Öğrenme hedefleri
Bu makaleyi okuduktan sonra şunları yapabileceksiniz:
Zorunlu Erişim Denetimi (MAC)
Rol Tabanlı Erişim Denetimi (RBAC)
Seçici Erişim Kontrolü (DAC):
İlgili içerik
Kimlik bilgisi doldurmayı anlama
Bir şirket neden kimlik çözümünü yönetmemeli
Erişim Kontrolü kavramını anlama
Çok Faktörlü Kimlik Doğrulamanın önemi
OAuth'un önemi
SAML ve OAuth: Farklılıklar ve benzerlikler
Sıfır Güven güvenliği hakkında bilmeniz gereken her şey
Rol Tabanlı Erişim Denetimi (RBAC) nedir?
Erişim Kontrolü kavramını anlama
Erişim Denetimi, bilgilere, fiziksel konumlara ve kullanılan araçlara erişimi kısıtlamak için tasarlanmış bir dizi ilkedir. Fiziksel erişim kontrolü kavramını karşılaştırmada anlamak çok önemlidir.
Fiziksel kontrol, havaalanlarındaki gümrük acenteleri, metrodaki turnikeler, şirket ofislerindeki anahtar kart veya rozet tarayıcıları, sinemada bilet kontrolörü veya gerçek dünyadaki gece kulüplerinde fedai de dahil olmak üzere çeşitli alanları kapsamaktadır.
Bunlar, cihazların veya kişilerin, kimin sınırlı bir fiziksel yere erişime izin verileceğine karar veren bir politikanın parçası olduğu örneklerdir.
Bilgiye erişim kontrolü
Bilgiye erişim kontrolü, verileri manipüle eden yazılıma ve verilere erişimi kısıtlar.
Bazı örnekler:
- Dizüstü bilgisayar giriş şifresi
- Başparmak izi taramasını kullanma
- VPN kullanarak dahili ağa erişin
Yukarıdaki tüm durumlarda, yazılım, dijital bilgilere erişmek isteyen kullanıcıları yetkilendirmek için kimlik bilgilerinin kimliğini doğrulamalıdır. Bilgiye erişim Kontrolünün iki ana ve ayrılmaz bileşeni yetkilendirme ve kimlik doğrulamadır.
Kimlik doğrulama ve yetkilendirme arasındaki fark
Kimlik doğrulama, erişmek isteyen kullanıcının kimliğini doğrulama sürecidir. Buna karşılık, yetkilendirme, kullanıcılara izin verilmesi gereken erişim düzeyini belirleme sürecidir.
Fiziksel anlamda kimlik doğrulamanın bir örneği, bir kişinin rezervasyon yaptırmasını isteyen kişinin aynı kişi olduğundan emin olmak için pasaport gibi bir kimlik belgesi vermesi gerektiğinde bir otele check-in yapmaktır. Bu, gerçekleşen bir kimlik doğrulama sürecinin bir örneğidir.
Konuğun kimliği otelin resepsiyonunda onaylandıktan sonra kendisine sınırlı ayrıcalıklara sahip bir anahtar kartı verilecektir. Bu ayrıcalıklar arasında belirlenen odalar, misafir asansörü ve yüzme havuzu gibi belirli alanlara erişim sayılabilir. Bu nedenle diğer odalara, servis asansörüne veya otelin ofisine erişim yasaktır. Bu, daha fazla otel alanına erişim hakkına sahip otel çalışanlarına kıyasla sınırlı yetkilere bir örnektir.
Yukarıdaki örneği bir benzetme olarak ele alırsak, bilgisayarlar ve ağ sistemleri benzer kimlik doğrulama ve yetkilendirme süreçlerine ve kontrol araçlarına sahiptir.
Bir kullanıcı e-posta gelen kutusuna veya çevrimiçi banka hesabına giriş yaptığında, yalnızca kullanıcı tarafından bilinen bir kombinasyon halinde bir kullanıcı adı veya kullanıcı adı ve şifre kullanır. Yazılım kullanıcı adınızı ve şifrenizi doğrular. Bazı uygulamalar, takip edilmesi gereken daha sıkı kontrol özelliklerine sahiptir. E-postayla giriş yapmak için bir şifre yeterlidir. Bununla birlikte, çevrimiçi bankacılık yaparken veya bir akıllı telefondan giriş yaparken, sistem iki faktörlü kimlik doğrulaması veya başparmak izi veya yüz kimliği taraması gibi biyometrik onay ister.
Ancak kullanıcı doğrulandıktan sonra hesabına erişir. Banka hesabında, hesabınıza yalnızca o erişebilir ve bilgileri görüntüleyebilir. Bununla birlikte, bir banka yöneticisi aynı uygulamaya giriş yapabilir ve yönetimi altındaki birden fazla hesabın genel konumunu veya müşteri yöneticisi olarak kendisine verilen yetkilendirme düzeyini görebilir. Bu, erişim seviyesinin yalnızca ilgili yönetici için tanımlandığı bir yetkilendirmedir.
Farklı veri erişim kontrolü türleri
Zorunlu Erişim Denetimi (MAC)
Bireysel kullanıcılar için sıkı zorunlu erişim denetimi sağlama politikası, sistemler ve veriler yönetici tarafından denetlenir. Bireysel kullanıcılar izinleri ayarlayabilir veya veri erişim ilkesini değiştiremez.
Bu sistemde, kullanıcıya ve sisteme, verilere veya başka herhangi bir kaynağa, belirlenen ilkeye göre birbirleriyle iletişim kurabilmeleri için güvenlik öznitelikleri atanır. Bunu, müşteri verilerine sahip dosyalara erişmek için izin gerektiren üst düzey bir banka yöneticisiyle karşılaştırın, ancak bu durumda sistem yöneticisi hangi dosyalara erişebileceğinizi ve görüntüleyebileceğinizi veya düzenleyebileceğinizi belirler.
Rol Tabanlı Erişim Denetimi (RBAC)
RBAC, belirli bir kullanıcı grubu gibi gruplara, rollerine ve kullanıcıların gerçekleştirdiği eylemler gibi rollerine dayanarak izin vermenize izin verir. İnsanlar genellikle pozisyonlarına ve rollerine uygun çeşitli eylemler gerçekleştirirler. Sonuç olarak, insanlara ihtiyaç duyduklarında genellikle birden fazla rol atanırlar. Mac'ler gibi, kullanıcılar yöneticinin rolleri için onayladığı erişim denetimi düzeylerini değiştiremezler.
Örneğin, kasiyer olarak çalışan bir banka çalışanı, hesap işlemlerini yürütmek ve yeni müşteri hesapları açmak için belirlenmiş bir role sahiptir ve aynı zamanda uygun yetkiye sahiptir. Öte yandan, bir banka şubesinin yöneticisinin müşteri hesaplarını açma, hesap işlemlerini işleme, banka kasiyeri rolünü başka bir çalışana atama yetkisi de dahil olmak üzere çeşitli rolleri vardır.
Seçici Erişim Kontrolü (DAC):
Seçici erişim kontrolü, diğer kullanıcılara erişim sağlayabilecek bir kullanıcıya verilir. Kullanıcı, güvenlik ilkesinde tanımlanan erişim denetimi listesinden sistem yöneticisi tarafından kendisine verilen erişim haklarına ve yetkilerine sahiptir. Buradaki risk, diğer kullanıcılara verilen seçici erişim kontrolünün güvenlik açıklarına sahip olabileceğidir.
Çeşitli yetkilendirme yöntemlerini değerlendirirken, verilere rollere, pozisyonlara veya kendi takdirine bağlı olarak erişim izni verilip verilmediğine bakılmaksızın güvenlik en önemli faktördür. Bankalar gibi gizli işlemleri gerçekleştiren ve finansal sonuçları olan birçok kuruluş, yüksek düzeyde güvenlik gerektirir ve veri gizliliği kritik öneme sahiptir. Bu nedenle, MAC tipi erişim denetimi kullanan kuruluşlar için katı kurallar geçerlidir. Buna karşılık, politika konusunda esnek ve daha az katı olan RBAC'LER ve DAC'LER diğer kuruluşlar için tercih edilecektir.
Erişim kontrolünü uygulama yöntemleri
Sanal özel ağ veya VPN, uzak bir konumda bulunan kullanıcılar için bilgilere erişimi kontrol etmenizi sağlayan bir araçtır. Burada kullanıcılar özel bir ağa bağlıysa ağa erişebilirler. Şirketler, farklı coğrafi konumlarda bulunan iç ağlarına erişim kontrolünü yönetmek için VPN'leri kullanırlar.
Kuruluş genel merkezi A konumundaysa, şirket ofisi B konumundaysa ve çalışanlar şubelerde dünya çapında dağılmışsa, VPN'leri kullanabilirler. Bu, çalışanların bulundukları yerden bağımsız olarak dahili ağa güvenli bir şekilde girmelerini sağlayacaktır. VPN'ler ayrıca, kullanıcıları halka açık bir ağa bağlıysa, yol boyunca saldırılara karşı korur.
Bununla birlikte, vpn'lerin düşük veri aktarım hızlarından kaynaklanan dezavantajları da vardır. Ayrıca, VPN kimlik doğrulama için çok uygundur, ancak belirli bir yetkilendirme kontrolü sağlayamaz. Güvenlik her şeydir ya da hiç değildir. Bu nedenle, kuruluşlar şu anda VPN'leri sıfır güvenlikli güvenlik çözümleriyle değiştiriyorlar.
