• Buradasın

    Kurumlar İçin Kimlik ve Erişim Yönetimi (IDM) Eğitim Sunumu

    youtube.com/watch?v=N_HOfF2LKlg

    Yapay zekadan makale özeti

    • Bu video, İshaka İstanbul tarafından düzenlenen bir webinar formatında olup, Sefa Duran (Accenture İngiltere ekibinden) ve diğer konuşmacılar tarafından sunulmaktadır. Konuşmacılar IDM (Kimlik ve Erişim Yönetimi) konusunda uzmanlaşmış kişiler olarak görünmektedir.
    • Sunum, kurumlar için kimlik ve erişim yönetimi konusunu kapsamlı şekilde ele almaktadır. İçerikte IDM projelerinde karşılaşılan sorunlar, uygulama envanteri, varlık envanteri, yetki denetimi, rol yönetimi, proses otomasyonu, access certification ve mimari opsiyonlar gibi konular detaylı olarak incelenmektedir. Ayrıca Ailem yetki yönetimi sistemi, ServiceNow entegrasyonu ve rol tabanlı erişim kontrolü (RBAC) prensipleri de sunum kapsamında yer almaktadır.
    • Webinar boyunca katılımcıların soruları yanıtlanmakta ve IDM projelerinin uzun vadeli, karmaşık ve farklı disiplinlerden kişilerin bir araya gelmesi gerektiği vurgulanmaktadır. BDDK'nın bilgi sistemleri yönetmeliği kapsamında varlık envanterinin zorunlu hale getirilmesi gibi düzenlemeler de sunumda ele alınan önemli konular arasındadır.
    00:02Banka Teknolojik Altyapısı ve Servis Portalları
    • 1700'lü yıllardan gelen bir bankada farklı teknolojiler bulunmaktadır, ancak iş süreçleriyle teknolojik mimari altyapısı birbiriyle uyumlu değildir.
    • Bu durumun ilk göstergesi servis portallarıdır; genellikle iyi uygulanmamış kurumlarda birden fazla portaldan talep yapılması gerekir.
    • Bazı uygulamalar için portal bulunmaz, bu durumda belirli bir ekibe mail atılarak kullanıcı oluşturulur ve rol atamaları yapılır.
    00:51Servis Portallarının Teknike Entegrasyonu
    • Servis portallarının tek bir ortamda entegre edilmesi çok önemlidir çünkü IT personellerinin temel işi kurum içindeki insanlara hizmet vermedir.
    • Çalışanlar kurumda görev yaparken sürekli olarak farklı uygulamalarda yetki talepleri yaparlar, bu taleplerin tek bir portalda sunulması kullanıcı deneyimini olumlu etkiler.
    • Tüm bilginin merkezi bir yerde toplanması kritik önem taşır çünkü daha sonra yapılacak rol yönetimi ve yetki gözden geçirme işlemleri bu merkezi veriyi kullanacaktır.
    01:46Uygulama Envanteri Sorunu
    • Uygulama envanteri, varlık yönetiminin bir parçası olup IT, kimlik ve erişim yönetimi açısından farklı şekillerde ele alınır.
    • İş sürekliliği ve kimlik erişim yönetimi gibi farklı alanlarda uygulama envanteri gereklidir ancak bu alanlar birbirinden farklı bakış açılarıyla envanteri değerlendirir.
    • Bir uygulama portalında çalışan farklı modüller kullanıcı yönetimi için tek bir merkezden çalışsa bile, IDM açısından tek bir uygulama olarak görülürken, uygulama envanteri yönetimleri açısından ayrı uygulamalar olarak değerlendirilir.
    03:15Uygulamalarda Erişim Kontrolü
    • Uygulamalarda erişimi kontrol etmek için üç farklı katmanda bakılması gerekiyor: uygulama katmanı, işletim sistemi ve veritabanı.
    • Uygulama katmanında kimlik yönetimi (identity) uygulama üzerinde mi yoksa farklı bir yerde mi yönetiliyor, bunun anlaşılması gerekiyor.
    • İşletim sistemi ve veritabanındaki kullanıcıların da doğru şekilde yönetilip yönetilmediği gözden geçirilmeli.
    04:38Varlık Envanteri ve Sahipliği
    • Uygulama envanteri, uygulamanın nerede olduğu, kullanıcıların nasıl tutulduğu, server'ların kullanıcıları nasıl yönetildiği ve databaselerdeki yönetim yapılıp yapılmadığı bilgilerini içerir.
    • Varlık sahiplerinin eşleştirilmesi gerekiyor, çünkü yetki gözden geçirmeleri ve rol tanımlamaları onaylanırken varlık sahiplerine gönderilmelidir.
    • Varlık envanteri ve sahipliği, kimlik erişim yönetimi transformasyon çalışması için öncelikli hazırlanması gereken noktadır.
    06:02BDDK Yönetmeliği ve Varlık Envanteri
    • 15 Mart 2020 tarihinde BDDK'nın çıkardığı bilgi sistemleri yönetmeliğinde varlık envanterinin kişisel verilerin envanterini içerecek şekilde çıkarılması yönünde bankacılık ve finans sektöründe zorunlu bir karşılığı var.
    • Kimlik erişim yönetimi ve GAVS tarafında yapılacak çalışmalarda BDDK'nın yeni düzenlemesi ile çoğu kurum envanteri açısından hazır olmuş olacak.
    • Varlık envanterinde kimlik erişim yönetimi gözüyle tekrar gözden geçirilmesi gerekiyor, özellikle yetki gözden geçirme ve rol tasarımı için kimin onay vereceği belirlenmelidir.
    07:37Süreç Otomasyonu
    • Manuel yapıldığında bir talebin işlenme süresi 3-5 güne, belki bir haftaya çıkabiliyor, yüksek hacimli taleplerde sürecin otomasyona getirilmesi önemlidir.
    • Tüm uygulamalarda işlemlerin otomatik yapılması gerekli değil, düşük talep alanlarında otomasyon eforu gerekliliğe karşılık gelmiyor.
    • Aksesuarification (erişim sertifikasyonu) kimlik erişim yönetimi içindeki sorunların birçoğunu çözüyor ve gözetim noktasında daha az bulgu yememize sebep oluyor.
    09:59Rol Gözetimi ve SOX Kontrolleri
    • Kurumların dinamik yapıları nedeniyle her organizasyonel değişiklik rol değişikliği olarak karşımıza çıkıyor ve bu durum dinamik bir rol yönetimi gerektiriyor.
    • Müdür değişiklikleri gibi durumlarda rollerin yenilenmesi ve ilgili kişilere onay talep etmek gerekiyor.
    • Erişim taleplerinin işlendiği nokta, SOX kontrolleri için en doğru uygulama noktasıdır.
    11:31IDM'de Yetki Kontrolü
    • IDM'de self-service modelinde, bir kullanıcı masraf yaratma yetkisi varken masraf onaylama yetkisini talep ettiğinde, esoji kontrolü otomatik olarak talebi engelleyerek potansiyel riski önler.
    • IDM projesi kapsamında sadece enterprise kullanıcılar değil, servis hesapları da gözden geçirilmelidir.
    • Servis hesapları, iki farklı uygulamayı entegre etmek için kullanılan, gerçek bir kullanıcıya ait olmayan sistem hesaplarıdır ve zamanla kullanılmayan servis hesaplarının silinmesi gerekir.
    12:53Servis Hesaplarının Önemi
    • Servis hesapları genellikle yüksek yetkili hesaplar olup, örneğin bir veritabanına tam erişim sağlayabilirler.
    • Servis hesaplarının gerçek kişilere bağlanması ve düzenli olarak gözden geçirilmesi önemlidir.
    • Kullanılmayan servis hesapları, işten ayrılan kişilerin veya dışarıdan gelen kişilerin uygulamaya erişim sağlaması için kullanılabilir.
    14:14Lokal Otentikasyon Sorunu
    • Domain entegre uygulamalarda hem domain hem de lokal otentikasyonun açık olması bir güvenlik riskidir.
    • Domain üzerinden otentikasyon yapılması, IDM yönetim açısından daha iyi ve güvenlik açısından daha güvenlidir.
    • Native otentikasyonu kullanan uygulamaların kullanıcı yönetimi ve rol yönetimi uygulama içinde yapılırken, hem domain hem lokal otentikasyonu olan uygulamalarda sorun yaşanabilir.
    15:52Pam ve Rol Yönetimi
    • Kurumlara yapılan siber saldırılar genellikle yetkili kullanıcılar üzerinden gerçekleştirildiği için pam'ın yönetilmesi ve devreye alınması önemlidir.
    • Kritik uygulamalarda özellikle admin hesaplarının pam'ı alınması (account boarding) çok önemlidir.
    • Rol mining (rol keşfi) sadece veri tabanı üzerinden değil, insan gözüyle de değerlendirilmelidir; tamamen otomatik sistemler genellikle etkili sonuçlar vermez.
    17:38IDM Kod Geliştirme ve Organizasyonel İşler
    • IDM projesi kapsamında geliştirilen kodlar SDL (güvenli yazılım geliştirme) prensiplerine uygun olmalı ve yazılım geliştirme yaşam döngüsüne uygun yönetilmelidir.
    • Kurum içinde AD (Active Directory) gruplarını kullanıcı otentikasyonunda mümkün olduğunca kullanmak tavsiye edilir.
    • Kontrat çalışanlarının kimlik yönetimi, kurum çalışanları gibi ele alınmalı ve kontratların farklı projelere geçiş durumlarında yetkileri güncellenmelidir.
    21:10Proje Kritik Noktaları
    • Konuşmacı projesinde kritik gördüğü üç nokta: aktivitelerin önceliklendirilmesi, mimari opsiyonlar ve kurumun organizasyon modeli (operating model).
    • IT ekibi ve yönetişim ekibi arasında çatışma yaşanıyor çünkü IT ekibi uygulama üzerindeki kullanıcı yaratma, rol ekleme gibi işlemlerin otomatik olmasını istiyor.
    • Kurumda bir uygulama aileye entegre edilecekse öncelikli olarak kullanıcı, rol ve kimlik bilgilerinin IDM üzerine taşınması, sertifikasyon altyapısına uygun hale getirilmesi ve merkezi olarak serservi portalına entegre edilmesi gerekiyor.
    22:48Entegrasyon Eforu ve Önceliklendirme
    • Uygulama verilerini almak için harcanan entegrasyon eforu ile manuel işlem eforu arasında yaklaşık 1'e 10 oranında fark var; biri bir hafta, diğeri on hafta sürebiliyor.
    • Öncelikli olarak yetki gözden geçirme ve rol yönetimi tarafında IDM kullanabilecek işlemler yapılmalı, böylece IDM'den alınacak faydanın büyük kısmı elde edilmiş olur.
    • Gardener raporuna göre provisioningler deployment riski yüksek tutulurken değer olarak genelde orta kalıyor; kompleks uygulamalarda ve bankacılık sistemlerinde IDM entegrasyonu kabul edilebilir.
    24:35Uygulama Önceliklendirme
    • Uygulama önceliklendirme klasik konsant people proses teknoloji yaklaşımlarıyla değerlendirilebilir.
    • Uygulama önceliklendirme için ayda gelen talep sayısı, uygulamanın önemi ve işlemin kompleksliği kriterleri kullanılabilir.
    • Kritik uygulamalarda çok fazla talep geliyorsa otomatikleştirmek önemli, ancak az talep gelen kritik uygulamalar için de manuel operasyonların kısıtlanması öncelikli olabilir.
    25:58IDM Mimari Örnekleri
    • IDM dünyasında kullanıcı kuruma girer, bird (hak) atanır ve talepler onaylanır.
    • Bu süreç genellikle manuel olarak sistem admin ekipleri tarafından gerçekleştirilir.
    26:40Ailem Çözümü Üzerinde İşlemlerin Yönetilmesi
    • Tüm işlemler Ailem çözümü üzerinde yönetilebilir, kullanıcı talepleri Ailem üzerinden açılır ve workflow üzerinde çalışılır.
    • Ailem üzerinden ilgili ekibe bir ticket açılır, ekip işlemi yapar ve ticket onaylanır.
    • Ailem, talebin onaylandığını gösterir ve uygulamada kullanıcıya talep edilen rolün yetkisinin uygulanmasını kontrol eder.
    27:26Kurumların Mevcut IP SM Uygulamaları ile Entegrasyon
    • Kurumların geçmişleri köklü olduğu için mevcut IP SM uygulamalarını kullanmaya devam etmek isteyebilirler.
    • Kurumlar, yetki taleplerini mevcut uygulamalar üzerinden yapabilir ve Ailem ile entegre ederek gerekli işlemleri Ailem üzerinde gerçekleştirebilirler.
    • Entegre edilecek her yeni uygulama için AY ekiplerinde çalışması ve AY üzerinde geliştirme yapılması gerekebilir.
    28:48Approve Workflow Kararı
    • Approve workflow'ların Ailem üzerinde gitmesi daha doğru bir yaklaşım olabilir çünkü Ailem'in hazır workflow'ları bu iş için özel olarak tasarlanmış.
    • Kullanıcı deneyimi önemli bir faktör olup, taleplerin nereden başlatılacağı ve hangi uygulama üzerinden gideceği karar verilmelidir.
    • Kurumun stratejisi ve kullanıcı deneyimi göz önünde bulundurularak approble workflow'ların hangi uygulama üzerinden akacağı belirlenmelidir.
    31:09Manuel Entegrasyon Senaryosu
    • AY ve Ailem arasında entegrasyon yapılmadan, arada manuel bir insan koyarak süreç yönetilebilir.
    • Bu yaklaşım genellikle küçük orta çaplı şirketlerde ciddi entegrasyon yapılmadan yönetilen bir süreçtir.
    • Yetki gözden geçirme ve rol yönetiminin yönetilmesi, bu manuel senaryoda da sağlanabilir.
    32:11Operating Model ve Organizasyon
    • Ailem, orta katman uygulaması (middleware) olarak tanımlanır ve birçok uygulama ile entegrasyonu olan bir güvenlik uygulamasıdır.
    • Ailem, business-centric bir uygulama olup yetki gözden geçirme ve rol yönetimi tabanlı olmalıdır.
    • Teknolojik altyapı kurulurken, en büyük odak noktası yetki gözden geçirme ve rol yönetimini mümkün olduğunca çok uygulamaya ve hızlı şekilde yaymaktır.
    34:41Organizasyonel Yapının Karşılaştırılması
    • AYDM (Identity and Access Management) büyük bir araç olarak görülür ve kendi içinde yönetim, health check, upgrade ve entegrasyonlar gerektirir.
    • AYDM ekibi, güvenlik altında bulunmalı ve en azından 28 kişilik bir test, developer ve analist ekibi ile yönetilmelidir.
    • Governance ekibi, SOD kuralları, roller, workflow'lar, sertifikasyon ve yetki gözden geçirme kampanyalarını yönetir ve IT desteğiyle yakın çalışmalıdır.
    37:07Yazılım Geliştirme Ekibi Yönetimi
    • Uygulamanın yönetiminde production odaklı bir admin ekibi ve geliştirme/test ortamlarını yöneten bir yazılım geliştirme ekibi olmalı.
    • İki ekip birbirinden ayrılmalı çünkü aynı kişi production yönetip geliştirme yapmakta yetki problemi yaşanabilir.
    • Ailem çok fazla entegrasyon gerektiren bir sistem olduğu için sürekli bakım gerektirir ve bu iki ekip ayrılması daha iyi sonuçlar verir.
    39:49Danışmanlık ve Implementasyon
    • Danışmanlık ve implementasyon aynı kurum tarafından yapılması önerilir çünkü alınan stratejik kararlar ve mimari tasarım farklı bir kurum tarafından değişebilir.
    • Ailem projeleri uzun süren süreçlerdir; minimum fayda almak için altı ay, doğru düzgün fayda almak için iki yıl ve sonrasında sürekli devam eden bir süreç.
    • Danışmanlık yapacak kişi implementasyonu da yapmalı, aksi halde danışmanlık önerileri uygulanamaz hale gelebilir.
    41:18Rol Mining ve Yetki Yönetimi
    • Rol mining kulağa hoş gelse de kurum içerisinde tamamen otomatik çalışmayacaktır, insan müdahalesi gerekecektir.
    • Kurumların yetki gözden geçirme sürecinin sebebi verilerin doğru olmaması ve bu verilerle rol mining yapmanın yetersiz kalmasıdır.
    • Rol mining'in en büyük faydası, veri analizindeki tekrarlı işlemleri otomatikleştirmek ve insanın değerli zamanını daha önemli işlere yönlendirmektir.
    43:51Sertification ve Yetki Gözden Gezirme
    • Sertification (yetki gözden geçirme) süreci, uygulamadaki kullanıcıların yetkilerinin insan gözüyle gözden geçirilmesi ve düzeltilmesidir.
    • Regülasyonlar gereği sertification süreci en az yılda bir kez yapılmalıdır ve çok sayıda kullanıcı varsa bu süreç iki altı aya bölünebilir.
    • Sertification süreci, çalışanların iş değişikliklerine göre yetkilerinin güncellenmesini sağlar ve bu süreç uygulamanın sahibi tarafından onaylanmalıdır.
    46:05Ailem Uzmanı Yetkinlikleri
    • Ailem uzmanı için tek bir kişi yerine yetkinliklerine göre oluşan bir ekip kullanılmalıdır.
    • Ailem uzmanının en önemli yetkinlikleri arasında mimari bilgisinin olması ve entegrasyon konusunda uzman olması bulunmaktadır.
    46:51Yetki Yönetimi Sisteminde Karşılaşılan Zorluklar
    • Sistemde yaklaşık iki milyon entit var ve her tabloda select, delete, update gibi yetkiler bulunuyor, bu durumda veri toplama işlemi en hızlı şekilde on dakika sürüyor.
    • Kurumda birden fazla SQL database ve farklı uygulamalar bulunuyor, bu durum mimari层面的问题会更加复杂。
    48:17角色管理和权限分配的复杂性
    • 系统中有七种不同的角色,其中三种角色的结构不同,四种角色的结构相同,这种复杂的结构需要深入理解并制定合适的解决方案。
    • 有效的IAM专家需要理解架构并能够与GA团队沟通,同时也要了解产品架构。
    • 开发和测试团队不需要成为IAM专家,他们主要需要Java开发和数据库知识。
    49:28项目团队的角色和职责
    • 项目中至少需要一个业务分析师和一个项目管理者的参与,他们需要了解GA并具备一定的技术知识。
    • 分析师和项目经理需要能够区分哪些需求可以快速实现,哪些需求需要较长时间的开发。
    • 项目团队中包括软件开发人员、架构理解者、安全专家和业务分析师,他们需要共同协作。
    51:16项目实施的挑战
    • 组织结构和人员职责不断变化,导致新的权限分配需求持续出现。
    • 这类项目的实施通常需要两年时间,才能使系统稳定运行。
    • 项目初期,沟通是最大的挑战,需要通过开放式问题引导对方详细描述流程。
    54:16角色模型的最佳实践
    • 最佳实践是角色下直接分配权限,而不是直接给用户分配权限。
    • 尽量避免在角色下创建多层嵌套的角色,保持单一层次和简洁性。
    • 企业级角色概念是一种理想化的结构,用户只需一个角色即可获得所有相关应用的权限,但这种结构在实际中较为少见。
    56:58企业级角色的优势
    • 企业级角色的优势在于,当用户在公司内部换岗时,只需更换角色,系统会自动移除不需要的权限并添加新的权限。
    • 这种结构简化了权限管理,但实现起来较为复杂,可能需要多年时间才能完全实施。
    • 企业级角色是一种未来的发展方向,可以提高权限管理的效率。
    57:16Rol Mimarisi ve Erişim Yönetimi
    • Utopik bir nokta olarak tek bir rol alım-satımının konunun kapanmasına neden olabileceği belirtiliyor.
    • ETRÜB (Attribute-Based Access Control) konsepti, rol tabanlı erişim yönetiminin (RBAC) yerine kullanıcıların sahip olduğu özniteliklere göre özel yetkilerin eklenmesini sağlıyor.
    • Rol tabanlı erişim yönetimi yapılmalı, ancak özel yetkilerle ilgili durumlarda ETRÜB kullanılarak kişilerin ayrı olarak eklenmesi gerekiyor.
    1:00:23Mobil Cihaz Yönetimi
    • MDM (Mobil Cihaz Yönetimi) konsepti son 4-5 yıldır gündemde ve popülerleşiyor.
    • EMM (Enterprise Mobility Management) konsepti, telefonun içerisinde bir alan alınıp sadece uygulama üzerinden erişim yapılabildiği bir model sunuyor.
    • Türkiye'de şirket telefonlarının kişisel kullanım sorunları yaşanırken, İngiltere'de şirket telefonlarının kişisel kullanımının yasaklandığı belirtiliyor.
    1:02:25Pandemi Dönemi ve IDM Talepleri
    • Pandemi döneminde IDM ile ilgili gelen talepler genellikle regüle sektörlerden geliyor.
    • Evden çalışma sürecinde veri erişiminin kontrolü ve bunun otomasyonla yapılması önemli bir noktaya geldi.
    • Pandemi döneminde özellikle cloud uygulamalarında tek parola yönetimi (SSO) tarafına öncelik veriliyor.
    1:04:23ETRÜB Uygulamaları
    • Doğrudan ETRÜB uygulayan firma yok, genellikle rol tabanlı erişim kontrolü üzerine uygulanıyor.
    • İlk başta rol tabanlı erişim kontrol yapısı oluşturulup, eksiklik görülen yerlerde ETRÜB kullanılarak düzeltme yapılmıyor.
    • Sıfırdan başlanacaksa ETRÜB rol tabanlı erişim kontrolünün üzerine olacak şekilde bir tasarlama yapılabilir.
    1:06:42IDM Denetiminde Önemli Noktalar
    • IDM entegrasyonunun hemen yapılması öneriliyor.
    • Yetki gözden geçirme IDM entegrasyonunun en kritik noktası olarak vurgulanıyor.
    • Yetki gözden geçirme işlemlerinin yapılmaması veya tarihlerde bir kaçma olması olası bulgular oluşturabilir.
    1:07:37Yetki ve Rol Yönetimi Hakkında Değerlendirme
    • Yetki gözden geçirme işlemi yapıldıktan sonra, gereksiz yetkilerin gerçekten kaldırılıp kaldırılmadığı kontrol edilmelidir.
    • Uygulama üzerinde rol çalışması yapıldığından emin olmak ve kullanıcıların uygun roller üzerinden gerekli yetkilere sahip olup olmadığına bakılmalıdır.
    • Kurumdan ayrılan kişilerin hesaplarının uygulama üzerinde otomatik olarak kapatılıp kapatılmadığına dikkat edilmelidir.
    1:08:42Organizasyon Değişikliklerinin Takibi
    • Kurum içerisinde farklı bir yere geçen kişilerin yetkilerinin takip edilip edilmediğine bakılmalıdır.
    • Organizasyon değişikliklerinin etkilerinin uygulamada doğru şekilde yansıtıldığından emin olunmalıdır.
    • Benzer rollerde çalışan kişilerin yetkilerinde farklılıklar varsa, bunun nedeni araştırılmalıdır.
    1:09:52Önemli Rol Yönetimi Uygulamaları
    • Kuruma yeni giren kişilere otomatik rol ataması yapmak önemlidir, ancak daha önemli olan kurumdan ayrılan kişilerin hesaplarının gerçek zamanlı olarak kapatılmasıdır.
    • Yetkilerin zamanla değerlendirilip değiştirilip değiştirilmediğine dikkat edilmelidir.
    • Yetki gözden geçirme işleminin yapıldığından emin olmak çok önemlidir, aksi takdirde kritik bulgular oluşabilir.
    1:11:17Etkinlik Kapanışı
    • Etkinlik katılımcılarına teşekkür edildi ve konunun derin olduğu belirtildi.
    • İstanbul'da haftalık webinarlar devam edecek ve katılımcıların değerlendirmelerine göre etkinlikler yapılandırılacaktır.
    • Yarın Cumhuriyet Bayramı olacağı için kutlama mesajları paylaşıldı.

    Yanıtı değerlendir

  • Yazeka sinir ağı makaleleri veya videoları özetliyor