ManageEngine PAM360 Nedir? Özellikleri ve Kurumsal Ayrıcalıklı Erişim Yönetimi
arrow_back Blog'a Dön

ManageEngine PAM360 Nedir? Özellikleri ve Kurumsal Ayrıcalıklı Erişim Yönetimi

Bir kurumun en değerli erişim yetkileri, bir avuç ayrıcalıklı hesapta toplanır: sunucuların yerel yönetici parolaları, veritabanı root hesapları, ağ cihazlarının konfigürasyon erişimleri, bulut yönetim panelleri ve otomasyon betiklerine gömülü servis hesapları. Bu hesaplar bir kez ele geçirildiğinde saldırgan yatay hareket edebilir, izini silebilir ve kritik sistemlere kalıcı erişim kurabilir. Tam da bu yüzden ayrıcalıklı hesaplar, hedefli saldırıların birincil odağıdır. ManageEngine PAM360, bu hesapların yaşam döngüsünü tek bir platformdan yönetmek, denetlemek ve güvence altına almak için tasarlanmış kurumsal bir ayrıcalıklı erişim yönetimi (PAM) çözümüdür.

Kısaca: PAM360, ManageEngine'in kurumsal ayrıcalıklı erişim yönetimi platformudur. Ayrıcalıklı parolaları merkezi bir kasada saklar, otomatik olarak döndürür; ayrıcalıklı oturumları başlatır, kaydeder ve denetler; kullanıcılara yalnızca ihtiyaç anında geçici erişim (just-in-time) verir. Amaç, kritik sistemlere kimin, ne zaman ve nasıl eriştiğini tam kontrol altına almaktır.

ManageEngine PAM360 Nedir?

PAM360, ayrıcalıklı hesaplara ilişkin tüm işlemleri (parola saklama, erişim yetkilendirme, oturum kontrolü ve denetim) tek bir konsolda birleştiren bir platformdur. Geleneksel yaklaşımda yönetici parolaları elektronik tablolarda, ortak notlarda veya kişilerin belleğinde dağınık şekilde durur; kimin hangi sisteme erişebildiği net değildir ve bir çalışan ayrıldığında bu bilgi ortada kalır. PAM360 bu dağınıklığı ortadan kaldırarak ayrıcalıklı erişimi merkezi bir politikayla yönetilen, izlenebilir bir sürece dönüştürür.

Ayrıcalıklı erişim yönetiminin kavramsal temellerini daha önce ayrıcalıklı erişim yönetimi (PAM) nedir yazımızda ele almıştık; bu yazı ise doğrudan ürünün kendisine, yani PAM360'ın modüllerine ve kullanım senaryolarına odaklanıyor. PAM360, ManageEngine'in daha geniş ManageEngine ürün ekosisteminin bir parçasıdır ve BT operasyonları, kimlik yönetimi ve güvenlik izleme araçlarıyla aynı çatı altında birlikte çalışacak şekilde konumlanır. Ürünün Türkiye'deki çözüm ortağı olarak kurulum ve entegrasyon tarafını da PAM360 çözüm sayfamızda aktarıyoruz.

Kurumsal Parola Kasası ve Otomatik Parola Rotasyonu

PAM360'ın çekirdeğinde şifrelenmiş bir parola kasası bulunur. Sunucu, veritabanı, ağ cihazı, dizin hizmeti ve bulut hesaplarına ait ayrıcalıklı kimlik bilgileri bu kasada merkezi olarak saklanır. Kimlik bilgileri şifrelenmiş biçimde tutulur ve kullanıcılar parolayı doğrudan görmek yerine, yetkileri çerçevesinde erişim talep eder.

Kasanın en kritik işlevlerinden biri otomatik parola rotasyonudur. Ayrıcalıklı parolalar belirlenen politikalara göre (örneğin her kullanımdan sonra veya periyodik olarak) otomatik değiştirilebilir. Bu, bir parolanın süresiz geçerli kalmasını ve statik kimlik bilgilerinin zamanla sızma riskini azaltır. Bir yönetici sistemden ayrıldığında ya da bir oturum sona erdiğinde parolanın döndürülmesi, "eski parolayla geri dönme" senaryosunu ortadan kaldırır. Erişim, bir kişinin aklındaki parolaya değil, platformun uyguladığı politikaya bağlı hale gelir. Kasa ayrıca kimlik bilgilerine erişimi rol ve yetki bazında sınırlar; hangi kullanıcının hangi hesaba, hangi koşulda ulaşabileceği ince ayrımlarla tanımlanabilir. Böylece "herkesin her parolaya eriştiği" ortak hesap kaosu yerini denetlenebilir, en az ayrıcalık ilkesine uygun bir yapıya bırakır.

Ayrıcalıklı Oturum Yönetimi ve Video Kaydı

Ayrıcalıklı bir hesabın parolasını korumak tek başına yeterli değildir; o hesapla ne yapıldığının da görünür olması gerekir. PAM360'ın ayrıcalıklı oturum yönetimi, kullanıcıların hedef sistemlere parolayı hiç görmeden, platform üzerinden başlatılan güvenli tünellerle bağlanmasını sağlar. RDP, SSH, SQL ve web tabanlı oturumlar konsol üzerinden aracılanır.

Bu oturumlar kayıt altına alınabilir. Yöneticiler kritik oturumları gerçek zamanlı olarak izleyebilir, şüpheli bir etkinlik görürse oturumu anında sonlandırabilir; ayrıca oturumların video benzeri kayıtları ve komut günlükleri denetim için saklanır. Böylece bir olay incelemesinde "hangi yönetici, hangi sunucuda, hangi komutu çalıştırdı" sorusu geriye dönük olarak yanıtlanabilir. Oturum kontrolü, ayrıcalıklı erişimi yalnızca yetkilendirme meselesi olmaktan çıkarıp hesap verebilir bir sürece dönüştürür.

Just-in-Time Erişim ve Sıfır Kalıcı Ayrıcalık

Klasik yaklaşımda yöneticilere kalıcı ayrıcalıklar atanır ve bu yetkiler çoğu zaman hiç geri alınmaz. Oysa bir hesap ne kadar uzun süre ayrıcalıklı kalırsa, kötüye kullanım yüzeyi de o kadar büyür. PAM360, just-in-time (JIT) erişim modeliyle bu mantığı tersine çevirir: Kullanıcı bir sisteme erişmesi gerektiğinde talep açar, talep onaylanınca yalnızca belirli bir süre için yükseltilmiş yetki alır ve süre dolduğunda yetki otomatik olarak geri çekilir.

Bu yaklaşım sıfır kalıcı ayrıcalık (zero standing privileges) ilkesini destekler: Hiçbir hesap, ihtiyaç olmadığı sürece ayrıcalıklı beklemez. Saldırganın ele geçireceği "her zaman açık" bir yönetici hesabı bulunmadığında, saldırı yüzeyi ciddi biçimde daralır. JIT erişim, özellikle ayrıcalık yükseltme (privilege escalation) tekniklerine karşı yapısal bir savunma katmanı ekler; çünkü ele geçirilen sıradan bir hesabın istismar edecek kalıcı bir yükseltilmiş yetki bulması zorlaşır.

SSH Anahtarı ve SSL Sertifika Yönetimi

Ayrıcalıklı erişim yalnızca parolalarla sınırlı değildir. Sunuculara parolasız erişim sağlayan SSH anahtarları ve kurumun dijital kimliğini doğrulayan SSL/TLS sertifikaları da kritik ayrıcalıklı varlıklardır. Dağınık yönetilen SSH anahtarları, kimin hangi sunucuya erişebildiğini takip edilemez hale getirebilir; süresi izlenmeyen bir SSL sertifikası ise beklenmedik hizmet kesintilerine yol açabilir.

PAM360, SSH anahtarlarının keşfedilmesini, merkezi olarak yönetilmesini ve döngüsünün kontrol altında tutulmasını; SSL/TLS sertifikalarının ise envanterlenmesini ve geçerlilik sürelerinin izlenmesini kapsayacak yetenekler sunar. Böylece hem anahtar tabanlı erişim hem de sertifika yaşam döngüsü, parola kasasıyla aynı disiplinli çerçeveye alınır.

Uygulama Kimlikleri ve DevOps Secrets Yönetimi

Modern BT ortamlarında yalnızca insanlar değil, uygulamalar da birbirinden gizli bilgi ister. Betiklere, konfigürasyon dosyalarına veya CI/CD hatlarına gömülü sabit parolalar (hard-coded credentials) yaygın ve tehlikeli bir zaafiyettir; kaynak kod deposuna sızan tek bir parola tüm bir ortamı riske atabilir. PAM360, uygulamadan uygulamaya kimlik doğrulama (application-to-application password management) yaklaşımıyla bu gömülü parolaların yerine, çalışma anında güvenli biçimde çağrılan kimlik bilgilerini koyar.

Bu sayede DevOps ekipleri, otomasyon betikleri ve uygulamalar veritabanı ya da servis parolalarını kod içinde saklamak yerine PAM360'tan API üzerinden talep edebilir. DevOps secrets yönetimi, hız gerektiren dağıtım süreçlerinin güvenlikten ödün vermeden ilerlemesini sağlar; sürekli entegrasyon hatları güvenli, denetlenebilir kimlik bilgisi çağrılarıyla beslenir.

Denetim, Uyumluluk ve Raporlama

PAM360'ın ürettiği her erişim talebi, oturum kaydı ve parola işlemi bir denetim izi oluşturur. Bu kayıtlar, KVKK kapsamındaki kişisel veri erişim sorumluluğu ile ISO 27001 gibi bilgi güvenliği standartlarının gerektirdiği "erişimi kim, ne zaman, neden kullandı" görünürlüğünü karşılamaya yardımcı olur. Hazır ve özelleştirilebilir raporlar, denetim dönemlerinde kanıt üretmeyi kolaylaştırır.

PAM360, ürettiği olay kayıtlarını bir SIEM veya Log360 gibi log yönetimi platformuna aktararak ayrıcalıklı erişim etkinliklerinin kurumsal güvenlik izleme ekranlarında da görünür olmasını sağlar. Böylece ayrıcalıklı bir oturumdaki anormal davranış, kurumun genel güvenlik olay korelasyonuyla birlikte değerlendirilebilir.

Davranış Analitiği ve Akıllı Oturum Denetimi

Ayrıcalıklı bir hesabın ele geçirildiğini anlamanın en etkili yollarından biri, o hesabın alışılmış davranışından sapmasını fark etmektir. PAM360, ayrıcalıklı oturumlardaki etkinlikleri temel alarak olağandışı komutları, beklenmedik erişim zamanlarını ve alışılmadık örüntüleri işaretleyen davranış temelli bir denetim katmanı sunar. Örneğin bir yöneticinin normalde erişmediği bir sunucuya mesai dışı saatte bağlanması, incelenmesi gereken bir durum olarak öne çıkarılabilir.

Bu yaklaşım, ayrıcalıklı erişimi yalnızca statik kurallarla değil, gözlemlenen davranışla da denetlemeyi mümkün kılar. Anormallik tespit edilen bir oturum gerçek zamanlı olarak işaretlenebilir, gerektiğinde sonlandırılabilir ve güvenlik ekiplerinin dikkatine sunulabilir. Böylece bir olay, tam bir ihlale dönüşmeden önce erken aşamada yakalanma şansı bulur.

Hangi Senaryoda Hangi PAM360 Yeteneği?

Aşağıdaki tablo, sık karşılaşılan ihtiyaçları PAM360'ın ilgili yeteneğiyle eşleştirir:

İhtiyaç / Senaryoİlgili PAM360 Yeteneği
Yönetici parolaları elektronik tablolarda dağınıkMerkezi parola kasası
Parolalar yıllarca değişmiyorOtomatik parola rotasyonu
Dış tedarikçi geçici erişim istiyorJust-in-time (JIT) erişim
"Hangi yönetici ne yaptı" izlenemiyorAyrıcalıklı oturum yönetimi ve kayıt
Betiklerde gömülü sabit parolalar varUygulama kimlikleri / DevOps secrets
SSH anahtarları ve sertifikalar takipsizSSH anahtarı ve SSL sertifika yönetimi
Denetimde erişim kanıtı gerekiyorDenetim izi ve uyumluluk raporları

Sıkça Sorulan Sorular

PAM360 ile ManageEngine Password Manager Pro arasındaki fark nedir?

Password Manager Pro ağırlıklı olarak ayrıcalıklı parola kasası ihtiyacına odaklanırken, PAM360 parola yönetimini oturum yönetimi, just-in-time erişim, SSH/SSL yönetimi ve gelişmiş denetim yetenekleriyle birleştiren daha kapsamlı bir ayrıcalıklı erişim yönetimi platformudur. Kurumun olgunluk düzeyine göre doğru ürünü belirlemek en sağlıklı yaklaşımdır.

Just-in-time erişim tam olarak ne sağlar?

Just-in-time erişim, bir kullanıcıya ayrıcalıklı yetkiyi kalıcı olarak vermek yerine yalnızca ihtiyaç anında ve belirli bir süre için verir; süre dolduğunda yetki otomatik geri çekilir. Bu, "her zaman açık" ayrıcalıklı hesapların sayısını azaltarak saldırı yüzeyini daraltır ve sıfır kalıcı ayrıcalık ilkesini destekler.

PAM360 oturum kayıtları KVKK ve ISO 27001 için yeterli mi?

PAM360'ın ürettiği denetim izleri ve oturum kayıtları, bu standartların beklediği erişim görünürlüğünü ve hesap verebilirliği önemli ölçüde karşılar. Ancak uyumluluk yalnızca bir üründen ibaret değildir; süreçlerin, politikaların ve kapsamın kurum bazında tasarlanması gerekir. PAM360 bu tasarımda güçlü bir teknik temel sunar.

Uygulamalardaki gömülü parolalar PAM360 ile nasıl güvence altına alınır?

Betiklere ve uygulamalara gömülü sabit parolalar kaldırılıp yerlerine PAM360'ın API'si üzerinden çalışma anında talep edilen kimlik bilgileri konur. Böylece parola kaynak kodda veya konfigürasyon dosyasında açıkta durmaz; her çağrı denetlenebilir ve merkezi politikaya tabi olur.

PAM360 bulut sistemlerini de kapsıyor mu?

PAM360, şirket içi sistemlerin yanı sıra bulut yönetim hesaplarına ait ayrıcalıklı kimlik bilgilerini de merkezi kasada yönetecek şekilde konumlanır. Karma (hibrit) ortamlarda hem yerel sunucuların hem de bulut panellerinin ayrıcalıklı erişimi tek bir çatı altında ele alınabilir.

PAM360 kurulumu ne kadar sürede devreye alınır?

Devreye alma süresi kurumun büyüklüğüne, yönetilecek ayrıcalıklı hesap sayısına ve entegrasyon kapsamına göre değişir. Genellikle önce parola kasası ve temel erişim politikaları devreye alınır, ardından oturum yönetimi, JIT erişim ve secrets entegrasyonu aşamalı olarak eklenir. Aşamalı bir yol haritası, en hızlı değeri düşük riskle üretir.

Sonuç

Ayrıcalıklı hesaplar, bir kurumun güvenlik zincirindeki en kritik halkadır; korunmadıklarında tek bir sızıntı tüm ortamı riske atabilir. ManageEngine PAM360, parola kasasından oturum yönetimine, just-in-time erişimden DevOps secrets yönetimine kadar ayrıcalıklı erişimin tüm yaşam döngüsünü tek bir platformda toplayarak bu riski yönetilebilir, denetlenebilir bir sürece dönüştürür. Doğru yapılandırıldığında yalnızca güvenliği güçlendirmekle kalmaz, denetim ve uyumluluk yükünü de belirgin biçimde hafifletir.

Technodus, Türkiye'de ManageEngine yetkili çözüm ortağı olarak PAM360'ın kurumunuza uygun şekilde konumlandırılması, kurulumu ve mevcut BT ortamınıza entegrasyonu konusunda destek verir. Ayrıcalıklı erişim yönetimi ihtiyaçlarınızı değerlendirmek ve size uygun yol haritasını konuşmak için bizimle iletişime geçebilirsiniz.

lightbulb İlgili Çözüm

Bu konuda Technodus'un sunduğu çözümü inceleyin: ManageEngine PAM360 Ayrıcalıklı Erişim Yönetimi.

ManageEngine PAM360 Ayrıcalıklı Erişim Yönetimi arrow_forward