Günümüz BT altyapılarında, firewall’lardan sunuculara, kritik iş uygulamalarından ağ cihazlarına kadar sayısız sistemi web arayüzleri üzerinden yönetiyoruz. Peki, bu kritik arayüzlere erişim ne kadar güvenli? Özellikle dış danışmanların veya kendi ekibimizin bu sistemlere doğrudan erişmesi, hem denetim zorlukları yaratıyor hem de ciddi güvenlik riskleri oluşturuyor.
Vitel Çözüm Mimarlığı ekibi olarak, ManageEngine PAM360’ın bu soruna getirdiği yenilikçi çözüm olan HTTPS Gateway özelliğini ve alternatif erişim metotlarını sizler için derinlemesine inceledik. Bu yazıda, hangi senaryoda hangi yöntemin neden daha güvenli olduğunu net bir şekilde anlayacaksınız.
Güvenli Erişimde Farklı Yaklaşımlar: Üç Temel Metot
PAM360, web tabanlı kaynaklara erişim için temelde üç farklı yöntem sunar. Her birinin kendine özgü avantajları ve kullanım senaryoları bulunur.
Web Site Connection : Bu en temel yöntemdir. Kullanıcı, tarayıcısına kurduğu PAM360 eklentisi sayesinde hedef web sitesine erişir. Eklenti, PAM360 kasasında güvenle saklanan kullanıcı adı ve parolayı otomatik olarak doldurarak hızlı bir şekilde oturum açılmasını sağlar. Ayrıca tarayıcı eklentisi sayeesinde video kaydı alınabilir.
- Çalışma Mantığı: Kullanıcının bilgisayarı, hedef web uygulamasına doğrudan bir ağ bağlantısı kurar.
- Doğrudan dış dünyaya yayın yapmakta olan web sayfaları için ideal olabilir.
HTTPS Gateway : İşte bu, oyunun kurallarını değiştiren bir özellik. HTTPS Gateway, PAM360’ı bir “atlama sunucusu” (jump host) veya güvenli bir proxy gibi konumlandırır. Kullanıcı artık hedefe doğrudan bağlanmaz; önce PAM360’a bağlanır, PAM360 ise onun adına hedef sisteme güvenli bir tünel açar.
- Çalışma Mantığı: Kullanıcı -> PAM360 -> Hedef Web Uygulaması. Tüm trafik PAM360 üzerinden akar.
- En Büyük Avantajları:
- Ağ Segmentasyonu: Kullanıcıların kritik web arayüzlerine doğrudan erişimini tamamen engelleyebilirsiniz. Firewall veya ağ cihazlarınızda, bu sistemlere sadece PAM360 sunucusunun IP adresinden erişim izni vererek tam bir izolasyon sağlarsınız.
- Oturumların Video Kaydı: Tüm trafik merkezden geçtiği için, kullanıcının web arayüzünde yaptığı her işlem baştan sona video olarak kaydedilir. Bu, denetim ve adli analiz (forensics) için paha biçilmez bir yetenektir.
- İdeal Kullanım: Şirketlerin %90’ının ihtiyacını karşılayan, güvenlik ve kullanım kolaylığı arasında mükemmel bir denge sunan yöntemdir.
Uygulama Sanallaştırma : Güvenlikte en üst noktayı hedefleyenler için tasarlanmıştır. Bu yöntemde, Microsoft RDS (RemoteApp) teknolojisi kullanılarak Chrome veya Edge gibi bir tarayıcı, şirketinizin kontrolündeki güvenli bir terminal sunucu üzerinde sanallaştırılır.
- Çalışma Mantığı: Kullanıcı, kendi bilgisayarından bu sanal tarayıcıyı başlatır. Oturum, kullanıcının makinesinde değil, tamamen izole ve güvenli terminal sunucu üzerinde açılır.
- Ayırt Edici Avantajı:
- Cookie Güvenliği: Web oturumları sırasında oluşturulan “cookie” (çerez) gibi hassas veriler, danışmanın veya çalışanın potansiyel olarak güvensiz olabilecek kişisel bilgisayarında değil, şirketinizin tam kontrolündeki sunucuda kalır. Bu, cookie çalınması gibi gelişmiş saldırı risklerini minimize eder.
- Masaüstü Uygulama Desteği: Sadece web arayüzlerini değil, Checkpoint Smart Console gibi masaüstü istemcisi gerektiren uygulamaları da bu yöntemle güvenli bir şekilde yayınlayabilirsiniz.
- İdeal Kullanım: Çok kritik altyapı sistemleri, cookie güvenliğinin hayati olduğu uygulamalar ve yönetimi size ait olmayan cihazlardan (örneğin 3. parti danışmanlar) erişim sağlanacak senaryolar için en doğru tercihtir.
Özet: Hangi Yöntemi Ne Zaman Kullanmalısınız?
Sonuç Olarak;
ManageEngine PAM360, farklı güvenlik ihtiyaçlarına yönelik esnek ve katmanlı bir erişim mimarisi sunar. Çoğu kurum için HTTPS Gateway özelliği, ek bir lisans maliyeti gerektirmeden güvenlik duruşunu anında bir üst seviyeye taşıyan en ideal çözümdür. Ağ segmentasyonu ve oturum kaydı gibi kritik özellikleri bir araya getirerek hem denetlenebilirliği artırır hem de saldırı yüzeyini önemli ölçüde daraltır.
Eğer önceliğiniz “aşırı” güvenlik ve özellikle yönetemediğiniz cihazlardan kaynaklanabilecek riskleri sıfıra indirmekse, Application Virtualization yöntemi, cookie güvenliği gibi detaylarda sağladığı ek koruma katmanıyla en sağlam kaleyi inşa etmenizi sağlar.
Güvenli erişim, bir seçenek değil, bir zorunluluktur. Doğru aracı doğru senaryoda kullanarak altyapınızı proaktif bir şekilde koruyabilirsiniz.