• Buradasın

    Kimlik Yönetimi ve Erişim Yönetimi Teknik Sohbeti

    youtube.com/watch?v=OMaTaLTF6_c

    Yapay zekadan makale özeti

    • Bu video, teknoloji uzmanları arasında geçen yaklaşık 1 saat 55 dakikalık bir teknik sohbet formatındadır. Konuşmacılar arasında Selçuk, Fatih Kadir Akın, Naci ve Monofor şirketinin kurucusu gibi kimlik yönetimi, erişim yönetimi ve siber güvenlik alanlarında uzman kişiler bulunmaktadır.
    • Sohbet, kimlik yönetimi (Identity Management) ve erişim yönetimi (Access Management) konularını kapsamlı şekilde ele almaktadır. Konuşmacılar, kimlik yönetiminin temel altyapısı, tek oturum açma (Single Sign-On), Identity Governance, Access Management, kimlik doğrulama teknikleri ve multifaktörlü doğrulama yöntemleri gibi konuları tartışmaktadır. Ayrıca, güvenlik mimarileri, JWT, microservice mimarilerinde kimlik doğrulama, proxy servisleri ve regülasyonların teknoloji sektörüne etkisi gibi konular da ele alınmaktadır.
    • Videoda ayrıca MonoSigne adlı güvenlik yazılımının özellikleri, bug bounty programı, mobil güvenlik, SMS tabanlı doğrulama yöntemlerinin zayıf yönleri ve alternatif kimlik doğrulama teknolojileri (parmak izi, yüz tanıma, damar okuması) gibi konular da tartışılmaktadır. Konuşmacılar, kimlik yönetiminin siber güvenlik açısından kritik bir konu olduğunu ve gelecekte parolasız bir dünya olacağını vurgulamaktadır.
    00:01Konuşmacının Tanıtımı
    • Konuşmacı, Monofor adlı bir şirkette çalıştığını ve kimlik ve erişim yönetimi, ayrıcalıklı hesap ve erişim yönetimi üzerine çalıştıklarını belirtiyor.
    • Yaklaşık 18 yıldır sektörde olduğunu ve Monofor'un 2007 yılında Amerika'da kurulduğunu, birkaç yıl sonra Türkiye'de şubesi açıldığını söylüyor.
    • Konuşmacı, güvenlik organizasyonlarında aktif ve pasif olarak yer aldığını ve sonrasında birçok firma için danışmanlık yaptığını anlatıyor.
    02:36Monofor'un Kuruluş Hikayesi
    • Konuşmacı, Monofor'un öncesinde 2011-2012 yıllarında başka bir firma kurduğunu ve kimlik yönetimi alanında ürün satmaya çalıştığını belirtiyor.
    • Türkiye'de Türk kimliğiyle güvenlik ürünleri satmanın zorluğunu yaşadıklarını ve yaklaşık 2-3 yıl mücadele ettikten sonra bir süre dinlendiklerini anlatıyor.
    • Amerika kimliğiyle kurulan ikinci firma ile Türkiye'nin en büyük bankasına satış gerçekleştirdiklerini ifade ediyor.
    05:02Monofor'un Anlamı ve İşlemi
    • Monofor isminin "mono" kelimesi tekilliği ifade ederken, "sign" kelimesi giriş ve imzalama gibi anlamlara gelir.
    • Monofor, kimlik yönetimi ve erişim yönetimi alanında çalışarak, çalışanların işe başlamasıyla çıkışları arasındaki süreçleri yönetiyor.
    • Sistemin otomatik olarak çalışanlara gerekli hesapları açarak ve çıkışlarında hesapları ortadan kaldırarak süreçleri otomatikleştirdiğini belirtiyor.
    10:30Kimlik Yönetimi ve Temel Kavramlar
    • Kimlik yönetimi, kurum çalışanları ile ilgili bilgilerin merkezi bir yerde tutulmasını ve yönetilmesini sağlar.
    • Kimlik yönetimi sisteminin temelinde, bir kimliğin yaşam döngüsü çizilmesi ve bu kimliğin çevresinde tek oturum açma (single sign-on) gibi özelliklerin oluşturulması vardır.
    • Kimlik yönetimi, fiziksel hayatta olduğu gibi dijital dünyada da kullanıcıların kimliklerine göre erişim ve işlemler yapmasını sağlar.
    12:25Kimlik Yönetiminin Önemi
    • Kimlik yönetimi platformu, kullanıcıların tüm uygulamalara tek bir kullanıcı adı ve parola ile erişim sağlar.
    • Bu sistem, kullanıcı hesaplarının güvenliğini artırmak için standardizasyon sunar ve kimlikle ilgili erişimleri tamamen kontrol altına alır.
    • Kimlik yönetimi, siber güvenlik açısından çok önemlidir çünkü her kimliğin dokunduğu yer bir saldırı yüzeyi oluşturur.
    15:11Erişim Yönetimi ve Saldırı Vektörleri
    • Saldırganlar artık sistemlere doğrudan saldırmaktan ziyade, sistemlere erişen kullanıcılar üzerinden hareket etmeye başlamıştır.
    • Social engineering, kullanıcıların parolalarını çalmaları, onlar gibi davranarak veri alması veya parolaların tahmin edilmesi gibi yöntemlerle yaygınlaşmıştır.
    • Bu tür saldırılar, yetkisiz kimliklerin yetkili kimliklere atlamasına ve en zayıf sistemlerden en kritik sistemlere erişmesine olanak sağlamıştır.
    18:10Kimlik Yönetimi ve Güvenlik Sorunları
    • Güvenlik sorunları, sistemlerin bölünerek ve parçalanarak çözülmeye çalışıldığı noktalarda ortaya çıkar.
    • Günümüzde %80'lik oranla kurumlar kendi ticari işler için teknolojiyi kullanan firmalardır ve teknoloji geliştirmek onların ana işi değildir.
    • Farklı firmalar için yazılım geliştirirken her birinin kendi otantikasyon akışları oluşur ve bu karmaşıklık yönetilemez bir hal alır.
    20:21Kimlik Yönetimi ve Erişim Yönetimi Arasındaki Farklar
    • Kimlik yönetimi (Identity Governance) kimliğin oluşması ve yaşamsal faaliyetlerin sürdürülmesi için gerekli olan yapıyı içerir.
    • Erişim yönetimi (Access Management) kimlikle ilişkilendirilmiş bütün yetki ve yetkinin altında bulunan çerçevelerin yönetimini sağlar.
    • Erişim yönetimi, bir kullanıcının uygulamaya erişmesini, yetkilendirmesini ve yetkilerinin yönetimini ilgilendirir.
    23:46Erişim Yönetimi Sisteminin Avantajları
    • Her uygulama için ayrı otantikasyon sistemi oluşturmak yerine, tek bir sistem üzerinden tüm uygulamaların kimlik doğrulamasını yapması daha etkili bir çözüm sunar.
    • Identity Matrix özelliği, bir kimliğin dokunduğu tüm alanların haritasını çıkararak kullanıcıların erişimlerini takip etmeyi sağlar.
    • Sistem, yetki sınırlarını kontrol eder ve aşma durumlarında uyarılar vererek güvenlik politikalarını uygular.
    27:14Güvenlik ve Denetim Avantajları
    • Sistem belirli zaman aralıklarında raporlar üreterek kullanıcı gruplarının erişimlerini takip eder.
    • Kimlik ve yetki verilerini tutarak siber güvenlik açısından önemli bilgiler sağlar.
    • Firma içindeki yetki durumlarını takip etmek, güvenlik açısından büyük önem taşır.
    28:28Güvenlik ve Otantikasyon
    • Fırıncı gibi herkesin rutin işleri var, güvenlik alanında da otantikasyon gibi rutin işlerimiz bulunuyor.
    • Günümüzde birçok uygulamanın giriş noktasında otantikasyon gerektirmektedir.
    • Konuşmacı, 300'den fazla zirvede yayınladığı zafiyetlerin son beş yılında %90'ının otantikasyon bypass içerdiğini belirtiyor.
    29:50Doğru Entegrasyonun Önemi
    • Ürünlerde en büyük sorun doğru entegrasyondur, yanlış entegrasyona engel olacak şekilde sistem tasarlanmalıdır.
    • Sistem üreticisi, kullanıcıların ne kadar gerizekalı olurlarsa olsun in-secure bir entegrasyon yapamayacağı bir tasarım sunmalıdır.
    • Open ID, SAML ve JWT gibi protokoller artık sektör standardı haline gelmiştir.
    30:39Enterprise Grade Destek
    • Ürün sağlayıcısı olarak enterprise grade destek sunmak önemlidir.
    • Enterprise seviyesinde desteklenen belli başlı sağlayıcılar vardır ve bunlar arasında SAML, Open ID ve JWT protokolleri yer alır.
    • Bu protokollere uyumlu olmak, sektör standardlarını bilmek ve öngörülebilir bir şekilde çalışabilen sistemler sunmak önemlidir.
    31:42Protokol Standartları ve Entegrasyon
    • Ürün satın alırken en azından bu standart protokollere uyumlu olması gerekmektedir.
    • Konuşmacı, 7000'den fazla uygulamaya ön tanımlı destek sunduklarını belirtiyor.
    • Bu destek, dört temel enterprise level sağlayıcıya destek vererek sağlanmaktadır.
    32:21Protokol Standartlarının Önemi
    • OAT (Open Authentication Technology) çok kritik bir yapıdır ve bu konuda zafiyetler daha önce detaylı olarak incelenmiştir.
    • Kurumlarda servis hesaplarının yönetimi önemlidir ve bu konuda terim ayrışması yaşanabilmektedir.
    • Konuşmacı, PWC ve Deloitte gibi büyük kurumlarla çalıştıklarını ve bu kurumların terimlere drive ettiğini belirtiyor.
    33:47IAM ve PAM Farkları
    • IAM (Identity and Access Management) kavramı, IDAM (Identity Management) ve PAM (Privileged Access Management) olmak üzere iki farklı kavramdan oluşur.
    • Servis hesapları PAM'ın kapsamına girerken, kişisel hesaplar ve şirket çalışanları IDAM'ın kapsamına girer.
    • Şirkette değerli olarak görülen bir kaynağa erişen kişi, ayrıcalıklı bir kişi (privileged user) olarak tanımlanır.
    35:45PAM'in Rolü
    • PAM modülü olmadan da servis hesapları yönetilebilir, ancak PAM ile daha düzenli bir yönetim sağlanabilir.
    • PAM, kişilerin yazılımlara erişimini değil, firewall cihazlarına veya sunuculara erişimini yönetmek için kullanılır.
    • PAM yazılımları, riskli alanlara erişimi yönetmek için kullanılır.
    38:03Güvenlik Önlemleri
    • Sistemde dışarıdan müdahaleye karşı önlem olarak data protection ve data integrity gibi iki farklı yapı bulunmaktadır.
    • Data protection, dışarıdan gelen saldırılara karşı sistemi korumayı amaçlar.
    • Veritabanında kullanıcıların yetkilerini değiştirme gibi işlemler, data protection mekanizmalarının yetersiz olduğunu gösterir.
    38:58Güvenlik Temelleri
    • Güvenlikte iki temel nokta vardır: birincisi kimin veriyi yazdığını belirlemek, ikincisi ise verinin bütünlüğünü korumak.
    • Integrity (bütünlük) kavramı, verinin sadece yazılım tarafından kaydedildiğinden ve başka bir taraf tarafından bozulmadığından emin olmayı ifade eder.
    • Güvenli yazılım geliştirmek için arka planda bir servis oluşturmak gerekir, ancak bu işlem minimum yüzde otuz performans kaybına neden olabilir.
    40:23Güvenlik Anahtarları ve Testler
    • Ürünü kullanırken üç farklı anahtar (insolation ID, protection key ve master key) kullanılır ve bu anahtarlar kaybedilirse veriler geri kazanılamaz.
    • Ürün sürekli testlerden ve taramalardan geçer, hem iç ekip tarafından hem de dışarıdan yapılan testlerle.
    • Bir güvenlik uzmanı, ürünün şu ana kadar sıfır zafiyetle release çıktığını ve diğer yazılımlardan daha güvenli olduğunu belirtmiştir.
    43:53Bug Bounty Programı
    • Konuşmacı, 200 hacker seviyesindeki bir ekiple bug bounty programı başlatmayı teklif ediyor.
    • Mono.com ve sidrati.com domainlerinde bulunan zafiyetlerin Ethereum ile ödenmesi öneriliyor.
    • Topluluk, ürünün public yüzeyindeki zafiyetleri bulup validasyon ederek sunmak istiyor.
    47:01Ürün Testi ve Güvenlik
    • Konuşmacı, ürünü kendi lokal ortamında test etmek ve bir veya iki uygulamaya entegre etmek istiyor.
    • Üründe bulunan zafiyetlerin önce firmaya bildirilmesi ve ardından aksiyon alınması gerektiği vurgulanıyor.
    • Bulunan zafiyetlerin topluluğa değil, önce firmaya bildirilmesi ve onay alınması gerektiği belirtiliyor.
    49:22Güvenlik ve Zero Day Research
    • Zero day research bulabilmek güvenlik alanında çok kritik bir konudur.
    • Güvenlik alanında çalışanlar, güvenlik ürünleri ve firewall gibi sistemlerdeki zayıflıkları bulmakla ilgilenir.
    • Zero day bulmak, kurumların giriş-çıkış trafiğini kontrol eden cihazlarda potansiyel olarak root erişimi sağlayabilir.
    50:55Güvenlik Mimarisi ve Veri Doğrulama
    • Güvenli işlemlerde veri imzalanır ve karşı tarafta doğrulanır.
    • Her servis için fingerprint (parmak izi) bulunur ve konteynerlar kendilerini rest ederken sertifika doğrulaması yapar.
    • Güvenlik mimarisinde detaylı bir yapı vardır ve her servis registre olurken sertifika doğrulaması yapılır.
    53:25Açık Kaynak ve Güvenlik
    • GitLab, dünyanın en başarılı açık kaynak çözümüdür ve güvenlik yapısı gizlenemeyen bir şeydir.
    • Güvenlik, belirli adımları uyguladığınızda ve mimariyi doğru şekilde kurduğunuzda sağlanır.
    • Güvenlik sistemlerini açıklamak zorunludur çünkü karşı taraf validasyon bekler.
    54:05Çok Faktörlü Kimlik Doğrulama
    • SMS ve telefon kodları güncel olmayan ve güvenilir olmayan kimlik doğrulama yöntemleridir.
    • MonSign, kullanıcıyla iletişim kurabileceği güvenilir tek yer olan MonSign authenticator'ı kullanır.
    • Authenticator, token mekanizması ile iki veri arasındaki iletişimi imzalayarak ve şifreli şekilde gerçekleştirir.
    56:07Cihaz Kimlik Doğrulaması
    • Device identification, kullanıcı ile cihaz arasındaki ilişkiyi takip etmeyi amaçlar.
    • Kimlik erişim yönetimi alanında en önemli konu doğrulamadır ve sürekli uygulanmalıdır.
    • Mobil uygulamalarda da benzer doğrulama yöntemleri kullanılır ve cihazın veriyi üretme yeteneği kontrol edilir.
    58:03Cihaz Güvenliği
    • Ürün geliştiricileri, cihazın kendiliğinden güvenliğini sağlayamazlar.
    • Multifaktörlü kimlik doğrulaması sırasında cihazın güvenilir olup olmadığı kontrol edilmelidir.
    • Mobil işletim sistemlerinde cihazın integritesi ile ilgili bilgiler sorulabilir ve cihazın rootlu olup olmadığı, jailbreak yapılmış olup olmadığı ve güncel olup olmadığı kontrol edilebilir.
    59:38Güvenlik Çözümleri ve SMS Kullanımı
    • Konuşmacı, bankaların kullandığı device security SDK'sı olduğunu ve mobil güvenlik alanında yetkin bir güvenlik firmasıyla çalıştıklarını belirtiyor.
    • SMS kullanarak 6 otantik kod gönderme yöntemi eleştiriliyor; SMS kodunun kontrolü olmadığı ve güvenlik açısından zayıf olduğu vurgulanıyor.
    • SMS servis sağlayıcılarının API'ları güvenilir olmayan ve log ekranlarında gönderilen SMS'lerin içeriğine erişilebileceği belirtiliyor.
    1:04:26Kimlik Doğrulama Çeşitleri
    • Kimlik doğrulama çözümünün iki farklı tarafı olduğu, workforce identity (çalışan kimliği) ve customer identity (müşteri kimliği) olarak açıklanıyor.
    • Kimlik doğrulama sürecinde "something you know" (bildiğin bir şey), "something you have" (kullandığın cihaz), "something you are" (biyometrik veriler), "something you do" (davranış) gibi temel unsurlar bulunuyor.
    • Parolasız bir dünya olacağını ancak bu mekanizmanın ne olacağı hala net değil, şu anda en sık kullanılan parolasız giriş aracı cihaz olduğu belirtiliyor.
    1:09:32Gelecekteki Kimlik Doğrulama Yöntemleri
    • Gerçek kimliğin doğrulanmasında damar okuması gibi yöntemlerin güvenli olduğu, çünkü damar kopyalanamadığı belirtiliyor.
    • Face ID gibi yüz tanıma teknolojilerinin deep fake teknolojisiyle karşı karşıya olduğu vurgulanıyor.
    • İnsanın davranışları (something you do) üzerinden kimliğin %97-98 oranında doğrulanabileceği ifade ediliyor.
    1:10:56Behavioral Analytics ve Güvenlik Sorunları
    • Konuşmacılar, büyük bir bankanın 20 milyon hesap sahibi olduğunu ve bu bağlamda bir özellik eklemek için behavial analytics ile ilgili bir yapıyı değerlendirdiklerini belirtiyor.
    • Enes adlı kişi, bu özellik sadece feature set'e bir feature eklemek için mi yoksa gerçekten güvenlik için mi ekleniyor sorusunu sormuş.
    • Behavioral analytics'in kopyalanabilecek bir sistem olduğu, çünkü facetication (tuş basım deseni) teknolojisi ile kullanıcıların tuş basım desenleri analiz edilerek kimlik doğrulaması yapılabiliyor.
    1:11:48Facetication Teknolojisinin Güvenlik Açığı
    • Facetication, kullanıcıların tuş basım süreleri, tuşlar arasındaki geçiş süreleri gibi verileri kullanarak kimlik doğrulaması yapar.
    • Konuşmacı, bu teknolojinin kopyalanabileceğini ve bir JavaScript kütüphanesi ile tuş basım verilerinin toplanıp arka tarafa gönderildiğini açıklıyor.
    • Keylogger tarzı bir uygulama ile client'dan tuş basım verileri kopyalanabilir ve bu veriler algoritmaye gönderildiğinde her seferinde geçerli kabul edilebilir.
    1:13:56Güvenlik Mekanizmalarının Kullanımı
    • Bir parolayı birden fazla yerde kullanmamak gerektiği, çünkü başka yerlerde kullanıldığında riskler üretilmesi gerektiği belirtiliyor.
    • Behavioral analytics'in kimlik doğrulama için değil, koruma için kullanılabilir olduğu vurgulanıyor.
    • Passwordless dünya fikrinin büyük bir soru işareti olduğu ve güvenlik konusunun daha önemli olduğu ifade ediliyor.
    1:15:50Oturum Deaktifleme Sorunu
    • Microservisler arasında oturum deaktifleme sorunu ele alınıyor; bir kullanıcıyı işten çıkarıldığında, oturumun geçerliliğinin nasıl sonlandırılabileceği tartışılıyor.
    • Entegrasyon noktalarında tersine bağlantı olması gerektiği, yani entegre eden uygulamanın bir API açması gerektiği belirtiliyor.
    • Real-time bir yaklaşımın gerekliliği vurgulanıyor; uygulamaların sürekli bir kanal üzerinden iletişim kurması gerektiği, aksi takdirde yönetim ve bakımın zorlaşacağı ifade ediliyor.
    1:19:45Triple A Kavramı
    • 1984 yılında geliştirilen Triple A (Authentication, Authorization, Accounting) kavramı ele alınıyor.
    • Triple A'deki son A olan Accounting, bir oturumun sonlanması gibi durumlarda bu bilginin ilgili sistemle paylaşılması için kullanılan bir yöntemdir.
    • Konuşmacı, bu sistemden neden vazgeçildiği sorusunu soruyor.
    1:20:39Teknolojik Hatalar ve Zencefil Örneği
    • Konuşmacı, insanın büyük hatalar yaptığını ve bin yıl önce atalarımızın toprağın altından bulduğu bir şeyi tadı kötü olduğu için geri koyup zencefil olarak raflarda gezdirdiğini örneklendiriyor.
    • Zencefil konusunda konuşmacı nefret duyduğunu ve eşi de zencefil ile ilgili hiç sevmediğini belirtiyor.
    1:21:30Web Teknolojileri ve Cookie Kullanımı
    • Konuşmacı, web teknolojilerinde modern web ve cookie protokolünü anlatıyor; cookie, HTTP tipi içerisinde yer alır ve tüm browser renderlarını toplar.
    • Cookie, scope, path ve life time gibi özelliklere sahiptir ve response üzerinden gönderilir, browser bu bilgileri local dosyasında tutar.
    • Teknolojinin ilerlemesiyle birlikte milyarlarca cihaz HTTP tipi kullanıyor ve bu durum zamanla değişeceğine dair güven duyuluyor.
    1:23:03API ve Authentication Sorunları
    • Konuşmacı, API problemine girmeye başladıklarını ve herkesin flow'u yaşadığını, refresh token'ı nerede tutacağını düşünmek zorunda kaldığını belirtiyor.
    • JWT (JSON Web Token) standartı için nerede tutulacağı konusunda net bir cevap olmadığı, duruma göre farklı çözümler önerildiği belirtiliyor.
    • Browser üreticileri ve büyük firmaların bu konuda bir araya gelip çözüm üretmesi gerektiği vurgulanıyor.
    1:26:52Güvenlik ve Mimariler
    • Security konusunun kompleks olduğu ve bazı konularda net çözümler olduğu, ancak architectural security konularında mimari ve ileriye dönük planlama gerektiği belirtiliyor.
    • Konuşmacı, güvenlik alanında çalışmanın en zevkli yönlerinden birinin mimari kısımları olduğunu ifade ediyor.
    1:27:30Microservice Mimarisi ve Authentication
    • Microservice mimarisinde authentication ve authorization mekanizması API gatepay tarafından hizmet veriyor ve microservisler doğrudan veya gateway üzerinden iletişim kuruyor.
    • Kong gibi bazı gateway'lerin tokenların invalidasyonlarının tutulduğu bir yerine sahip olduğu ve bu sayede geçersiz tokenları engelleyebildiği belirtiliyor.
    • Konuşmacı, bir kurulda bulunan bir sorunu (geçersiz token'ın hala kullanılmaya devam etmesi) bildirdiğini ancak altı ay boyunca kapatılmadığını anlatıyor.
    1:30:12Regülasyon ve Corp Dünyası
    • Regülasyonların teknoloji sektörüne etkisi konuşuluyor; normalde iki ile altı ay arası süren süreçler, regülasyonlar nedeniyle üç günde tamamlanabiliyor.
    • Regülasyonlar, bulgular nedeniyle işleri durduruyor ve kapatılmayan durumlarda milyonlarca lira ceza uygulanabiliyor.
    • Corp dünyasının klasik sorunlarından biri olarak, sorun fark edilmeden önce uzun süre devam edip, fark edildiğinde çözümü çok daha pahalıya mal olabiliyor.
    1:32:55Identity Management ve Proxy Servisi Tartışması
    • Konuşmacılar kimlik yönetimi (identity management) konusunun karmaşık olduğunu ve sonunun olmadığını belirtiyor.
    • Bir konuşmacı, access gateway ve reverse proxy servisi yazmanın, kimlik yönetimi ile entegre edilerek kurumsal güvenlik için faydalı olabileceğini öneriyor.
    • Proxy servisi sayesinde tüm kurum trafiğinin bu servisten geçmesi sağlanabilir ve uygulamalara erişim kontrolü daha ön tarafta yapılabilir.
    1:34:00Mevcut Proxy Servisi Hakkında Bilgiler
    • Selçuk, şirketin içinde kullanımda olan bir proxy servisi olduğunu ancak bu servisin public bir ürün olmadığını belirtiyor.
    • Mevcut proxy servisi, ürün içerisindeki trafiği ve ürünle iletişim kuracak bacakların kontrolü için kullanılıyor.
    • Proxy servisi doğrudan son kullanıcı bilgisayarlarından değil, ürün içindeki trafiği kontrol etmek için kullanılıyor.
    1:34:38Proxy Servisi İçin Alternatif Bir Yaklaşım
    • Windows makinelerinde merkezi bir yapılandırma ile tüm HTTP ve HTTPS trafiğinin belirli bir proxy üzerinden geçmesi sağlanabilir.
    • Bu şekilde, trafiğin başka bir yoldan geçmesi engellenir ve network seviyesinde erişim kontrolü yapılabilir.
    • Reverse proxy gibi bir çözüm, tüm kurum çalışanlarının iç ağında kullandığı uygulamalara erişim kontrolü için kullanılabilir.
    1:35:48Proxy Servisi Yazımında Karşılaşılan Zorluklar
    • Konuşmacı, 2007-2008 yıllarında benzer bir proxy servisi yazdığını ve bazı uygulamaların kendi yazdıkları host name'ler kullanarak proxy üzerinden çalışmaması sorununu yaşadığını anlatıyor.
    • Uygulama spesifik sorunlarla karşılaşıldığında, minimal bir proxy servisi yazmak için gereken mühendislik çabasının çok fazla olması nedeniyle bu çalışmayı bıraktıklarını belirtiyor.
    • Proxy servisi yazmanın zorlukları olmasına rağmen, network seviyesinde tüm uygulamalara gelen trafiği sadece proxy üzerinden izin vermek, kurum içindeki güvenlik risklerini önemli ölçüde azaltabilir.
    1:41:07Identity Management'in Geniş Uygulama Alanları
    • Identity management'in dokunduğu alanların çok geniş olduğunu, her alanda kimlikle ilgili çözümlerin geliştirilebileceğini vurguluyor.
    • Sunucu odasında çalışan bir bilgisayar ve içindeki yazılım örneğinde, kimlik doğrulaması ve konum kontrolü ile güvenliği sağlama yöntemi anlatılıyor.
    • Identity management'in endpoint security, DLP gibi alanlarda da kullanılabileceği ve bu alanların da kimliğe bağlı olduğu belirtiliyor.

    Yanıtı değerlendir

  • Yazeka sinir ağı makaleleri veya videoları özetliyor