Ana Sayfa Çözümler Neden Netsmart? Kariyer Keşif İletişim

Netsmart Bilişim Sistemleri A.Ş.

Esentepe Mh. Ecza Sk. No: 6 K: 1, 34394,
Şişli-İstanbul, Türkiye

+90212-274-31-61

info@netsmart.com.tr

Analiz

CyberArk VPNLess Remote Access

Günümüzde Ayrıcalıklı Erişim Yönetimi (Privileged Access Management - PAM) kavramı oldukça yaygınlaşmış bir teknoloji haline gelmiştir. Hemen hemen her kurumsal şirket, ayrıcalıklı hesaplarını yönetmek için bir PAM ürünü kullanmaktadır. CyberArk PAM, bu ürünler arasında, kullanıcıların en fazla tercih ettiği çözümlerden biridir.

CyberArk PAM, kullanıcıların yüksek güvenlik gereksinimi taşıyan hesaplarının bilgilerini bir dijital kasada tutar.

Genel Bakış

CyberArk PAM, kullanıcıların yüksek güvenlik gereksinimi taşıyan hesaplarının bilgilerini bir dijital kasada tutar. Bu kasalara da yalnızca yetkili kişilerin, ‘En Az Yetki (Least Privilege)’ ilkesine uygun olarak erişim sağlanır. Bu hesapların password yönetimini stabil bir şekilde gerçekleştirirken kendi proxy sunucuları üzerinden gerçekleştirdiği bağlantıları (RDP, SSH, Web ve Masaüstü Uygulamaları, Database, Network Cihazları vs.) dış ortamdan izole eder. Bu bağlantıların izlenebilirliğini sağlamakla birlikte, metin ve video kayıtlarını da tutar. Bu şekilde kullanıcıları potansiyel tehlikelerden arındırmış olur.

Özellikle Türkiye’de kurumların büyük bir çoğunluğu CyberArk’ı on-prem olarak kullanmaktadır. CyberArk PAM arayüzüne kullanıcıların erişebilmesi için çalıştıkları kurumların kendi iç ağlarına bağlı olması gerekir. Bu işlemi de kurumların büyük çoğunluğu VPN kullanarak yapmaktadır. CyberArk Alero, bu noktada devreye girerek, şirket kullanıcılarının herhangi bir VPN ürünü kullanmadan CyberArk PAM ortamına erişimini sağlar. Alero tam olarak VPN’in yerini almamakla beraber, en az VPN kadar güvenli bir şekilde kullanıcıları CyberArk PAM ortamına iç ağda olmalarına gerek olmadan bağlanmalarına olanak sağlar.

Bazı şirketlerin dışarıdan destek aldığı farklı farklı birden çok firmalar olabilir. Takip edilebilirlik ve güvenlik amaçlı bu firmalarda ki her bir kullanıcı için ayrı ayrı VPN hesabı oluşturulması ve içeride ki ilgili network konfigürasyonlarının yapılması gerekmektedir(Active Directory yapılandırmaları, Proxy konfigürasyonları, Firewall konfigürasyonları vs.). Bu işlemler, çalışanlara ek iş yükü oluşturur. Ayrıca, kullanıcı sayısı arttıkça takip edilebilirliği zor olduğu için, işi biten kullanıcıların hesaplarının kaldırılmaması güvenlik açıklarına neden olabilir. CyberArk Remote Access kullanımı ile hem güvenli bağlantı sağlanmış hem iş yükü azalmış hem de aradan bir ürün eksilterek maliyet olarak avantaj sağlanmış olur.

CyberArk Alero ya da diğer adı ile Remote Access, SaaS bir çözüm olmakla beraber kullanıcı dostu arayüzü ile kullanıcıların bağlantılarını güvenli bir şekilde gerçekleştireceği bulut tabanlı bir üründür. Zero Trust yaklaşımını benimser ve biometrik (parmak izi, Face ID gibi) MFA ile kullanıcıların bağlantılarının güvenliğini arttırır. Bu sistem cloud üzerinde çalıştığı için internet bağlantısı gerektirir.

Alero Tenant arayüzünden ilgili kullanıcıların konfigürasyonları gerçekleştirilir. Burada kullanıcılar rollerine göre özelleştirilebilirler. Admin yetkisi verilebilir veya sadece user olarak kalabilirler. Admin’ler diğer user’lar üzerinde yetki sahibi olur ve dışarıdan kullanıcıları davet edebilirler.

Ubuntu veya RHEL tabanlı bir ortama Cloud ortamında konumlanan Remote Access ile konuşacak olan Connector kurulumu gerçekleştirilir. Buradaki trafik tek yönlü gerçekleşir; yani, Connector’den AWS ortamındaki Remote Access’e doğrudur. Bu sebeple network konfigürasyonlarının trafiğin tek yönlü olacak şekilde yapılması yeterli olmaktadır. Connector ve AWS üzerinde ki servis arasında haberleşme sağlandığında arada bir SSL tünel açılır ve kullanıcılar bu tünel aracılığıyla PAM ortamına erişir.

Container üzerinde çalışan Connector için Remote Access CLI kurulumu gerçekleştirilir. Bu CLI üzerinden, Connector, buluttaki Remote Access ile token aracılığıyla bağlantı kurar. Bu token, düzenli olarak süresi dolduğunda yenilenir.

Connector’ler oluşturulduktan sonra, Tenant arayüzünden her bir Connector için farklı uygulamalar oluşturulabilir. Burada uygulamalar kullanıcıların PAM ortamlarına erişim sağlayacağı uzantılardır; kullanıcılar, bu oluşturulan uygulamalar ile PAM ortamlarına erişir. Bağlanılacak PVWA’nın bağlantı için gerekli parametrelerini içerirler.  Oluşturulan uygulamalar ileride dışarıdan gelecek kullanıcılar için özelleştirilebilir (a isimli kullanıcı sadece a isimli uygulamaya erişsin gibi).

Uygulama oluşturulurken PVWA adresi ve Authentication türü belirtilir. Genellikle SAML authentication kullanılır. Yani Connector PVWA ile SAML protocolü ile haberleşir. Bunun için gerekli xml dosyası PVWA sunucuda konfigüre edilir ve PVWA ara yüzünde Authentication Method’larda SAML aktif hale getirilir.

Bu adımlar tamamlandıktan sonra, Tenant üzerinde admin yetkisine sahip kullanıcıların, dışarıdan bağlantı sağlayacak olan kullanıcıları bu ortama davet etmesi gerekir. Bunun için Tenant ekranında sol tablardan ‘Identities > Vendors’ sekmesine geldikten sonra ‘Invite Vendor’ seçilir.

Sonrasında açılan ekranda kullanıcının bilgileri girilir.

Bu işlemden sonra bu kullanıcının içeride oluşturulan uygulamaların hangisine erişim sağlanması isteniyor bu seçilir ve bu kullanıcının username’i girilir.

Bu işlemlerden sonra, kullanıcının hangi zaman aralığında erişim sağlayabileceği belirlenir. İstenilen günlerde, istenilen saat aralığı seçilebileceği gibi kullanıcının oluşturulan hesabının son geçerlilik tarihi de belirlenebilir. Alero’yu kullanmayıp VPN üzerinden bağlanan kullanıcıların işleri bittikten sonra, Active Directory veya network cihazları üzerindeki konfigürasyonların (proxy firewall vs.) silinmediğinden veya unutulduğundan bahsetmiştik. Bu adımda, bu risk ortadan kaldırılmış olur. Kullanıcıların hangi zaman dilimlerinde bağlantı sağlayabilecekleri ya da hangi tarihe kadar hesaplarının aktif olacağı buradan belirlenir. İşlem tamamlandıktan sonra, kullanıcılar devre dışı bırakılır ve böylece bir risk teşkil etmezler.

Sonraki işlemde, davet gönderilecek kullanıcının başka kullanıcıları davet edebilmesi veya edememesi seçilir. Burada davet edilen kullanıcının başka kullanıcıları davet edebilmesi veya edebilmemesi ayarlanabilir.

Sonrasında invitation template ekranı gelir. Bu ekran, adminler tarafından ihtiyaçlar doğrultusunda özelleştirilebilir.

En son Invite diyerek bilgilerini girdiğimiz kullanıcının mail’ine davet gider. Bu işlemlerden sonra, kullanıcı CyberArk Mobile uygulamasına girerek bilgileri ile kaydını oluşturur.

Kullanıcı uygulamaya girdiğinde, ilk olarak bölgelere göre veri merkezi (data center) seçer. Sonrasında telefon numarasını girer ve bu numaraya bir doğrulama kodu gönderilir. Numara doğrulandıktan sonra, kullanıcı bilgilerini girer ve son olarak bir PIN kodu belirler. Bu aşamaların ardından, Tenant Admin, Vendors sekmesi altında bu kullanıcıyı aktif hale getirir ve kullanıcıya bununla ilgili bildirim gönderilir. Kullanıcı artık bağlantı sağlamak için hazırdır.

Uzaktan bağlanmak isteyen bir kullanıcı CyberArk Web ortamında (PVWA arayüzü) oturum açmak istediğinde, portal.alero sayfasına geldiğinde (ilgili tenant’ın bulunduğu bölgeye göre portal.alero url’i değişmektedir örneğin Europe bölgesi için portal.alero.eu gibi) kullanıcı için tek seferlik kısa süreli bir QR kod oluşturulur. Kullanıcı, CyberArk Mobile uygulamasından biometrik olarak doğrulamasını gerçekleştirip (parmak izi ya da Face ID gibi) giriş yaptıktan sonra bu QR kodunu okutur ve Tenant ekranına erişim sağlar. Bu ekrana eriştiğinde izni olduğu uygulamaları görüntüler ve bunlar üzerinden PVWA ekranına güvenli bir şekilde erişimini sağlar. Bu oturumlar uçtan uca şifrelenir.

Burada yapılan örnek kullanıcı için oluşturulan application şekildeki gibidir. Uygulamaya ‘Connect’ dediğinde, kullanıcı doğrudan PVWA ekranına giriş yapar.

Burada kullanıcılar bir HTML5 sunucu kullanarak web browser üzerinden bağlantı sağlayabilecekleri gibi aynı zamanda bağlanmak istedikleri hedef sistemlere doğrudan RDP üzerinden de bağlantı gerçekleştirmektedirler. Bu özellik, oluşturulan uygulamalar özelinde ‘Allow secure native RDP access’ seçeneği aktif hale getirilerek sağlanabilir.

Bu seçenek seçildiğinde ‘Secure Native RDP Access’e” tıkladıktan sonra kullanıcıyı bağlantı ekranı karşılar.

‘Download File’ ile ‘RDP File’ indirilidikten sonra kullanıcının mobil uygulamasına bir bildirim düşer. Burada bağlanılacak uygulamaya kullanıcının onay vermesi istenir. Kullanıcı tarafından bu onay verildikten sonra PVWA’e giriş yapacağı olacağı host içi onay ekranı gelir burada da onay verildikten sonra kullanıcı yetkili olduğu account’ları görünütlediği PVWA ekranına giriş yapmış olur.

Buradan bağlanmak istediği hedefi seçerek connection adımına geçer. Daha sonra gerekli alanları doldurup ‘Connect’ butonuna basarak ilerler. Sonrasında Alero üstünden kullanıcı hedef sisteme RDP bağlantısını gerçekleştirmiş olur.

CyberArk Alero’nun, kendisi gibi SaaS bir çözüm olan, kullanıcı kimlik yönetimini ve kontrolünü sağlayan CyberArk Identity ile entegrasyonu sağlanmaktadır.

İlk olarak Identity tarafında Identity Tenant ID, Identity username (suffix) ve Alero Service User’ı için bir parola oluşturulur ve kaydedilir. Bu işlemlerden sonra Alero tarafına geçilir ve burada düzenlenen ve oluşturulan konfigürasyonlar ile Alero tarafında ki konfigürasyonlar tamamlanır. Bunun için Settings > User Management Sources altında ‘Identity SSO’ sekmesi seçilir.

Devamında açılan ekranda ‘Identity URL’i’, ‘Identity Username’i ve belirlenen ‘Service User Password’u girilir. ‘Apply’ diyerek işlem tamamlanır.

Sonrasında Alero Tenant’ta Identity Tenant bilgileri (Tenant URL’i, Company Name’i gibi) girilir. Burada kullanıcıların sadece Identity SSO ile giriş yapmaları sağlanabilir.

Entegrasyon tamamlandıktan sonra kullanıcılar CyberArk Alero ile sadece PAM ortamlarına değil, Identity üzerinde konfigürasyonları yapılmış olan uygulamalara SSO aracılığıyla bağlantı kurabilirler.

Son geliştirmelerle birlikte, CyberArk Mobile uygulaması kullanılarak PAM’da yönetilen bazı kimlik bilgileri (credential), kullanıcının mobil cihazının önbelleğinde (cache) çevrimdışı (offline) olarak saklanabilmektedir. Saklanan kimlik bilgileri sayesinde internet erişimi olmadığında, PAM’a veya Alero Tenant’ına erişim sağlanamadığı durumlarda, kullanıcılar bu bilgilere erişebilirler. Ancak, bazı politikalar altında yönetilen hesaplar için kimlik bilgilerinin çevrimdışı olarak saklanması mümkün değildir. Bu politikalardan bazıları şunlardır:

  • Hesap için check-in/check-out politikasının aktif olması,
  • Hesap için Dual Control politikasının aktif olması,
  • Hesap için one-time password politikasının aktif olması.

Kimlik bilgilerine çevrimdışı olarak erişimi aktif hale getirmek için, Alero Tenant ekranında Settings > General altında ‘Offline Access to PAM accounts’ seçeneğini seçmek gerekmektedir.

Burada, bilgileri güncel tutmak için bir hatırlatıcı oluşturulabilir. Ayrıca, davet edilen kullanıcıların (Vendor) bu bilgilere çevrimdışı olarak mobil uygulama üzerinden erişip erişemeyeceği belirlenebilir. Telefonda veya uygulamaya girilen mobil cihazda internet olmadığı durumlarda, kimlik bilgilerinin görüntülenip görüntülenemeyeceği de ayarlanabilir.

ReFS ve NFTS Hakkında Karşılaştırma

ReFS vs. NTFS

Versus

Full Stabil yapılardan söz etmek mümkün mü? Dosya içeriği değişmiyor belki ama dosya sistemi, formatı ihtiyaçlarla paralel olarak değişebiliyor. Neden bu konuya girdim peki? Çünkü alışkın olduğumuz FAT32 ya da NTFS dosya sistemlerinin yanında artık sıklıkla duyulmaya başlanan ReFS dosya sistemi de yerini almaya başladı.

Daha fazla
ArcSight ESM MISP entegrasyonu nasıl yapılır?

ArcSight ESM MISP entegrasyonu nasıl yapılır?

Entegrasyon

SIEM ürünlerinin en önemli özelliği korelasyon yapabilmesidir. ESM de correlation engine sayesinde verileri işler ve korelasyon yapabilme yeteneği kazanır.

Daha fazla
9 Adımda Veri Keşfi Neden Önemli

9 Adımda Veri Keşfi neden önemli ve Veri Keşfi ürünlerinde nelere dikkat edilmeli

Analiz

Veri keşfi konusu 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile hayatımıza girdi. Bu kanunla beraber bu zamana kadar dağınık olan verilerimizin nerede tutulduğunun ve ne derece kritik olduğunun önemi giderek artmaktadır.

Daha fazla
CyberArk API Kullanımları

CyberArk API Kullanımları

CyberArk

2 uygulama veya yazılım bileşenin belirli protocoller ile veri transferi sağlayan mekanizmalardır. Mobil cihazlardaki, hava durumu uygulamaları, haber sitelerindeki borsa uygulaması gibi benzeri uygulamalar API protokolleri ile anlık haberleşmektedir.

Daha fazla