Break-Glass Erişimi Nasıl Çalışır
Adı yangın alarmından gelir: camı yalnızca gerçek bir acil durumda kırın. Break-glass hesabı, normal erişim yolunun bilinçli olarak dışında tutulan, federasyondan ve güvenli olduğu ölçüde kendisi de arızalanabilecek bağımlılıklardan muaf tutulan yüksek ayrıcalıklı bir hesaptır; böylece kimlik sağlayıcı çöktüğünde, MFA kullanılamadığında veya PAM platformuna erişilemediğinde bile çalışır.
Kimlik bilgileri mühürlü saklanır: fiziksel bir kasada, çevrimdışı bir kasada veya ayrı bir güvenli sistemde; daha sıkı kurulumlarda iki emanetçi arasında bölünür. Hesabın kullanımı tanımlı bir prosedür gerektirir; genellikle olay ilanı ve üst düzey yetkilendirme. Her kullanımın nadir, gerekçeli ve sonrasında eksiksiz incelenmiş olması beklenir.
Break-Glass Hesapları Neden Önemli
Güçlü kimlik kontrolleri yeni bir arıza türü yaratır: kendinizi dışarıda bırakmak. Her yönetici oturumu kimlik sağlayıcıyı gerektiriyorsa ve az önce arızalanan da kimlik sağlayıcının kendisiyse, sorunu düzeltmek için kimse oturum açamaz. Aynı tuzak koşullu erişim yanlış yapılandırmalarında, süresi dolmuş federasyon sertifikalarında ve PAM kesintilerinde de vardır. Break-glass hesapları bu senaryolar için tasarlanmış kaçış kapısıdır.
Risk iki yönlüdür. MFA’yı ve normal kontrolleri atlayan, sürekli güçlü bir hesap tam da saldırganların aradığı şeydir; yönetilmeyen bir break-glass hesabı, aksi halde sıkılaştırılmış bir ortamın en zayıf halkası haline gelebilir. Bu hesapların mühürlenmesi, izlenmesi ve gözden geçirilmesi etrafındaki disiplin, varlıkları kadar önemlidir.
Break-Glass Hesaplarını İyi Yönetmek
İyi uygulama, break-glass hesaplarının sayısını mutlak asgaride tutar; genellikle kritik platform başına bir veya iki hesap. Uzun ve rastgele parolalar mühürlü saklanır, her kullanımdan hemen sonra ve kullanım olmasa da düzenli takvimle döndürülür. Break-glass hesabına yapılan her oturum açma yüksek öncelikli bir uyarı tetiklemelidir; meşru kullanımlar önceden duyurulur, geri kalan her şey bir olaydır.
Prosedürler test edilmelidir: ekipler mühürlü kimlik bilgilerinin hâlâ çalıştığını ve acil durum yolunun, atlaması gereken sistemlere sessizce bağımlı olmadığını düzenli olarak doğrular. Ortamda bir PAM platformu varsa diğer sistemlerin break-glass kimlik bilgileri uyarı ve kullanım sonrası otomatik rotasyonla kasalanabilir; Monopam bu modeli kimlik bilgisi kasası, kullanım geçmişi ve rotasyon politikalarıyla destekler.