Privileged Access Management (PAM), özel yetkilere sahip hesapların (privilege account) güvenliğini sağlamak ve kontrol etmek için kullanılan bir bilgi güvenliği disiplinidir. PAM, kuruluşların kritik sistemlere erişimi olan kullanıcıların ve hesapların faaliyetlerini denetlemesine, yönetmesine ve izlemesine yardımcı olur.
Pam360 ürünü, danışmanlar için iki kullanıcıyla sunulan bir sunucu kullanımı sağlamaktadır. VPN kullanıcısı, RDP grubu içinde bulunur ve kritik yetkilere sahip değildir. Aynı anda birden fazla kullanıcı etkin olabilir ve parola görüntülenmesi kapalı olduğu için bir sorun oluşturmaz. ADMİNVPN hesabı ise Administrator grubunda yer alır ve danışmanların kritik işler yapmak için oluşturulmuştur. Admin kullanıcısı için onay mekanizması yapılandırılmıştır. Kullanıcılar, istedikleri işlemi açıklama kısmında belirtmek şartıyla şimdi veya planlı bir tarih ve saatte yetki talebinde bulunabilirler. Admin hesabının süresi 45 dakikadır ve 45 dakika sonra işlem sona erer. Her işlem sonrasında admin hesabının şifresi yenilenir.
Admin hesabının onay mekanizması aşağıdaki şekildedir.
Normal şartlarda AD kullanıcısı ile senkron olması için admanager ürününün kullanımı gerekmektedir. Ancak Domain Controller içerisinde kullanıcı tanımladığınızda AD üzerinden şifre yenileme işlemi sağlanabilir. Tek handikap burada, Domain Controller tarafında yetkili bir kullanıcı tanımlandığında kullanıcıların Domain Controller’a bağlantı sağlayabilmesidir. Yapılandırılmış kullanıcılar bu yapı içerisinde yetkili olmadığı için bir handikap bulunmamaktadır.
Kullanıcı gözünden bağlantı sağlayalım. Öncelikle normal VPN kullanıcısı ile bağlantı sağlayacağım.
Kullanıcı portal ile bağlandığında varsayılan olarak kaynakları görecektir.
İstenirse kullanıcı tarafından gruplandırma işlemi yapılabilir. Öncelikle Folders sekmesinde “+” işaretinden klasör oluşturmanız gerekmektedir.
Sonrasında kaynak içerisine girmelisiniz (üzerine tıklamanız yeterlidir).
Associate to Folders sekmesi ile oluşturduğunuz klasörlerden birine kaynağınızı ekleyebilirsiniz.
Connections sekmesi ile kaynaklara nasıl bağlantı sağlanacağı aşağıdaki gibidir. Search kısmından kaynakları filtreleyebilirsiniz.
Bağlantı sağlamak için 3 hesap seçeneği bulunmaktadır:
1. Domain Account: Domain Controller içerisinde tanımlı olan kullanıcıdır. AD üzerinden şifrelerini değiştirme yeteneğine sahiptir.
2. Local Accounts: Manuel olarak eklenmiş şifrelerdir. Kaynak üzerinde ekli olan kullanıcıyı burada tanımlarsanız erişim sağlayabilirsiniz, ancak şifre değiştirmek için AD üzerinde yetkisi bulunmamaktadır.
3. Logged-in AD account: AD yapısında olan kullanıcı tanımıdır. Sunucular içerisinde tanımlı olan kullanıcılar bağlantı sağlayabilir. Ancak burada oluşan handikap, kaynaklar içerisinde kullanıcıları tek tek kontrol etme gerekliliğidir. Kullanıcıların şifrelerini paylaşma durumları olabileceği için zaafiyet yaratmaktadır.
Örnek olarak, aşağıda Mechsoft VPN grubunun portal üzerinde göreceği kaynak ve hesaplar görülmektedir. VPN hesabı ile doğrudan bağlantı sağlayabilirsiniz.
Bağlantı kayıt altına alınır ve kritik işlemlere yetkisi bulunmaz
Admin hesabı içinse yetki talebinde bulunmanız gerekmektedir.
Burada dikkat edilmesi gereken bir adım vardır. Yetki talebi varsayılan olarak Domain Controller üzerinde gelir. Yetkilendirme kaynak üzerinde sağlanmaz. Seçilmesi gereken 2 seçenek bulunmaktadır:
1. All Resources (Tüm kaynaklar): Yetki için tüm kaynaklar seçilmemelidir. İşlem alınacak olan kaynak seçilmelidir. Tüm kaynaklarla yapılan talepler kabul edilmeyecektir.
2. Only Resources: İşlem yapmak istediğiniz kaynağı Search ile seçebilirsiniz.
İşlem yapmak istediğinizde 2 zaman dilimi bulunur:
1. Now: Şimdi talep ediyorum.
2. Later: Planlı bir tarih ve zaman diliminde talep ediyorum.
Son kısımda yapılacak işlem açıklanmalıdır. Açıklanmayan istekler kabul edilmeyecektir.
Talebinizi oluşturduğunuzda “waiting” durumu bildirisiyle karşılaşacaksınız. Bu adımda talebiniz işleme alınmıştır.
Onay mekanizmasında yetkili hesaba gelen bildirim aşağıdaki gibi olacaktır.
Kullanıcı yanlış bir kaynak seçer veya tüm kaynaklar seçeneği ile izin talep ederse, “edit” seçeneği ile istediğiniz kaynak üzerinden yetki verebilirsiniz.
Onaylandığında, bağlantı için onay verildiği aşağıdaki gibi görülecektir. Olası bir anormal durumda kullanıcının oturumu sonlandırılabilir.
Kullanıcıya yetki geldiğinde oturumu başlatmak için “Check Out” sekmesine tıklayıp oturum süresini görebilir ve oturumu başlatabilirsiniz.
Onay sonrası aşağıdaki gibi kaynağa erişim sağlanabilir.
Aşağıdaki gibi kritik servisler üzerinde kullanıcıların yetkisi bulunmaktadır.
İzin verilen oturum süresi içerisinde işlem daha kısa sürerse, aşağıdaki gibi çıkış yapılabilir.
Admin hesabı ile yapılan oturum süresi sonunda kullanıcının şifresi yenilenir.
