Günümüzde dijital ortamlarda kimlik ve erişim yönetimi (IAM), iş süreçlerinin temel omurgasını oluşturmaktadır. Ancak büyüyen organizasyonlarda, bu kimlikleri korumaya yönelik kontroller çoğu zaman mevcut hız ve karmaşıklığı yakalayamamaktadır.
Sorun: Erişimi Ölçeklemek, Riski Ölçeklemektir
Stephen McKenna, Tines’te IT Operasyon Teknisyeni, “Erişimi ölçeklemek, riski ölçeklemektir” diyerek önemli bir noktaya değiniyor. Her “katılımcı, hareket eden veya ayrılan” olay, bir dizi değişikliği tetikler.
Pek çok organizasyonda bu değişiklikler, çeşitli sistemler arasında manuel olarak yönetilmektedir. Bazı uygulamalar Tek Oturum Açma (SSO) ile hızlı bir şekilde bağlanırken, diğerleri manuel dağıtım gerektirmektedir.
Bir kullanıcı geçici erişim (Just-In-Time – JIT) ihtiyacı olduğunda, örneğin bir geliştirici hataları düzeltmek için üretim erişimine ihtiyaç duyduğunda veya bir yüklenici belirli bir projeye erişim gerektiğinde, süreç genellikle şu şekilde işler:
- Yavaş Yanıt Süreleri: Kullanıcı bir talep gönderir ve analistin onu görmesi için sırada bekler.
- Sürekli Ayrıcalık Artışı: Erişim tanındığında, analistler genellikle bunu iptal etmeyi unutur. “Geçici” erişim kalıcı hale gelerek saldırganların faydalanabileceği bir ayrıcalık birikmesine yol açar.
- Denetim Kabusları: Erişimi kimlerin onayladığı, ne zaman verildiği ve ne zaman iptal edildiği ile ilgili veriler e-postalar, Slack mesajları ve bilet yorumları arasında dağılır.
Çözüm: Otomatik, Süreli Dağıtım
Geçici Uygulama Erişimi Verme İş Akışı, JIT erişim talebinin tüm yaşam döngüsünü otomatikleştirir. Jira Software, Okta ve Slack gibi araçları koordine ederek, erişimin hızlı bir şekilde verilmesini, uygun şekilde onaylanmasını ve özellikle süresi dolduğunda otomatik olarak iptal edilmesini sağlar.
İş akışının nasıl çalıştığına dair genel bir bakış:
- Kendi Kendine Hizmet Talebi: Kullanıcı bir e-posta ya da DM göndermek yerine, basit bir sürükle-bırak web formu olan Tines Sayfasını ziyaret eder. Gerekli uygulamayı (örn. “AWS Üretim Konsolu”) ve gerekli erişim süresini (örn. “2 saat”) seçer.
- Otomatik Onay Yönlendirme: Talep gönderildiğinde, Tines otomatik olarak kullanıcının yöneticisini veya uygulama sahibini tanımlar. Bu onaylayıcıya, isteğin detaylarını ve “Onayla” veya “Reddet” butonlarını içeren bir bildirim gönderir.
- Anında Dağıtım: Onaylanırsa, iş akışı bir API çağrısı yaparak kullanıcının Okta ile ilişkilendirilmiş gruba eklenmesini sağlar. Bu işlem anında gerçekleşir; IT yöneticileri manuel olarak bir şey yapmak zorunda kalmaz.
- “Zaman Aşımı”: Bu, kritik bir güvenlik adımıdır. İş akışı, kullanıcının belirttiği süre boyunca “bekleme” durumuna geçer.
- Otomatik İptal: Süre dolduğunda, Tines, kullanıcıyı gruptan çıkartarak erişimi iptal eder ve ilgili Jira biletini “Kapalı” olarak güncelleyerek kullanıcıyı bilgilendirir.
Faydalar
Bu akıllı iş akışının uygulanması, üç ana alanda hemen değer getirir:
- Uygulanan En Az Ayrıcalık: Erişimin otomatik olarak iptal edilmesi sayesinde, “kalıcı hesaplar” riski ortadan kalkar. Erişim yalnızca gerekli olan süreyle sınırlı tutulur.
- Denetime Hazır Uyum: Her aşama – talep, onay, dağıtım ve iptal – otomatik olarak Jira’da kaydedilir. Denetçiler erişim kontrollerinin kanıtını talep ettiğinde, ispat için tek bir kaynak sunarsınız.
- Geliştirilmiş Kullanıcı Deneyimi: Kullanıcılar erişimi dakikalar içinde alırken, günler değil. Bir yöneticinin öğle yemeğinden dönmesini beklemek zorunda kalmazlar.
- Verimlilik: IT analistleri, kullanıcıları gruplara ekleme ve çıkarma gibi tekrarlayan “tıklama” işlerinden kurtulurlar ve daha değerli güvenlik görevlerine odaklanabilirler.
İş Akışını Yapılandırmak
Bu iş akışına sıfırdan başlamanıza gerek yok. Tines Kütüphanesinde önceden hazırlanmış bir hikaye olarak mevcut.
- Adım 1: Hikayeyi İçe Aktarma: Tines Kütüphanesini ziyaret edin ve Geçici uygulama erişimi verme hikayesini aratın. Şablonu gördüğünüzde “İçe Aktar” butonuna tıklayın.
- Adım 2: Araçlarınızı Bağlayın: Bu iş akışı, dış araçlarla iletişim kurmak için Kimlik Bilgilerine dayanır. Bağlamanız gereken araçlar:
- Okta: Grup üyeliklerini yönetmek için.
- Jira Software: Talepleri ve onayları takip etmek için.
- Slack: Bildirimler ve etkileşimli onay mesajları için.
- Adım 3: Tines Sayfasını Yapılandırın: İş akışındaki “Sayfa” öğesini açın. Form alanlarını kurumsal uygulamalarınıza uygun şekilde özelleştirin. Örneğin, “Salesforce Yönetici”, “AWS Yazma Erişimi” ve “GitHub Yönetici” gibi bir açılır menü oluşturabilirsiniz.
- Adım 4: Politikalarınızı Belirleyin: İş akışını, güvenlik politikalarınıza göre ayarlayın. Süreyi en fazla 4 saat ile sınırlamak veya yüksek hassasiyetteki uygulamalar için ikinci bir onay talep etmek isteyebilirsiniz. Tines’in esnekliği sayesinde, ek mantık bloklarını sürükleyip bırakmak mümkündür.
- Adım 5: Test Edin ve Yayınlayın: Slack bildirimlerinin çalışıp çalışmadığını ve Okta grup değişikliklerinin beklendiği gibi gerçekleştiğini test edin. Kontrol ettikten sonra, Sayfayı yayınlayın ve bağlantıyı ekibinizle paylaşın.
Bu iş akışını denemek için ücretsiz Tines hesabı alabilirsiniz.
Bu içerik Tines tarafından yazılmıştır ve sponsorlu bir içeriktir.
