Kategoriler
CloudFlare

Kimlik ve erişim yönetimi (IAM) nedir?

Kimlik ve erişim yönetimi (kısaca IAM veya IdAM), bir kullanıcının kim olduğunu ve ne yapmalarına izin verildiğini anlamanın bir yoludur. IAM, kimlerin girmesine izin verildiği, kimlerin girmesine izin verilmediği ve VIP alanına kimin erişebileceğinin bir listesi ile bir gece kulübünün kapısındaki fedai gibidir. IAM, kimlik yönetimi (IdM) olarak da adlandırılır.

Daha teknik bir deyişle, IAM, belirli bir dizi kullanıcının dijital kimliklerini ve her bir kimlikle ilişkili ayrıcalıkları yönetmenin bir yoludur. Hepsi aynı temel işlevi yapan bir dizi farklı ürünü kapsayan bir şemsiye terimdir. Bir kuruluş içinde, IAM tek bir ürün olabilir veya yöneticilere, bireysel kullanıcıların erişebileceği kurumsal veriler üzerinde görünürlük ve denetim sağlayan süreçler, yazılım ürünleri, bulut hizmetleri ve donanımların bir kombinasyonu olabilir .

Bilgi işlem bağlamında kimlik nedir?

Bir kişinin tüm kimliği bir bilgisayara yüklenemez ve saklanamaz, bu nedenle bir bilgi işlem bağlamındaki “kimlik”, dijital olarak uygun şekilde ölçülebilen ve kaydedilebilen belirli bir özellik kümesi anlamına gelir. Bir kimlik kartı veya pasaport düşünün: Bir kişi hakkındaki her bilgi bir kimlik kartına kaydedilmez, ancak bir kişinin kimliğinin kimlik kartıyla hızlı bir şekilde eşleştirilebilmesi için yeterli kişisel özellik içerir.

Kimliği doğrulamak için, bir bilgisayar sistemi bir kullanıcıyı kendisine özgü özellikler açısından değerlendirecektir. Eşleşirlerse, kullanıcının kimliği onaylanır. Bu özellikler aynı zamanda “kimlik doğrulama faktörleri” olarak da bilinir çünkü bir kullanıcının söylediği kişi olduğunun doğrulanmasına yardımcı olurlar.

En yaygın olarak kullanılan üç kimlik doğrulama faktörü şunlardır:

  • Kullanıcının bildiği bir şey
  • Kullanıcının sahip olduğu bir şey
  • Kullanıcının olduğu bir şey

Kullanıcının bildiği bir şey: Bu faktör, bir kullanıcı adı ve şifre kombinasyonu gibi yalnızca bir kullanıcının sahip olması gereken bir bilgi parçasıdır.

John’un iş e-postasını evden kontrol etmek istediğini hayal edin. Bunu yapmak için önce kimliğini belirleyerek e-posta hesabında oturum açması gerekecek, çünkü John dışındaki biri John’un e-postasına erişirse, şirket verileri tehlikeye girecek.

John, e-posta adresini , [email protected]’u ve yalnızca bildiği şifreyi – örneğin, “5jt * 2) f12? Y” girerek oturum açar . Muhtemelen, John dışında hiç kimse bu şifreyi bilmiyor, bu nedenle e-posta sistemi John’u tanıyor ve onun e-posta hesabına erişmesine izin veriyor. Başka biri e-posta adresini [email protected] olarak girerek John’un kimliğine bürünmeye çalıştıysa , şifre olarak “5jt * 2) f12? Y” yazmayı bilmeden başarılı olamaz .

Kullanıcının sahip olduğu bir şey: Bu faktör, yetkili kullanıcılara verilen fiziksel bir jetona sahip olmayı ifade eder. Bu kimlik doğrulama faktörünün en temel örneği, kişinin evine girmek için fiziksel bir ev anahtarının kullanılmasıdır. Varsayım, yalnızca evin sahibi olan, kiralayan veya başka bir şekilde eve girmesine izin verilen bir kişinin anahtarının olacağıdır.

Bir bilgisayar bağlamında, fiziksel nesne bir anahtarlık, bir USB cihazı veya hatta bir akıllı telefon olabilir. John’un kuruluşunun, bir yerine iki kimlik doğrulama faktörünü kontrol ederek tüm kullanıcıların gerçekten söyledikleri kişi olduğundan daha fazla emin olmak istediğini varsayalım. Şimdi, sadece gizli şifresini – kullanıcının bildiği bir şeyi – girmek yerine, John, e-posta sistemine kimsenin sahip olmadığı bir nesneye sahip olduğunu göstermelidir. John, kişisel akıllı telefonuna sahip olan dünyadaki tek kişidir, bu nedenle e-posta sistemi ona tek seferlik bir kod gönderir ve John, telefona sahip olduğunu göstermek için kodu girer.

Kullanıcının olduğu bir şey: Bu, kişinin vücudunun fiziksel bir özelliğini ifade eder. Bu kimlik doğrulama faktörünün yaygın bir örneği, birçok modern akıllı telefon tarafından sunulan özellik olan Face ID’dir. Parmak izi taraması başka bir örnektir. Bazı yüksek güvenlikli kuruluşlar tarafından kullanılan daha az yaygın yöntemler arasında retina taramaları ve kan testleri bulunur.

John’un kuruluşunun, kullanıcıların iki yerine üç faktörü doğrulamasını sağlayarak güvenliği daha da sıkılaştırmaya karar verdiğini düşünün (bu nadirdir). Şimdi John’un şifresini girmesi, akıllı telefonuna sahip olduğunu doğrulaması ve e-posta sistemi kendisinin gerçekten John olduğunu onaylamadan önce parmak izini taraması gerekiyor.

Özetlemek gerekirse: Gerçek dünyada kişinin kimliği, kişisel özelliklerin, tarihin, konumun ve diğer faktörlerin karmaşık bir karışımıdır. Dijital dünyada, bir kullanıcının kimliği, bir kimlik veritabanında dijital olarak saklanan üç kimlik doğrulama faktörünün bir kısmı veya tümünden oluşur. Sahtekârların gerçek kullanıcıları taklit etmesini önlemek için, bilgisayar sistemleri bir kullanıcının kimliğini kimlik veritabanına göre kontrol edecektir.

Erişim yönetimi nedir?

“Erişim”, bir kullanıcının hangi verileri görebildiğini ve oturum açtıktan sonra hangi işlemleri gerçekleştirebileceğini ifade eder. John e-postasına giriş yaptığında, gönderdiği ve aldığı tüm e-postaları görebilir. Ancak, iş arkadaşı Tracy tarafından gönderilen ve alınan e-postaları görememelidir.

Başka bir deyişle, bir kullanıcının kimliğinin doğrulanması, bir sistem veya ağ içinde istedikleri her şeye erişebilmeleri gerektiği anlamına gelmez. Örneğin, bir şirketteki düşük seviyeli bir çalışan, kurumsal e-posta hesabına erişebilmeli, ancak bordro kayıtlarına veya gizli İK bilgilerine erişememelidir.

Erişim yönetimi, erişimi kontrol etme ve izleme sürecidir. Bir sistemdeki her kullanıcı, kendi ihtiyaçlarına göre o sistem içinde farklı ayrıcalıklara sahip olacaktır. Bir muhasebecinin gerçekten de maaş bordrosu kayıtlarına erişmesi ve düzenlemesi gerekir, bu nedenle kimliklerini doğruladıktan sonra, bu kayıtları görüntüleyip güncelleyebilmeli ve e-posta hesaplarına erişebilmelidir.

Bulut bilişim için IAM neden bu kadar önemlidir?

Olarak bulut bilgisayar , veri uzaktan depolanır ve internet üzerinden erişilen. Kullanıcılar hemen hemen her yerden ve herhangi bir cihazdan İnternet’e bağlanabildiğinden, çoğu bulut hizmeti cihazdan ve konumdan bağımsızdır. Kullanıcıların artık buluta erişmek için ofiste veya şirkete ait bir cihazda olmaları gerekmiyor. Ve aslında, uzaktaki iş gücü daha yaygın hale geliyor.

Sonuç olarak, ağ çevresi değil, erişimi kontrol etmenin en önemli noktası kimlik haline gelir. * Kullanıcının cihazı veya konumu değil, kimliği, hangi bulut verilerine erişebileceklerini ve herhangi bir erişime sahip olup olmadıklarını belirler.

Kimliğin neden bu kadar önemli olduğunu anlamak için işte bir örnek. Bir siber suçlunun, bir şirketin kurumsal veri merkezindeki hassas dosyalara erişmek istediğini varsayalım. Bulut bilişimin yaygın olarak benimsenmesinden önceki günlerde, siber suçlu , dahili ağı koruyan kurumsal güvenlik duvarını geçmek veya binaya girerek veya dahili bir çalışana rüşvet vererek sunucuya fiziksel olarak erişmek zorunda kalacaktı . Suçlunun asıl amacı ağ çevresini geçmek olacaktır.

Ancak, bulut bilişimde hassas dosyalar uzak bir bulut sunucusunda saklanır. Şirket çalışanlarının dosyalara erişmesi gerektiğinden, bunu tarayıcı veya bir uygulama aracılığıyla oturum açarak yaparlar. Bir siber suçlu dosyalara erişmek isterse, artık tek ihtiyaçları çalışanların oturum açma kimlik bilgileri (bir kullanıcı adı ve parola gibi) ve bir İnternet bağlantısıdır; Suçlunun ağ çevresini geçmesine gerek yok.

IAM , ayrıcalık yükseltmelerinden (yetkisiz bir kullanıcının çok fazla erişime sahip olması durumunda) gelen kimlik tabanlı saldırıları ve veri ihlallerini önlemeye yardımcı olur . Bu nedenle, IAM sistemleri bulut bilişim ve uzak ekipleri yönetmek için çok önemlidir.

* Ağ çevresi, bir iç ağın kenarlarını ifade eder; güvenli yönetilen iç ağı, güvenli olmayan, kontrolsüz İnternet’ten ayıran sanal bir sınırdır. Bir ofisteki tüm bilgisayarlar ve ayrıca ofis yazıcıları gibi bağlı cihazlar bu çevrenin içindedir, ancak dünya genelindeki bir veri merkezindeki uzak bir sunucu değildir.

IAM, bir bulut dağıtım yığını / bulut mimarisinde nereye sığar?

IAM genellikle kullanıcıların bir kuruluşun bulut altyapısının geri kalanına ulaşmak için geçmesi gereken bir bulut hizmetidir . Ayrıca, bir kuruluşun dahili bir ağdaki tesislerinde de konuşlandırılabilir. Son olarak, bazı genel bulut satıcıları, IAM’yi diğer hizmetleriyle birlikte paketleyebilir.

Bir kullanarak işletmeler multicloud veya hibrit bulut mimarisi yerine IAM için ayrı bir satıcı kullanabilir. IAM’yi diğer genel veya özel bulut hizmetlerinden ayırmak onlara daha fazla esneklik sağlar: bulut sağlayıcılarını değiştirirlerse kimliklerini koruyabilir ve veritabanlarına erişebilirler.

Kimlik sağlayıcı (IdP) nedir?

Kimlik sağlayıcı (IdP), kimliği yönetmeye yardımcı olan bir ürün veya hizmettir. Bir IdP genellikle gerçek oturum açma sürecini yönetir. Tek oturum açma (SSO) sağlayıcıları bu kategoriye girer. IdP’ler bir IAM çerçevesinin parçası olabilir, ancak genellikle kullanıcı erişimini yönetmeye yardımcı olmazlar.

Hizmet Olarak Kimlik (IDaaS) nedir?

Hizmet Olarak Kimlik (IDaaS), kimliği doğrulayan bir bulut hizmetidir. Bir bulut satıcısından sağlanan bir SaaS teklifi, kimlik yönetimini kısmen dış kaynak kullanımının bir yoludur. Bazı durumlarda, IDaaS ve IdP esasen birbirinin yerine kullanılabilir – ancak diğer durumlarda IDaaS satıcısı, kimlik doğrulama ve yönetimin yanı sıra ek özellikler sunar. IDaaS satıcısı tarafından sunulan yeteneklere bağlı olarak, IDaaS bir IAM çerçevesinin bir parçası olabilir veya tüm IAM sistemi olabilir.

Cloudflare, IAM ve bulut konusunda nasıl yardımcı olur?

Cloudflare Access , Cloudflare’da barındırılan herhangi bir etki alanına, uygulamaya veya yola kullanıcı erişimini izleyen bir IAM ürünüdür. SSO sağlayıcılarıyla entegre olur ve yöneticilerin kullanıcı izinlerini değiştirmesine ve özelleştirmesine olanak tanır. Cloudflare Access, hem şirket içi dahili çalışanlar hem de uzaktan çalışanlar için güvenlik politikalarının uygulanmasına yardımcı olur.

Cloudflare, herhangi bir bulut altyapısı kurulumunun önünde kurulabilir ve çoklu bulut veya bir IAM sağlayıcısı içeren hibrit bulut dağıtımına sahip şirketlere daha fazla esneklik sağlar.

Kaynak:https://www.cloudflare.com/learning/access-management/what-is-identity-and-access-management/

Spreading Love by Sharing