraberinde getiriyor. İşte, PoLP yaklaşımının başlıca faydaları:

• Farklı kullanıcı gruplarına farklı yetkiler tanımlamanızı sağlar ve bu sayede sistem verilerini korumanıza olanak tanır.
• Önceden tanımladığınız profillerle sisteme ulaşması gereken herkes için ayrı ayrı yetkiler vermenize gerek kalmadan dilediğiniz kişiye dilediğiniz profili tanımlayabilir, haliyle ekstra efor ve zaman kaybetmemiş olursunuz.
• En Az Ayrıcalık İlkesi, ilgili kişilerin yalnızca daha güvenli bir şekilde değil, aynı zamanda daha hızlı bir şekilde sisteme ulaşmalarını sağlar.
• Sistem içindeki gerçek kullanıcılarla beraber sanal kullanıcıları da kapsadığı ve hepsinde veriye ulaşımı gerektiği gibi kısıtladığı için kötü sürprizleri ortadan kaldırır.
• Sağladığı çok yönlü güvenlik sayesinde kullanıcı verilerini etkili bir şekilde korumayı başardığı için olası firma imajı ya da maddi kayıplar gibi yüksek risk taşıyan olumsuz senaryoların önüne geçer.

Görüldüğü gibi Least Privilege, yalnızca bir sistem güvenliği adımı olsa da görünenin ötesinde önem taşıyan faydaları sayesinde pek çok olumlu detayı bir araya getirmeyi başarıyor. Diğer yandan eksiksiz bir sistem koruması için En Az Ayrıcalık İlkesi’nin çok katmanlı bir güvenlik sistemiyle birlikte kullanılması önemli.

Least Privilege Nasıl Uygulanır?

En Az Ayrıcalık İlkesi’nde öncelikle sisteme ulaşması gereken kişilerin yetki düzeylerine bağlı olarak gruplandırılmaları gerekiyor. Temelde dört ayrı profilden oluşan bu kişilerin sayıları, sistemin ihtiyaçlarına göre arttırılıp azaltılabiliyor. Dört ayrı profil ise şu şekilde;

Kullanıcı Hesabı: Standart kullanıcıların olağan işlemleri gerçekleştirebilmek için kullanması gereken sıradan hesaplar, “kullanıcı hesabı” olarak tanımlanır.

Ayrıcalıklı Hesap: Yükseltilmiş ayrıcalıklara sahip olan hesap türüdür. Bu hesap türü farklı alt türlerine ayrılabilir. Örneğin; muhasebe ekipleri gibi sistemde yer alan çeşitli özel verilere ulaşması gerekenler, veya ağ yöneticileri gibi sistem içerisinde değişiklik yapması gereken administrator hesaplardır.

Paylaşılan Hesap: Shared accounts olarak da anılan, tavsiye edilmeyen bir hesap türüdür ancak bazı özel durumlarda belirli gruplara bu hesap türünün tanımlanması gerekebiliyor. Bu durumlarda hesap takibinin ve kontrolünün sıkı bir şekilde yapılması kurum altyapınız açısından hayati önem taşıyor.

Servis Hesabı: Sisteme ulaşması gereken gerçek kullanıcılar dışında veritabanı hizmetleri gibi sanal kullanıcılar, servisler veya uygulamalar için tanımlanan hesaplardır.

Kullanıcı tanımlamaları ve atamaları yapıldıktan sonra da Least Privilege prensibinde dikkat edilmesi gereken farklı detaylar bulunuyor. Bunlar;

• Doğru uzunlukta, karmaşıklıkta ve geçerlilik süresinde parola oluşturmak
• Sistemden çıkan kullanıcıların hesaplarını vakit kaybetmeden silmek
• Kullanıcılara sadece çalıştıkları saatler boyunca yetki atamak
• Konum tabanlı kısıtlamaları kullanarak yetki alanını daraltmak
• Konum tabanlı kısıtlamalara benzer şekilde kullanıcılara yalnızca kullandıkları makinelerde yetki vermek

Least Privilege prensibinin sunduğu veri koruma avantajının yanı sıra genel olarak şirket sisteminizi yetkili oturum yöneticisi, merkezi parola yönetimi, iki faktörlü kimlik doğrulama (2FA), dinamik veri maskeleme ve ayrıcalıklı görev otomasyonu gibi çözümlerle eksiksiz bir şekilde korumak için Kron’un gelişmiş Ayrıcalıklı Erişim Yönetimi (PAM) platformu Single Connect’i tercih edebilir, veri ve erişim güvenliğinizi çok katmanlı bir şekilde koruma altına alabilirsiniz.