EN

Erişim Kontrolü ve Yetkilendirme

30 Temmuz 2019

Erişim Kontrolü (Access Control) ve Yetkilendirme (Authorization)

Kurum ve kuruluşlarda siber güvenlik ve KVKK için erişim kontrolü/yetkilendirme önemli bir yapı taşıdır. Her kullanıcı her kaynağa erişememelidir. Kullanıcıların erişebileceği kaynakları belirlemek için yetkilendirilme yapılmalıdır. Kullanıcının kaynağa erişim talebinin erişim kontrol protokolü ile kontrol edilmesi, yetki sahibi kullanıcının erişim talebine izin verilmesi aksi durumda talebin reddedilmesi sürecidir.

Erişim Kontrolü / Yetkilendirme Nedir?

Yetkilendirme kullanıcının hangi verilere erişebileceği ve hangi işlemleri gerçekleştirebileceğini belirleyen süreçtir. Kaynak güvenliği erişim kontrolü ile sağlanır. Erişim hakları bir sistem tarafından desteklenen çeşitli erişim işlemleri temsil eder: Okumak, yazmak, eklemek, çalıştırmak, silmek, arama, sahip değiştirme, izinleri değiştirme vb. Yetkilendirme kararları erişime izin verme, erişimi sınırlama, erişimi önleme ve erişimi iptal etme seçeneklerini içerir.

Erişim Kontrol Sistemleri

- Fiziksel Erişim Denetimi
- Erişim Kartları
- Elektronik Gözetleme
- Biyometrik (Parmak İzi Okuyucuları, Ses Tanıma, El Geometrileri, İris Tanıma)

Erişim Kontrol Yapısı

Erişim Kontrol Yapısı erişim politikaların uygulanması için bir mekanizmadır. Erişim kontrol matrisi, yetenekler, erişim kontrol listeleri ve ara kontrolleri (Gruplar, negatif izinler, roller koruma halkaları vb. ) içerir.

Erişim Kontrol Yapısı için gereklilikler aşağıdaki gibidir:

- Kontrol politikalarını ifade etme yeteneği.
- Doğruluğun doğrulana bilirliği.
- Ölçeklenebilirlik ve yönetilebilirlik.

 

Erişim Kontrol Politikası

Erişim kontrolü işlevselliğinin tutarlı bir şekilde tasarlanması ve uygulanması için erişim kontrol politikalarına ihtiyaç duyulmaktadır. Web uygulamalarında mimarlar, tasarımcılar, geliştiriciler ve destek ekibine erişim kontrol ve yetkilendirme için güvenlik gereksinimlerini tanımlamak ve koordineli şekilde uygulamaya geçirmek içinde erişim kontrol politikalarından destek alınır.

Rol Tabanlı Erişim Kontrolü (RBAC)

Rol Tabanlı Erişim Kontrolünde erişim hak ve kararları, bireyin işletme içinde ki rol ve sorumluluklarına göre şekil alır. Çalışan rolleri güvenlik amacıyla işletmenin genel yapısı ve amaçları analiz edilerek tanımlanır.  Kullanıcı birey yetkili bireyin eriştiği kayaklara erişememelidir. Çalışan kendi işi için ihtiyaç duyduğu kaynağa, işini gerçekleştirecek yetkide erişir. İşlemlerin ve izin verilen bağlamların güvenlik politikası ve ilgili düzenlemelere (HIPAA, Gramm-Leach-Bliley vb.) bağlı olarak büyük ölçüde değişiklik göstermektedir.

Bir RBAC erişim kontrolü çerçevesi, web uygulaması güvenlik yöneticilerine, kimin hangi eylemleri, ne zaman, nerede, hangi sırada ve hangi durumlarda, hangi ilişkisel koşullar altında gerçekleştirebileceğini belirleme yeteneği sağlamalıdır.

RBAC Metodolojisin Avantajları

- Kurumsal güvenlik politikasına önem verilerek organizasyon yapısına dayanan roller verilir.
- Kullanımı kolay
- Yönetimi kolay
- Çoğu çerçevede yerleşik
- Görev ayrılığı ve en az ayrıcalık gibi güvenlik ilkeleri ile uyum sağlar

İsteğe Bağlı Erişim Kontrolü (DAC)

İsteğe Bağlı Erişim Kontrolünde erişim kararları, kimlik doğrulama sırasında kullanıcının sunduğu kimlik bilgilerine dayanarak kullanıcıya verilen yetkilendirmelere (kullanıcı adı, şifre, donanım / yazılım belirteci vb.) dayanmaktadır. Birçok DAC modelinde, bilgi sahibi veya herhangi bir kaynak sahibi, kendi takdirine bağlı olarak izinlerini değiştirebilir.

DAC Metodolojisinin Avantajları

- Kullanımı kolay
- Yönetimi kolay
- En az ayrıcalık ilkesine uyar.
- Nesne sahibi, verilen erişim üzerinde tam denetime sahip

Zorunlu Erişim Kontrolü (MAC)

Zorunlu Erişim Kontrolü bilgiye hassasiyet etiketleri atayarak ve bunu kullanıcının çalıştığı hassasiyet seviyesiyle karşılaştırarak bilgileri güvence altına alır. Güvenliği çok önemli olduğu uygulamalar için kullanılır. Sistem genelinde politika vasıtasıyla merkezi erişim kontrolü sağlanır. Erişim kontrolü haklarını bir yönetici belirler.

MAC Metodolojisinin Avantajları

- Bir nesneye erişim, nesnenin hassasiyetine dayanır.
- Bilmeye duyulan ihtiyaca göre erişim kesinlikle uygulanır ve kapsamın sürünmesi minimum olasılıktadır
- Yalnızca bir yönetici erişim izni verebilir

İzin Tabanlı Erişim Kontrolü

İzin Tabanlı Erişim Kontrolünde uygulama eylemleri bir dizi izin üzerine şekillendirilir. Örneğin okuma izni yazma izni vb. gibi. Erişim kararı kullanıcının istenilen uygulamayla ilişkilendirilen izne sahipliği kontrol edilerek verilir.

KAYNAKLAR






İlgili İçerikler:

Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog