IAM Nedir? Kimlik ve Erişim Yönetimi: MFA, SSO, En Az Ayrıcalık ve PAM

Hızlı cevap: IAM (Identity and Access Management / Kimlik ve Erişim Yönetimi), "doğru kişinin doğru kaynağa, doğru zamanda, doğru gerekçeyle erişmesini" sağlayan kural ve teknolojiler bütünüdür. Bugün siber saldırıların büyük kısmı bir sistemi "hacklemekten" değil, çalınmış bir kullanıcı adı-paroladan başlar; bu yüzden modern güvenliğin yeni çevresi (perimeter) artık ağ sınırı değil, kimliktir. IAM'in dört temel taşı: çok faktörlü doğrulama (MFA), tek oturum (SSO), en az ayrıcalık ve kimlik yaşam döngüsü yönetimidir; ayrıcalıklı hesaplar için buna PAM eklenir. DSET olarak kurumunuzun kimlik mimarisini değerlendirip risklerini raporlar ve sertleştiririz: +90 536 662 38 09.

Neden kimlik "yeni çevre"?

Eskiden güvenlik, "içeride güvenli, dışarıda tehlikeli" mantığıyla ağ sınırına (kale ve hendek) dayanırdı. Bulut, mobil ve uzaktan çalışma bu sınırı tamamen sildi: çalışanlar evden, kafeden, telefondan, kişisel cihazlardan bağlanıyor. Geriye değişmeyen tek sabit kaldı: kim olduğunuz. CISA ve NIST'in Zero Trust yaklaşımı tam da bunu söyler: artık konuma (ağın neresinde olduğunuza) değil, doğrulanmış kimliğe ve erişim anındaki bağlama (cihaz durumu, risk skoru) güvenilir.

IAM'in dört temel taşı

1. Çok Faktörlü Doğrulama (MFA)

Parola tek başına yetersizdir: çalınabilir, tahmin edilebilir, başka sitelerdeki sızıntılardan ele geçirilebilir (parola tekrar kullanımı yaygın bir zaaftır). MFA, parolaya ek olarak ikinci bir kanıt ister: telefon uygulamasındaki bir onay, bir tek kullanımlık kod ya da bir donanım anahtarı. CISA, MFA'yı hesap ele geçirmelerini önlemenin en etkili tek adımı olarak vurgular. Güvenlik sırası: SMS kodu < uygulama tabanlı kod/onay < FIDO2 / donanım anahtarı (kimlik avına en dayanıklısı). Kritik hesaplarda mümkünse donanım anahtarı tercih edin.

2. Tek Oturum (SSO)

Bir çalışanın onlarca farklı uygulama için ayrı ayrı parola tutması hem güvensizdir (zayıf, tekrar eden parolalara yol açar) hem de yorucudur. SSO (Single Sign-On), tek bir güçlü ve MFA korumalı kimlikle tüm onaylı uygulamalara erişim sağlar. Parola yorgunluğunu azaltır, kullanıcı deneyimini iyileştirir ve en önemlisi merkezi denetim kazandırır: bir kişi ayrıldığında tek bir yerden tüm erişimi kapatabilirsiniz.

3. En Az Ayrıcalık (Least Privilege)

Her kullanıcı ve servis, yalnızca işini yapacak kadar yetkiye sahip olmalıdır; ne bir fazla. "Belki ileride lazım olur" diye verilen fazla yetki, o hesap ele geçirildiğinde doğrudan saldırganın eline geçen bir silaha dönüşür. Bu, NIST'in temel güvenlik ilkelerinden biridir ve Zero Trust mimarisinin de kalbidir.

4. Kimlik Yaşam Döngüsü (Lifecycle)

Bir kimlik doğar, değişir ve ölmelidir: çalışan işe girdiğinde hesabı doğru yetkiyle açılmalı (onboarding), rolü ya da departmanı değişince yetkisi güncellenmeli ve işten ayrıldığında derhal ve eksiksiz kapatılmalıdır (offboarding). Sahada en sık ihmal edilen ve en tehlikeli risk, aylar önce ayrılmış bir çalışanın hâlâ aktif ve erişebilir duran hesabıdır. Bu "hayalet hesaplar", saldırganların en sevdiği giriş kapısıdır.

PAM: ayrıcalıklı erişimin ayrı dünyası

Admin, sistem yöneticisi, veritabanı yöneticisi ve servis hesapları "krallığın anahtarlarını" taşır: bir tanesi ele geçirilirse tüm sistem düşebilir. PAM (Privileged Access Management), bu yüksek yetkili hesapları ayrı bir kasada (vault) tutar, parolalarını otomatik döndürür, erişimi geçici ve kayıtlı hale getirir (kim, ne zaman, ne için admin oldu, oturumu kaydedildi mi). Bir saldırgan için en değerli hedef bu hesaplardır; bu yüzden sıradan kullanıcılardan ayrı ve daha sıkı korunmaları gerekir.

IAM nereden başlar? Pratik ilk 5 adım

1. Tüm yönetici ve kritik hesaplarda MFA'yı zorunlu kılın. Tek başına bu adım, hesap ele geçirmelerinin büyük çoğunluğunu durdurur ve en düşük maliyetli en yüksek etkili güvenlik yatırımıdır.
2. Ayrılan çalışanların hesaplarını denetleyin; aktif kalmış "hayalet hesapları" derhal kapatın. Bunu tek seferlik değil, düzenli bir süreç haline getirin.
3. Fazla yetkileri kırpın; kimsenin gerekmeyen admin yetkisi olmasın. Günlük işler standart kullanıcı hesabıyla yapılmalı, admin yetkisi sadece gerektiğinde ve geçici kullanılmalı.
4. Kimlik loglarını bir SIEM'e bağlayın; olağandışı oturumları (imkânsız seyahat, gece erişimleri, çok sayıda başarısız deneme) yakalayın.
5. Bulut kimliklerini de kapsama dahil edin; bulut güvenliğinin kalbi IAM'dir ve bulutta yanlış yetkilendirme en büyük risklerden biridir.

Sıkça Sorulan Sorular

MFA gerçekten gerekli mi, kullanıcıyı yormaz mı?

Kesinlikle gereklidir. Modern MFA yöntemleri (uygulama bildirimi tek dokunuş, donanım anahtarı) saniyeler sürer ve hesap ele geçirmelerinin büyük çoğunluğunu engeller. Bu küçük sürtünme, bir ihlalin maliyeti (veri kaybı, itibar, ceza) yanında tamamen önemsizdir. Sürtünmeyi azaltmak için güvenilir cihazlarda oturum süresini akıllıca yönetebilirsiniz.

SSO tek bir başarısızlık noktası (single point of failure) yaratmaz mı?

SSO kimliği merkezileştirir, bu yüzden o tek kimlik çok güçlü, MFA korumalı ve yakından izlenir olmalıdır. Doğru kurulduğunda, onlarca uygulamaya dağılmış zayıf ve tekrar eden parolalardan çok daha güvenlidir; riski azaltır, artırmaz.

Küçük bir şirketin IAM'e ihtiyacı var mı?

Evet, ama pahalı ve ağır bir platform şart değildir. MFA, en az ayrıcalık ve ayrılan çalışan denetimi gibi temel ilkeler her ölçekte ve düşük maliyetle uygulanmalıdır. IAM bir ürün değil, bir disiplindir.

Parolasız (passwordless) geleceğe geçmeli miyim?

FIDO2/passkey gibi parolasız yöntemler hem daha güvenli hem daha kullanışlıdır ve kimlik avına dayanıklıdır. Kademeli geçiş, modern bir IAM yol haritasının doğal parçasıdır.

Kimlik ve erişim mimarinizi değerlendirmek için bize ulaşın: IAM çözümümüz veya +90 536 662 38 09.

Kaynaklar

• NIST SP 800-63: Digital Identity Guidelines
• CISA: More Than a Password (MFA rehberi)
• NIST SP 800-207: Zero Trust Architecture
• CISA: Secure Our World (kimlik temelleri)