Merhabalar
Bu konumda sizlere erişim denetim türlerinden ve erişim kontrol stratejilerinden bahsedeceğim. Erişim denetim türlerini 3 alt başlıkta ve erişim kontrol stratejilerini ise 4 alt başlıkta inceleyeceğim.
Konumuza geçecek olursak;
Erişim Denetimi Türleri
1 - Fiziksel Erişim Denetimleri
Fiziksel erişim denetimleri, sistemlerle doğrudan teması önlemek için kullanılan gerçek engellerdir. Amaç, yetkisiz kullanıcıların tesislere, ekipmana ve diğer kuruluş varlıklarına fiziksel erişim kazanmalarını önlemektir.
Fiziksel erişim denetimleri, kimin girip-kimin giremeyeceğini, nereye girip-nereye giremeyeceğini ve ne zaman girip-ne zaman giremeyeceğini belirler.
Fiziksel erişim denetimlerine örnek olarak;
- Korumalar — Tesisi izler.
- Çitler — Çevreyi korur.
- Hareket dedektörleri — Hareketli nesneleri algılar.
- Dizüstü bilgisayar kilitleri — Taşınabilir ekipmanı korur.
- Kilitli kapılar — Yetkisiz erişimi önler.
- Kaydırma kartları — Kısıtlı alanlara erişime izin verir.
- Bekçi köpekleri — Tesisi korur.
- Video kameralar — Görüntü toplayarak ve kaydederek bir tesisi izler.
- İzinsiz giriş tuzakları — Ana verilerin olduğu bölüme erişmek için 2 kapılı bir yoldan geçmek gerektiğini düşünelim. 1. Kapı kapandıktan sonra diğer alanlara erişime izin verilir.
- Alarmlar — İzinsiz girişleri tespit eder.
2 - Mantıksal Erişim Denetimleri
Mantıksal erişim denetimleri, kaynaklara ve sistemlere erişimi yönetmek için kullanılan donanım ve yazılım çözümleridir. Bu teknoloji tabanlı çözümler, bilgisayar sistemlerinin tanımlama, kimlik doğrulama ve yetkilendirme için kullanılan araçları ve protokolleri içerir.
Mantıksal erişim denetimleri şunlardır;
- Şifreleme — Düz metin alma ve şifreli metin oluşturma işlemidir.
- Akıllı kartlar — Gömülü bir mikroçip bulunur.
- Parolalar — Korumalı karakter dizesidir.
- Erişim Denetim Listeleri — Bir ağda izin verilen trafik türünü tanımlar.
- Protokoller — Cihazlar arasında veri alışverişini yöneten bir kurallar bütünüdür.
- Güvenlik duvarları — İstenmeyen ağ trafiğini önler.
- Yönlendiriciler — En az iki ağa bağlanır.
- Saldırı Tespit Sistemleri — Şüpheli faaliyetler için bir ağı izler.
3 - Yönetimsel Erişim Denetimleri
Yönetimsel erişim denetimleri, kuruluşlar tarafından yetkisiz erişimi denetlemenin tüm yönlerini uygulamak için tanımlanan ilke ve prosedürlerdir. İdari kontroller personel ve iş uygulamalarına odaklanır.
Yönetimsel erişim denetimleri şunlardır;
- Prosedürler — Bir etkinliği gerçekleştirmek için gereken ayrıntılı adımlardır.
- İşe alım uygulamaları — Bir kuruluşun nitelikli çalışanları bulmak için attığı adımları içerir.
- Arka plan kontrolleri — Geçmiş istihdam doğrulaması, kredi geçmişi ve suç geçmişi bilgilerini içeren bir istihdam taramasıdır.
- Veri sınıflandırması — Verileri hassasiyetine göre sınıflandırır.
- Güvenlik eğitimi — Çalışanları bir kuruluştaki güvenlik politikaları hakkında eğitir.
- İncelemeler — Bir çalışanın iş performansını değerlendirir.
Erişim Kontrol Stratejileri
1 - Zorunlu Erişim Kontrolü
Zorunlu erişim denetimi "Mandatory access control" (MAC), bir nesnenin başka bir nesne üzerinde gerçekleştirebileceği eylemleri kısıtlar. Konu bir kullanıcı veya süreç olabilir. Bir nesne bir dosya, bir bağlantı noktası veya bir giriş / çıkış aygıtı olabilir. Yetkilendirme kuralı, bir öznenin nesneye erişip erişemeyeceğini belirler.
Kuruluşlar, farklı düzeylerde güvenlik sınıflandırmalarının bulunduğu yerlerde MAC kullanır. Her nesnenin bir etiketi vardır ve her nesnenin bir izni vardır. Bir MAC sistemi, nesnenin güvenlik sınıflandırmasına ve kullanıcıya ekli etikete dayalı olarak bir konuyu kısıtlar.
2 - İsteğe Bağlı Erişim Kontrolü
Bir nesnenin sahibi, isteğe bağlı erişim denetimi (DAC) olan bir nesneye erişime izin verilip verilmeyeceğini belirler. DAC, nesnenin sahibi tarafından belirlenen nesneye erişim izni verir veya kısıtlar. Adından da anlaşılacağı gibi, denetimler isteğe bağlıdır, çünkü belirli erişim izinlerine sahip bir nesne sahibi bu izinleri başka bir konuya aktarabilir.
İsteğe bağlı erişim denetimleri kullanan sistemlerde, bir nesnenin sahibi hangi nesnelerin o nesneye erişebileceğine ve hangi özel erişime sahip olabileceğine karar verebilir. Bunu yapmak için en çok kullanılan yöntem izinlerine sahip olur. Dosya sahibi, diğer kullanıcıların hangi izinlere (okuma/yazma/yürütme) sahip olabileceğini belirtebilir.
Erişim denetim listeleri, isteğe bağlı erişim denetimini uygulamak için kullanılan başka bir yaygın mekanizmadır. Erişim denetim listesi, bir ağa hangi trafiğin girebileceğini veya çıkabileceğini belirlemek için kurallar kullanır.
3 - Rol Tabanlı Erişim Kontrolü
Rol tabanlı erişim denetimi (RBAC) konunun rolüne bağlıdır. Roller, bir kuruluş içindeki işlerin, işlevleridir. Belirli roller, belirli işlemleri gerçekleştirmek için izinler gerektirir. Kullanıcılar rolleriyle izinler alırlar.
RBAC, herhangi birinin ilkelerini uygulayarak DAC veya MAC ile birlikte çalışabilir. RBAC, yüzlerce kullanıcısı ve binlerce olası izni olan büyük kuruluşlarda güvenlik yönetiminin uygulanmasına yardımcı olur. Kuruluşlar, bir sistem veya uygulama içindeki bilgisayar izinlerini yönetmek için RBAC kullanımını yaygın olarak en iyi uygulama olarak kabul eder.
4 - Kural Tabanlı Erişim Kontrolü
Kural tabanlı erişim denetimi, erişim verilip verilmeyeceğini belirlemeye yardımcı olmak için erişim denetim listelerini (ACL) kullanır. ACL'de bir dizi kural bulunur. Erişim verilip verilmeyeceğinin belirlenmesi bu kurallara bağlıdır. Bu kurallara dair bir örnek vercek olursak eğer; hiçbir çalışanın mesai saatleri dışında veya hafta sonları bordro dosyasına erişemeyeceğini belirten bir kuraldır.
Mac'te olduğu gibi, kullanıcılar erişim kurallarını değiştiremez. Kuruluşlar, kural tabanlı erişim denetimini erişim kısıtlamalarını uygulamak için diğer stratejilerle birleştirebilir. Örneğin, MAC yöntemleri uygulama için kural tabanlı bir yaklaşım kullanabilir.
Buraya kadar okuduğunuz için teşekkür eder, iyi forumlar dilerim.
Son düzenleme:
