Sorun: Geride Kalan Kimlikler#
Organizasyonlar büyüyüp geliştikçe, çalışanlar, yükleniciler, hizmetler ve sistemler gelir ve gider;
ancak hesapları genellikle kalır. Bu terk edilmiş veya "yetim" hesaplar, uygulamalar, platformlar, varlıklar ve bulut konsolları genelinde atıl durumda kalır.
Onların varlığını sürdürmesinin nedeni ihmalkarlık değil, parçalanmışlıktır.
Geleneksel IAM ve IGA sistemleri öncelikle insan kullanıcılar için tasarlanmıştır ve her uygulama için manuel entegrasyon ve kurulum gerektirir; bu entegrasyon, bağlantı elemanları, şema eşleme, yetkilendirme katalogları ve rol modelleme gibi süreçleri içerir. Birçok uygulama bu aşamaya bile ulaşamaz. Öte yandan, insan dışı kimlikler (NHI): hizmet hesapları, botlar, API'ler ve ajan-yapay zeka süreçleri doğal olarak denetimsizdir, standart IAM çerçevelerinin dışında ve genellikle sahiplik, görünürlük veya yaşam döngüsü kontrolleri olmadan çalışır.
Sonuç? Daha geniş kapsamlı kimlik karanlık maddesinin bir parçası olan, izlenemeyen kimliklerden oluşan bir gölge katmanı; yönetim tarafından görünmez olan ancak altyapıda hâlâ aktif olan hesaplar.
Neden Takip Edilmiyorlar?
- Entegrasyon Engelleri: Her uygulama, IAM tarafından yönetilebilmesi için benzersiz bir yapılandırma gerektirir. Yönetilmeyen ve yerel sistemlere nadiren öncelik verilir.
- Kısmi Görünürlük: IAM araçları yalnızca kimliğin "yönetilen" bölümünü görür; yerel yönetici hesaplarını, hizmet kimliklerini ve eski sistemleri göz ardı eder.
- Karmaşık Mülkiyet Yapısı: Personel değişimi, birleşmeler ve dağıtılmış ekipler, hangi uygulamanın veya hesabın kime ait olduğunu belirsiz hale getirir.
- Yapay Zeka Ajanları ve Otomasyon: Yapay Zeka Ajanı, insan operatörlerinden bağımsız olarak hareket eden yarı özerk kimliklerin yeni bir kategorisini sunarak Kimlik ve Erişim Yönetimi (IAM) modelini daha da kırıyor.
Sahipsiz hesaplar birçok riski besler:
Uyumluluk riski: En az ayrıcalık ve yetki devri gerekliliklerini ihlal eder (ISO 27001, NIS2, PCI DSS, FedRAMP).
Operasyonel verimsizlik: Şişirilmiş lisans sayıları ve gereksiz denetim yükü.
Olay müdahalesinde gecikme: Daha önce görülmemiş hesaplar söz konusu olduğunda adli inceleme ve çözüm süreçleri yavaşlar.
İleriye Yönelik Yol: Sürekli Kimlik Denetimi#
İşletmelerin varsayımlara değil, kanıtlara ihtiyacı vardır. Sahipsiz hesapları ortadan kaldırmak, tam kimlik gözlemlenebilirliği gerektirir; yani yönetilen veya yönetilmeyen her hesabı, izni ve etkinliği görebilme ve doğrulayabilme yeteneği.
Modern risk azaltma yöntemleri şunları içerir:
- Kimlik Telemetrisi Toplama: Yönetilen ve yönetilmeyen uygulamalardan etkinlik sinyallerini doğrudan çıkarın.
- Birleşik Denetim İzleme Kaydı: Üyelik ve meşruiyeti doğrulamak için katılım/taşınma/ayrılma olaylarını, kimlik doğrulama kayıtlarını ve kullanım verilerini ilişkilendirin.
- Rol Bağlam Eşleme: Gerçek kullanım bilgilerini ve ayrıcalık bağlamını kimlik profillerine aktarır; kimin neyi, ne zaman ve neden kullandığını gösterir.
- Sürekli Uygulama: Manuel incelemeleri beklemeden, hiçbir aktivitesi veya sahipliği olmayan hesapları otomatik olarak işaretler veya devre dışı bırakır, böylece riski azaltır.
- Bu telemetri verileri merkezi bir kimlik denetim katmanına aktarıldığında, görünürlük açığını kapatarak sahipsiz hesapları gizli yükümlülüklerden ölçülebilir, yönetilebilir varlıklara dönüştürür.
