Kimlik Bilgisi Kasası Nasıl Çalışır
Kimlik bilgisi kasası, başka sistemlerin kilidini açan sırlar için özel olarak tasarlanmış şifreli bir depodur: yönetici parolaları, SSH anahtarları, veritabanı oturumları ve servis hesabı kimlik bilgileri. Kayıtlar bekleme halinde şifrelenir; her alma, görüntüleme veya değişiklik kaydedilir ve hangi kimlik bilgisine kimin ne zaman eriştiğine dair eksiksiz bir geçmiş oluşur.
Erişim güvene değil politikaya dayanır. Bir kullanıcı veya uygulama kasaya kimlik doğrulaması yapmalı, doğru role sahip olmalı ve hassas kayıtlar için kimlik bilgisi verilmeden önce onay almalıdır. Birçok kasa daha da ileri giderek kimlik bilgisini hiç vermez: onu doğrudan bir RDP veya SSH oturumuna enjekte eder; böylece operatör parolayı hiç görmeden işini tamamlar.
Kasalama Neden Önemli
Kasalanmayan kimlik bilgileri sızar. Ortak elektronik tablolara, wiki sayfalarına, sohbet dizilerine, tarayıcı parola depolarına ve betiklerin içine gömülü halde bulunurlar; her kopya kritik sistemlere açılan izlenmeyen bir yoldur. Bir çalışan ayrıldığında veya bir dizüstü bilgisayar çalındığında hangi parolaların ele geçirildiğini kimse güvenle söyleyemez.
Kasalama bunu tersine çevirir: her kimlik bilgisinin tek ve yetkili şifreli kopyası, ona dokunan herkesin kaydı ve risk değiştiğinde anında değiştirme imkânı vardır. Bu ayrıca ortak hesaplarda bireysel hesap verebilirliğin temelidir; hedef sistem yalnızca ortak oturumu görse bile kasa, ortak kimlik bilgisini hangi kişinin aldığını bilir.
Uygulamada Kasalama
Yaygınlaştırma genellikle ayrıcalıklı kimlik bilgilerinin envanteriyle başlar; etki alanı yöneticileri, veritabanı sahipleri ve internete açık sistemler önceliklendirilir. Bu kimlik bilgileri kasaya aktarılır, eski kopyaları emekliye ayrılır ve otomatik rotasyon etkinleştirilerek kasadaki değerin kısa sürede geçerli tek değer olması sağlanır.
Sonrasında ekipler kasayı oturum aracılamayla bağlar; böylece günlük yönetim kimlik bilgisi ifşası olmadan yürür ve kasa kesintileri için acil durum prosedürleri tanımlanır. Monopam, şifreli kasasını kimlik bilgisi geçmişi ve otomatik parola rotasyonuyla birleştirir; kasadaki kimlik bilgilerini tarayıcı tabanlı oturumlara enjekte ettiği için parolalar kullanıcının panosuna hiç ulaşmaz.