Bilgi Güvenliği Bakış Açısı ile Identity as a Service (IDaaS)

1
311
views
İşletmelerin bulut ve mobil teknolojileri benimsemesi ile geleneksel ağ sınırlarının ve eski Kimlik / Erişim Yönetimi (Identity and Access ManagementIAM) çözümleri yeteneklerinin ötesine geçmeye başlamıştır. Dijital bir varlık olarak kimlik (bilgi) yönetimi sunan IDaaS (Identity as a Service), hesap işlevlerinin bir kombinasyonu olarak tanımlanır. Bu işlevlerin açılımı; hesap sağlama, kimlik doğrulama, yetkilendirme, raporlama vb. şeklinde belirtilebilir. Bu yazıda IDaaS konusu bilgi güvenliği bakış açısı ile incelenecektir.

 

 

A) IAM (Identity and Access Management)

Kimlik ve Erişim Yönetimi (IAM), dijital kullanıcı kimliklerini yönetmek ve çeşitli BT kaynaklarına erişmek için kullanılan genel kimlik yönetimi çözümleri kategorisini ifade etmektedir. Bu çözüm kategorisinin altındaki en önemli kategoriler aşağıdaki gibidir:

  • Core Identity Provider (IdP)
  • Dizi uzantıları (Directory extensions)
  • Single sign-on
  • Yetkili kullanıcı / erişim yönetimi (Privileged Identity / Access Management – PIM / PAM)
  • İki faktörlü kimlik doğrulama (2FA – MFA)

Şirket içi IAM örnek MS Aktif Dizin verilebilir. Pazardaki bazı IAM üreticileri aşağıdaki gibi sıralanabilir.

  • Azure Active Directory
  • IBM Security Identity and Access Assurance
  • Oracle Identity Cloud Service
  • Okta
  • Centrify
  • RSA SecurID Access
  • Keeper Security
  • SailPoint
  • OneLogin

 

B) IDaaS (Identity as a Service)

Hizmet Olarak Kimlik olarak Türkçe’ye çevrilebilecek olan IDaaS kavramı, SaaS-based IAM şeklinde de ifade edilebilir. IDAAS’ın gündeme gelmesi; kullanımı/yönetimi kısmen kolay olan geleneksel altyapı (network vb) sistemlerinin on-prem’den bulut sistemine kayması ile gerçekleşmiştir. Günümüzdeki teknolojik değişimler ile farklı inovasyon fikirleri/ürünleri pazara girince, geleneksel olan IAM çözümleri ile bu yeni çıkan teknolojiler (web uygulamaları, bulut altyapısı, sanal depolama çözümleri ve uzak ağlar) olan bulut tabanlı kaynakları, geleneksel IAM altyapısıyla yönetmek zor olmaya başlamıştır. Bu zorluğu azaltmak için, geleneksel kullanıcı kimliklerini (öncelikle AD kullanıcı kimlikleri) bulut tabanlı veya Windows dışı BT kaynaklarına genişletebilecek bir dizi üçüncü taraf kimlik yönetimi çözümü ortaya çıkmıştır. Önceden spesifik olarak, web uygulamaları ile ilgili olan, dizin uzantısı çözümleri olarak da anılan web uygulaması tek oturum açma (SSO) yöntemi, geleneksel olarak Hizmet olarak Kimlik (IDaaS) şeklini almıştır.

 

Kimlik bilgisi; gizliliği, bütünlüğü ve kullanılabilirliği etkili bir şekilde yönetmek için gerekli bir ön koşul olması sebebi ile güvenlikte önemli bir rol oynar. Hizmet Olarak Kimlik (Identity as a Service – IDaaS) veya bulut kimliği, kuruluşların kimlik yönetimi için bulut hizmetinden yararlanmasına olanak tanır. Web siteleri, işlemler, işlem katılımcıları, müşteriler,… gibi hizmetleri doğrulamak için kullanılan kimlik yönetimi için genel bulut hizmetlerinden yararlanma fikri endişe verici olabilir. Bununla birlikte, tüm güvenlik konularında olduğu gibi, riski artırabilen veya azaltabilen bulut kimliği unsurları vardır.

 

C) IDaaS Kullanım Alanları ve İşlevi

IDaaS’den yararlanmanın en önemli gerekçelerinden biri, kuruluşların bulutta barındırılan uygulamaları ve diğer genele (halka) açık üçüncü taraf uygulamalarını benimsemeye ve bütünleştirmeye devam etmesinden kaynaklanmaktadır. IDaaS satıcılarının çoğu, daha modern kimlik yönetimine ve tek oturum açmaya izin vermek için bu hizmetlerle doğrudan entegre olabilir. Kuruluşlar hâlihazırda iç kimlik yönetimi ve özellikle de can sıkıcı olan hesap / erişim iptali ile mücadele etmektedir. Bu zorluklar, kuruluşların işgücü tarafından yararlanılan genel erişime açık kritik uygulamaları hesaba katması gerektiğinde daha da artmaktadır.

Ağırlıklı olarak bulut tabanlı olan IAM, hizmet olarak yazılım (SaaS) uygulamalarını ve dâhili uygulamaları yönetmek için de kullanılabilir. Gartner‘a göre IDaaS işlevi şunları içerir:

  • Kimlik yönetişimi ve yönetimi (Identity Governance and Administration – IGA): Kullanıcıların bulut uygulamaları ve parola sıfırlama işlevinin sağlanması.
  • Erişim: Kullanıcı kimlik doğrulaması, tek oturum açma ve yetkilendirme sağlaması.
  • İstihbarat: Olayların günlüğe kaydedilmesini ve kimin neye ve ne zaman eriştiği gibi soruları yanıtlayabilecek raporlamayı sağlaması.

 

D) IDaaS Özellikleri ve Faydaları

Çoğu bulut kimliği ve erişim yönetimi sisteminde ortak olan özellikler aşağıdaki gibi sıralanabilir:

  • Tek Oturum Açma (SSO) Kimlik Doğrulaması: Temel hizmetlerden biridir. Sağlanan kimlik bilgilerine göre kullanıcıların kimliğini doğrulayabilme ve ardından her kullanıcının – her bir hizmete tekrar tekrar kimlik bilgileri sağlamak zorunda kalmadan – birden çok (dahili ve harici) hizmete erişmesine izin verme yeteneğidir.
  • Federasyon (Birleşik Kimlik): Kimlik ve yetkilendirme ayarlarının birden çok kimlik yönetimi sisteminden toplandığı ve farklı sistemlerin kullanıcı yeteneklerini ve erişimini tanımlamasına olanak tanıyan yapıdır. Federasyonlarda; kimlik doğrulama ve yetkilendirme, birden çok yetkili kaynak arasında paylaşılan bir sorumluluktur. Birleşik Kimlik (Federasyon), kimlik doğrulama ve çoklu oturum açmanın bir üst kümesidir. Federasyon; SSO ve Web Hizmetleri için bir iletim motoru olarak ilerleme kaydetmiştir. Temel olarak, federasyon mimarisinde, şirketler (daha zorlu bulut sorunlarından biri olan) bulut uygulamaları ve verilerinden yararlanırken, kullanıcı hesaplarının kontrolü ve yönetimi şirket içerisinde sürdürülür.
  • Ayrıntılı Yetkilendirme Kontrolleri: Erişim tipik olarak “ya hep ya hiç” teklifi olmayıp; her kullanıcının bulutta depolanan bir dizi işlev ve veriye erişmesine izin verilir. Yetki haritaları, her bir kullanıcıya hangi kaynakları sağlayacağı konusunda uygulamalara talimat verir. Güvenlik uzmanının her bir kullanıcının erişimi üzerinde ne kadar kontrole sahip olduğu, hem bulut hizmeti sağlayıcısının yeteneklerine, hem de IAM sisteminin yeteneklerine bağlıdır. Daha büyük endüstri eğilimleri, daha hassas erişim kontrolüne ve erişim politikasını koddan mümkün olduğunca kaldırmaya odaklanmaktadır. Başka bir deyişle, roller gereklidir ancak yetkilendirme için yeterli değildir – özniteliklere ihtiyaç vardır.
  • Yönetim: Yöneticiler genellikle kullanıcıları yönetmek ve birden çok hizmette kimliği yönetmek için tek bir yönetim ekranı tercih eder. Çoğu bulut IAM sistemi de bu ihtiyacı destekler, ancak yine de farklı kimlik yetkililerinden veri çekerken farklı uygulamalarda yetkilendirme için ek ayarlamalar yapmak gerekebilir.
  • Dâhili Dizin Hizmetleriyle Entegrasyon: Bulut IAM sistemleri, mevcut çalışan kimliğini, rollerini ve gruplarını bulut hizmetlerine kopyalamak için şirket içi LDAP, AD, IK sistemleri ve diğer hizmetlerle entegrasyona dayanır. Şirket içi IAM hizmetleri, şirket içi kimlik için merkezi otorite olmaya devam ediyor, ancak bulut erişim yönetimi sorumluluğunu bulut IAM hizmetine devretmektedir.
  • Harici Hizmetlerle Entegrasyon: Bir bulut IAM sağlayıcısının temel avantajlarından biri, kendi entegrasyon kodunu yazmaya gerek kalmaması için ortak bulut hizmetlerine bağlayıcılar (connector) sunmasıdır. Yaygın SaaS, PaaS ve IaaS satıcılarına önceden oluşturulmuş bağlantılar sunarak, yeni hizmetlerle entegrasyon hem daha kolay hem de daha hızlıdır.

 

Ek yetenekler arasında çok faktörlü kimlik doğrulama desteği, mobil kullanıcı entegrasyonu ve birden çok kullanıcı personeli için destek bulunabilir. Bu özellikler, geleneksel kimlik yönetimini bulut hizmetlerine bağlamaya yardımcı olur.

 

E) Karşılaşılan Sorunlar

IDaaS ile birçok soruna karşı çözüm sağlanmaktadır. Ancak satıcılar bu sorunları çözmeye çalışırken, bulut IAM aynı derecede dikkat çekmeyen birkaç yeni sorunu da açığa çıkarmaktadır. Bu sorunlardan başlıca olanları aşağıdaki gibi sıralanabilir.

  • API (Application Programming Interface): IAM satıcıları en yaygın bulut hizmetlerine bağlayıcılar (connector) sunarken, ihtiyaç duyulan tüm bağlayıcıları sağlama olasılıkları düşüktür. Güvenlik mimarlarının, özel bir bağlayıcı oluşturmak için kendi IAM tedarikçisiyle kendi entegrasyonlarını veya sözleşmelerini sağlamaları gerekecektir. Bu, üçüncü taraf geliştiricileri işe alma ve onlara sınırlı erişim hakları verme gibi ek zorlukları ortaya çıkarır.
  • Yetki Eşlemesi: Rol ve öznitelik gibi yetkilendirme kurallarını belirlemenin birçok olası yolu vardır. Kuruluşta hâlihazırda yürürlükte olan mevcut erişim kurallarının bir bulut hizmet sağlayıcısı için yeniden yazılması gerekebilir.
  • Denetim: Şirket içi sistemler, uyumluluk raporları üretmek ve güvenlikle ilgili olayların izlenmesini ve algılanmasını sağlamak için log (günlük / kayıt) yönetimi ve SIEM sistemlerine bağlanabilir. Bulut hizmeti sağlayıcılarından denetim kayıtlarını almak, ilgili kayıtların diğer müşterilerle ilgili verileri ifşa edebilmesi nedeni ile sorunlu olmaya devam etmektedir.
  • Gizlilik: Kullanıcılar, kullanıcı özellikleri ve diğer bilgiler kurumsal ağın dışına ve bir veya daha fazla bulut veri havuzuna gönderilir. Harici havuzlar için güvenlik ve gizlilik kontrolleri, güvenlik uygulayıcısının tam olarak kontrolü altında değildir, bu nedenle güvenlik mimarının, satıcının ne yaptığını ve ne sağlamadığını keşfetmesi gerekir.
  • Gecikme (Latency): Kural değişikliklerinin dâhili IAM’den, bulut IAM’ye yayılması biraz zaman alabilir. Örneğin, bir çalışanın iş sözleşmesinin feshedilmesi veya erişim hakları düşürülürse, dâhili kural değişikliği ile bulut hizmetinin değişikliği uyguladığı zaman arasında bir gecikme olabilir. Gecikme, hem IAM sağlayıcısı hem de bulut hizmeti sağlayıcısı ile görüşülmesi gereken bir konudur.
  • Uygulama Kimliği Doğrulama (App Identity): Kullanıcı, oturum açtıktan sonra, bu kişinin kullandığı uygulamayı da doğrulamak gerekebilir veya ortamda belki de hiç kullanıcı olmadan yalnızca ara yazılım kullanılıyor da olabilir. Bu uygulamaların da doğrulanması gereklidir. Bugün birçok orta güçte kimlik doğrulamalı uygulamalar, servis çağırmada bile istemciyi doğrulayamamaktadır.
  • Mobil Kullanımı: Güvenlik ekipleri, bulut ve mobil cihaz dalgalarının etkilerini hâlâ özümsemeye devam ediyor, ancak bu teknoloji tam oturmadığından; hazırlanacak yepyeni bir paradigma daha var. Bulut istemcilerin mobil cihaz olma olasılığı çok yüksek olması sebebi ile mobil ve bulut karması veya Bring Your Own Cloud (BYOC) oldukça önemlidir. Sonuç olarak, bu durum, güvenlik mimarı/uygulayıcı/profesyonel için yönetilecek başka bir hesap sistemi ve etki alanı olduğu anlamına gelir.

 

F) IDaaS ve Güvenlik

IDaaS, daha geniş katmanlı bir güvenlik stratejisinin bir bileşenidir. Kullanıcı kimlik bilgilerini oluşturma ve bunları belirli izin paketlerine atama açısından yönetimi birincil sorumluluğudur. Bu koşul bir kullanıcının bir kuruluş içinde sahip olduğu role veya rollere dayanır. IDaaS ayrıca, belirli uygulamalar arasındaki federe bağlantıları koordine etmenin yanı sıra, parolaları ve bunların kuruluş genelinde senkronizasyonunu da yönetir. Kimlik yönetiminde belirtilen kuralları uygulayan erişim yönetimidir (SaaS ve Web tekli oturum açma, çok faktörlü yetkilendirme).

Güvenlik uzmanının, IDaaS’yi kuruluştaki kimlik yönetimine genel yaklaşımın bir parçası olarak dikkate alması gerekecektir. IDaaS uygulamaları, aşağıda belirtildiği gibi genel olarak kendilerini bir takım alanlarda farklılaştırıyor olarak görülebilir.

  • Çözüm Kapsamı: Güvenlik uzmanının, önerilen IDaaS teklifinin yerini alacağı kurum içi teknolojilerin ve süreçlerin listesini göz önünde bulundurması gerekecektir. Kavramsal olarak IDaaS, bir kuruluşun kurması gereken kimlik yönetimi altyapısının olabildiğince fazlasını boşaltmaya çalışır. Ancak, benzersiz gereksinimleri olan kuruluşlar, daha hibrit bir model için bazı içerikleri şirket içinde tutma esnekliği isteyebilir.
  • Asıl Amaç: IDaaS ürünleri genellikle bir müşteri veya müşteri türünün karşılaştığı, belirli zorlukları çözmek için geliştirilir. Örneğin bazıları bir şirketin büyüklüğüne genel bir yaklaşım benimserken, diğerleri sağlık hizmetleri gibi belirli pazar segmentlerine hitap eder. Genel olarak, dikey olarak geliştirilen çözümler, geniş bir izleyici kitlesine daha az uygulanabilir, ancak amaçlandıkları senaryoda daha güçlü olacaktır. Bazıları yakınsama kolaylığına odaklanırken, diğerleri derinlik ve esnekliğe yönelir.
  • Kullanılan Teknoloji ve Uygulama: IDaaS kategorik olarak buluta ait olsa da; her uygulama, güvenlik mimarının ve ilgili uzmanın onu kurmak, kullanmak ve önceden belirlenmiş politikaları benimsemek için özel bir yaklaşım benimsemesini gerektirebilir. Ek olarak, nesnelerin nasıl bütünleştiği, bunu ne kadar iyi yaptığı ve hizmetlerinde barındırılan veya barındırılmayan üçüncü taraf bileşenleri de değişebilir. Hangi IDaaS teklifinin en iyi uyumu sağlayacağını belirlemek için çözüm gereksinimlerini tamamen geliştirmek çok önemlidir. Ek olarak, güvenlik aktörlerinin, IDaaS’nin hem geleneksel hem de bulut tabanlı mevcut sistem mimarilerine getirebileceği ek karmaşıklığın etkisini tam olarak anlaması gerekir.
  • Sertifikasyon: Belki de kimlik bilgisi pazarındaki en yaygın yanlış anlama, sertifikasyonun otomatik olarak orantılı bir güvenlik düzeyine eşit olduğu varsayımıdır. Sertifikalar bir dizi kriterin karşılandığını doğrulamakla birlikte, güvenlik dinamiktir ve sertifikalar genellikle dardır. Gerçek şu ki, sertifikalar, güvenlik mimarı tarafından güvenliğin genel başarısı olarak değil, asgari bir başlangıç noktası olarak görülmelidir.
  • Standartlar: Standartların sistem işlemleri üzerinde önemli etkileri olabilir. Bu nedenle, güvenlik mimarları, eğer varsa, hem kısa hem de uzun vadede işleri için hangi standartların anlamlı olduğu konusunda özenli bir inceleme yapmalıdır.

 

G) IDaaS Seçimi

Kuruluş genelinde güvenli ve uygun maliyetli bir şekilde uygulanabilmesi için bir IDaaS teklifinin çeşitli yönlerine güvenlik mimarı/uygulayıcı/profesyonelin aşina olmaları gerekecektir. Faaliyetlerine odaklanmalarına yardımcı olacak öneriler aşağıdaki gibi sıralanabilir:

  • Basit maliyet azaltmanın ötesine bakın. Kuruluşun boyutu anahtardır. Küçük ve orta ölçekli kuruluşlar için, en pahalı IDaaS çözümü bile kimlik yönetimini yürütmek için şirket içi bir çözümden muhtemelen daha ucuz olacaktır. Ayrıca IDaaS ile maliyetler, kalıcı lisanslama ve arka uç altyapı maliyetleriyle peşin olarak yığılmak yerine yıllık olarak yayılır. Ancak on binlerce kullanıcısı olan çok büyük kuruluşlar için bu sayılar eşitliğe ulaşmaya başlar. Şirket içi bir model için daha az harcama yapabilen büyük kuruluşların, satın alınan varlıkların amortismanına tabi tutulmasıyla karşılaştırıldığında hizmetlerin nasıl muhasebeleştirileceği konusunda finansal faydalar sağlayabileceği için yine de IDaaS’yi seçebileceğini belirtmek önemlidir. Güvenlik mimarının bu sorunların farkında olması ve kimlik yönetimi mimarisinin ilk planlama aşamasında bunları ele alması önemlidir.
  • Hem maddi hem de maddi olmayan varlıklara odaklanın. IDaaS’nin tüm amacı, kullanıcıları ve operatörleri alttaki düşük seviyeli bileşenlerden çıkarmaktır, böylece olan bitenin çoğu kolayca görülemez. Örneğin, çözümün bir anahtar yönetimi işlevi olabilir, ancak temel malzemenin nasıl işlendiği veya hizmetin bir donanım güvenlik modülü kullanıp kullanmadığı nasıl anlaşılır? Mimarlar tek başına özelliklere göre gidemez; teklifin uygulanmasının doğasında var olan riskleri ve faydaları anlamalarını sağlamak için belirli bir teklife hem görünür hem de gözden uzak bir şekilde neyin dâhil edildiğini bilmek için maddi olmayan varlıkları araştırmaları gerekecektir.
  • Ürün karşılaştırmalarını sabitlemekten kaçının. Ürünleri birbirleriyle karşılaştırmak bir zorunluluktur, ancak çoğu zaman güvenlik uzmanları bu konuya odaklanırlar ve gereksinimlerinin ve kıyaslamalarının net bir tanımını geliştirmeyi gözden kaçırırlar. Karşılaştırmalar görecelidir ancak katı iç gereksinimlere karşı oldukça şeffaftır.
  • Anahtar teslimi varsayımın kurbanı olmayın. Mimarlar genellikle, IDaaS’nin büyük bir altyapı dağıtımını ortadan kaldırması nedeniyle, bir anahtarı çevirip gidebileceklerini varsayarlar. Hizmet gerçekten kullanıma hazır, çoklu kiralı bir sistemse bu kısmen doğrudur. Ancak, iş akışlarına karar vermek, politikaları belirlemek, müşterilere iletmek, kalite güvencesini sağlamak, bir bildirim ve destek süreci oluşturmak ve hizmeti altyapınıza entegre etmek zaman alabilir. Altyapılarını nasıl güvence altına aldıklarının tam olarak anlaşılmasını sağlamak için hizmet sağlayıcılarla ilgili durum tespiti yapmak da zaman alır. Planlama, kaynakları hizalama ve bunları yapmak için onay alma arasında, başlangıçtaki sınırlı üretim ortamının ötesine geçmenin mümkün olması birkaç ay sürebilir.

 

Kaynaklar:

https://www.amazon.com/CISSP-All-One-Guide-Eighth-ebook/dp/B07J1JQSJY

https://medium.com/blinking/what-is-idaas-and-why-do-we-need-it-85cace26f875

IAM Vs IDaaS


https://www.esecurityplanet.com/products/top-iam-products.html

 

 

 

 

1 YORUM

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

This site uses Akismet to reduce spam. Learn how your comment data is processed.