Erişim Denetimi nedir?
Erişim denetimi, hangi kullanıcıların, sistemlerin veya süreçlerin belirli kaynaklara erişmeye ve bu kaynaklar üzerinde hangi eylemleri gerçekleştirmeye yetkili olduğunu düzenleyen güvenlik mekanizmaları ve politikaları bütünüdür.
Diğer adlarıyla: authorization, access management
Erişim denetimi iki düzeyde işler: kimlik doğrulama (kimliği doğrulama: "Kim olduğun?") ve yetkilendirme (izinleri doğrulama: "Ne yapabilirsin?"). Kimlik doğrulama, parolalar, token'lar veya sertifikalar gibi kimlik bilgileri aracılığıyla kimlik oluşturur. Yetkilendirme ise bu kimliğin politikalara, rollere veya özelliklere dayalı olarak neye erişebileceğini belirler.
Erişim denetimi modelleri karmaşıklık ve esneklik açısından farklılık gösterir. İsteğe bağlı erişim denetimi (DAC), Unix dosya izinleri gibi kaynak sahiplerinin izin belirlemesine olanak tanır. Zorunlu erişim denetimi (MAC), sahip tercihlerini geçersiz kılan sistem genelinde politikaları zorlar; askeri ve yüksek güvenlikli ortamlarda kullanılır. Rol tabanlı erişim denetimi (RBAC), izinleri rollere atar; kullanıcılar rol üyeliği aracılığıyla izinleri devralır. Özellik tabanlı erişim denetimi (ABAC), dinamik yetkilendirme kararları almak için birden fazla özelliği (kullanıcının departmanı, günün saati, kaynağın hassasiyeti) değerlendirir.
Etkili erişim denetimi en az ayrıcalık ilkesini izler: gereken minimum süre için gereken minimum erişimi ver. Bu, yalnızca insan kullanıcılara değil, servis hesaplarına, API anahtarlarına ve makineden makineye iletişime de uygulanır. Aşırı müsamahakâr erişim denetimleri, saldırganların ilk bir ele geçirmenin ardından sistemler arasında yanal hareket etmek için fazla izinleri istismar etmesiyle veri ihlallerinin başlıca nedenlerinden biridir.
Vaulted Erişim Denetimi nasıl kullanır
Vaulted, erişim denetimini kimlik tabanlı kimlik doğrulama yerine kriptografik ve mekanik yollarla uygular. Bir gizli diziye erişmek için URL parçasındaki şifreleme anahtarını içeren benzersiz bağlantıya sahip olmak gerekir. Ek erişim denetimi, görüntüleme sınırları (gizli dizi belirli sayıda erişimden sonra silinir), zaman tabanlı süre dolumu (Redis'te TTL otomatik silme) ve bilgi faktörü ekleyen isteğe bağlı parola koruması aracılığıyla uygulanır. Bu model, kullanıcı hesabı veya kimlik sistemi gerektirmeden güçlü erişim denetimi sağlar.