Yönetici hesaplarının arkasında saklanan görünmez riski kontrol altına almak için kapsamlı bir teknik rehber
Modern kurumsal ağlarda saldırganların aradığı tek bir şey var: ayrıcalıklı bir hesap. Bir saldırı sürecinin hedefi nadiren standart bir kullanıcı hesabıdır; gerçek kazanç, etki alanı yöneticisi, yerel admin, veritabanı yöneticisi veya hizmet hesabı kimlik bilgilerine ulaşmaktır. Verizon DBIR ve benzeri güvenlik raporları yıllardır aynı tabloyu çiziyor: ihlallerin büyük çoğunluğu çalınmış veya kötüye kullanılmış kimlik bilgileri üzerinden gerçekleşiyor. BT yöneticileri için bu, sadece bir güvenlik problemi değil; aynı zamanda bir görünürlük ve denetim problemidir.
Ayrıcalıklı Erişim Yönetimi (PAM), bu görünmez katmanı yönetilebilir hâle getirmek için tasarlanmış bir disiplin. Bu yazıda PAM'in ne olduğunu, klasik kimlik yönetiminden (IAM) nerede ayrıştığını, ManageEngine PAM360'ın bu süreci hangi modüllerle çözdüğünü ve KVKK ile ISO 27001 uyumu açısından neden artık ertelenemez bir yatırım hâline geldiğini ele alıyoruz.
PAM Nedir, Neden Standart Kimlik Yönetiminden Farklıdır?
Privileged Access Management; sistem yöneticileri, veritabanı yöneticileri, ağ ekipleri, üçüncü taraf danışmanlar ve uygulama hizmet hesapları gibi yüksek yetki düzeyine sahip kimliklerin tüm yaşam döngüsünü kontrol altına alan teknolojiler bütünüdür. Burada hedef yalnızca "kim erişiyor" sorusuna yanıt vermek değil; aynı zamanda erişimin ne zaman, hangi koşulda, ne kadar süreyle ve hangi davranışlarla gerçekleştiğini kayıt altına almaktır.
Klasik IAM çözümleri (Active Directory, Azure AD vb.) tüm kullanıcı popülasyonunu doğrulama ve yetkilendirme üzerine kuruludur. PAM ise IAM'in üzerine binen, çok daha sıkı kontrollü bir katmandır: ayrıcalıklı parolaları şifrelenmiş bir kasada tutar, oturumları kayıt altına alır, geçici (just-in-time) erişim verir ve kullanım sonrası kimlik bilgilerini otomatik olarak rotasyona sokar. IAM'in "kapıyı kim açıyor" sorusunu yanıtladığı yerde, PAM "kapı arkasında ne yapıldığını" görünür kılar.
Ayrıcalıklı Hesapların Yarattığı Risk Yüzeyi
Bir kurumda ayrıcalıklı hesap denildiğinde akla genelde sadece yönetici hesapları gelir. Oysa gerçek tablo çok daha geniştir: etki alanı yöneticisi hesapları, yerel admin hesapları, hizmet hesapları, uygulama hesapları, veritabanı SA hesapları, ağ cihazı enable parolaları, SSH anahtarları, API anahtarları ve bulut servis hesapları. Bu hesapların önemli bir kısmı paylaşılır, parolaları nadiren değişir ve genellikle bir Excel dosyasında ya da paylaşılan bir not yazılımında saklanır.
Bu yapı üç temel risk doğurur. Birincisi, kimin hangi hesabı ne zaman kullandığı izlenemez; bir olay yaşandığında izleme zinciri kopuktur. İkincisi, parola döngüsü manuel olduğu için değişim aralıkları uzar, eski çalışanların erişimi sürebilir. Üçüncüsü, üçüncü taraf erişimleri (dışarıdan destek alan ekipler, bakım anlaşmalı tedarikçiler) genellikle aynı paylaşılan kimlik bilgileri üzerinden çalışır ve bu hesaplar denetim radarına takılmaz.
ManageEngine PAM360'ın Çözüm Mimarisi
ManageEngine PAM360, ayrıcalıklı erişim sürecini dört temel modül üzerinden yönetir: kimlik bilgisi kasası, oturum yönetimi, ayrıcalık yükseltme (just-in-time) ve denetim/raporlama.
**Kimlik bilgisi kasası**, ağ taraması ile ayrıcalıklı hesapları otomatik keşfeder ve AES-256 şifrelemeli merkezi bir kasaya alır. Roller temelinde erişim politikaları tanımlanır; kullanıcı parolayı asla görmez, oturum PAM360 üzerinden başlatılır. Parola rotasyonu otomatik politikalarla yapılır; kullanım sonrası sıfırlama, periyodik rotasyon ve karmaşıklık politikaları kasa düzeyinde merkezi olarak yönetilir.
**Oturum yönetimi**, bir kullanıcının ayrıcalıklı bir uç noktaya bağlandığı andan itibaren devreye girer. Tek tıkla başlayan RDP, SSH veya SQL bağlantıları PAM360 ağ geçidi üzerinden tünellenir; oturum video olarak kaydedilir, anahtar tuş hareketleri loglanır. Şüpheli durumlarda oturum gerçek zamanlı olarak gölgelenebilir veya sonlandırılabilir. Bu özellik, KVKK ve ISO 27001 denetimlerinde aranan "ayrıcalıklı kullanıcı izlenebilirliği" kriterini doğrudan karşılar.
**Just-in-time ayrıcalık yükseltme**, kalıcı yönetici haklarını ortadan kaldırır. Kullanıcı varsayılan olarak standart yetkide çalışır; yönetici işlemi gerektiğinde belirli süreliğine yükseltme talep eder, onay sonrası yetki verilir ve süre bitince otomatik geri alınır. Bu yaklaşım, sıfır güven (zero trust) ve en az ayrıcalık (least privilege) prensiplerinin uygulamadaki karşılığıdır.
**Denetim ve raporlama**, tüm ayrıcalıklı aktiviteyi bağlam zengin loglara dönüştürür. ISO 27001 A.9 (Erişim Kontrolü), KVKK 12. madde teknik tedbirleri ve PCI DSS 7-8 gereksinimleri için hazır rapor şablonları sunulur. Loglar SIEM platformlarına (örneğin ManageEngine Log360) iletilebilir; böylece ayrıcalıklı aktivite verisi, kurumsal güvenlik olay yönetimi ile korelasyona girer.
ADAudit Plus ve ADManager Plus ile Entegre Bir Yaklaşım
PAM360'ın gücü, ManageEngine'in kimlik portföyüyle birleştiğinde ortaya çıkar. ADManager Plus, kullanıcı yaşam döngüsünü (işe alım, rol değişiklikleri, ayrılış) otomatize ederken; ADAudit Plus, Active Directory üzerindeki anormal davranışları (örneğin saat dışı oturum açma denemeleri, hassas grup üyelik değişiklikleri) izler.
PAM360 bu iki katmanın üzerine ayrıcalıklı oturum verisini ekler. Örneğin bir kullanıcı ADManager Plus üzerinden "Domain Admins" grubuna eklendiğinde, ADAudit Plus bu değişikliği logladığı anda PAM360 da o hesabın bundan sonraki tüm oturumlarını otomatik kayıt altına almaya başlayabilir. Bu üçlü, BT yöneticisinin elinde "kim ayrıcalıklı hâle geldi, AD'de ne yaptı, hedef sistemde nasıl davrandı" sorularına aynı konsoldan cevap üreten bütünleşik bir denetim hattı oluşturur.
Uygulama Senaryosu: Bir Bakım Penceresinde PAM360
Pratikte bunun nasıl göründüğünü düşünelim. Cumartesi 02:00'de bir veritabanı bakım penceresi var. Dış destek veren tedarikçi, üretim SQL sunucusuna erişmek istiyor. Eski yöntemde tedarikçiye paylaşılan bir SA parolası verilir, iş bitince kimse parolayı değiştirmez ve oturumda ne yapıldığı bilinmez.
PAM360 ile aynı senaryo şöyle ilerler: Tedarikçi PAM360'a kendi adına tanımlı hesabıyla giriş yapar. SQL sunucusuna erişim talebi otomatik onay akışına düşer; iç BT ekibi onay verince zamanla sınırlı (örneğin 02:00–04:00 arası) bir oturum açılır. Tedarikçi parolayı asla görmez. Tüm oturum video olarak kaydedilir; çalıştırılan SQL komutları metin olarak indekslenir. Pencere bittiğinde erişim otomatik kapanır, parola döner. Pazartesi sabahı BT yöneticisi raporu açar, ne yapıldığını tek bakışta görür ve denetim için arşivler.
Sonuç: PAM Artık Opsiyonel Değil
Ayrıcalıklı hesapların yönetimi, on yıl önce sadece büyük finans kuruluşlarının gündemindeyken bugün KOBİ ölçeğine kadar inmiş bir gerekliliktir. KVKK uyumu, ISO 27001 sertifikasyonu, siber sigorta poliçeleri ve modern siber sigorta öncesi due diligence süreçlerinin hemen hepsi, PAM benzeri kontrolleri açıkça talep ediyor. Saldırı tarafında ise kimlik bilgisi kötüye kullanımı, fidye yazılımı operasyonlarının ana giriş kapısı olmaya devam ediyor.
Bir BT yöneticisi olarak sorulması gereken soru "PAM uygulamalı mıyız" değil; "ayrıcalıklı erişim sürecimizi hangi araçla, hangi öncelik sırasıyla ve hangi politikalarla disipline edeceğiz" sorusudur. ManageEngine PAM360, kasadan oturum kaydına, just-in-time yetkilendirmeden uyumluluk raporlamasına kadar bu disiplinin tüm bileşenlerini tek platformda topluyor.
Technodus'un Rolü
Technodus olarak, ManageEngine PAM360 başta olmak üzere ManageEngine kimlik ve erişim portföyünün Türkiye'deki kurumlara konumlandırılmasında uçtan uca destek veriyoruz. Kurumun ayrıcalıklı hesap envanterinin çıkarılması, politika tasarımı, mevcut Active Directory ve SIEM yapılarına entegrasyon ve denetim hazırlığı süreçlerinde ekibimiz devrede oluyor. PAM yolculuğunuzun nereden başlaması gerektiğini birlikte değerlendirmek isterseniz, bir demo görüşmesi düzenleyelim.