EN ÇOK OKUNAN HABERLER
Haberler Yükleniyor...
E-BÜLTENİMİZE ABONE OLUN!
Sektördeki son haberleri takip etmek
için ücretsiz haftalık bültenimize
abone olun...
Sektörden İş Fırsatları
Güvenlik sektöründeki iş fırsatlarını buradan takip edebilirsiniz! Aradığınız kariyer fırsatları burada...
HABER DETAYI
Erişim Kontrolü Türleri Nelerdir?
Hangi erişim yöntemi hangi senaryolar için en iyi? Şimdi öğrenin!
Erişim kontrol sistemleri, her boyuttaki ve arka plandaki organizasyonlar için paha biçilemez bir yöntemdir. Her türden kuruluşa uyum sağlamak için, her bir kuruluşun kendine özgü gereksinimlerine göre yapılandırılabilen birkaç farklı erişim denetimi protokolü vardır. Erişim kontrol protokolleri genellikle 3 ana kategoriye ayrılmıştır:
- Zorunlu Erişim Kontrolü
- İsteğe Bağlı Erişim Kontrolü
- Rol Tabanlı Erişim Denetimi
Şimdilerde 4. bir yöntem olarak Kural Tabanlı Erişim Kontrolü popüler hale gelmeye başladı. Peki, bu erişim kontrol protokollerinin her biri, kullanıcılara ve yöneticilere ne gibi avantajlar sağlıyor?
İsteğe bağlı erişim denetiminin yararı, yöneticinin izinleri kolayca ve hızlı bir şekilde yapılandırabilmesi, kimin içeri girip girmediğine ve neyi uygun gördüklerine göre karar verebilmesidir. Dezavantajı ise listeye girememesi gereken uygunsuz kullanıcılara erişim hakkı verebilen, liste yöneticisine çok fazla yetki vermesidir. Ayrıca, kullanıcının izinleri genellikle işletim sistemindeki diğer programlarda devralındığı için, sistemi, kullanıcının bilgisi olmadan sisteme sızabilen kötü amaçlı yazılımlara (Truva atları gibi) karşı savunmasız bırakır.
Zorunlu erişim kontrolünde tüm kullanıcılar izinlerine göre sınıflandırılır, etiketlenir ve sadece belirli sınıflandırma düzeylerine göre belirli noktalara girmek, erişmek ve çıkmak için izinler alırlar. Sistem yöneticisinin bir kullanıcıya üst düzey bir erişim sağlamak istemesi durumunda, bir önceki sınıflandırmaya kendi profillerinde henüz belirtilmemiş herhangi bir izin verilemeyeceğinden, genellikle bu kullanıcı için yeni bir profil ve kimlik bilgisi oluşturmaları gerekir.
Zorunlu erişim kontrolü, askeri ve devlet tesisleri gibi kısıtlamaların yanı sıra güvenlik ve gizliliğin çok önemli olduğu, yüksek güvenlik gerektiren tesisler ve kuruluşlar için ideal bir yöntemdir.
Bu erişim denetimi biçiminin yararı, özellikle uygun izinlerle önceden tanımlanmış rolleri kurmak zorunda olan sistem yöneticisi için kurulum ve kullanımının oldukça basit olmasıdır. Bununla birlikte, sınırlamalar, bir kullanıcının bir veya daha fazla geçici izinlere ihtiyaç duyması halinde, yöneticinin, önceden tanımlanmış rollerinin dışında izin vermesi gerekir.
RBAC, kullanıcılar arasındaki kuralların ve izinlerin daha dinamik ve değişme eğiliminde olduğu bulut tabanlı erişim kontrol sistemleri için mükemmel bir seçenektir.
Bu erişim denetimi şekli, hesap verebilirliği güçlendirmek ve çalışanların belirli tesislere ne zaman ve nerede erişebileceğini kontrol etmek için iyi yöntemdir. İzinlerin ve kuralların dinamik olması çok yararlıdır ve sistem yöneticisinin ortaya çıkabilecek herhangi bir sayıda durum ve ihtiyaç için özelleştirmesine izin verir. İzin, herhangi bir kombinasyon kriterinde belirlenebilir ve neredeyse her sayıdaki benzersiz durum için sayısız konfigürasyona izin verir.
- Zorunlu Erişim Kontrolü
- İsteğe Bağlı Erişim Kontrolü
- Rol Tabanlı Erişim Denetimi
Şimdilerde 4. bir yöntem olarak Kural Tabanlı Erişim Kontrolü popüler hale gelmeye başladı. Peki, bu erişim kontrol protokollerinin her biri, kullanıcılara ve yöneticilere ne gibi avantajlar sağlıyor?
İsteğe Bağlı Erişim Kontrolü
İsteğe bağlı erişim kontrolü, erişim kontrolü sistemlerinin en az kısıtlayıcı şeklidir ve sistem yöneticisi, sistemde kimlerin erişim ve izinlere sahip olduğu konusunda tam denetime sahiptir. İsteğe bağlı erişim genellikle Windows gibi yaygın işletim sistemlerini çalıştırır ve belirli noktalara erişimi belirlemek için ‘’Erişim Denetimi Listeleri’’ ve grup üyeliğini kullandığından yapılandırılması ve denetlenmesi kolaydır.İsteğe bağlı erişim denetiminin yararı, yöneticinin izinleri kolayca ve hızlı bir şekilde yapılandırabilmesi, kimin içeri girip girmediğine ve neyi uygun gördüklerine göre karar verebilmesidir. Dezavantajı ise listeye girememesi gereken uygunsuz kullanıcılara erişim hakkı verebilen, liste yöneticisine çok fazla yetki vermesidir. Ayrıca, kullanıcının izinleri genellikle işletim sistemindeki diğer programlarda devralındığı için, sistemi, kullanıcının bilgisi olmadan sisteme sızabilen kötü amaçlı yazılımlara (Truva atları gibi) karşı savunmasız bırakır.
Zorunlu Erişim Kontrolü
Diğer yandan, zorunlu erişim kontrolü, sistemin ve erişim noktalarının sadece sistem yöneticisine kontrol ve yönetim izni sağladığından, erişim denetiminin en kısıtlayıcı şeklidir. Son kullanıcılar ve çalışanlar izinler veya erişim üzerinde herhangi bir kontrole sahip değildir ve sadece sistem sahibi tarafından kendilerine atanan izinlere erişebilir. Ayrıca, yönetici sadece sistem parametreleri tarafından belirlenen ve bu şekilde programlanan ayarları değiştirebilir.Zorunlu erişim kontrolünde tüm kullanıcılar izinlerine göre sınıflandırılır, etiketlenir ve sadece belirli sınıflandırma düzeylerine göre belirli noktalara girmek, erişmek ve çıkmak için izinler alırlar. Sistem yöneticisinin bir kullanıcıya üst düzey bir erişim sağlamak istemesi durumunda, bir önceki sınıflandırmaya kendi profillerinde henüz belirtilmemiş herhangi bir izin verilemeyeceğinden, genellikle bu kullanıcı için yeni bir profil ve kimlik bilgisi oluşturmaları gerekir.
Zorunlu erişim kontrolü, askeri ve devlet tesisleri gibi kısıtlamaların yanı sıra güvenlik ve gizliliğin çok önemli olduğu, yüksek güvenlik gerektiren tesisler ve kuruluşlar için ideal bir yöntemdir.
Rol Tabanlı Erişim Kontrolü
Rol tabanlı erişim kontrolü (RBAC) isteğe bağlı olmayan erişim denetimi olarak da bilinir ve yaygın kullanılan biçimlerden biridir. RBAC, bir kullanıcının kuruluş içinde sahip olduğu konuma veya role göre izin atar ve bu önceden tanımlanmış roller, uygun izinlere sahiptir. Örneğin, bir kullanıcı “Proje Mühendisi” olarak sınıflandırılmışsa, bunlar sistem içindeki Proje Mühendislerine ait izinleri otomatik olarak alacaktır.Bu erişim denetimi biçiminin yararı, özellikle uygun izinlerle önceden tanımlanmış rolleri kurmak zorunda olan sistem yöneticisi için kurulum ve kullanımının oldukça basit olmasıdır. Bununla birlikte, sınırlamalar, bir kullanıcının bir veya daha fazla geçici izinlere ihtiyaç duyması halinde, yöneticinin, önceden tanımlanmış rollerinin dışında izin vermesi gerekir.
RBAC, kullanıcılar arasındaki kuralların ve izinlerin daha dinamik ve değişme eğiliminde olduğu bulut tabanlı erişim kontrol sistemleri için mükemmel bir seçenektir.
Kural tabanlı erişim kontrolü
Son popüler yöntem ise kural tabanlı erişim kontrolüdür. Kural tabanlı erişim, sistem yöneticilerinin, günün belirli zamanlarına, kullanıcının belirli bir konumda olmasına veya kullanılan cihaza göre erişimi kısıtlama gibi hallerde özel izinler ve sınırlamalar koymalarını sağlar. İzinler, önceki erişim denemeleri, son gerçekleştirilen eylem ve gerekli eylem sayısına göre belirlenebilir.Bu erişim denetimi şekli, hesap verebilirliği güçlendirmek ve çalışanların belirli tesislere ne zaman ve nerede erişebileceğini kontrol etmek için iyi yöntemdir. İzinlerin ve kuralların dinamik olması çok yararlıdır ve sistem yöneticisinin ortaya çıkabilecek herhangi bir sayıda durum ve ihtiyaç için özelleştirmesine izin verir. İzin, herhangi bir kombinasyon kriterinde belirlenebilir ve neredeyse her sayıdaki benzersiz durum için sayısız konfigürasyona izin verir.
Bu Haberin Yorumları
Yorum Yazın
Yorum Yazın
