Kimlik yönetim sistemleri aşağıdaki fonksiyonların gerçekleşmesini sağlar:

  • Şifre(Password) yönetimi
  • Hesap(Account) yönetimi
  • Profil(Profile) yönetimi
  • Dizin(Directory) yönetimi
  • Single sign-on

Şifre Yönetimi: Şifre, yaygın kullanılan bir kimlik doğrulama yöntemidir. Şifre karmaşıklığı ile ilgili politikalar ve standartlar geliştirilmelidir. Periyodik olarak şifreler değiştirilmelidir. Tahminle şifre belirlemelerin önüne geçmek için belirli sayıda hatalı giriş olduğunda hesap kilitleme mekanizması olmalıdır. Entegrasyon olmayan sistemlerde(web uygulamaları gibi) kullanıcı kendi hesabını yönetebilir. Alternatif kimlik doğrulama yöntemleri kullanılarak şifreler sıfırlanabilir. Alternatif kimlik doğrulama yok ise sistem yöneticileri tarafından şifreler sıfırlanabilir. Kullanıcı kaydının alınması ve kullanıcı adı ve şifre yönetiminin kullanıcıya bırakılması özellikle web tabanlı uygulamalarda kullanılan yaygın bir yöntemdir.

Hesap Yönetimi:

  • Farklı sistemlere kullanıcı erişimleri bir merkezden yönetilebilmeli.
  • Yeni sistem erişim talepleri, erişim değişiklikleri veya erişimin sonlandırılması işlemleri için bir iş akışı olmalı. Talepler otomatik olarak ilgili kişilerin onayına gitmeli.
  • Farklı sistemler ve dizinler arasında kullanıcı kayıtları ve otomatik veri replikasyonu olmalı.
  • Dizinler için toplu değişiklikler uygulanabilmeli.
  • Sistem kaynaklarına erişimin oluşturulması, değiştirilmesi ve silinmesi otomatik olabilmeli. HR sistemi gibi başka bir sistemde bilginin değişmesi ile tetiklenebilmeli.

Profil Yönetimi: Profiller, belirli bir kimlik veya gruplarla ilgili ad, telefon numarası, e-mail adresi, doğum tarihi gibi toplanan bilgilerdir. Belirli sistemler üzerindeki yetki ve haklar da, profil bilgilerinde yer alabilir. Gerektiğinde profil değişikliklerinin yönetimi kolay olmalıdır.

Dizin Yönetimi: Yazıcılar, sunucular, sistemler, gruplar ve kullanıcılar hakkında bilgi tutan hiyeraşik nesneleri içerir. Dizin teknolojileri:

X.500

Dört protokolden oluşur:

  • The Directory Access Protocol(DAP), primary protocol
  • The Directory System Protocol(DSP)
  • The Directory Information Shadowing Protocol(DISP)
  • The Directory Operational Bindings Management Protocol(DOP)

Bilgileri hiyeraşik tutar.  Bir path bulunurken Distinguished Name(DN) üzerinden sorgu yapılır. Relative DN destekler.

LDAP

Hiyeraşik ağaç şeklinde bilgileri tutar. X.500 gibi DN ve RDN destekler. Her nesne name-value çifti olarak tutulur. LDAP özellikleri:

  • Distinguished Name(DN)
  • Common Name(CN)
  • Domain Component(DC)
  • Organizational Unit(OU)

LDAP, client-server mimarisinde çalışır. Clientlar erişim için LDAP serverlara talepte bulunur. LDAP serverlar client isteklerine cevap verir. İletişim için güvenli olmayan 389 TCP portunu kullanır. LDAP V3, TLS destekler.

ADDS

Microsoft tabanlı ortamlar için LDAP protokolünün uygulanması. Kullanıcılar ve servisler için merkezi kimlik doğrulama ve yetkilendirme özelliği vardır. Güvenlik ve yapılandırma için politikalar uygulanabilir.

X.400

İki fonksiyonu destekler. Mesaj transferi ve mesaj depolama. Adresler “;” ayrılmış name-value çifti olarak tutulur. Bir adres aşağıdakileri içerir:

  • Organization Name(O)
  • Organizational Unit Names(OU)
  • Given Name(G)
  • Initials(I)
  • Surname(S)
  • Country Name(C)

Single sign-on: Birçok sisteme erişmek için tek kimliğin kullanılması. Uygulamalarla ilgili kullanıcı kimlikleri merkezi bir repositoryde tutulur. Kullanıcı uygulamadan şifresini değiştirdiğinde, SSO sistemi ile uygulama senkronize olana kadar SSO sistemi bundan habersizdir. Kullanıcının bütün erişimleri tek bir şifre ile korunmaktadır. SSO şifresini ele geçiren bir saldırgan bütün erişim haklarını ele geçirmiş olur.

Bir kimlik yönetim sistemi aşağıdaki özelliklere sahip olmalıdır:

  • Şifre Arşivi: Kullanılmış şifreleri arşivlemeli. Gerektiğinde yeniden kullanımını engellemeli.
  • Güçlü şifreye zorlama: Güçlü şifre oluşturmak için politikalar kullanılabilmeli.
  • Kolay şifre üretimi: Gerektiğinde otomatik olarak kompleks şifreler üretebilmeli.
  • Find password fast: Binlerce şifre arasında hızlı arama için indeksleme olmalı.
  • Erişim kontrolü detayları: Kim, neye, nasıl ve ne zaman erişecek, yönetilebilmeli.
    • Control WHO has access: Erişimler, kullanıcı veya roller tarafından yönetilmeli.
    • Control WHAT users access: Her güvenli alan için güvenlik kararları uygulanmalı.
    • Control HOW users access: Erişim ve yönetim için izinleri belirleme.
    • Control WHEN users access: Erişim zamanını belirleme.
  • Sınırlı erişim: Denetim raporlarını yayınlayacak ve erişecek kullanıcı izinlerini belirleme.
  • Bütün şifrelerin güvenliği sağlanmalı: Şifreler her zaman merkezi bir yerde ve kriptolanmış olarak tutulmalı.
  • Kolaylıkla taşınabilirlik: Kimlikler, toollarla import/export edilebilmeli.
  • Felaketlere hazırlıklı olma: Backup-restore toolları kullanılabilmeli.
  • Her zaman erişilebilir: Fail-over gibi yöntemlerle sürekli erişilebilir olmalı
  • Kimlik kontrollerinin korunması: Sahiplik ve izin değişiklikleri yönetilebilmelidir.
  • Denetim ve izleme erişimi: Önemli bilgiler ve aktiviteler kaydedilmeli.

Kimlik Yönetim Sistemi Riskleri

  • Kimlik yönetim sisteminin kontrolünü ele geçiren saldırganlar, en üst düzey yetkilerle sistem içerisinde olur.
  • Bir şekilde silinen kimliklerin tekrar oluşturulması maliyetli ve zaman alıcı olabilir.
  • Kimlik yönetim sistemlerinin performansının aşılması iş sürekliliğini tehlikeye atar.
  • Zafiyetler nedeni ile kimlik yönetim sistemine sızma olursa uyumluluk ilkeleri ihlal edilmiş olur.

Kimlik Yönetim Sistemi Faydaları

  • Kontrol düzeylerini maksimuma çıkarmaya yardımcı olur.
  • Performans ve esneklik sağlanırken yüksek güvenlik standartlarına uyulur.
  • Kimlik yönetim sistemi güvenliği için yönetim, uyumluluk ve denetim genişçe açıklanmalıdır.
  • Daha güvenilir politikalar ve modeller ortaya çıktığında uygulanabilir.

Bulut Kimlik Servisi(Identity As A Service – IDaaS)

Hedef sistemlerde erişim izinlerini yöneten bulut tabanlı sistemdir. Sistemler bulut tabanlı veya lokal olabilir. IDaaS, account yönetimi, kimlik doğrulama, yetkilendirme ve raporlama fonksiyonları sunar. Bulut tabanlı IAM(Identity Access Management), Software as a Service(SaaS) ve iç uygulamaları yönetmek için kullanılabilir.

Gartner’a göre IDaaS fonksiyonları:

  • Hedef uygulamalar için kimlikler sağlanması
  • Kimlik doğrulama, yetkilendirme ve single sign on içermesi
  • Kim nereye ne zaman erişmiş loglarının tutulması ve raporlanması.

Identity

Bir şeyi tanımlanabilir yapmak için bir takım özelliklerine başvurmak. Bütün nesneler aynı özelliklere sahip olabilirler ancak aynı kimliğe sahip olamazlar.

Access Management Systems Özelikleri

SSO Authentication: Tekrar tekrar kimlik doğrulama yapmadan birden fazla iç ve dış uygulamaya erişimin sağlanması.

Federation: Birçok farklı kimlik yönetim sisteminden, kimlik ve yetkilendirme ayarlarının toplandığı yer.

Granular authorization controls: Her kullanıcıya, bulutta depolanan veri veya fonksiyon kümelerine erişim izni verilir. Her kullanıcının erişimi üzerinde güvenlik profesyonellerinin kontrolü, bulut servis sağlayıcısının veya kimlik yönetim sisteminin yeteneklerine bağlıdır.

Administration: Kullanıcı ve kimliklerin tek bir arayüzden yönetimi.

Integration with internal directory services: Bulut IAM sistemleri, lokal LDAP, AD, HR ve diğer sistemlerle replike olabilmeli.

Integration with external services: Yaygın bulut servisleri ile entegrasyon için connectorler sunmalı.

Bulut IAM Sistemlerinde Dikkat Edilecekler

Multi-factor kimlik doğrulama desteklenmeli. Mobil kullanıcı entegrasyonu ve farklı kullanıcı tiplerini desteklemeli.

Bulut IAM problemleri:

APIs: Güvenlik mimarları entegrasyon için IAM sağlayıcılarının custom connector geliştirmesine ihtiyaç duyabilir. Third party developerların erişim haklarını yönetme yükü getirir.

Authorization Mapping: Var olan erişim kurallarının, bulut servis sağlayıcılar için yeniden gözden geçirilmesine ihtiyaç olabilir.

Audit: In-house sistemler, güvenlik ile ilgili olayları algılama, monitoring sağlanması ve uyumluluk raporları için log yönetimi veya SIEM ile bağlanmalıdır. Bulut servis sağlayıcıdan denetim loglarını almak problemdir. Birçok firmaya bulut hizmeti verilen sistemlerde, diğer müşterilerin log bilgilerinin ifşa olmaması için logların çoğunun iletilmesi engellenir.

Privacy: Kullanıcı özellikleri ve diğer bilgiler kurumun dışındadır. Dış depolayıcılardaki bilgiler güvenlik uzmanlarının kontrolü altında olmayabilir. Güvenlik mimarı, vendor’ın güvenlik sağlayıp sağlamadığına dikkat etmelidir.

Latency: Internal IAM’den yapılan değişikliklerin bulut IAM’e yansıması zaman alabilir.

Mobile: Cloud clientların çoğu mobil cihazdır.

Office 365 gibi cloud tabanlı uygulamalarda accout yönetiminin üç yöntemi vardır:

Cloud Identity: Kullanıcılar Office 365’te oluşturulur ve yönetilir. Bilgiler Windows Azure AD’de depolanır. Entegrasyon gerektirmez

Directory Synchronization: Kullanıcı lokal sistemde oluşturulur ve yönetilir.  Windows Azure AD ile senkronizasyon sağlanır. Kullanıcı özellikleri Office 365 üzerinden değiştirilemez. Yönetim lokal sistemde yapılır.

Federated Identity: Directory senkronizasyonuna ek olarak, on-premises kimlik sağlayıcı login taleplerini yönetir. Federated ID genellikle single sign on için kullanılır.

(CISSP – Identity and Access Management hazırlık notları)

Reklamlar