Ayrıcalıklı erişim, çoğu orta ölçekli kurumda hâlâ "IT ekibinin Telegram’dan paylaştığı root parolası" düzeyinde. Bir denetim geldiğinde "kim ne zaman neye bağlandı" sorusuna kimse net cevap veremez. Bir ihlal olduğunda — zaten geç.
PAM ne yapar, ne yapmaz?
PAM (Privileged Access Management) — ayrıcalıklı kullanıcıların oturumlarını aracı bir sunucu (jump server) üzerinden geçirir, kim-ne zaman-nereye bilgisini kaydeder, gerektiğinde MFA ve onay akışı ekler, kritik oturumları video + komut düzeyinde kayıt altına alır.
PAM bir antivirüs değildir. Saldırıyı engellemez — ama her saldırının kayıt altında olmasını sağlar. Denetim, soruşturma ve sorumluluk için gereken yegane veridir.
Önleme — hep arzudur. Kayıt — her zaman gereklidir. PAM’ın değeri ikincisindedir.
Pratik
- 1. Jump server’ı kimlik sağlayıcıya (AD/LDAP/SSO) bağla. Doğrudan parola yönetme.
- 2. Tüm sunuculara doğrudan SSH/RDP erişimini ağ seviyesinde kapat. Sadece jump server’dan geçsin.
- 3. Yüksek riskli sistemler (DB, finans, KVKK kapsamı) için just-in-time erişim + onay akışı.
- 4. Tüm oturumları video + komut düzeyinde kaydet. KVKK uyumlu süre kadar sakla.
- 5. SIEM / Graylog’a olayları aktar. Anormal saatlere, anormal kaynaklara alarm kur.
Yaygın hata: PAM’ı kuruyorlar, ağ tarafını açık bırakıyorlar
Eğer admin doğrudan SSH ile bağlanabiliyorsa, PAM bir tiyatrodur. Ağ seviyesinde "sadece jump’dan" zorlanmadıkça, yan kapı her zaman açık kalır.
Ayrıcalıklı erişim yönetimi şık bir lüks değil. Bir denetimin, soruşturmanın ya da basit bir "ne oldu" sorusunun ardından kalanlardan biri — onu var etmenin maliyeti, hep bir defa cevap verememekten ucuzdur.