← Tüm terimler
Acil Durum (Break-Glass) Hesabı

Acil Durum (Break-Glass) Hesabı Nedir?

Break-glass hesabı, normal kimlik doğrulama veya onay yolları çalışmadığında kritik sistemlere erişimi geri kazanmak için kullanılan mühürlü bir acil durum hesabıdır.

Son güncelleme: 13 Temmuz 2026

Break-Glass Erişimi Nasıl Çalışır

Adı yangın alarmından gelir: camı yalnızca gerçek bir acil durumda kırın. Break-glass hesabı, normal erişim yolunun bilinçli olarak dışında tutulan, federasyondan ve güvenli olduğu ölçüde kendisi de arızalanabilecek bağımlılıklardan muaf tutulan yüksek ayrıcalıklı bir hesaptır; böylece kimlik sağlayıcı çöktüğünde, MFA kullanılamadığında veya PAM platformuna erişilemediğinde bile çalışır.

Kimlik bilgileri mühürlü saklanır: fiziksel bir kasada, çevrimdışı bir kasada veya ayrı bir güvenli sistemde; daha sıkı kurulumlarda iki emanetçi arasında bölünür. Hesabın kullanımı tanımlı bir prosedür gerektirir; genellikle olay ilanı ve üst düzey yetkilendirme. Her kullanımın nadir, gerekçeli ve sonrasında eksiksiz incelenmiş olması beklenir.

Break-Glass Hesapları Neden Önemli

Güçlü kimlik kontrolleri yeni bir arıza türü yaratır: kendinizi dışarıda bırakmak. Her yönetici oturumu kimlik sağlayıcıyı gerektiriyorsa ve az önce arızalanan da kimlik sağlayıcının kendisiyse, sorunu düzeltmek için kimse oturum açamaz. Aynı tuzak koşullu erişim yanlış yapılandırmalarında, süresi dolmuş federasyon sertifikalarında ve PAM kesintilerinde de vardır. Break-glass hesapları bu senaryolar için tasarlanmış kaçış kapısıdır.

Risk iki yönlüdür. MFA’yı ve normal kontrolleri atlayan, sürekli güçlü bir hesap tam da saldırganların aradığı şeydir; yönetilmeyen bir break-glass hesabı, aksi halde sıkılaştırılmış bir ortamın en zayıf halkası haline gelebilir. Bu hesapların mühürlenmesi, izlenmesi ve gözden geçirilmesi etrafındaki disiplin, varlıkları kadar önemlidir.

Break-Glass Hesaplarını İyi Yönetmek

İyi uygulama, break-glass hesaplarının sayısını mutlak asgaride tutar; genellikle kritik platform başına bir veya iki hesap. Uzun ve rastgele parolalar mühürlü saklanır, her kullanımdan hemen sonra ve kullanım olmasa da düzenli takvimle döndürülür. Break-glass hesabına yapılan her oturum açma yüksek öncelikli bir uyarı tetiklemelidir; meşru kullanımlar önceden duyurulur, geri kalan her şey bir olaydır.

Prosedürler test edilmelidir: ekipler mühürlü kimlik bilgilerinin hâlâ çalıştığını ve acil durum yolunun, atlaması gereken sistemlere sessizce bağımlı olmadığını düzenli olarak doğrular. Ortamda bir PAM platformu varsa diğer sistemlerin break-glass kimlik bilgileri uyarı ve kullanım sonrası otomatik rotasyonla kasalanabilir; Monopam bu modeli kimlik bilgisi kasası, kullanım geçmişi ve rotasyon politikalarıyla destekler.

Sık sorulan sorular

Bir kuruluşun kaç break-glass hesabı olmalı?
Her kritik platformu kapsayacak kadar az; genellikle kimlik sağlayıcı, hipervizör katmanı ve çekirdek ağ cihazları gibi sistem başına bir veya iki hesap. Bozulan ya da kilitlenen bir hesabın sizi yedeksiz bırakmaması için çoğu zaman bir yerine iki tercih edilir. Her ek hesap kalıcı riski katladığından liste düzenli olarak gözden geçirilmelidir.
Break-glass hesapları MFA’dan muaf tutulmalı mı?
Genellikle, atlamak için var oldukları MFA ve koşullu erişim politikalarından muaf tutulurlar; çünkü acil durum tam da bu sistemlerin çökmesi olabilir. Telafi edici kontroller sıkıdır: mühürlü ve çok uzun kimlik bilgileri, her kullanımda anında uyarı ve kullanım sonrası rotasyon. Bazı kuruluşlar, ana kimlik platformuna bağımlı olmayan donanım belirteci tabanlı ikinci bir faktör kullanır.
Break-glass erişimi JIT erişimden nasıl farklıdır?
JIT erişim, yükseltilmiş hakları elde etmenin normal ve planlı yoludur; erişim platformu içindeki talep ve onaylardan geçer. Break-glass erişimi ise o platformun veya bağımlılıklarının kullanılamadığı durumlar için istisna yoludur. Olgun bir program günlük yetki yükseltme için JIT kullanır, break-glass hesaplarını gerçek acil durumlar için mühürlü tutar ve her break-glass kullanımını sonrasında inceler.