Veri erişimi denetimi

Veri erişimi denetimi nedir?

Veri erişimi denetimi, çalışanların bir kuruluştaki dosyalara erişimini düzenlemek amacıyla kullanılan bir tekniktir. En az ayrıcalık ilkesinden (POLP) faydalanmayı, başka deyişle, çalışanların erişim haklarını kuruluştaki rollerine göre yönetmeyi ve çalışanların hangi verilere erişebileceklerini tanımlayarak bu erişimlere sınırlama uygulanmasını içerir.

Veri erişimi denetiminin türleri:

Kuruluşlar, gerekliliklerini en iyi şekilde karşılayacak bir veri erişimi denetim ilkesi seçmelidir. İzinlerin kullanıcılara atanma şekline göre dört tür erişim denetimi sistemi bulunmaktadır.

Zorunlu erişim denetimi (MAC):

Bu erişim modeli, tüm çalışanlara erişim hakları atamak üzere merkezi bir yetkiden faydalanır. Yönetici, sistem kaynaklarını ve kullanıcıları risk düzeylerine ve erişim gereksinimlerine göre sınıflandırır. Kaynaklara erişim, kullanıcının sahip olduğu ayrıcalıklara dayalıdır.

MAC modeli yüksek düzeyde veri koruması sağlar ve devlet kurumları tarafından yüksek düzeyde gizli bilgilerin güvenliğini sağlamak amacıyla kullanılır. Yüksek düzeyde koruma sağlamasına rağmen MAC modelinin kurulması ve kullanılması zordur, dolayısıyla genellikle isteğe bağlı erişim denetimi (DAC) gibi başka erişim modelleriyle birlikte kullanılır.

İsteğe bağlı erişim denetimi (DAC):

DAC modelinde verilerine erişebilecek kişiye veri sahibi karar verir. Sahip, kimlerin kaynağa erişme yetkisine sahip olduğunu belirleyen ilkeleri ayarlar; bu da bu modele daha fazla esneklik kazandırır ve bu modeli küçük ve orta ölçekli kuruluşlar için ideal kılar. Aynı zamanda, bu model, sahibin dosyaları üzerinde kontrolün tamamını elinde bulundurması nedeniyle kısıtlayıcılığı en düşük olanıdır. Herhangi bir tutarsızlık durumunda her dosyanın ACL'sinin kontrol edilmesi gerekir ve bu da merkezi bir otorite olmadığından bu modelin uygulanmasını zorlaştırır.

Rol tabanlı erişim denetimi (RBAC):

RBAC modeli, kuruluştaki her kişinin rolü ve ihtiyaçlarıyla uyumlu olduğundan en yaygın kullanılan kontrol mekanizmasıdır. Bir kişinin kuruluştaki rolünün gereklerine uygun şekilde ayrıcalıklar atamak için en az ayrıcalık ilkesini (POLP) kullanır. Kapsamları dışında kalan verilere erişmeye çalışan kullanıcılara kısıtlama uygulanır.

Yeni uygulamaya koyulacak erişim denetimi yöntemleri:

Özniteliğe dayalı erişim kontrolü (ABAC) mekanizması, dinamik erişim denetimi sağlayan yeni nesil bir yetkilendirme modelidir. Bu yöntemde kullanıcılara ve kaynaklara bir dizi değişken atanır ve erişim, bu değişkene atanan değere bağlıdır. Değişkenler erişim zamanına ve coğrafi konuma göre farklılık gösterir. Örneğin, bir çalışanın mesai saatleri dışında veya olağan dışı bir coğrafi konumdan bir dosyaya erişim talebinde bulunması durumunda ABAC modeli, bu dosyaya erişimi kısıtlayacak şekilde yapılandırılabilir.

Veri erişimi denetiminin kullanımı:

Veri güvenliğinde erişim denetimi, verilerin yanlış ellere geçmemesini veya kuruluştan ayrılmamasını sağlamak açısından çok önemlidir. Birçok kuruluş, müşterileriyle ilgili kişisel verileri, gizli bilgiler içeren belgeleri ve çok daha fazlasını saklamaktadır. Bu dosyaların korunması zorunludur ve bir erişim denetimi sisteminin uygulanması, bir veri sızıntısının yaşanma olasılığının azaltılmasına yardımcı olur.